sprawozdanie z wizyty generalnego inspektora ochrony

SPRAWOZDANIE
Z WIZYTY GENERALNEGO INSPEKTORA OCHRONY DANYCH
OSOBOWYCH, DR EWY KULESZY
W GRECKIM URZĘDZIE OCHRONY DANYCH OSOBOWYCH
Ateny, 5.06. - 7.06.2000 r.
W dniach 5-7.06 Generalny Inspektor Ochrony Danych Osobowych (GIODO)
przebywał z wizytą u Prezesa Urzędu Ochrony Danych Osobowych w Grecji. Celem wizyty
było nawiązanie współpracy z tym urzędem i zapoznanie się z ustawodawstwem i praktyką
Grecji w zakresie ochrony danych osobowych, oraz poinformowanie o doświadczeniach i
trudnościach GIODO w zakresie ochrony danych osobowych.
W trakcie spotkania, omawiana była m.in. głośna w ostatnim czasie sprawa usuwania z
greckich dowodów osobistych danych o wyznaniu. Zaprezentowana została również praca i
osiągnięcia poszczególnych departamentów Urzędu, w szczególności departamentu inspekcji,
który zajmuje się również kontrolą zabezpieczeń systemów informatycznych.
Grecka ustawa 2472 o ochronie jednostek w kontekście przetwarzania danych
osobowych weszła w życie w 1997 r. co czyni ją najmłodszą ustawą o ochronie danych
osobowych w krajach UE. Na straży przepisów o ochronie danych osobowych stoi niezależny
Urząd Ochrony Danych Osobowych, który jest organem kolegialnym. Na czele Urzędu stoi
Prezes, który wybrany jest spośród sędziów mających rangę równą Radcy Stanu bądź wyższą
oraz sześciu członków tzw. Rady. Są to trzej profesorowie uczelni wyższych, w tym jeden
specjalista od spraw sądownictwa, drugi informatyki, a trzeci jest dobierany w zależności od
potrzeb (lekarz, socjolog itp.). Pozostali trzej członkowie to osoby mające doświadczenie w
dziedzinie ochrony danych osobowych. Kadencja tych osób trwa 4 lata i mogą być oni
członkami Rady nie więcej niż przez dwie kadencje.
Pracę Urzędu zapewnia Sekretariat, którego struktura jest określona dekretem
prezydenckim. W tej chwili w Urzędzie funkcjonują trzy departamenty: Departament
Inspekcji, Departament Komunikowania (Communications Department) oraz Departament
Administracyjny.
Według ustawy 2472 dane osobowe to wszelkie informacje dotyczące podmiotu
danych. Ustawa stosuje się do danych osobowych przetwarzanych w całości lub w części w
sposób zautomatyzowany oraz do danych osobowych przetwarzanych inaczej niż w sposób
zautomatyzowany, które stanowią część systemu ewidencji lub które mają w przyszłości
stanowić część systemu ewidencji.
Zbiór danych osobowych to zestaw danych osobowych, które podlegają
przetwarzaniu, bądź mogą podlegać przetwarzaniu, w którego posiadaniu jest podmiot sektora
publicznego lub podmiot sektora prywatnego, stowarzyszenie bądź osoba fizyczna.
Podstawy przetwarzania, zgodnie z art. 5 ustawy są następujące:
1) Dane osobowe można przetwarzać tylko za zgodą podmiotu danych.
2) Wyjątkowo dane można przetwarzać bez zgody podmiotu danych kiedy:
- przetwarzanie danych jest konieczne dla realizacji umowy, której stroną jest podmiot
danych lub w celu podjęcia określonych działań na życzenie podmiotu danych przed
zawarciem umowy,
- przetwarzanie danych jest konieczne dla wykonania zobowiązania prawnego, któremu
podlega administrator danych,
- przetwarzanie danych jest konieczne dla ochrony żywotnych interesów podmiotu danych
kiedy podmiot danych jest fizycznie lub prawnie niezdolny do udzielenia zgody,
- przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie
publicznym lub zadania władzy urzędowej wykonywanego przez władze publiczne, bądź
zostało zlecone przez tą ostatnią administratorowi danych lub osobie trzeciej, której dane
zostały ujawnione,
- przetwarzanie danych jest konieczne dla potrzeb wynikających z prawnie uzasadnionych
potrzeb administratora danych, strony trzeciej lub innych stron trzecich, którym dane są
ujawniane, pod warunkiem, że interesy te przeważają nad interesami i prawami podmiotów
danych oraz że fundamentalne prawa tych ostatnich nie są naruszone.
3) Urząd może wydać specjalne przepisy dotyczące bardziej powszechnych kategorii
przetwarzania oraz zbiorów danych, które oczywiście nie mogą naruszać praw ani
interesów podmiotów danych. Kategorie te muszą być ściśle określone w
rozporządzeniach Urzędu, które są ratyfikowane prezydenckim dekretem, które z kolei
będą wydawane zgodnie z propozycjami M inistra Sprawiedliwości.
Artykuł 11 ustawy mówi o obowiązku informacyjnym:
1) W czasie zbierania danych osobowych administrator danych musi poinformować podmiot
danych w odpowiedni i jasny sposób przynajmniej o:
- swojej tożsamości oraz tożsamości przedstawiciela, jeśli został wyznaczony,
- celu przetwarzania danych,
- odbiorcach lub kategoriach odbiorców danych,
- prawie podmiotu danych dostępu do danych.
2) Jeśli podczas zbierania danych administrator danych poprosi podmiot danych o
współpracę, wtedy musi przekazać podmiotowi danych informacje zgodnie z ustępem 1
niniejszego artykułu oraz o prawach podmiotu danych wynikających z art. 11,12 oraz 13
niniejszej ustawy. Wtedy też administrator danych informuje podmiot danych, czy ten
ostatni jest zobowiązany do współpracy, a jeśli tak to na podstawie jakich przepisów oraz
o konsekwencjach odmowy współpracy.
3) Jeśli dane są ujawniane osobom trzecim to podmiot danych musi być o tym
poinformowany przed nimi.
4) Na wniosek administratora danych oraz zgodnie z decyzją Urzędu, obowiązek
informacyjny wynikający z ustępów 1 i 3 tego artykułu może być uchylony, w całości lub
częściowo, pod warunkiem, że dane zbierane są dla celów bezpieczeństwa narodowego
bądź postępowania w sprawach o poważne przestępstwa.
5) Zachowując prawa wynikające z zapisów art. 12 i 13, obowiązek informacyjny nie stosuje
się w przypadku zbierania danych wyłącznie dla celów dziennikarskich i gdy dotyczy ono
osób publicznych.
S ankcje nakładane na podmioty łamiące ustawę w trybie administracyjnym określa art.
21 ustawy i są one następujące:
- ostrzeżenie określające ostateczny termin naprawienia błędów,
- możliwość nałożenia sankcji finansowych od 300 000 drachm (3600 zł) do 50 000 000
drachm (600 000 zł),
- chwilowe unieważnienie licencji,
- stałe unieważnienie licencji,
- zniszczenie zbioru danych bądź zaprzestanie przetwarzania danych oraz usunięcie tych
danych.
Sankcje nakładane w trybie administracyjnym są proporcjonalne w stosunku do stopnia
naruszenia ustawy, a nakłada się je po uprzednim przesłuchaniu strony. Kary dyscyplinarne
c), d), e) stosuje się tylko w przypadku poważnych lub powtarzających się naruszeń ustawy.
Grzywna może być nałożona jednocześnie z karą dyscyplinarną.
Ustawa przewiduje również sankcje karne.
Odszkodowania dla podmiotów danych w przypadku naruszenia ich praw są
przyznawane tylko gdy winę administratora danych udowodni się przed sądem.
Odszkodowania przyznawane są zgodnie z przepisami kodeksu cywilnego.
W Grecji istnieje Lista Robinsona, którą prowadzi Urząd Ochrony Danych
Osobowych. Jak do tej pory z prawa zastrzeżenia swoich danych poprzez wpisanie na tę listę
skorzystało 25 osób.
Prawo obywateli dostępu do informacji jest zagwarantowane ustawą 1599/1986,
która dotyczy greckiego numeru EKAM , odpowiednika polskiego PESEL-u. Obywatele mają
dostęp do informacji chyba, że są one tajne. Jeśli dany obywatel chce dowiedzieć się, czy
tajne dokumenty zawierają informacje o nim, to może z takim pytaniem zwrócić się do
Urzędu Ochrony Danych Osobowych. Urząd to sprawdza i odpowiada tak lub nie, ale
ponieważ są to informacje niejawne, to nie może odpowiedzieć jakiego typu informacje
znajdują się o danej osobie w takich dokumentach.
Jeśli dane o stanie zdrowia zostały uzyskane za zgodą podmiotu danych, który wyraził
zgodę nie będąc świadomym konsekwencji oraz zagrożeń wynikających z przetwarzania
takich danych, to Urząd Ochrony Danych Osobowych unieważnia taką zgodę.
GRECKI URZĄD OCHRONY DANYCH OSOBOWYCH
UPRAWN IENIA KONTROLN E
1
Wstęp
Celem inspekcji przeprowadzanych przez Urząd jest ochrona praw obywateli
poprzez skrupulatne sprawdzanie, czy prawo do prywatności jest przestrzegane w czasie
zbierania i przetwarzania danych osobowych przez administratorów danych z sektora
publicznego, jak i prywatnego. Przede wszystkim zwraca się uwagę na proces przetwarzania
oraz na to jak dana jednostka zarządza danymi osobowymi. W czasie inspekcji Urząd
sprawdza, czy zbiory danych są tworzone zgodnie z obowiązującymi przepisami oraz czy są
odpowiednio zabezpieczone. Inspekcja nie ma tylko na celu nałożenia kary, jeśli jest to
konieczne, ale również pomoc administratorom danych poprzez opracowywanie
odpowiedniego podejścia w czasie przetwarzania danych tak, aby zbiory danych były
przetwarzane zgodnie z obowiązującymi przepisami, a co za tym idzie, by dane osobowe
obywateli były odpowiednio chronione.
2
Przeprowadzone inspekcje
W 1999 r. Grecki Urząd Ochrony Danych Osobowych przeprowadził 17 kontroli
zbiorów danych przechowywanych przez firmy oraz osoby prawne oraz fizyczne. Zbiory
zostały wybrane do kontroli wg. następujących kryteriów:
- cel przetwarzania,
- znaczenie zbioru z punktu widzenia ekonomicznego oraz społecznego,
- cechy charakterystyczne zbioru w stosunku do ochrony danych.
Grecki Urząd Ochrony
następujących dziedzinach:
Danych
Osobowych
skoncentrował się głównie na
6) Sektor prywatny: zbiory przetwarzane dla celów marketingu bezpośredniego oraz zbiory
mające na celu zarządzać informacjami o wypłacalności.
7) Sektor prywatny: zbiory z informacjami wymienionymi w punkcie 1 lub z nimi związane,
takimi jak zbiory w szpitalach, urzędach miejskich, bankach.
8) Sektor publiczny: ważniejsze zbiory danych w których przetwarza się dane wrażliwe w
celu wydania odpowiednich zezwoleń jak np. zbiory ośrodków opieki społecznej.
Sektor publiczny, jako administrator danych, zbiera i przetwarza cały szereg danych
osobowych, głównie wrażliwych. W związku z tym było to obowiązkiem Urzędu
skontrolować nie tylko zbiory danych z sektora prywatnego, ale również zbiory danych
przetwarzane w sektorze publicznym. Pojawiły się jednak pewne trudności związane z
następującymi czynnikami:
- ilość danych,
- dość słaba znajomość wymogów związanych z zabezpieczeniem zbiorów w sektorze
publicznym,
- duża dostępność,
- szeroki zakres przetwarzania w sektorze publicznym,
- wysoki stopień zagrożenia w przypadku przetwarzania danych przez urzędy administracji
publicznej,
- sektor publiczny rzadko jest w pozycji instytucji kontrolowanej.
3
Wnioski z przeprowadzonych inspekcji
Inspekcje zbiorów danych tworzonych dla celów marketingu bezpośredniego i/lub dla
celów reklamowych oraz sprawdzania wypłacalności.
Przeprowadzone do tej pory inspekcje pozwalają na wyciągnięcie następujących
wniosków. Z jednym wyjątkiem, firmy oraz osoby fizyczne, które posiadają zbiory danych w
celu tworzenia list klientów i/lub zbierają oraz dostarczają informacje o wypłacalności,
tworzą zbiory zgodnie z prawem oraz ich działalność jest prowadzona na podstawie obecnie
obowiązujących przepisów prawa handlowego. Tym niemniej stwierdzono, że w większości
przypadków dane były zbierane i przetwarzane niezgodnie z wymogami ustawy nr 2472/97.
Trzeba też podkreślić, że zbiory te były tworzone nim ustawa o ochronie danych osobowych
weszła w życie.
Inspekcje w dalszym ciągu są przeprowadzane. M ożna jednak stwierdzić na podstawie
dotychczasowych wyników kontroli, że w niektórych wypadkach dane były przetwarzane
zgodnie z wymogami obecnej rzeczywistości społecznej i gospodarczej (promocja, ochrona
stron transakcji handlowych przed niewypłacalnymi dłużnikami). Urząd stanął przed
problemem czy zablokować zbiory firm lub osób fizycznych, o których mowa czy też
wprowadzić bardziej surową kontrolę. Stwierdzono jednak, że pierwsze rozwiązanie
doprowadziłoby do zaprzestania "legalnej" działalności firm oraz do pojawienia się
nielegalnych, i w dużej mierze niemożliwych do skontrolowania, mechanizmów. Po
uważnym przeanalizowaniu doświadczeń krajów europejskich, ostatnie rozwiązanie zostało w
końcu przyjęte. Poprzez rozporządzenie nr 50/20-1-2000, Urząd ustalił surowe "warunki
dotyczące zgodnego z prawem przetwarzania danych osobowych dla celów marketingu
bezpośredniego i/lub dla celów reklamy oraz sprawdzania wypłacalności". Podstawowym
kryterium było dostosowanie odpowiednich zbiorów danych do przepisów prawa
wynikających z Ustawy 2472/97 w taki sposób, aby prawa obywateli nie były naruszane, a
ich dane osobowe przetwarzane zgodnie z prawem.
Inspekcje podmiotów sektora prywatnego jak i publicznego, gdzie mógł mieć miejsce
przeciek danych, wykazały zwiększony przepływ danych osobowych. Ponadto
administratorzy danych nie byli przeszkoleni, a obywatele nie byli świadomi prawa do
prywatności. Stwierdzono bardzo poważne naruszenie odpowiednich przepisów prawa oraz,
że należy wprowadzić zgodność z ogólnymi przepisami prawa i wstrzymać dalsze
przetwarzanie danych. Ten bardzo istotny wniosek zmusił Urząd do podjęcia dalszych działań
w dwóch kierunkach:
1) zwiększenie liczby inspekcji tak, aby wszystkie rodzaje zbiorów ze wszystkich sektorów
zostały nimi objęte,
2) zwiększenie świadomości podmiotów danych oraz stopnia współpracy ze strony
administratorów danych.
Urząd zastrzegł sobie prawo podjęcia ostatecznej decyzji we właściwym trybie w celu
wprowadzenia jednego rozwiązania, które jednoznacznie regulowałaby tę kwestię.
Inspekcje przeprowadzone w sektorze publicznym
Jeśli chodzi o plan inspekcji zbiorów danych sektora publicznego, w pierwszej
kolejności przeprowadzono inspekcje podmiotów, które wymagają zezwolenia na zbieranie i
przetwarzanie danych wrażliwych. Przede wszystkim skontrolowano podmioty, które mają
bardzo szerokie uprawnienia.
W 1999 r. Urząd skontrolował M inisterstwo Porządku Publicznego (System
Informacyjny Schengen - Sekcja Krajowa oraz Departamenty Bezpieczeństwa Państwa,
Porządku Publicznego oraz Informatyki). Z tych zbiorów tylko System Informacyjny
Schengen - System Krajowy otrzymał czasowe zezwolenie. W tej chwili trwają jeszcze
kontrole w pozostałych departamentach M inisterstwa Porządku Publicznego.