Przetwarzanie danych osobowych podczas postępowania

Przetwarzanie danych osobowych podczas postępowania
kontrolnego prowadzonego przez Najwyższą Izbę
Kontroli
Dr Arwid Mednis
Karolina Rudzińska
Przegląd Metodyczny 3/2012, Departament Metodyki Kontroli i Rozwoju
Zawodowego NIK, grudzień 2012 r.
1. Wstęp
Niniejsze opracowanie poświęcone jest uprawnieniom i obowiązkom związanym
z dostępem kontrolerów Najwyższej Izby Kontroli do danych osobowych oraz
ich przetwarzaniem na potrzeby prowadzonych postępowań kontrolnych. Omówione
zostaną podstawy legalizujące przetwarzanie przez NIK danych osobowych i obowiązki
wynikające z tego faktu, przewidziane w ustawie z 29 sierpnia 1997 r. (Dz.U. nr 133, poz.
883), dalej „uodo" lub „ustawa". Wejście w życie uodo nałożyło na podmioty
przetwarzające dane osobowe liczne obowiązki, a ochrona tych danych zyskała
publicznoprawny charakter ze względu na wagę prawa do prywatności jednostki. Uodo
ma charakter generalny w tym sensie, że znajduje zastosowanie zawsze tam, gdzie
dochodzi do przetwarzania danych osobowych, zarówno w sektorze prywatnym,
jak i w sektorze publicznym, z uwzględnieniem klauzuli kolizyjnej wyrażonej w art. 5 uodo,
zgodnie z którym, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania
danych, przewidują dalej idącą ochronę niż wynika to z uodo, należy stosować przepisy
tych ustaw. Ustawę stosuje się do przetwarzania danych osobowych w zbiorach
(tj. w mających strukturę zestawach danych), a także do przetwarzania danych poza
zbiorem, o ile do przetwarzania dochodzi w systemie informatycznym.
W orzecznictwie wyrażono również pogląd, że uodo należy stosować także do sytuacji
na etapie gromadzenia danych osobowych z zamiarem stworzenia na ich podstawie zbioru
(a więc zanim powstanie ostatecznie ich zbiór, a także zanim dane zostaną włączone
do zbioru już istniejącego). W praktyce oznacza to bardzo szerokie zastosowanie ustawy:
chroni ona bowiem zarówno dane przetwarzane metodami tradycyjnymi (o ile są lub mają
być elementem zbioru), jak i dane przetwarzane w systemie informatycznym, nawet jeśli
nie są one przetwarzane w zbiorze.
1.1. Podstawowe pojęcia
Zanim przejdziemy do szczegółowego omówienia obowiązków związanych z ochroną
danych osobowych, przedstawimy podstawowe pojęcia istotne dla omawianego
zagadnienia.
Postępowanie kontrolne
Jest to prowadzone przez NIK postępowanie mające na celu ustalenie stanu faktycznego
w zakresie działalności jednostek poddanych kontroli, rzetelne jego udokumentowanie
i dokonanie oceny kontrolowanej działalności pod względem legalności, gospodarności,
celowości i rzetelności. Kwestia kryterium kontroli ma ogromny wpływ na zakres danych,
które mogą być gromadzone w trakcie postępowania.
Kontrolerzy
Kontrolerzy są to pracownicy Najwyższej Izby Kontroli przeprowadzający kontrolę
w jednostce kontrolowanej.
1
Zbiór danych
Zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym,
dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest
rozproszony, czy podzielony funkcjonalnie.
Pojedyncza informacja o osobie co do zasady nie stanowi zbioru danych w rozumieniu
ustawy i, jeśli jest przetwarzana metodą tradycyjną, nie podlega ochronie. Cechą
wyróżniającą zbiór danych od innego zestawienia danych jest jego uporządkowany
charakter, zapewniający możliwość wyszukania konkretnych danych za pomocą
określonego kryterium. Aby określony zestaw danych zaklasyfikować jako zbiór
w rozumieniu przepisów uodo, wystarczające jest spełnienie jednego kryterium
wyszukiwawczego w zestawieniu danych. Dla przykładu, zgodnie ze stanowiskiem GIODO,
wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne
i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1
ustawy.
Dane osobowe
Danymi osobowymi są wszelkie informacje Doty czące zidentyfikowanej lub możliwej
do zidentyfikowania osoby fizycznej.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w szczególności przez powołanie się na jeden lub kilka
specyficznych czynników określających jej cechy fizyczne, umysłowe, ekonomiczne,
kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości
osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu oraz działań. Jeśli zatem
jesteśmy w posiadaniu danych, które możemy skojarzyć z konkretną osobą (tj. możemy
tę osobę wskazać), to wszystkie te dane są danymi osobowymi. Jeśli nie możemy wskazać
osoby od razu, ale po dokonaniu pewnych czynności, to również posiadane przez nas dane
będą danymi osobowymi, chyba że te czynności wiązałyby się z „nadmiernymi kosztami,
czasem oraz działaniami".
Powyższa definicja oznacza, że nie można z góry ustalić katalogu danych mających
charakter .osobowy". Wszystkie informacje, które mamy i które możemy skojarzyć
z konkretną osobą, są danymi osobowymi. Mogą to być w szczególności: imię i nazwisko,
adres, adres poczty elektronicznej. Musi zostać jednak spełniony warunek możliwej
(choćby potencjalnej) identyfikacji osoby, do której dane te się odnoszą. Ta zasada
powoduje, że nazwisko nie zawsze będzie informacją osobową: w przypadku popularnych
nazwisk, np. Jan Nowak, identyfikacja na podstawie samego imienia i nazwiska może
nie być możliwa. Warto również pamiętać, że jeśli osobę możemy wskazać, to danymi
osobowymi będą wszystkie informacje, którymi na temat tej osoby dysponujemy (mogą
to być więc np. informacje na temat zarobków, znajomości języków, hobby, itp.). Danymi
osobowymi mogą być również wizerunek i głos osoby, co ma szczególne znaczenie
w kontekście możliwości rejestracji przesłuchania świadka przez kontrolera NIK na
podstawie art. 47 ustawy z 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (Dz.U. 2012, poz.
82, dalej „ustawa o NIK").
Dane o szczególnym charakterze („dane wrażliwe")
Za dane wrażliwe uważa się dane osobowe ujawniające pochodzenie rasowe lub etniczne,
poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową,
partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach
lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów
karnych, a także innych orzeczeń wydanych w postępowaniu sądowym
lub administracyjnym.
2
Administrator danych
Administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba,
w tym organy państwowe, organy samorządu terytorialnego, państwowe i komunalne
jednostki organizacyjne, decydujące o celach i środkach przetwarzania danych osobowych.
Za administratora danych uznaje się organ państwowy lub samorządowy, państwową
lub komunalną jednostkę organizacyjną, podmioty niepubliczne realizujące zadania
publiczne, osobę prawną jednostkę organizacyjną nieposiadającą osobowości prawnej
lub osobę fizyczną, przetwarzającą dane w związku ze swą działalnością zarobkową,
zawodową albo dla realizacji celów statutowych, decydujące o celach i środkach
przetwarzania danych osobowych. O celu i środkach przetwarzania danych osobowych
przez podmioty publiczne decyduje zazwyczaj ustawodawca, stanowiąc odpowiednie
przepisy prawa. Z tego względu podmioty publiczne są zobowiązane do przetwarzania
danych osobowych dla realizacji określonych ustawowo celów. Zazwyczaj środki, jakie
mają służyć przetwarzaniu danych osobowych, wskazane są w przepisach ustaw
lub w wydanych na ich podstawie rozporządzeniach. O tym, czy dany organ, jednostka
organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych,
decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji
z obszaru spraw publicznych oraz wyznaczone ustawowo zadania.
Dla przykładu, zgodnie ze stanowiskiem GIODO, administratorem danych będzie
marszałek województwa zgodnie z przepisami ustawy Prawo o ruchu drogowym,
ponieważ decyduje on o celach i środkach przetwarzania danych osobowych
psychologów uprawnionych do przeprowadzania badań w zakresie psychologii
transportu.
Przetwarzanie danych
Przetwarzaniem danych są wszelkie operacje wykonywane na danych osobowych, takie
jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie
i usuwanie, a zwłaszcza te operacje wykonywane w systemach informatycznych.
System informatyczny
System informatyczny to zespół współpracujących ze sobą urządzeń, programów, procedur
przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania
danych.
Zabezpieczenia danych w systemie informatycznym
Przez zabezpieczenie danych w systemie informatycznym rozumie się wdrożenie
i eksploatację stosownych środków technicznych i organizacyjnych zapewniających
ochronę danych przed ich nieuprawnionym przetwarzaniem.
2. Przetwarzanie danych osobowych przez NIK
2.1. NIK jako administrator danych osobowych
Jak wspomnieliśmy, administratorem danych jest podmiot, który decyduje o celach
i środkach przetwarzania danych osobowych. Właśnie możliwość podejmowania decyzji
o środkach i celach przetwarzania danych osobowych stanowi kryterium odróżniające
administratora danych osobowych od innych uczestników biorących udział w przetwarzaniu
danych. Ogólne cele działania NIK są wprawdzie ustalone ustawowo, Izba natomiast
je uszczegóławia, opracowując plany kontroli lub decydując o kontrolach doraźnych. NIK
pozostaje prawnym i faktycznym dysponentem określonych danych osobowych,
a w konsekwencji należy uznać, iż jest administratorem danych, które uzyskuje w związku
z przeprowadzaną kontrolą w zakresie i celu wskazanym w ustawie o NIK. Ustalenie,
że określonemu podmiotowi przysługuje status administratora danych (a więc, że jest
on podmiotem decydującym o celach i środkach przetwarzania danych), pociąga za sobą
istotne konsekwencje praktyczne w postaci spoczywających na nim obowiązków.
3
2.2. Podstawa prawna przetwarzania danych osobowych
Dane osobowe mogą być przetwarzane na podstawie jednej z przesłanek legalności
przewidzianych w art. 23 ust. 1 uodo. Przetwarzanie danych osobowych jest dopuszczalne
m.in., gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa (art. 23 ust. 1 pkt. 2 uodo). Przepisy prawa uprawniające
NIK do przetwarzania danych osobowych zawiera ustawa o NIK określająca zadania
i kompetencje NIK w zakresie kontroli wykonywania budżetu państwa. Zgodnie z art. 11
ustawy o NIK jednym z jej obowiązków jest przeprowadzanie postępowań kontrolnych
w określonych jednostkach. Do celów postępowania kontrolnego prowadzonego przez NIK
kierownicy jednostek organów administracji rządowej, Narodowego Banku Polskiego,
państwowych osób prawnych i innych państwowych jednostek organizacyjnych, mają
obowiązek niezwłocznie przedkładać na żądanie Najwyższej Izby Kontroli, wszelkie
dokumenty i materiały niezbędne do przygotowania lub przeprowadzenia kontroli, a także
umożliwić dostęp do baz danych, z zachowaniem przepisów o tajemnicy ustawowo
chronionej. Kontrola jako obowiązek, a zarazem uprawnienie NIK, pozwala Izbie
na przetwarzanie danych osobowych. Zostało to również wyrażone expressis verbis
w ustawie o NIK: upoważnieni przedstawiciele NIK mają prawo do przetwarzania danych
osobowych, w tym danych wrażliwych, jeżeli jest to niezbędne do przeprowadzenia kontroli
(art. 29 ust. 1 pkt 2 lit i) ustawy o NIK).
2.3. Ustawa o ochronie danych osobowych a ustawa o NIK
Uodo znajduje zastosowanie zawsze, kiedy dochodzi do przetwarzania danych osobowych.
W art. 5 uodo ustanowiona została norma kolizyjna, zgodnie z którą, jeśli inny przepis
przewiduje dalej idącą ochronę w stosunku do danych osobowych niż przepisy uodo, należy
stosować ten przepis szczególny. Jeśli ochrona w przepisie szczególnym jest na wyższym
poziomie niż ochrona wynikająca z przepisów uodo, to nie oznacza to, że przepisy ustawy
szczególnej mają wyłączne zastosowanie do przetwarzania takich danych. Przepis
szczególny znajdzie zastosowanie tylko w konkretnym, ograniczonym zakresie. Przepisy
uodo mają zatem zastosowanie z wyjątkiem tych sytuacji, gdy ochrona praw jednostki
na podstawie przepisu szczególnego jest lepsza. Na przykład, uodo nie zawiera
generalnego zakazu udostępniania danych osobowych ani tym bardziej katalogu
podmiotów, którym dane mogą być udostępniane. Dlatego przepisem szczególnym
w rozumieniu powołanego art. 5 jest każde ustawowe ograniczenie kręgu podmiotów
uprawnionych do otrzymywania danych, bądź-to poprzez konkretne wskazanie takich
podmiotów, bądź - poprzez ustanowienie tajemnicy zawodowej, sektorowej lub innej
(np. tajemnica lekarska, bankowa, telekomunikacyjna i in.).
W przypadku NIK można wskazać informacje chronione tajemnicą kontrolerską (art. 28a
ust. 3 ustawy o NIK) oraz innymi tajemnicami chronionymi ustawowo (np. art. 10
dotyczący publikacji niektórych dokumentów). Wyższy poziom ochrony w rozumieniu
art. 5 uodo dotyczy oczywiście wyłącznie sytuacji, gdy tajemnicą mogą być objęte dane
osobowe.
2.4. Zasada adekwatności
Powyższe zagadnienie kolizji norm ma również znaczenie w przypadku zastosowania
do działalności NIK tzw. zasady adekwatności.
Chodzi o generalny obowiązek przetwarzania danych zgodnie z celem, w jakim zostały
zebrane (art. 26 uodo). Administrator danych może przetwarzać dane osobowe tylko
w celu, w którym dane zostały zebrane. W przypadku NIK celem tym jest przeprowadzenie
konkretnego postępowania kontrolnego, określonego w art. 28 ustawy o NIK. Danych
osobowych nie można poddawać dalszemu przetwarzaniu niezgodnemu z tymi celami.
W przypadku, gdy administratorem danych jest podmiot publiczny, cel przetwarzania
danych osobowych wyznacza przepis przyznający mu określone kompetencje. Celem
postępowania kontrolnego prowadzonego przez NIK jest ustalenie stanu faktycznego
w zakresie działalności jednostek poddanych kontroli, rzetelne jego udokumentowanie
i dokonanie oceny kontrolowanej działalności, zgodnie z określonym kryterium wskazanym
4
w art. 5 ustawy o NIK. Zasada adekwatności ma zatem odniesienie do dwóch aspektów:
zakresu przetwarzanych danych oraz okresu ich przetwarzania. Zakres danych powinien
być adekwatny do celu, co oznacza, że nie wolno gromadzić danych „nadmiarowych"
niemających z określonym celem nic wspólnego. Wydaje się jednak, iż w przypadku NIK
zasada ta ulega pewnej modyfikacji na korzyść osób, których dotyczą dane (podmiotów
danych). Wspomniany przepis art. 28 ust. 1 pkt 2 lit. i) ustawy o NIK wprowadza tu bowiem
wyższy poziom ochrony, nakazując przetwarzanie wyłącznie „niezbędnych" danych.
Kontrolerzy powinni zatem kierować się dyrektywą: „jakie dane są niezbędne do realizacji
celu kontroli?", a nie: „jakie dane mogą się w ramach kontroli przydać?".
2.5. Dostęp NIK do danych „wrażliwych"
Przetwarzanie danych „wrażliwych" jest co do zasady zabronione. Zgodnie z art. 27 uodo
zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne,
poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową,
partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym,
nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu
i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym
lub administracyjnym. Przetwarzanie danych, o których mowa powyżej, jest jednak
dopuszczalne, jeżeli m.in. przepis szczególny innej ustawy zezwala na przetwarzanie
takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje
ich ochrony. 2 czerwca 2012 r. weszła w życie nowelizacja ustawy o NIK dotycząca
postępowania kontrolnego. Podstawą uprawniającą NIK do dostępu do danych
„wrażliwych" jest znowelizowany art. 29 ustawy o NIK, na mocy którego przyznany został
kontrolerom NIK dostęp do danych wrażliwych, jeżeli jest to niezbędne
do przeprowadzenia kontroli. Znowelizowany art. 29 nie wskazuje, do jakich danych
wrażliwych NIK ma dostęp, nadając jedynie kontrolerom ogólnie takie uprawnienie. Trzeba
jednak mieć na względzie, że nie wszystkie dane „wrażliwe" są niezbędne
do przeprowadzenia kontroli (np. informacje o pochodzeniu rasowym czy etnicznym).
Zgodnie z aktualnym stanem prawnym kontrolerzy NIK mają dostęp także do danych
„wrażliwych", o ile jest to niezbędne do przeprowadzenia kontroli. Przykładem danych,
do których dostęp może okazać się niezbędny do przeprowadzenia kontroli, mogą być dane
dotyczące skazań czy orzeczeń o ukaraniu niezbędnych do przeprowadzenia postępowania
kontrolnego w zakładach karnych i poprawczych. Należy wziąć pod uwagę fakt,
że każdorazowe wystąpienie kontrolera o udostępnienie mu danych „wrażliwych" powinno
być uzasadnione niezbędnością uzyskania tych danych dla przeprowadzanej kontroli,
a dostęp do danych „wrażliwych" musi odbywać się zgodnie z wewnętrznymi procedurami
NIK w tym zakresie. Niezbędność należy tu rozumieć jako niemożność zrealizowania zadań
spoczywających na NIK bez uzyskania dostępu do tychże danych.
3. Gromadzenie danych osobowych przy czynnościach kontrolnych
3.1. Zakres gromadzonych danych osobowych
Ustawa o NIK nie zawiera żadnych ograniczeń co do kategorii danych, które mogą
być gromadzone podczas kontroli. Do celów postępowania kontrolnego pracownicy NIK
przeprowadzający kontrolę i posiadający odpowiednie upoważnienie mają prawo dostępu
i przetwarzania różnych danych osobowych zgromadzonych w kontrolowanej jednostce,
zgodnie z art. 29 ust. 1 pkt. 2 lit. i) ustawy o NIK.
Kierownicy jednostek poddanych kontroli mają obowiązek na żądanie kontrolerów NIK
niezwłocznie przedkładać wszelkie dokumenty i materiały oraz umożliwić dostęp
do baz danych, w tym tych zawierających dane osobowe. Zgodnie z ustawową definicją
pojęcia „przetwarzania" danych osobowych kontrolerom NIK przysługuje prawo
do dokonywania jakichkolwiek operacji wykonywanych na danych osobowych
(np. zbierania, utrwalania, przechowywania, opracowywania czy udostępniania),
ograniczonych jednak celem, jakim jest prowadzona w jednostce kontrola. W przypadku
danych osobowych kontroler musi pamiętać, aby gromadzić tylko dane niezbędne z punktu
widzenia celu i kryterium kontroli. Jak wspomnieliśmy powyżej, nie należy się kierować
5
tym, że dane „mogą się przydać". „Niezbędność" oznacza, że bez konkretnych danych
osobowych nie zostanie zrealizowany cel kontroli.
Odmowa udzielenia wyjaśnień (w tym również udostępnienia danych osobowych) oraz inne
ograniczenia w dostępie do informacji mogą mieć miejsce tylko w przypadkach określonych
w ustawie o NIK, m.in. w art. 40 tej ustawy (dotyczy to m.in. informacji objętych tajemnicą
ustawowo chronioną inną niż tajemnica służbowa, do których dostęp NIK został
ograniczony) oraz 43 (zakaz przesłuchiwania obrońcy co do faktów, o których dowiedział
się, udzielając porady prawnej lub prowadząc sprawę, oraz duchownego na okoliczności
objęte tajemnicą spowiedzi).
3.2. Upoważnienia kontrolerów
Zgodnie z art. 30 ustawy o NIK kontrolerzy w celu przeprowadzenia kontroli otrzymują
stosowne upoważnienie, które obejmuje m.in. zakres przedmiotowy kontroli i okres objęty
kontrolą. Zgodnie zaś z art. 37 uodo do przetwarzania danych osobowych mogą
być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora
danych (tu: NIK). Upoważnienie takie wydaje: Prezes Najwyższej Izby Kontroli,
wiceprezesi oraz dyrektorzy i wicedyrektorzy kontrolnych jednostek organizacyjnych
Najwyższej Izby Kontroli. Upoważnienie powinno określać oznaczenie osoby, której
dotyczy, zakres upoważnienia, cel oraz ewentualny czas, na jaki zostało udzielone.
Pracownik, który otrzymał takie upoważnienie, obowiązany jest zachować w tajemnicy
przetwarzane dane oraz stosowane sposoby ich zabezpieczenia. Kontrole spraw
lub dokumentów zawierających informacje niejawne oznaczone jako ściśle tajne
przeprowadza się na podstawie legitymacji służbowej i odrębnego upoważnienia wydanego
przez Prezesa NIK.
3.3. Obowiązek informacyjny
Administrator danych jest obowiązany względem osoby, której dane przetwarza,
zrealizować obowiązek informacyjny. Zgodnie z art. 24 uodo, w przypadku zbierania
danych bezpośrednio od osoby, której dane dotyczą, obowiązany jest poinformować
tę osobę o:
• nazwie i adresie swojej siedziby,
• celu zbierania danych,
• ewentualnych odbiorcach lub kategoriach odbiorców danych,
• prawie dostępu do treści danych i prawie ich poprawiania,
• dobrowolności albo obowiązku podania danych.
W razie zbierania danych nie od osoby (art. 25 uodo), której dane dotyczą, a więc
pośrednio, administrator danych powinien poinformować tę osobę o:
• adresie swojej siedziby i pełnej nazwie,
• celu i zakresie zbierania danych,
• źródle danych,
• prawie dostępu do treści swoich danych oraz ich poprawiania,
• uprawnieniach wynikających z art. 32 ust. 1 pkt. 7 i 8 uodo (chodzi o prawo sprzeciwu
i prawo żądania zaprzestania przetwarzania danych - prawa te jednak nie przysługują
jednostce wobec NIK).
Obowiązek informacyjny nie ma zastosowania w przypadku pośredniego zbierania danych
osobowych przez organy państwowe oraz państwowe i komunalne jednostki
organizacyjne. NIK nie będzie zatem zobligowany do każdorazowego informowania
o tym fakcie osoby trzeciej, której dane na potrzeby postępowania kontrolnego
przetwarza. Obowiązek ten natomiast nie został wyłączony w przypadku bezpośredniego
zbierania danych, a więc w sytuacji, gdy kontroler pozyskuje dane o konkretnej osobie
bezpośrednio od niej, powinien przekazać jej informacje zgodnie ze wspomnianym
powyżej art. 24 uodo. Forma udzielenia informacji jest dowolna.
6
4 Udostępnianie danych
Zgodnie z art. 35a ust. 4 ustawy o NIK akta kontroli lub poszczególne dokumenty
wchodzące w ich skład mogą być udostępniane także innym osobom, z zachowaniem
przepisów o tajemnicy ustawowo chronionej. W razie udostępnienia akt lub dokumentów
zawierających dane osobowe innemu podmiotowi odpowiednie zastosowanie powinny mieć
przepisy uodo. Przyjmuje się, że z udostępnianiem danych osobowych będziemy mieli
do czynienia, gdy ich odbiorcą jest inny administrator danych (tj. podmiot decydujący
o celach i środkach przetwarzania danych osobowych). Chodzi tu zatem o sytuacje,
w których administrator danych przekazuje dane innemu podmiotowi tak, iż ten drugi
podmiot obejmuje je w posiadanie. Udostępnienie danych osobowych może nastąpić tylko
w przypadku, gdy administrator danych udostępniający dane jest w stanie wykazać
się podstawą prawną legitymującą go do udostępnienia danych zgodnie z art. 23 ust. 1
uodo. Może to być w szczególności konieczność zrealizowania uprawnienia lub spełnienia
obowiązku wynikającego z przepisu prawa. Inną formą udostępnienia danych może być
publikacja dokumentów, o których mowa w art. 7 ust. 1 i la, art. 8 i art. 9 ustawy o NIK oraz
wystąpień pokontrolnych. Trzeba tu jednak pamiętać o ograniczeniu wynikającym z art. 10
tej ustawy, a mianowicie, że podanie treści tych dokumentów do wiadomości publicznej
musi uwzględniać przepisy o tajemnicy ustawowo chronionej. Mogą to być m. in. przepisy
uodo.
5. Inne obowiązki NIK związane z przetwarzaniem danych osobowych
5.1. Powierzenie przetwarzania danych
Zgodnie z art. 31 uodo, każdy administrator danych (w tym NIK) jest uprawniony
do powierzenia innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzania
danych osobowych. Podmiot, któremu dane powierzono, może przetwarzać te dane
wyłącznie w zakresie i celu przewidzianym w umowie. Ponadto jest on obowiązany podjąć
wszystkie wymagane prawem środki bezpieczeństwa określone w uodo w celu zapewnienia
danym bezpieczeństwa. Odpowiedzialność za przestrzeganie przepisów uodo w takim
przypadku spoczywałaby na NIK jako administratorze danych osobowych, co jednak
nie wyłącza odpowiedzialności podmiotu, któremu dane powierzono, jeżeli przetwarza
je niezgodnie z umową.
Warto zaznaczyć, że instytucja ta ma zastosowanie głównie w przypadku administratorów
danych z sektora prywatnego. W przypadku NIK konieczność zawarcia stosownej umowy
może pojawić się na tle sytuacji, o której mowa w art. 36 ustawy o NIK, zgodnie z którym
materiały dowodowe mogą być przechowywane przez jednostkę kontrolowaną. Jednostka
kontrolowana nie traci oczywiście statusu administratora danych w stosunku do danych
zawartych w przechowywanych materiałach, niemniej z uwagi na to, że NIK uzyskuje taki
status wobec dokumentów uznanych za materiał dowodowy, należy za każdym razem
rozważyć podpisanie stosownej umowy (lub umieszczenie klauzuli w protokole)
o powierzeniu przetwarzania danych. Jeżeli otrzymywany przez kontrolerów materiał
zawiera dane zanonimizowane, zawarcie umowy o powierzeniu przetwarzania danych
nie będzie konieczne.
5.2. Obowiązek rejestracyjny
Na administratorze danych zgodnie z uodo spoczywa obowiązek zgłoszenia zbioru danych,
o ile zbiór taki prowadzi, do rejestracji Generalnemu inspektorowi Ochrony Danych
Osobowych (art. 40 uodo). Obowiązkowi rejestracji podlegają zbiory danych osobowych,
tj. każdy posiadający strukturę zestaw danych osobowych, dostępnych według
określonych kryteriów, niezależnie od tego, czy jest rozproszony, czy podzielony
funkcjonalnie. O ile dane przetwarzane są poza zbiorem danych albo do powstania zbioru
w ogóle nie dochodzi, nie będziemy mieli również do czynienia z obowiązkiem rejestracji
zbioru.
W praktyce sporadycznie dochodzi do rejestracji zbioru danych osobowych stanowiących
akta postępowania prowadzonego przez organy administracji publicznej, jakkolwiek
obowiązek ten na gruncie uodo istnieje i jest aktualny.
7
a
Co do zasady taki obowiązek powinien zostać wykonany przed rozpoczęciem zbierania
danych osobowych, a administrator danych osobowych może rozpocząć ich przetwarzanie
w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi Ochrony Danych
Osobowych. Natomiast jeżeli chodzi o rejestrację zbioru danych wrażliwych, możliwe jest
rozpoczęcie przetwarzania tych danych w zbiorze dopiero po dokonaniu jego rejestracji,
tj. otrzymaniu stosownej decyzji GIODO.
Zgłoszenie zbioru danych Generalnemu Inspektorowi następuje za pomocą formularza
rejestracyjnego stanowiącego załącznik do rozporządzenia ministra Spraw Wewnętrznych
i Administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych
do rejestracji GIODO (dostępnego również na stronie GIODO www.giodo.qov.pl).
Prowadzony przez Generalnego Inspektora rejestr zbiorów danych osobowych jest jawny
i powszechnie dostępny na stronie internetowej GIODO.
5.3. Zabezpieczenie danych
Zgodnie z ogólną zasadą administrator danych jest zobowiązany zastosować środki
techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ust. 1 uodo).
Administrator danych jest zobowiązany zastosować środki techniczne niezbędne
do zapewnienia poufności, integralności oraz rozliczalności przetwarzania danych.
Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające
upoważnienie nadane przez administratora danych. Wymagane przez uodo środki
bezpieczeństwa mogą się różnić, w zależności od zakresu i kategorii przetwarzanych
danych osobowych.
Należy pamiętać, że niewłaściwe zabezpieczenie danych może prowadzić do ich wycieku,
w konsekwencji administrator danych naraża się na odpowiedzialność na podstawie uodo
(art. 51 uodo) jak również przepisów ogólnych (np. przepisów kodeksu cywilnego
o ochronie dóbr osobistych). Szczegółowe warunki dotyczące zabezpieczenia danych
zostały opisane w rozporządzeniu ministra Spraw Wewnętrznych i Administracji z 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do przetwarzania danych osobowych.
5.4. Dokumentacja procesu przetwarzania danych osobowych
Administrator danych powinien ponadto prowadzić dokumentację przetwarzania danych
osobowych. Dokumentacja taka powinna, zgodnie z § 3 ust. 1 ww. rozporządzenia ministra
Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r., zawierać politykę
bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym
do przetwarzania danych osobowych. Polityka bezpieczeństwa powinna zawierać
w szczególności:
• wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym
przetwarzane są dane osobowe,
• wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych,
• opis struktury zbiorów danych wskazujący zawartość poszczególnych pól
informacyjnych i powiązania między nimi,
• sposób przepływu danych pomiędzy poszczególnymi systemami,
• określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia
poufności, integralności i rozliczalności przy przetwarzaniu danych.
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych
osobowych powinna zawierać zwłaszcza:
• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej
za te czynności,
8
• stosowane metody i środki uwierzytelnienia oraz procedury związane
z ich zarządzaniem i użytkowaniem,
• procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone
dla użytkowników systemu,
• procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania,
• sposób, miejsce i okres przechowywania elektronicznych nośników informacji
zawierających dane osobowe oraz kopii zapasowych,
• procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji
służących do przetwarzania danych.
6. Odpowiedzialność NIK oraz kontrolerów NIK
Kontrolerzy NIK mogą ponosić odpowiedzialność dyscyplinarną za naruszenie przepisów
ustawy o NIK np. w związku z naruszeniem tajemnicy kontrolerskiej, odpowiedzialność
karną lub administracyjną na podstawie uodo oraz odpowiedzialność cywilną na podstawie
zasad ogólnych prawa cywilnego.
6.1. Odpowiedzialność administracyjna
W razie naruszenia przez administratora danych przepisów uodo, Generalny Inspektor
z urzędu lub na wniosek osoby zainteresowanej w drodze decyzji administracyjnej,
nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności może nakazać m.in.:
• usunięcie uchybień;
• zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
• usunięcie danych osobowych.
Do wszczęcia procedury administracyjnej przez Generalnego Inspektora może dojść
z urzędu, np. w efekcie przeprowadzonej przez GIODO kontroli, lub w wyniku złożonej
przez osobę skargi.
6.2. Odpowiedzialność cywilna
Jeżeli dobra osobiste osoby, której dane są przetwarzane, zostaną naruszone, np. poprzez
bezprawne ujawnienie danych jej dotyczących, zwłaszcza danych wrażliwych, osobie takiej
przysługują roszczenia z art. 24 kodeksu cywilnego o naruszenie dóbr osobistych. Osoba,
której dobra osobiste zostały naruszone, może żądać zadośćuczynienia pieniężnego. Jeżeli
wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, osoba taka
może żądać jej naprawienia na zasadach ogólnych.
6.3. Odpowiedzialność karna
Uodo przewiduje szereg przepisów karnych penalizujących niezgodne z prawem
przetwarzanie danych osobowych:
• Przetwarzanie danych przez nieuprawnionego
Kontroler NIK rozpoczynający przetwarzanie danych osobowych w zbiorze, mimo
że przetwarzanie tych danych bądź nie jest dopuszczalne, bądź są to dane, do których
przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2. Jeżeli przetwarzane dane są danymi wrażliwymi, sprawca
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Przyjmuje się, że odpowiedzialność karna za to przestępstwo powinna zostać przypisana
osobie, która faktycznie podjęła decyzję o przetwarzaniu danych osobowych z naruszeniem
przepisów art. 49 uodo. W przypadku kontroli NIK przestępstwo z art. 49 uodo może
popełnić przedstawiciel NIK przetwarzający dane osobowe w zbiorze bez stosownego
upoważnienia do ich przetwarzania oraz osoba reprezentująca NIK, która z racji
wykonywanych obowiązków ma dostęp do przetwarzanych danych osobowych.
9
• Udostępnianie danych osobom nieuprawnionym
Administrujący zbiorem danych osobowych lub ten, kto jest obowiązany do ochrony tychże
danych, który udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Jeżeli sprawca działa nieumyślnie, odpowiedzialność karna jest złagodzona.
Administrującym zbiorem danych osobowych jest ten, kto zarządza, zawiaduje danymi
lub zbiorem danych osobowych w procesie ich przetwarzania. Osobą obowiązaną
do ochrony danych osobowych jest osoba fizyczna przetwarzająca dane osobowe
na podstawie upoważnienia nadanego przez administratora danych osobowych. Osoby,
które otrzymały upoważnienie do przetwarzania danych osobowych, obowiązane
są zachować te dane w tajemnicy, co jest równoznaczne z obowiązkiem ochrony tychże
danych.
Przepis ten penalizuje bezprawne udostępnienie danych osobowych oraz umożliwienie
dostępu do danych.
• Naruszenie obowiązku zabezpieczenia danych
Administrator danych jest obowiązany do stosowania środków technicznych
i organizacyjnych zapewniających bezpieczeństwo przetwarzanym danym osobowym.
Zgodnie z art. 52 uodo, kto administrując danymi (chodzić tu może zatem także
o pracownika NIK przetwarzającego dane w związku z kontrolą), narusza choćby
nieumyślnie obowiązek zabezpieczenia ich przez zabraniem przez osobę nieuprawnioną,
uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do roku. Przestępstwo to polega na naruszeniu obowiązku
zabezpieczenia danych.
• Niezgłoszenie danych do rejestru
Zgodnie z uodo penalizowane jest także niezgłoszenie zbioru danych do rejestracji.
Administrator danych lub osoba działająca w imieniu administratora danych, który
nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności
lub pozbawienia wolności do roku.
7. pozostałe zagadnienia
7.1. Postępowanie z danymi po zakończonej kontroli
Jednym z obowiązków spoczywających na administratorze danych osobowych jest
przechowywanie danych osobowych nie dłużej niż jest to niezbędne do osiągnięcia celu
przetwarzania (art. 26 ust. 1 pkt. 4 uodo). Dane osobowe przetwarzane przez NIK
nie powinny być przetwarzane dłużej, niż jest to niezbędne dla osiągnięcia celu, w jakim
zostały zebrane, tj. na potrzeby przeprowadzenia postępowania kontrolnego. Dane
zebrane na potrzeby postępowania kontrolnego powinny być po jego zakończeniu
usunięte. Przez „usunięcie" należy rozumieć zniszczenie danych osobowych
(ich „wymazanie") lub ich anonimizację, tzn. taką ich modyfikację, w efekcie której
niemożliwe staje się ustalenie tożsamości osoby, której dane dotyczą. Zniszczenie danych
następuje najczęściej przez zniszczenie ich nośnika (fiszek) albo przez usunięcie zapisu
(np. zapisu magnetycznego). Uodo nie przewiduje jednak żadnego określonego sposobu
usuwania danych.
7.2. Wykorzystywanie danych zebranych podczas kontroli na potrzeby innego
postępowania kontrolnego
W związku z tym, że administrator danych osobowych jest związany celem, w jakim dane
zostały zebrane, wydaje się, że dane zebrane na cele konkretnego postępowania nie
powinny być przetwarzane w innych celach. Uodo przewiduje wyjątek od tej zasady.
Dopuszczalne jest przetwarzanie danych w innym celu niż ten, w którym zostały zebrane,
jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje:
• w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
10
• z zachowaniem przepisów art. 23, określającego przesłanki legalizujące przetwarzanie
danych osobowych oraz art. 25 uodo, konstytuującego obowiązek informacyjny.
Arwid Mednis jest doktorem nauk prawnych, partnerem w Kancelarii Wierzbowski
Eversheds w Warszawie. Karolin! Rudzińska jest prawnikiem w zespole ochrony danych
osobowych w Kancelarii Wierzbowski Eversheds w Warszawie.
11