Zabezpieczanie informacji dotyczących danych osobowych należy do zadań wielu organów państwa. Eliminacja zjawiska dotycząca wkraczania w sferę życia prywatnego i bezprawnego używania danych osobowych opierać się musi przede wszystkim na zabezpieczaniu tych informacji. Ochrona informacji stanowi jeden z najważniejszych przedmiotów zainteresowania w państwie. Organy pełniące funkcję zabezpieczającą mają za zadanie służbę społeczeństwu poprzez ochronę danych osobowych. GIODO jest jednym z najważniejszych organów i pełni szczególną rolę w państwie. Oprócz Generalnego Inspektora ważny jest też Administrator danych.

Niniejsze opracowanie obejmuje w przede wszystkim dokładne omówienie głównych organów ochrony danych osobowych oraz ich rolę w procesie ich zabezpieczania, ale również sposób przekazywania ich przekazywania do państw trzecich.

Odniosę się również pokrótce do prokuratury oraz służby medycznej, mających również wpływ na ochronę danych osobowych.

Zagrożenia sfery prywatności człowieka jaką stanowią jego dane osobowe wynikają z faktu, iż następuje szybki rozwój technologiczny oraz postęp ekonomiczny.

Jednostką coraz trudniej jest kontrolować obieg informacji, gdyż stale następuje poszerzanie danych gromadzonych o obywatelach. W związku z tym państwo jest zobowiązane do ochrony tej sfery prywatności.

Konwencja nr 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie

osób w związku z automatycznym przetwarzaniem danych osobowych była pierwszym aktem o zasięgu międzynarodowym, reguluje ona zagadnienia ochrony danych osobowych.

Takim aktem na poziomie europejskim jest dyrektywa Parlamentu

Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC)

w sprawie ochrony osób w związku z przetwarzaniem danych osobowych

oraz swobodnego przepływu tych danych.

Wprowadzenie przepisów dotyczących ochrony danych osobowych do polskiego systemu prawnego, pozwoliło na podpisanie przez Polskę w kwietniu 1999 r. i ratyfikowanie w maju 2002 r. Konwencji Nr 108 Rady Europy. Działania te stanowiły przejaw postępującej demokratyzacji życia publicznego w Polsce i troski o ochronę prywatności każdego jej obywatela.

Ustawa o ochronie danych osobowych określiła prawne ramy obrotu danymi osobowymi, a także zasady, jakie należy stosować przy przetwarzaniu danych osobowych, sprecyzowała też prawa i obowiązki organów, instytucji i osób prowadzących zbiory danych osobowych oraz prawa osób, których dane dotyczą, w taki sposób, aby zagwarantować maksymalną ochronę praw i wolności każdej osobie fizycznej oraz poszanowania jej życia prywatnego.

Ustawa o ochronie danych osobowych, realizując wymagania stawiane przez Wspólnotę, skonkretyzowała konstytucyjnie zagwarantowane prawo do decydowania o tym komu, w jakim zakresie i w jakim celu przekazujemy nasze dane osobowe, dając ustawowe gwarancje przestrzegania tego prawa, poprzez wyposażenie osób, których dane dotyczą w środki służące realizacji tego prawa, a odpowiednie organy i służby w środki prawne, gwarantujące jego przestrzeganie. Podstawowym jej założeniem jest przyznanie każdej jednostce prawa do ochrony dotyczących jej danych.

Podstawowym aktem prawnym dającym przesłanki do wprowadzenia w Polsce ustawy o ochronie danych osobowych jest Konstytucja RP, a konkretniej art. 51 KONSTYTUCJI RZECZYPOSPOLITEJ POLSKIEJ z dnia 2 kwietnia 1997 r.(Dz. U. 97.78.483), który stanowi, iż:

Art. 47

Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym

Art. 51

1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.

3. Każdy ma prawo dostępu do dotyczących urzędowych dokumentów i zbiorów danych . Ograniczenie tego prawa może określić ustawa.

4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.

Na początku chciałabym wyjaśnić podstawowe pojęcie związane ściśle z moimi tematem. Mianowicie chcę uwzględnić zagadnienie dotyczące danych osobowych.

Definicja ustawowa głosi, iż dane osobowe to

1. Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić

bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny

albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne,

umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli

wymagałoby to nadmiernych kosztów, czasu lub działań.”

Dane osobowe nie posiadają ustalonej, stałej definicji w poszczególnych ustwodawstwach kraju. Większość przepisów wewnętrznych oraz Konwencja nr 108 przyjmują, że za dane osobowe każdą informację tyczącą się konkretnej osoby, którą można zidentyfikować. Podstawową, a zarazem wyróżniającą je cechą jest brak anonimowości. Informacje wynikowe przetwarzane dla celów statycznych nie s ą uznawane za dane o charakterze osobowym, gdyż nie są one związane z konkretną osobą, której tożsamość na tej podstawie można by ustalić , a ich ujawnienie ich nie zagraża prywatności tej osoby.

Informacja o charakterze osobowym to nie tylko taka informacja, która odnosi się do konkretnej osoby, lecz tyczy się również jednostki , której tożsamość na jej podstawie można ustalić.

Do danych osobowych zalicza się:



-Imię

- Nazwisko

- Data urodzenia

- Adres zamieszkania

- Adres poczty elektronicznej

- Numer PESEL

- Numer NIP

- Kod genetyczny

- Cechy:

 fizjologiczne (np. grupa krwi, kształt siatkówki oka, linie papilarne)

 umysłowe (np. iloraz inteligencji)

 ekonomiczne (np. stan majątkowy)

 kulturowe (np.. światopogląd)

 społeczne (np.. status społeczny)

- Adres poczty elektronicznej, etc.

Dane osobowe dzielimy na:

- Dane zwykłe

- Dane szczególnie chronione

Dane zwykłe to np. imię, nazwisko, data urodzenia, adres zamieszkania, numer PESEL. Natomiast wśród danych szczególnie chronionych mogę wyróżnić: informacje o pochodzeniu rasowym lub etnicznym, poglądach religijnych, politycznych, fizjologicznych, przynależności do partii lub związku, , kodzie genetycznym, stanie zdrowia, życiu seksualnym, nałogach, etc.

Informacje dotyczące osób zmarłych nie są danymi osobowymi.

Dane osobowe mogą występować w różnej formie:

- Wyrażone ustnie,

- Na piśmie

- Zdjęcia

- Zarejestrowane głosy

- Filmy

Rozwój techniki komputerowej pozwala nam obecnie na przetworzenie zdjęcia czy obrazu

Polskie akty prawne z zakresu ochrony danych osobowych:

- Konstytucja RP

- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

- Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r., Nr 229, poz. 1536)

- Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 10 października 2011 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2011, Nr 225, poz. 1350)

- Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)

- Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923)

- Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 11 maja 2011 r. zmieniające rozporządzenie w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2011 r. Nr 103, poz. 601)

Prawo UE:

- Karta Praw Podstawowych

- Dyrektywy

- Rozporządzenia

- Decyzje

- Umowy międzynarodowe

Dokumenty Rady Europy:

- Konwencje

- Rekomendacje i Rezolucje

Międzynarodowe akty prawne z zakresu ochrony danych osobowych:

- Powszechna Deklaracja (UNESCO) w sprawie genomu ludzkiego i praw człowieka z dnia 11 listopada 1997 r.

- Rezolucja 45/95 Zgromadzenia Ogólnego ONZ z 26 czerwca 1985 r.

- Rekomendacja Organizacji Współpracy Gospodarczej i Rozwoju (OECD) z dnia 23 września 1980 r., w sprawie wytycznych dotyczących ochrony prywatności i przekazywania danych osobowych pomiędzy krajami

- Rezolucja 34/169 Zgromadzenia Ogólnego ONZ

Nad praworządnością prawa członków narodu do ochrony ich danych osobowych stoi niezależny organ- Generalny Inspektor Ochrony Danych Osobowych.



Obecnie organem tym kieruje Wojciech Wiewiórowski (od 4 sierpnia 2010)

Generalny Inspektor Ochrony Danych Osobowych - jest to organ który jest powoływany i odwoływany przez sejm za zgodą senatu .Sejm powołuje i odwołuje bezwzględną większością głosów (50%+1 - głosów „za” musi być więcej niż tych „przeciw” i „wstrzymujących”). Senat wyraża zgodę zwykłą większością głosów (liczą się tylko „za” i „przeciw”).



Na stanowisko Generalnego Inspektora Ochrony Danych Osobowych może być powołana osoba, która spełnia poniższe warunki:

- jest obywatelem polskim i stale zamieszkuje na terytorium RP,

- cechuje się wysokim autorytetem moralnym (funkcjonuje publicznie i jest oceniany pozytywnie),

- posiada wyższe wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe,

- nie był karany za przestępstwa.



Sejm za zgodą Senatu odwołuje Generalnego Inspektora Ochrony Danych Osobowych wówczas gdy:

- zrzekł się stanowiska,

- stał się trwale niezdolny do pełnienia obowiązków na skutek choroby,

- sprzeniewierzył się złożonemu ślubowaniu,

- został skazany prawomocnym wyrokiem sądu za popełnione przestępstwo.



Kadencja Generalnego Inspektora Ochrony Danych Osobowych liczy 4 lata, którą liczy się od dnia złożenia ślubowania. Po upływie kadencji Generalny Inspektor Ochrony Danych Osobowych pełni swoje obowiązki do czasu objęcia stanowiska przez nowego Generalnego Inspektora Ochrony Danych Osobowych. Osoba taka nie może pełnić funkcji Generalnego Inspektora Ochrony Danych Osobowych więcej niż 2-ie kadencje.

Kadencja Generalnego Inspektora Ochrony Danych Osobowych wygasa:

-z chwilą śmierci,

-odwołania

- lub utraty obywatelstwa polskiego.



Zastępca Generalnego Inspektora Ochrony Danych Osobowych jest powoływany przez Marszałka Sejmu na wniosek Generalnego Inspektora Ochrony Danych Osobowych. Musi on spełniać warunki jak na stanowiska GIODO, ale nie musi mieć wykształcenia prawniczego.



Generalny Inspektor Ochrony Danych Osobowych jako organ ochrony prawa charakteryzują 4 cechy:

-niezawisłość – podlega tylko ustawie; niezależny od innych władz,

-apolityczność- (nie może należeć do partii politycznych, związków zawodowych, ani prowadzić działalności publicznej nie dającej się pogodzić z jego obowiązkami),

-niepołączalność– Generalnego Inspektora Ochrony Danych Osobowych nie może zajmować innego stanowiska, z wyjątkiem profesora szkoły wyższej, nie może również wykonywać innych czynności zawodowych,

-posiada immunitet formalny (przeszkoda procesowa), tj. nie może być bez uprzedniej zgody sejmu pociągnięty do odpowiedzialności karnej, ani pozbawiony wolności. Nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania. O zatrzymaniu niezwłocznie powiadamia się Marszałka sejmu, który może nakazać natychmiastowe zwolnienie zatrzymanego.

Zadania i kompetencje GIODO wyznaczają przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

Kompetencje Generalnego Inspektora Ochrony Danych Osobowych:

-zapewnienia wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym, wynikających z wydanych decyzji, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji,

-organ ten dokonuje kontroli zgodności przetwarzanych danych z przepisami o ochronie danych osobowych,

- wydaje decyzje administracyjne i rozpatruje skargi w sprawach ochrony danych osobowych,

- prowadzi rejestr zbiorów danych oraz udziela informacji o zarejestrowanych zbiorach,

- opiniuje projekty ustaw i rozporządzeń dotyczących ochrony danych osobowych,

- inicjuje i podejmuje przedsięwzięcia w zakresie doskonalenia ochrony danych osobowych,

- uczestniczy w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

Generalny Inspektor ma ograniczone prawo kontroli w stosunku do następujących podmiotów:

-administratorów danych objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego;

-administratorów danych dotyczących członków kościoła lub innego związku wyznaniowego o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby kościoła lub związku wyznaniowego;

-Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego – w odniesieniu do danych, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy tych podmiotów.

Decyzje Generalnego Inspektora Ochrony Danych Osobowych wydawane są w przypadkach naruszenia przepisów o ochronie danych osobowych. Wydawane są z urzędu lub na wniosek osoby zainteresowanej. Nakazują przywrócenie stanu zgodnego z prawem. W szczególności po przez:

- usunięcie wskazanych uchybień,

- uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,

-zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

- wstrzymanie przekazywania danych osobowych do państwa trzeciego,

- zabezpieczenie danych lub przekazanie ich innym podmiotom,

- usunięcie danych osobowych.



Zakres stosowania Kodeksu Postępowania Administracyjnego (KPA) stosuje Generalny Inspektor Ochrony Danych Osobowych

Jednostką pomocniczą Generalnego Inspektora jest Biuro Generalnego Inspektora Danych Osobowych.

Dyrektor Biura, którym kieruje jest powoływany i odwoływany przez Generalnego Inspektora. Zapewnia on funkcjonowanie Biura, warunki jego działania i organizacja pracy, określa również liczbę etatów w Biurze oraz ich podział między poszczególne statutowe jednostki organizacyjne Biura za zgodą Generalnego Inspektora.

Statutowymi jednostkami organizacyjnymi Biura są:

-Gabinet Generalnego Inspektora,

-Departament Prawny,

-Departament Inspekcji,

-Departament Rejestracji Zbiorów Danych Osobowych,

-Departament Informatyki,

-Departament Administracyjno- Budżetowy.

Jednostkami tymi kierują dyrektorzy tych jednostek.

Termin, czas i miejsce kontroli.

Inspektorzy Biura GIODO są uprawnieni do przeprowadzenia, bez uprzedzenia, w godzinach od 6.00 do 22.00 kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. W praktyce zazwyczaj umawiają się z kontrolowanym w godzinach pracy, np. między 8.00 a 16.00. Zdarza się jednak, że ze względu na okoliczności sprawy czynności są dokonywane w innych godzinach, np. od 9.00 do 18.00 lub dłużej. Czas trwania kontroli ustala GIODO, gdyż przepisy nie przewidują limitów dotyczących łącznego czasu kontroli. Przy określaniu terminu uwzględnia się w szczególności rodzaj kontroli (kompleksowa, częściowa), zakres przedmiotowy kontroli i wielkość podmiotu kontrolowanego. Czas trwania czynności może w ich toku ulec skróceniu lub przedłużeniu – w zależności od okoliczności danej kontroli.

Kontrolę przeprowadza się w siedzibie podmiotu kontrolowanego oraz w innych miejscach wykonywania przez niego zadań w procesie przetwarzania danych, w tym w miejscu przechowywania dokumentacji zawierającej dane osobowe. Przed podjęciem czynności kontrolnych inspektorzy Biura GIODO zgłaszają swoją obecność kontrolowanemu.



Przesłanki legalności przetwarzania danych osobowych:

- zgoda osoby której dane dotyczą,

- przetwarzanie jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa,

- gdy jest to konieczne do realizacji umowy gdy dane osoby tej dotyczą lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby której dane dotyczą,

- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

- jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby której dane dotyczą.



Administratora Danych Osobowych

Administratorem jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Między innymi może to być organ państwowy, organ samorządu terytorialnego lub państwowa albo komunalna jednostka organizacyjna.

Administrator Danych jest zobowiązany przez ustawę o ochronie danych osobowych do:

- obowiązku informacyjnym wypełnianym przy zbieraniu danych osobowych (art. 24 i 25 ustawy)

- szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane przetwarza (art. 26 ustawy)

- udzielania informacji o zakresie przetwarzanych danych osobowych (art. 33 ustawy)

- obowiązek uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora (art. 35 ustawy)

- obowiązku stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ustawy)

- kontroli, jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane (art. 38 ustawy)

- prowadzenia ewidencje osób upoważnionych do przetwarzania danych osobowych (art. 39 ustawy)

- zgłaszania zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w przypadkach przewidzianych prawem (art. 40 ustawy)

- zabezpieczenia przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym oraz zabraniem przez osobę nieuprawnioną,

- przetwarzania danych zgodnie z wymogami ustawy

- chronienia danych przed zmianą, utratą, uszkodzeniem lub zniszczeniem

Zadania te powinny zostać zrealizowane poprzez:

- opracowanie dokumentacji

- monitorowanie czynności wykonywanych na zbiorze danych

- zapewnienie technicznych środków bezpieczeństwa

Jeśli Administrator Danych sam nie wykonuje powyższych czynności, powinien wyznaczyć Administratora Bezpieczeństwa Informacji (ABI), który będzie nadzorował przestrzeganie zasad ochrony.

Administrator Bezpieczeństwa Informacji będzie, zatem odpowiedzialny za:

- poprawność i aktualizację dokumentacji (polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych)

-kontrolę stanu wydanych upoważnień oraz ewidencji osób upoważnionych - prowadzenie okresowych audytów stanu bezpieczeństwa i sporządzanie raportów wraz z zaleceniami zmian przygotowanie wniosków rejestracyjnych

- nadzór nad działem IT w realizacji obowiązków związanych z zabezpieczeniem danych w systemach informatycznych

- odpowiedzi związane z kontrolami GIODO i innymi organami szkolenia wstępne oraz okresowe dla poszczególnych działów.

Obowiązki Zakładu Opieki Zdrowotnej związane z ochroną danych osobowych

Podstawowym prawem pacjenta, które jest zarówno dobrem osobistym jest prawo do informacji o swoim stanie zdrowia oraz ochrona swych danych osobowych przed bezprawnym rozpowszechnianiem (dane genetyczne, sposobu leczenia )

Dane zawarte w dokumentacji medycznej stanowią tzw. wrażliwe dane osobowe poddane surowemu reżimowi ochrony prawnej. Zakład opieki zdrowotnej, przetwarzając je, jest ich administratorem i jest zobowiązany m.in. właściwie zabezpieczać nośniki zawierające dokumentację medyczną przed ich udostępnieniem osobom nieupoważnionym, utratą bądź zniszczeniem.

Przestrzeganie tych zasad może być przedmiotem kontroli Generalnego Inspektora Ochrony Danych Osobowych, który stwierdzając naruszenie przepisów o ochronie danych osobowych, w drodze decyzji administracyjnej może nakazać m.in. usunięcie uchybień, zabezpieczenie danych lub ich usunięcie.

Kwestie ochrony danych medycznych należą do: pacjenta, jego przedstawiciela ustawowego oraz osoby upoważnionej przez pacjenta, a także posiada je zakład opieki zdrowotnej, jego jednostki i osoby wykonujące zawód medyczny, jeżeli dokumentacja jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych. Można również udzielić informacji innym podmiotom, jeśli prawo tak przewiduje ( np. sądom, policji wówczas, gdy są one niezbędne do przeprowadzenia postępowania). ZOZ jest zobowiązany do prowadzenia dokumentacji i dbania o ochronę danych pacjenta. Pacjent ma pełne prawo do dokumentów dotyczących tylko i wyłącznie jego osoby. Tajemnicą zawodową jest objęty lekarz, jak i również pielęgniarki, położne. Tajemnica w kategorii dobra osobistego powinna być przestrzegana nawet po śmierci osoby będącej pacjentem. Lekarz musi poinformować rodzinę o przyczynie zgonu tylko wtedy, gdy pacjent nie sprzeciwił się temu za życia. Lekarz nie może udostępniać danych objętych tajemnicą osobą nieupoważnionym, ale również członkom medycznym personelu nie uczestniczących w trakcie leczenia pacjenta. Jest zobowiązany również do ochraniania informacji, o których pacjent go poinformował, np. o stosunkach rodzinnych, itd. ZOZ powinien działać w oparciu o zasadę legalności, celowości, poprawności oraz adekwatności, powinien przechowywać dane jedynie w czasie realizacji zadań.

Prokuratura

Prokuratura wyrzuca dokumenty na śmietnik.

W dokumentach znajdują się m.in. opinia psychiatryczna osoby podejrzewanej o pedofilię i śmiertelne pobicie kobiety ( zawierająca imię, nazwisko, datę urodzenia i adres), zeznania oskarżonego o zdjęcie spodni na ulicy przed przechodniami, informację o egzaminach na aplikację prokuratorską, zeznania świadków – również opatrzone imieniem i nazwiskiem oraz adresem zeznającego (…)

Przedstawiona wyżej sytuacja jest dowodem na to, że podmioty powołane przez państwo do zabezpieczania danych osobowych zaniedbują swoje obowiązki dotyczące zabezpieczania danych osobowych, wręcz przekracza granicę swych uprawnień, łamie prawo. Trudno wyobrazić sobie sytuacje, że ktokolwiek, każdy kto chce ma wgląd do moich danych osobowych.

Prokuratura powinna strzec wszelkie informacje o jednostce, w stosunku do, której zostało wstrzęte postępowanie w trakcie sprawy jak i po.



Zabezpieczenie danych osobowych:

Jednym z podstawowych celów kontroli jest sprawdzenie zgodności przetwarzania danych z przepisami o ochronie danych osobowych związanymi z bezpieczeństwem przetwarzanych danych (rozdział V ustawy oraz przywołane rozporządzenie Ministra Spraw Wewnętrznych i Administracji). Inspektor ocenia, czy administrator danych zgodnie z art. 36 ust. 1 ustawy zastosował środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych – odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności czy w odpowiedni sposób zabezpieczył dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem. Przepisy o ochronie danych osobowych nie precyzują, jakimi środkami należy się posłużyć, aby zapewnić właściwą ochronę przetwarzania danych. O użyciu środków danego rodzaju decyduje administrator, a skuteczność zastosowanych rozwiązań podlega badaniom w czasie kontroli. Wymogi dotyczące zabezpieczenia danych odnoszą się zarówno do danych przetwarzanych w sposób tradycyjny, jak i do danych przetwarzanych w systemach informatycznych. Należy podjąć odpowiednie środki bezpieczeństwa w odniesieniu do danych osobowych zgromadzonych w zbiorach zautomatyzowanych, aby zapobiec przypadkowemu zniszczeniu lub zniszczeniu bez zezwolenia albo przypadkowemu zagubieniu, jak również aby zapobiec niepowołanemu dostępowi do danych oraz ich zmienianiu lub rozpowszechnianiu bez upoważnienia.

Przekazywanie danych do państw trzecich



Na początku należy określić, jakie państwa są państwami trzecimi a jakie nie.

Zgodnie z uodo poprzez państwo trzecie rozumie się państwo nienależące do Europejskiego Obszaru Gospodarczego.

Warto zaznaczyć, że poza krajami Unii Europejskiej do EOG należą również: Islandia, Liechtenstein oraz Norwegia.

Warunki przetwarzania danych do państw trzecich są ustanowione w art. 47-49 ustawy o ochronie danych osobowych

Przedsiębiorstwa, organy publiczne i osoby prywatne w UE przesyłają każdego dnia przez granice ogromne ilości danych osobowych. Odmienne zasady ochrony danych w poszczególnych krajach zakłóciłyby ich międzynarodową wymianę, a ponadto obywatele mogliby wzdragać się przed przesyłaniem danych osobistych do innych krajów, jeżeli mieliby wątpliwości co do zapewnionego tam poziomu ochrony. Dlatego też w celu zapewnienia, aby Twoje dane osobowe były należycie chronione na terytorium całej Wspólnoty, ustanowiono wspólne zasady UE. W razie nadużycia Twoich danych osobowych w dowolnym kraju Unii przysługuje Ci prawo do złożenia skargi i uzyskania zadośćuczynienia z tego tytułu. Inspektor sprawdza, czy kontrolowany podmiot uwzględnił co najmniej jedną z przesłanek wymienionych w art. 47 ustawy, zezwalających na legalne przekazanie danych poza obszar UE. Ponadto dokonuje oceny, czy zostały zastosowane odpowiednie środki techniczne i organizacyjne zabezpieczające dane, o których mowa w ustawie i rozporządzeniu. W przypadku chęci przekazania danych do Państwa trzeciego, konieczne jest spełnienie jednej z przesłanek art. 47 uodo:

1. Państwo docelowe musi zapewnić ochronę danych osobowych na swoim terytorium minimum takie, jakie są na obszarze Rzeczypospolitej Polskiej, wtedy przekazanie danych osobowych do państw trzecich ,może ulec realizacji.

2. Wówczas, gdy kraj do którego dane są przekazywane nie jest w stanie zapewnić ochrony danych osobowych na odpowiednim poziomie, a mus ich przesłania wynika z odpowiednich przepisów szczególnych prawa polskiego bądź ratyfikowanej umowy międzynarodowej, administrator jest zobowiązany do przekazania owych danych do tego kraju

3. Administrator danych może przekazać dane osobowe do państwa trzeciego, w przypadku braku powyższych przesłanek, ale tylko wtedy, gdy:

- podmiot, którego dane dotyczą, udzielił piśmienną zgodę,

- przekazanie jest niezbędne:

- do wykonania umowy pomiędzy administratorem

danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,

- do wykonania umowy zawartej w interesie osoby,

której dane dotyczą, pomiędzy administratorem danych a inną osobą,

- ze względu na dobro publiczne lub do wykazania

zasadności roszczeń prawnych,

- do ochrony żywotnych interesów osoby, której

dane dotyczą,

- dane są ogólnie dostępne.

Należy zwrócić uwagę także na treść ust. 2 art. 25 Dyrektywy 95/46/WE, zgodnie z którą odpowiedniość stopnia ochrony danych zapewnianej przez państwo trzecie winno się oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zestawu takich operacji; szczególną uwagę zwrócić należy na charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, normy prawne, obowiązujące w państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa stosowane w tym kraju. Próbę ustalenia metodologii badania stopnia ochrony danych osobowych w państwie trzecim podjęła Grupa Robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych powołanej na mocy art. 29 Dyrektywy 95/46/WE, zwana dalej Grupą Roboczą Art. 29. Grupa Robocza Art. 29 w dokumencie roboczym z dnia 24 lipca 1998 r. nr WP 12 w sprawie przekazywania danych osobowych do państw trzecich: zastosowanie art. 25 i 26 Dyrektywy UE dotyczącej danych osobowych podkreśliła, że analiza pojęcia odpowiedniej ochrony musi uwzględniać dwa elementy: treść zasad dotyczących przetwarzania danych osobowych oraz środki zapewniające skuteczne zastosowanie tych zasad. Wśród podstawowych zasad przetwarzania danych osobowych, które powinny być zapewnione w państwie trzecim należy wymienić:

- zasadę celowości

- zasadę jakości danych oraz ich adekwatności

- zasadę zapewnienia obowiązku informacyjnego

- zasadę zapewnienia zabezpieczenia danych

- zasadę zapewnienia prawa dostępu do danych, poprawiania oraz prawa sprzeciwu

- zasadę ograniczenia dalszego przekazywania danych

Grupa Robocza wyróżniła trzy cechy, które te systemy powinny spełniać w zakresie środków pozwalających na realizację zasad przetwarzania danych osobowych:

- System ten powinien zapewniać wysoki poziom zgodności z zasadami przetwarzania danych osobowych (powinien być on efektywny oraz zapewniać wysoki poziom świadomości swych obowiązków przez administratorów danych).

- System ten także powinien umożliwiać dochodzenie swoich praw przez poszczególne osoby, których dane dotyczą, co oznacza konieczność istnienia mechanizmów zapewniających niezależne rozpatrywanie skarg.

- System powinien również zapewniać możliwość dochodzenia odpowiedniego odszkodowania w razie naruszenia zasad przetwarzania danych osobowych.

Przepisy karne



Na osobach mających styczność z danymi osobowymi spoczywa ogromna odpowiedzialność. Ujawnienie bazy danych z danymi osobowymi klientów niesie za sobą poważne skutki np. naruszenia dóbr osobistych osób, których dane zostały ujawnione. Dlatego też istnieją przepisy, które wyraźnie mówią o karach jakie grożą za naruszenie ustawy o ochronie danych osobowych.

Przepisy karne za naruszenie przepisów ustawy o ochronie danych osobowych to normuje je sama ustawa w rozdziale 8: przepisy karne.

Art. 49 ustawy:

- §1 – przetwarzanie danych osobowych w zbiorze bez prawa przetwarzania tych danych:

• odpowiedzialny: administrator danych;

• kara: grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2.

- §2 – przetwarzanie danych wrażliwych, o którym mowa w art. 27 ust 1 ustawy bez prawa przetwarzania tych danych:

• odpowiedzialny: administrator danych;

• kara: grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 3.

Art. 50 ustawy:

- przetwarzanie danych osobowych w zbiorze niezgodnie z celem utworzenia zbioru:

 odpowiedzialny: administrator danych;

 kara: grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.

Art. 51 ustawy:

- §1 udostępnianie danych osobowych lub umożliwianie dostępu do nich osobom nieupoważnionym:

 odpowiedzialny: administrator danych, osoba zobowiązana do ochrony danych osobowych;

 kara: grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2.

- §2 Jeżeli sprawca działa nieumyślnie:

 kara: grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.

Art. 52 ustawy:

- naruszenie choćby nieumyślne obowiązku zabezpieczenia danych osobowych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem:

 odpowiedzialny: administrator danych, osoba zobowiązana do ochrony danych osobowych;

 kara: grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.

Art. 53 ustawy:

- nie zgłaszanie do rejestracji zbioru danych będąc do tego zobowiązanym:

 odpowiedzialny: administrator danych;

 kara: grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.

Art. 54 ustawy:

- nie dopełnienie obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w ustawie:

 odpowiedzialny: administrator danych;

 kara: grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.

Jak widać z powyższego, przepisy jasno określają rodzaj kary za niedopełnienie obowiązków spoczywających na konkretnych osobach lub za ujawnienie danych osobowych bez zgody ich właściciela.

Aby uniknąć przykrych sytuacji należy bardzo dobrze zapoznać się z treścią ustawy i bezwzględnie stosować jej zapisy. Należy mieć także świadomość jakie skutki może nieść za sobą niezastosowanie się do tych przepisów i budować tą świadomość u użytkowników systemów, którymi zarządzamy i administrujemy.

Uważam, że system kontroli państwa działa stosunkowo dobrze. Jednak niektórym jednostkom pracującym w organach państwa odpowiedzialnych za zabezpieczanie informacji z pewnością brakuje adekwatnej wiedzy oraz odpowiedzialności. Podejmując się pracy na tak wysokich stanowiskach należy posiąść wiedzę zarówno teoretyczną jak i praktyczną. Zdarzają się przypadki niedotrzymywania tajemnicy służbowej czy nie odpowiedzialność prokuratury, jednak nie zostanie to w żaden sposób przeoczone, będą odpowiadać karnie za swoje niedbalstwo i bezmyślność. Nie można udostępniać danych komu i kiedy się chce, chyba, że osoba, której dane dotyczą wyrazi na to zgodę.

Generalny Inspektor Ochrony Danych Osobowych ze względu na zakres swych obowiązków i kompetencji zajmuje w systemie organów państwa znaczącą pozycję. Łączy on bowiem uprawnienia rzecznika praw obywatelskich z daleko idącymi uprawnieniami kontrolnymi oraz uprawnieniami do podejmowania rozstrzygnięć o charakterze władczym. Nie ulega wątpliwości, iż kontrola pełniona przez Generalnego Inspektora Ochrony Danych Osobowych jest niezmiernie ważna w państwie demokratycznym. Dotyczy bowiem jednego z podstawowych praw człowieka, jakim jest prawo do prywatności. Gwarancja tego prawa jest jednym z wyznaczników prawidłowego funkcjonowania społeczeństwa demokratycznego.

System ochrony danych powinien być dostosowany do ludzkich potrzeb i zapewniać człowiekowi nieskrępowany rozwój. Dlatego ochrona praw osobistych jednostki, jej prywatności to główny cel funkcjonowania Generalnego Inspektora. Konsekwencją tego stanu rzeczy jest wymóg istnienia systemu regulacji prawnych, który nadaje mu charakter organu wyspecjalizowanego w zakresie ochrony danych i interpretacji dotyczących jej przepisów. Odpowiednie uprawnienia i nadane obowiązki Generalnemu Inspektorowi pozwalają na kompetentne i obiektywne wykonywanie przez niego ustawowych zadań. Ustawa musi bowiem nie tylko określać kompetencje organu, ale i gwarantować środki zapewniające skuteczność jego działania. Właściwa kontrola i skuteczność zastosowanych środków w przypadku wykrytych nieprawidłowości zapewniają prawidłowy i bezpieczny proces tworzenia i przetwarzania danych, co w konsekwencji gwarantuje bezpieczeństwo prywatnego interesu jednostki

Bibliografia:

1) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

2) Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997.

3) Konwencja nr 108 Rady Europy sporządzona w Strasburgu dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych.

4) Bara. J, Markiewicz. R, Ochrona danych osobowych. KOMENTARZ, Zakamycze 2001.

5) Jędruszczak. A, Nowakowski. B, System kontroli GIODO i ochrona informacji niejawnych, Wyd. C. H. Beck. Warszawa 2011 r.

6) Kulesza E., Pozycja i uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, Przegląd Sejmowy 6(35)/99.

7) Mednis. A, Ustawa o ochronie danych osobowych, Wydawnictwo Prawnicze, Warszawa 2001.

8) Mednis. A , Prawna ochrona danych osobowych, Wydawnictwo prawnicze, Warszawa,1995.

9) Napierała. K, Prawne aspekty ochrony danych osobowych przetwarzanych w systemach informatycznych, Dom wydawniczy ABC, Warszawa 1997.

10) Sibiga. G, Postępowanie w sprawach ochrony danych osobowych, Dom Wydawniczy

11) Pod red. Anna Kowalik ABC ochrony danych osobowych, Wydawnictwo Sejmowe, Warszawa 2007.

12) Szałowski. R, Prawna ochrona informacji niejawnych i danych osobowych, wyd. Difin, Warszawa 2000r.

13) Wójcikiewicz. J, Identyfikacja człowieka na podstawie DNA, Palestra 1993 nr 12.

Strony internetowe:

• http://www.giodo.gov.pl/147/j/pl/, 22. 11. 2011 r., godz. 17.45.