sprawozdanie z wizyty generalnego inspektora ochrony
Transkrypt
sprawozdanie z wizyty generalnego inspektora ochrony
SPRAWOZDANIE Z WIZYTY GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH, DR EWY KULESZY W GRECKIM URZĘDZIE OCHRONY DANYCH OSOBOWYCH Ateny, 5.06. - 7.06.2000 r. W dniach 5-7.06 Generalny Inspektor Ochrony Danych Osobowych (GIODO) przebywał z wizytą u Prezesa Urzędu Ochrony Danych Osobowych w Grecji. Celem wizyty było nawiązanie współpracy z tym urzędem i zapoznanie się z ustawodawstwem i praktyką Grecji w zakresie ochrony danych osobowych, oraz poinformowanie o doświadczeniach i trudnościach GIODO w zakresie ochrony danych osobowych. W trakcie spotkania, omawiana była m.in. głośna w ostatnim czasie sprawa usuwania z greckich dowodów osobistych danych o wyznaniu. Zaprezentowana została również praca i osiągnięcia poszczególnych departamentów Urzędu, w szczególności departamentu inspekcji, który zajmuje się również kontrolą zabezpieczeń systemów informatycznych. Grecka ustawa 2472 o ochronie jednostek w kontekście przetwarzania danych osobowych weszła w życie w 1997 r. co czyni ją najmłodszą ustawą o ochronie danych osobowych w krajach UE. Na straży przepisów o ochronie danych osobowych stoi niezależny Urząd Ochrony Danych Osobowych, który jest organem kolegialnym. Na czele Urzędu stoi Prezes, który wybrany jest spośród sędziów mających rangę równą Radcy Stanu bądź wyższą oraz sześciu członków tzw. Rady. Są to trzej profesorowie uczelni wyższych, w tym jeden specjalista od spraw sądownictwa, drugi informatyki, a trzeci jest dobierany w zależności od potrzeb (lekarz, socjolog itp.). Pozostali trzej członkowie to osoby mające doświadczenie w dziedzinie ochrony danych osobowych. Kadencja tych osób trwa 4 lata i mogą być oni członkami Rady nie więcej niż przez dwie kadencje. Pracę Urzędu zapewnia Sekretariat, którego struktura jest określona dekretem prezydenckim. W tej chwili w Urzędzie funkcjonują trzy departamenty: Departament Inspekcji, Departament Komunikowania (Communications Department) oraz Departament Administracyjny. Według ustawy 2472 dane osobowe to wszelkie informacje dotyczące podmiotu danych. Ustawa stosuje się do danych osobowych przetwarzanych w całości lub w części w sposób zautomatyzowany oraz do danych osobowych przetwarzanych inaczej niż w sposób zautomatyzowany, które stanowią część systemu ewidencji lub które mają w przyszłości stanowić część systemu ewidencji. Zbiór danych osobowych to zestaw danych osobowych, które podlegają przetwarzaniu, bądź mogą podlegać przetwarzaniu, w którego posiadaniu jest podmiot sektora publicznego lub podmiot sektora prywatnego, stowarzyszenie bądź osoba fizyczna. Podstawy przetwarzania, zgodnie z art. 5 ustawy są następujące: 1) Dane osobowe można przetwarzać tylko za zgodą podmiotu danych. 2) Wyjątkowo dane można przetwarzać bez zgody podmiotu danych kiedy: - przetwarzanie danych jest konieczne dla realizacji umowy, której stroną jest podmiot danych lub w celu podjęcia określonych działań na życzenie podmiotu danych przed zawarciem umowy, - przetwarzanie danych jest konieczne dla wykonania zobowiązania prawnego, któremu podlega administrator danych, - przetwarzanie danych jest konieczne dla ochrony żywotnych interesów podmiotu danych kiedy podmiot danych jest fizycznie lub prawnie niezdolny do udzielenia zgody, - przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub zadania władzy urzędowej wykonywanego przez władze publiczne, bądź zostało zlecone przez tą ostatnią administratorowi danych lub osobie trzeciej, której dane zostały ujawnione, - przetwarzanie danych jest konieczne dla potrzeb wynikających z prawnie uzasadnionych potrzeb administratora danych, strony trzeciej lub innych stron trzecich, którym dane są ujawniane, pod warunkiem, że interesy te przeważają nad interesami i prawami podmiotów danych oraz że fundamentalne prawa tych ostatnich nie są naruszone. 3) Urząd może wydać specjalne przepisy dotyczące bardziej powszechnych kategorii przetwarzania oraz zbiorów danych, które oczywiście nie mogą naruszać praw ani interesów podmiotów danych. Kategorie te muszą być ściśle określone w rozporządzeniach Urzędu, które są ratyfikowane prezydenckim dekretem, które z kolei będą wydawane zgodnie z propozycjami M inistra Sprawiedliwości. Artykuł 11 ustawy mówi o obowiązku informacyjnym: 1) W czasie zbierania danych osobowych administrator danych musi poinformować podmiot danych w odpowiedni i jasny sposób przynajmniej o: - swojej tożsamości oraz tożsamości przedstawiciela, jeśli został wyznaczony, - celu przetwarzania danych, - odbiorcach lub kategoriach odbiorców danych, - prawie podmiotu danych dostępu do danych. 2) Jeśli podczas zbierania danych administrator danych poprosi podmiot danych o współpracę, wtedy musi przekazać podmiotowi danych informacje zgodnie z ustępem 1 niniejszego artykułu oraz o prawach podmiotu danych wynikających z art. 11,12 oraz 13 niniejszej ustawy. Wtedy też administrator danych informuje podmiot danych, czy ten ostatni jest zobowiązany do współpracy, a jeśli tak to na podstawie jakich przepisów oraz o konsekwencjach odmowy współpracy. 3) Jeśli dane są ujawniane osobom trzecim to podmiot danych musi być o tym poinformowany przed nimi. 4) Na wniosek administratora danych oraz zgodnie z decyzją Urzędu, obowiązek informacyjny wynikający z ustępów 1 i 3 tego artykułu może być uchylony, w całości lub częściowo, pod warunkiem, że dane zbierane są dla celów bezpieczeństwa narodowego bądź postępowania w sprawach o poważne przestępstwa. 5) Zachowując prawa wynikające z zapisów art. 12 i 13, obowiązek informacyjny nie stosuje się w przypadku zbierania danych wyłącznie dla celów dziennikarskich i gdy dotyczy ono osób publicznych. S ankcje nakładane na podmioty łamiące ustawę w trybie administracyjnym określa art. 21 ustawy i są one następujące: - ostrzeżenie określające ostateczny termin naprawienia błędów, - możliwość nałożenia sankcji finansowych od 300 000 drachm (3600 zł) do 50 000 000 drachm (600 000 zł), - chwilowe unieważnienie licencji, - stałe unieważnienie licencji, - zniszczenie zbioru danych bądź zaprzestanie przetwarzania danych oraz usunięcie tych danych. Sankcje nakładane w trybie administracyjnym są proporcjonalne w stosunku do stopnia naruszenia ustawy, a nakłada się je po uprzednim przesłuchaniu strony. Kary dyscyplinarne c), d), e) stosuje się tylko w przypadku poważnych lub powtarzających się naruszeń ustawy. Grzywna może być nałożona jednocześnie z karą dyscyplinarną. Ustawa przewiduje również sankcje karne. Odszkodowania dla podmiotów danych w przypadku naruszenia ich praw są przyznawane tylko gdy winę administratora danych udowodni się przed sądem. Odszkodowania przyznawane są zgodnie z przepisami kodeksu cywilnego. W Grecji istnieje Lista Robinsona, którą prowadzi Urząd Ochrony Danych Osobowych. Jak do tej pory z prawa zastrzeżenia swoich danych poprzez wpisanie na tę listę skorzystało 25 osób. Prawo obywateli dostępu do informacji jest zagwarantowane ustawą 1599/1986, która dotyczy greckiego numeru EKAM , odpowiednika polskiego PESEL-u. Obywatele mają dostęp do informacji chyba, że są one tajne. Jeśli dany obywatel chce dowiedzieć się, czy tajne dokumenty zawierają informacje o nim, to może z takim pytaniem zwrócić się do Urzędu Ochrony Danych Osobowych. Urząd to sprawdza i odpowiada tak lub nie, ale ponieważ są to informacje niejawne, to nie może odpowiedzieć jakiego typu informacje znajdują się o danej osobie w takich dokumentach. Jeśli dane o stanie zdrowia zostały uzyskane za zgodą podmiotu danych, który wyraził zgodę nie będąc świadomym konsekwencji oraz zagrożeń wynikających z przetwarzania takich danych, to Urząd Ochrony Danych Osobowych unieważnia taką zgodę. GRECKI URZĄD OCHRONY DANYCH OSOBOWYCH UPRAWN IENIA KONTROLN E 1 Wstęp Celem inspekcji przeprowadzanych przez Urząd jest ochrona praw obywateli poprzez skrupulatne sprawdzanie, czy prawo do prywatności jest przestrzegane w czasie zbierania i przetwarzania danych osobowych przez administratorów danych z sektora publicznego, jak i prywatnego. Przede wszystkim zwraca się uwagę na proces przetwarzania oraz na to jak dana jednostka zarządza danymi osobowymi. W czasie inspekcji Urząd sprawdza, czy zbiory danych są tworzone zgodnie z obowiązującymi przepisami oraz czy są odpowiednio zabezpieczone. Inspekcja nie ma tylko na celu nałożenia kary, jeśli jest to konieczne, ale również pomoc administratorom danych poprzez opracowywanie odpowiedniego podejścia w czasie przetwarzania danych tak, aby zbiory danych były przetwarzane zgodnie z obowiązującymi przepisami, a co za tym idzie, by dane osobowe obywateli były odpowiednio chronione. 2 Przeprowadzone inspekcje W 1999 r. Grecki Urząd Ochrony Danych Osobowych przeprowadził 17 kontroli zbiorów danych przechowywanych przez firmy oraz osoby prawne oraz fizyczne. Zbiory zostały wybrane do kontroli wg. następujących kryteriów: - cel przetwarzania, - znaczenie zbioru z punktu widzenia ekonomicznego oraz społecznego, - cechy charakterystyczne zbioru w stosunku do ochrony danych. Grecki Urząd Ochrony następujących dziedzinach: Danych Osobowych skoncentrował się głównie na 6) Sektor prywatny: zbiory przetwarzane dla celów marketingu bezpośredniego oraz zbiory mające na celu zarządzać informacjami o wypłacalności. 7) Sektor prywatny: zbiory z informacjami wymienionymi w punkcie 1 lub z nimi związane, takimi jak zbiory w szpitalach, urzędach miejskich, bankach. 8) Sektor publiczny: ważniejsze zbiory danych w których przetwarza się dane wrażliwe w celu wydania odpowiednich zezwoleń jak np. zbiory ośrodków opieki społecznej. Sektor publiczny, jako administrator danych, zbiera i przetwarza cały szereg danych osobowych, głównie wrażliwych. W związku z tym było to obowiązkiem Urzędu skontrolować nie tylko zbiory danych z sektora prywatnego, ale również zbiory danych przetwarzane w sektorze publicznym. Pojawiły się jednak pewne trudności związane z następującymi czynnikami: - ilość danych, - dość słaba znajomość wymogów związanych z zabezpieczeniem zbiorów w sektorze publicznym, - duża dostępność, - szeroki zakres przetwarzania w sektorze publicznym, - wysoki stopień zagrożenia w przypadku przetwarzania danych przez urzędy administracji publicznej, - sektor publiczny rzadko jest w pozycji instytucji kontrolowanej. 3 Wnioski z przeprowadzonych inspekcji Inspekcje zbiorów danych tworzonych dla celów marketingu bezpośredniego i/lub dla celów reklamowych oraz sprawdzania wypłacalności. Przeprowadzone do tej pory inspekcje pozwalają na wyciągnięcie następujących wniosków. Z jednym wyjątkiem, firmy oraz osoby fizyczne, które posiadają zbiory danych w celu tworzenia list klientów i/lub zbierają oraz dostarczają informacje o wypłacalności, tworzą zbiory zgodnie z prawem oraz ich działalność jest prowadzona na podstawie obecnie obowiązujących przepisów prawa handlowego. Tym niemniej stwierdzono, że w większości przypadków dane były zbierane i przetwarzane niezgodnie z wymogami ustawy nr 2472/97. Trzeba też podkreślić, że zbiory te były tworzone nim ustawa o ochronie danych osobowych weszła w życie. Inspekcje w dalszym ciągu są przeprowadzane. M ożna jednak stwierdzić na podstawie dotychczasowych wyników kontroli, że w niektórych wypadkach dane były przetwarzane zgodnie z wymogami obecnej rzeczywistości społecznej i gospodarczej (promocja, ochrona stron transakcji handlowych przed niewypłacalnymi dłużnikami). Urząd stanął przed problemem czy zablokować zbiory firm lub osób fizycznych, o których mowa czy też wprowadzić bardziej surową kontrolę. Stwierdzono jednak, że pierwsze rozwiązanie doprowadziłoby do zaprzestania "legalnej" działalności firm oraz do pojawienia się nielegalnych, i w dużej mierze niemożliwych do skontrolowania, mechanizmów. Po uważnym przeanalizowaniu doświadczeń krajów europejskich, ostatnie rozwiązanie zostało w końcu przyjęte. Poprzez rozporządzenie nr 50/20-1-2000, Urząd ustalił surowe "warunki dotyczące zgodnego z prawem przetwarzania danych osobowych dla celów marketingu bezpośredniego i/lub dla celów reklamy oraz sprawdzania wypłacalności". Podstawowym kryterium było dostosowanie odpowiednich zbiorów danych do przepisów prawa wynikających z Ustawy 2472/97 w taki sposób, aby prawa obywateli nie były naruszane, a ich dane osobowe przetwarzane zgodnie z prawem. Inspekcje podmiotów sektora prywatnego jak i publicznego, gdzie mógł mieć miejsce przeciek danych, wykazały zwiększony przepływ danych osobowych. Ponadto administratorzy danych nie byli przeszkoleni, a obywatele nie byli świadomi prawa do prywatności. Stwierdzono bardzo poważne naruszenie odpowiednich przepisów prawa oraz, że należy wprowadzić zgodność z ogólnymi przepisami prawa i wstrzymać dalsze przetwarzanie danych. Ten bardzo istotny wniosek zmusił Urząd do podjęcia dalszych działań w dwóch kierunkach: 1) zwiększenie liczby inspekcji tak, aby wszystkie rodzaje zbiorów ze wszystkich sektorów zostały nimi objęte, 2) zwiększenie świadomości podmiotów danych oraz stopnia współpracy ze strony administratorów danych. Urząd zastrzegł sobie prawo podjęcia ostatecznej decyzji we właściwym trybie w celu wprowadzenia jednego rozwiązania, które jednoznacznie regulowałaby tę kwestię. Inspekcje przeprowadzone w sektorze publicznym Jeśli chodzi o plan inspekcji zbiorów danych sektora publicznego, w pierwszej kolejności przeprowadzono inspekcje podmiotów, które wymagają zezwolenia na zbieranie i przetwarzanie danych wrażliwych. Przede wszystkim skontrolowano podmioty, które mają bardzo szerokie uprawnienia. W 1999 r. Urząd skontrolował M inisterstwo Porządku Publicznego (System Informacyjny Schengen - Sekcja Krajowa oraz Departamenty Bezpieczeństwa Państwa, Porządku Publicznego oraz Informatyki). Z tych zbiorów tylko System Informacyjny Schengen - System Krajowy otrzymał czasowe zezwolenie. W tej chwili trwają jeszcze kontrole w pozostałych departamentach M inisterstwa Porządku Publicznego.