Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych

(tekst jednolity Dz.U. z 2002 r. nr 101, poz. 926 oraz zmiany: Dz.U. z 2002 r. nr 153, poz. 1271, z 2004 r. nr 25, poz. 219 i nr 33, poz. 285, z 2006 r. nr 104, poz. 708 i 711, z 2007 r. nr 165, poz. 1170 i nr 176, poz. 1238, z 2010 r. nr 41, poz. 233, nr 182, poz. 1228, nr 229, poz. 1497, z 2011 r. nr 230, poz. 1371)

Rozdział 3

Zasady przetwarzania danych osobowych

● Przez przetwarzanie danych rozumie się (zgodnie z art. 7 pkt 2 ustawy) jakiekolwiek operacje wykonywane na danych osobowych - począwszy od ich pozyskania aż do ich usunięcia. Chodzi więc m.in. o zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, łączenie, zestawianie, wywoływanie, udostępnianie, rozpowszechnianie, przesyłanie, usuwanie itd. Przetwarzanie danych musi się zatem - co do zasady - odbywać zgodnie z regulacjami ustawy o ochronie danych osobowych. Art. 23 ust. 1 zawiera katalog sytuacji, kiedy przetwarzanie danych jest zgodne z prawem. Aby uniknąć instrumentalizacji przepisów, art. 23 ust. 4 ustawy precyzuje też pojęcie prawnie usprawiedliwionego celu, który jest jedną z najważniejszych i najczęściej stosowanych przesłanek legalności przetwarzania danych.

● Art. 24 reguluje procedurę zbierania danych przez administratora i jego obowiązki wobec osoby, której te dane dotyczą, z tym że w przypadku zbierania danych od osób trzecich, a nie samych bezpośrednio zainteresowanych zastosowanie znajduje art. 25 ustawy. Dla stosowania tej procedury nie ma znaczenia, w jaki sposób zbierane są dane osobowe. Obowiązki informacyjne związane ze zbieraniem danych od osoby, której one dotyczą, nie zostają wyłączone, gdy chodzi np. o gromadzenie danych do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej. Jest to więc regulacja odmienna od tej przewidzianej przy zbieraniu danych od osób trzecich (zgodnie z art. 25 ust. 2 ustawy).

Co istotne, nie ma obowiązku podania informacji wyraźnie wskazanych w art. 24 ust. 1 ustawy, gdy zainteresowany dysponuje już odpowiednią wiadomością.

● Art. 25 ustawy dotyczy przypadków zbierania danych od osób innych niż te, których one dotyczą. Chodzi więc o zabezpieczenie uprawnień tych, którzy w przeciwnym wypadku przez długi okres nie mieliby świadomości, że ich dane są przetwarzane. Jak zaznacza się w doktrynie (Janusz Barta, Ryszard Markiewicz, Paweł Fajgielski, komentarz do art. 25 ustawy o ochronie danych osobowych, program LEX, pkt 5) "najczęściej chodzi o pozyskiwanie (także kupowanie) danych od innych osób, o przejmowanie (wywoływanie) danych ze zbiorów sporządzonych i prowadzonych przez inne podmioty, ale także o "własne zbieranie danych", o samodzielne ich rejestrowanie (na nośnikach dźwięku lub obrazu), również o rejestrowanie np. cech, zachowań, działań, sposobów postępowania, w sytuacji, gdy osoba, której te dane dotyczą, nie ma na to wpływu i możliwości decydowania o tego rodzaju notowaniu danych".

Art. 25 ust. 2 ustawy precyzuje też, kiedy administratorzy są zwolnieni z obowiązku informowania osób, których dane pozyskali bez ich udziału.

● Art. 26 ustawy formułuje główne zasady, których należy przestrzegać podczas przetwarzania danych osobowych. Najważniejszym obowiązkiem administratora jest dołożenie szczególnej staranności celem ochrony interesów osób, których dane dotyczą. Należy też przestrzegać zasad zawartych w art. 26 ust. 1 ustawy, w tym legalności i celowości ich zbierania i przetwarzania. Jednocześnie art. 26 ust. 2 zawiera wyjątki (których nie można interpretować rozszerzająco) od zasady związania celem przetwarzania danych - co istotne, warunki te muszą być spełnione łącznie.

● Celem art. 26a ustawy jest ochrona przed niebezpieczeństwami związanymi z informatycznym przetwarzaniem danych osobowych. Niekiedy prowadzi to bowiem do zagrożenia praw jednostki przy podejmowaniu decyzji w sprawach indywidualnych (gdy dochodzi do automatycznego przetwarzania danych). Jak podkreśla się w doktrynie (Janusz Barta, Ryszard Markiewicz, Paweł Fajgielski, komentarz do art. 26a ustawy o ochronie danych osobowych, program LEX, pkt 3) zakaz z art. 26a "dotyczy jedynie ostatecznych rozstrzygnięć i tylko takich, które podjęte zostały wyłącznie w wyniku operacji na danych osobowych, prowadzonych w systemie informatycznym. Oznacza to, że omawiany zakaz nie dotyczy indywidualnych, personalnych rozstrzygnięć podejmowanych w wyniku przeprowadzonych w systemie informatycznym operacji na danych osobowych zainteresowanej osoby, jeżeli:

a) rozstrzygnięcie nie ma charakteru ostatecznego (a zatem np. możliwe jest odwołanie się od jego treści lub ma ono jedynie charakter wstępny, jest pewną propozycją, którą ocenia ostatecznie człowiek, ewentualnie aprobuje ją i ponosi odpowiedzialność za merytoryczne rozstrzygnięcie) albo

b) rozstrzygnięcie wprawdzie jest ostateczne, lecz zapadło także na podstawie innych działań i ocen niż wyłącznie przetwarzanie danych osobowych w systemie informatycznym; przesłanka "wyłączności" powinna być, naszym zdaniem, rozumiana na gruncie art. 26a - zgodnie z funkcją tego przepisu - jako główna merytoryczna podstawa powziętego rozstrzygnięcia; przy braku akceptacji takiego poglądu znaczenie przepisu art. 26a byłoby raczej iluzoryczne".

● Art. 27 ustawy wyróżnia niektóre dane osobowe jako wrażliwe (sensytywne) w celu zapewnienia ich większej ochrony. Dotyczą one głównie głębokiej prywatności i intymności. Kryteria wyodrębnienia tych danych zawiera art. 27 ust. 1 ustawy i nie mogą być one dowolnie poszerzane bez ingerencji ustawodawcy (miało to już miejsce w 2001 r.).

● Ponieważ zgodnie z definicją danych osobowych (art. 6 ustawy) musi istnieć możliwość określenia tożsamości osoby, abyśmy mieli do czynienia z danymi osobowymi, to przyjmuje się, że zbieranie i przetwarzanie informacji dotyczących sfer wrażliwych określonych w art. 27 ust. 1 nie jest zabronione ani ograniczone, jeśli są to informacje anonimowe (por. Janusz Barta, Ryszard Markiewicz, Paweł Fajgielski, komentarz do art. 27 ustawy o ochronie danych osobowych, program LEX, pkt 5). Chodzi najczęściej o sondaże, ankiety socjologiczne itp.

● Obowiązuje generalny zakaz przetwarzania danych wrażliwych, a wyjątki od niego (zawarte w art. 27 ust. 2 ustawy) nie mogą być interpretowane rozszerzająco.

● Ustawa nie zabrania - co do zasady - posługiwania się numerami porządkowymi. Określa jedynie, jakie dane osobowe można w takich numerach kodować, a jakich informacji nie wolno tam umieszczać. Art. 28 ustawy w praktyce dotyczy najczęściej numeru PESEL.

● Administrator danych nie musi sam ich przetwarzać, ale wolno mu to przetwarzanie powierzyć - na podstawie pisemnej umowy - innymi podmiotom (zarówno tradycyjnymi metodami, jak i w systemie informatycznym). Powierzenie nie musi być całościowe, ale może dotyczyć jedynie niektórych procedur przetwarzania (np. jedynie usuwania danych). Umowa określać powinna zarówno zakres, jak i cel przetwarzania. Przepisy szczególne mogą w niektórych przypadkach zakazać umownego powierzania przetwarzania danych innym podmiotom niż administratorzy (dotyczy to np. działalności detektywistycznej).

● Podmiot, któremu powierzono przetwarzanie danych osobowych, musi mieć odpowiednie środki zabezpieczające zbiory danych, ponosi bowiem za to odpowiedzialność. Przetwarzający dane na zlecenie jest natomiast zwolniony z obowiązków informacyjnych określonych w art. 24-25 ustawy.

● Ustawę stosuje się do podmiotów, które mają siedzibę albo miejsce zamieszkania na terytorium polskim, jak również do takich, które mają siedzibę w państwie trzecim, a więc w kraju nienależącym do Europejskiego Obszaru Gospodarczego, jeżeli przetwarzają dane przy wykorzystaniu środków technicznych znajdujących się na terytorium Polski. Administrator z państwa trzeciego przetwarzający dane osobowe na terytorium państwa członkowskiego musi wyznaczyć swojego przedstawiciela na terytorium tego państwa członkowskiego. Jak podkreśla się w doktrynie (Janusz Barta, Ryszard Markiewicz, Paweł Fajgielski, komentarz do art. 31a ustawy o ochronie danych osobowych, program LEX, pkt 1) "przedstawiciel jest uprawniony (a nawet zobowiązany) do wykonywania w imieniu administratora czynności związanych z wypełnianiem obowiązków przewidzianych ustawą. W szczególności powinien on spełnić obowiązki związane z zabezpieczeniem danych, obowiązki informacyjne itp. Działalność przedstawiciela administratora może być także przedmiotem kontroli GIODO, a przedstawiciel może być adresatem decyzji dotyczącej przywrócenia stanu zgodnego z prawem (art. 18 ustawy).

Rozdział 4

Prawa osoby, której dane dotyczą

● Prawo do informacji przysługuje osobom fizycznym, których dane są przetwarzane w zbiorze, choć od tej zasady są wyjątki. Zgodnie z wyrokiem WSA w Warszawie z 26 lutego 2009 r. (sygn. II SA/Wa 1685/08, LEX nr 519827) "ustawę stosuje się do przetwarzania danych osobowych w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. Ten przepis nakazuje stosować w całości ustawę o ochronie danych osobowych w omawianej sprawie, w tym również odpowiednio przepisy określające katalog praw kontrolnych, przysługujących osobie, której dane dotyczą. Odmienne stanowisko w tym zakresie powodowałoby, iż podstawowych praw, wynikających z ustawy o ochronie danych osobowych pozbawione byłyby osoby, których dane, w czasach szybkiego rozwoju technologicznego oraz ekspansji sieci internet, są w coraz szerszym zakresie zbiorem danych przetwarzanym w systemach informatycznych. Wyłączenie stosowania art. 32 ust. 1 ustawy w tym przypadku byłoby sprzeczne z ratio legis tego aktu".

● Prawo do informacji nie jest w żadnym stopniu ograniczone w zależności od rodzaju zbioru (tradycyjnego bądź prowadzonego w systemie informatycznym, także online), jak i administratora bądź rodzaju przetwarzanych danych. Uprawnienia osoby, której dane dotyczą, przysługują już od chwili powstania zbioru (a nie jego zgłoszenia do rejestracji lub zarejestrowania przez GIODO).

● Osoba fizyczna ma prawo do informacji o jedynie własnych danych osobowych, a nie o danych osób trzecich. Występujący z wnioskiem o udzielenie informacji (lub z innym wnioskiem na podstawie art. 32 ustawy) musi bowiem wykazać, że ma do tego uprawnienie. Nie trzeba natomiast podawać powodów wystąpienia z żądaniem, uprawnienia do żądania informacji nie można tez uzależniać od wniesienia opłaty wyższej niż uzasadniona kosztami udostępnienia informacji (administrator danych nie może jednak na tym zarabiać), zwłaszcza gdy uprawniony korzysta ze swoich praw nie częściej niż raz na sześć miesięcy. Dotyczy to więc katalogu uprawnień określonego w art. 32 ust. 1 pkt 1-5 ustawy. Warto jednak zwrócić uwagę na wyrok NSA z 30 lipca 2009 r. (sygn. I OSK 1049/08, LEX nr 598345). Wynika z niego, że z art. 32 i 33 ustawy "nie można doszukać się obowiązku wnioskodawcy wniesienia (uiszczenia) opłaty jako przesłanki (warunku) udzielenia przez administratora danych osobowych żądanej informacji w jakiejkolwiek sytuacji".

● Nic nie stoi na przeszkodzie, aby osoba fizyczna korzystała z uprawnień określonych w art. 32 ustawy, działając nie osobiście, ale przez należycie umocowanego pełnomocnika.

● Osoba fizyczna nie może umownie wyłączyć tych swoich uprawnień albo się ich zrzec, jak również zbyć na rzecz innego podmiotu. W praktyce powstaje problem prawa do informacji o danych osobowych osób zmarłych (np. w banku, firmie ubezpieczeniowej itp.). Przyjmuje się, że podstawą prawną do wystąpienia spadkobierców o udostępnienie danych osobowych spadkodawcy nie jest art. 32, ale art. 23 ustawy, który określa zasady dopuszczalności przetwarzania danych osobowych osób trzecich.

● Art. 32 nie określa formy wystąpienia o udzielenie informacji, jak również formy takiej odpowiedzi. Ze względów praktycznych wydaje się więc uzasadnione dopuszczenie wszelkich form, które pozwalają ustalić treść żądania, jak i osobę uprawnionego.

● Gdy administrator nie chce udostępnić żądanych informacji, to zainteresowany ma możliwość zwrócenia się z wnioskiem do GIODO. Organ ten dysponuje instrumentami prawnymi, aby wymusić na administratorze respektowanie prawa osoby, której dane on przetwarza.

● Art. 33 nakłada na administratora danych obowiązki informowania zainteresowanych o przysługujących im prawach. Informacji tych udziela się jedynie na wniosek zainteresowanej osoby fizycznej. Odpowiedź administratora może być udzielona co prawda w dowolnej formie, jednak gdy zainteresowany tego zażąda - powinna być ona sporządzona na piśmie. Co do zasady jest to zresztą najefektywniejsza forma, przydatna zwłaszcza dla celów dowodowych. Zgodnie z wyrokiem NSA z 30 lipca 2009 r. (sygn. I OSK 1049/08) administrator danych osobowych nie może uzależniać wykonania obowiązku informacyjnego określonego w art. 33 ust. 2 ustawy od wniesienia przez wnioskodawcę (z góry) opłaty na poczet kosztów przesłania pisemnej informacji pod wskazany przez wnioskodawcę adres.

● Art. 34 określa przypadki, w których administratorowi wolno odmówić udzielenia informacji zainteresowanej osobie fizycznej o przetwarzanych przez siebie jej danych osobowych. Prawo od informacji określone w art. 32 ustawy nie ma bowiem charakteru bezwzględnego, ale ograniczony ze względu na interes publiczny (np. walkę z przestępczością, ważne interesy gospodarcze państwa).

● Art. 35 jest uzupełnieniem uprawnień określonych w art. 32 ustawy. Zainteresowana osoba fizyczna może domagać się, aby gromadzone i udostępniane dane jej dotyczące były zgodne z prawdą, aktualne i kompletne. Zakres danych powinien też być adekwatny do celu, dla jakiego są zbierane i przetwarzane. Dlatego też zainteresowany ma możliwość uzupełnienia, uaktualnienia i sprostowania danych osobowych, jak również czasowego lub stałego wstrzymania ich przetwarzania bądź ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla jakiego zostały zebrane. Na administratorze danych ciąży natomiast obowiązek dostosowania danych do stanu zgodnego z rzeczywistością oraz obowiązującymi przepisami i słusznymi żądaniami osoby, której dane przetwarza.

● Administrator danych ma też obowiązek informowania innych administratorów, którym udostępnił dane osobowe, o dokonanych uaktualnieniach lub sprostowaniach. Obowiązek ten wynika wprost z ustawy i nie jest uzależniony od wniosku zainteresowanej osoby fizycznej.

● W praktyce często zainteresowani żądają sprostowania lub poprawienia brzmienia imion i nazwisk. W wyroku z 2 kwietnia 2007 r. (sygn. II SA/Wa 2328/06) WSA w Warszawie orzekł, że wymóg zapewnienia merytorycznej poprawności przetwarzanych danych trzeba rozumieć tak, aby zapewnić oryginalną pisownię danych osobowych, a nie tylko właściwe ich brzmienie. Ponadto "nazwisko osoby, której dane są przetwarzane, winno być przetwarzane w takiej formie, w jakiej znajduje się w aktach stanu cywilnego i wystawianych na podstawie tych akt dokumentów tożsamości (np. dowodu osobistego, paszportu). Inne zapisy niż oryginalne mogą wprowadzać w błąd i są niepoprawne".

Rozdział 5

Zabezpieczenie danych osobowych

● Art. 36 nakłada na administratora danych (oraz administratora bezpieczeństwa informacji oraz inne osoby, którym umownie powierzono przetwarzanie danych) obowiązek ochrony przetwarzanych danych.

● Odnosząc się do zabezpieczeń, przepisy nie rozróżniają zbiorów danych przetwarzanych w systemach informatycznych od innych zbiorów (np. stworzonych i przetwarzanych w formie pisemnej, jak książki meldunkowe). Art. 36 nie wskazuje też odpowiednich technicznie i organizacyjnie sposobów zapewnienia bezpieczeństwa. Najczęściej chodzić będzie o odpowiednie rozwiązania konstrukcyjne (np. budowlane, alarmowe itp.). Wskazano zaś jedynie cele, jakie powinien osiągnąć administrator - zabezpieczenie danych przed ich udostępnieniem lub zabraniem przez osoby nieuprawnione, uszkodzeniem, zniszczeniem, zmianą, utratą, jak również przetwarzaniem z naruszeniem ustawy. Środki powinny być stale kontrolowane, czy spełniają swoje zadania, bo powinno się wziąć pod uwagę postęp techniczny. Środki ochrony muszą też być adekwatne - w podobnych sytuacjach i przy podobnych zbiorach danych środki te więc mogą być odmienne, a nie takie same. Zdaniem Janusza Barty, Ryszarda Markiewicza i Pawła Fajgielskiego (komentarz do art. 37 ustawy o ochronie danych osobowych, program LEX, pkt 3) "można i należy dopasowywać je do konkretnych okoliczności i warunków przetwarzania. Powinna zachodzić adekwatność wspomnianego zagrożenia do skali i rodzajów zastosowanych środków (niekiedy mówi się o zasadzie odpowiedniości środków). Ową adekwatność należy oceniać według zobiektywizowanych kryteriów, typowych, przeciętnych zachowań i potrzeb". Autorzy ci sugerują, że najbardziej skuteczne środki są wskazane, gdy przetwarza się dane wrażliwe.

● Administrator danych ma obowiązek sporządzenia, opublikowania, zaznajomienia z treścią odpowiednich osób oraz prowadzenia - w formie pisemnej - dokumentacji zawierającej opis sposobu przetwarzania danych oraz środków technicznych i organizacyjnych zapewniających ochronę danych. Chodzi o dwa dokumenty - politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Szczegółowe regulacje w tej mierze zawiera rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024). Dokumentacja musi być na bieżąco poprawiana, aby była zgodna ze stanem faktycznym i prawnym, jak również ze zmieniającymi się środkami bezpieczeństwa. Analogiczny wymóg dotyczy przewidzianego w art. 39 ustawy obowiązku prowadzenia ewidencji osób upoważnionych do przetwarzania danych.

● W zgłoszeniu zbioru danych do rejestracji na podstawie art. 41 ustawy (o ile zbiór ów podlega takiemu obowiązkowi) należy podać: opis środków technicznych i organizacyjnych mających na celu zabezpieczenie danych, jak również informację o sposobie wypełnienia wymagań technicznych i organizacyjnych ustalonych w rozporządzeniach zawierających przepisy wykonawcze do ustawy.

● Administrator może też sporządzać kopie zapasowe zbiorów danych, co nie znaczy, że nie podlegają one takim samym rygorom, jak oryginały. Dotyczy to również usuwania danych osobowych. Zgodnie z wyrokiem NSA z 3 lipca 2009 r. (sygn. I OSK 633/08, LEX nr 552323), kopia zapasowa zbioru danych osobowych nie jest wartością samą w sobie, mogącą pozostawać poza regułami wynikającymi z ustawy o ochronie danych osobowych, czyli istnieć poza zbiorem danych osobowych. Może ona być bowiem jedynie częścią tego zbioru. Sąd podkreśla, że wynikają z tego daleko idące konsekwencje. "Skoro administrator danych osobowych utracił prawo do przetwarzania danych konkretnego podmiotu, to spoczywający na nim obowiązek ochrony tych danych polega na usunięciu danych tego podmiotu ze swego systemu informatycznego, w tym z kopii zapasowych" - czytamy w uzasadnieniu wyroku NSA.

● Obowiązkiem posiadania indywidualnego upoważnienia do przetwarzania danych nadanego przez administratora objęte zostały wszystkie osoby, które przetwarzają dane osobowe. Nie ma znaczenia sposób przetwarzania (tradycyjny, czy też za pomocą systemu informatycznego). Chodzi nie tylko o osoby, które na stałe zajmują się przetwarzaniem danych (będą to głównie pracownicy administratora danych), ale również o osoby czasowo wykonujące czynności w tym zakresie (np. dokonujące serwisu sprzętu czy software, administratorzy bezpieczeństwa informacji zatrudniani na umowy cywilnoprawne itp.). Kryterium jest możliwość zapoznania się z treścią danych osobowych gromadzonych przez administratora. Wyjątkowo, bez upoważnienia, dostęp do danych mogą mieć inne osoby, ale tylko wtedy, gdy wynika to z przepisów prawa. Chodzi m.in. o kontrolerów GIODO, ale również wskazywany w orzecznictwie sądowym przypadek prokuratora legitymującego się ustawowym upoważnieniem i limitowany normami proceduralnymi. Zdaniem NSA (wyrok z 21 grudnia 2005 r., sygn. I OSK 1279/05, LEX nr 321545) w takiej sytuacji prokurator nie musi posiadać odrębnego upoważnienia do dostępu do danych osobowych.

● Art. 38 przewiduje obowiązki służące sprawowaniu kontroli w zakresie wprowadzania i przekazywania danych osobowych do i ze zbioru. Dotyczy zarówno zbiorów w systemach informatycznych, jak i tradycyjnych (np. kartoteki). Nie ma tez znaczenia sposób, w jaki nastąpiło przekazanie danych (obowiązek dotyczy zwłaszcza przekazywania danych za pomocą urządzeń teletransmisji, ale nie tylko). Dobór środków sprawowania kontroli - adekwatnych do danego stanu faktycznego - pozostawiony został administratorowi danych. Chodzi o uniemożliwienie naruszenia przepisów o ochronie danych osobowych albo - w sytuacji gdy już do naruszenia doszło - o ustalenie osoby za to odpowiedzialnej.

● Zgodnie z art. 39 ustawy jednym z obowiązków administratora danych jest prowadzenie ewidencji osób fizycznych upoważnionych do przetwarzania danych osobowych. Chodzi nie tylko o osoby zatrudnione u administratora danych na umowę o pracę, ale również niezatrudnione, ale upoważnione przez administratora do przetwarzania danych - a więc osoby, które chociażby pośrednio mają do czynienia z przetwarzaniem danych, w tym także osoby upoważnione jedynie czasowo. Osoba upoważniona do przetwarzania danych nie musi być bowiem obowiązkowo zatrudniona u administratora, do przetwarzania danych osobowych u administratora można też upoważnić osobę z zewnątrz.

● Obowiązek prowadzenia ewidencji obciąża - co do zasady - administratora danych. Gdy administrator danych powierzy ich przetwarzanie innemu podmiotowi (do czego podstawę prawna stwarza art. 31 ustawy), to ta inna osoba także będzie objęta obowiązkiem ewidencyjnym (jednocześnie z administratorem, który poprzez powierzenie nie może czuć się całkowicie zwolniony z obowiązków ewidencyjnych).

● Art. 39 ust. 1 ustawy określa elementy, które musi zawierać ewidencja osób upoważnionych do przetwarzania danych osobowych. W ewidencji powinny się znaleźć imię i nazwisko osoby upoważnionej, data nadania i ustania oraz zakres upoważnienia jej do przetwarzania danych, jak również identyfikator (jeżeli dane są przetwarzane w systemie informatycznym). Warto podkreślić, że zgodnie z rozporządzeniem ministra spraw wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024), jeżeli dostęp do danych przetwarzanych w systemie informatycznym mają co najmniej dwie osoby, to dla każdej z nich trzeba zarejestrować odrębny identyfikator. Ponadto dostęp do danych osobowych powinien być możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia (np. PIN-em, kartą magnetyczną, hasłem, niekiedy nawet za pomocą systemu biometrycznego), a identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. Hasło musi też być odpowiednio skomplikowane i zmieniane przynajmniej raz na 30 dni.

● Każdy upoważniony do przetwarzania danych osobowych ma obowiązek zachowania w tajemnicy ich oraz sposobów ich zabezpieczenia. Należy osoby te powiadomić o tych obowiązkach przy nadaniu upoważnienia. Upoważniani powinni (najlepiej w formie pisemnej - dla celów dowodowych) potwierdzić, że zostali poinformowani o tych obowiązkach.

● Janusz Barta, Ryszard Markiewicz i Paweł Fajgielski przyjmują, że art. 39 ustawy ustanawia w praktyce tajemnicę zawodową (por. komentarz do art. 39 ustawy o ochronie danych osobowych, program LEX, pkt 4). Może to powodować różne konsekwencje prawne. Przykładowo, świadkowi w procesie cywilnym wolno odmówić odpowiedzi na zadane pytanie, jeżeli zeznanie miałoby łączyć się z pogwałceniem istotnej tajemnicy zawodowej. Nie wszyscy zgadzają się z tym poglądem, bo - jak podkreślają - obowiązek zachowania tej tajemnicy może ciążyć także na osobach, które nie są zatrudniane przez administratora danych. Jest to więc raczej tajemnica funkcyjna (związana z określonymi zadaniami), a nie tajemnica zawodowa. Obowiązek zachowania danych osobowych w tajemnicy polega głównie na zakazie ich ujawniania innym osobom, przekazywania, wykorzystywania (poza przypadkami przewidzianymi w ustawie z 1997 r. lub ustawach szczególnych). Za naruszenie tego obowiązku grozi odpowiedzialność karna określona w art. 51 i następnych ustawy).

● Od 1 maja 2004 r. obowiązuje rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).

● Na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Oba te dokumenty prowadzi się w formie pisemnej, a wdraża je administrator danych.

● Jak podkreśla WSA w Warszawie w wyroku z 5 października 2005 r. (sygn. II SA/Wa 734/05, LEX nr 217395) "polityka bezpieczeństwa to dokument, który powinien być dostosowany do konkretnych warunków przetwarzania danych osobowych u określonego administratora danych. Konieczne jest zatem nadanie nazw poszczególnym zbiorom danych osobowych oraz wskazanie nazw używanych do ich przetwarzania programów komputerowych. Niezbędne jest też sporządzenie opisu struktury zbioru wskazującego zawartość informacji w nim gromadzonych. Opis pola danych powinien umożliwiać jednoznaczną interpretację jego zawartości". Polityka bezpieczeństwa zawiera w szczególności:

- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

- wykaz zbiorów danych osobowych (wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych);

- opis struktury zbiorów danych (w tym zawartość poszczególnych pól informacyjnych i powiązania między nimi);

- sposób przepływu danych pomiędzy poszczególnymi systemami;

- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Natomiast instrukcja zarządzania systemem informatycznym zawiera w szczególności:

- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

- sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,

- sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania,

- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

● Rozporządzenie wprowadza też poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym - podstawowy, podwyższony oraz wysoki. Określono też w nim, w jakich sytuacjach stosuje się te poziomy. Załącznik do rozporządzenia opisuje zaś środki bezpieczeństwa, które należy stosować na poszczególnych poziomach.

● Zgodnie z rozporządzeniem dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym (z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie), system powinien zapewnić odnotowanie daty pierwszego wprowadzenia danych do systemu, identyfikatora użytkownika wprowadzającego dane osobowe do systemu (oprócz przypadków, gdy dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba), źródła danych (w przypadku zbierania danych, nie od osoby, której one dotyczą), informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych, jak również o zgłoszonym sprzeciwie zainteresowanego.

● Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, należy zapewnić sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie wszystkie wymagane przepisami informacje. Przy czym nie chodzi o raport zbiorczy o wszystkich osobach, ale o raporty indywidualne, dotyczące poszczególnych osób (por. wyrok WSA w Warszawie z 26 sierpnia 2010 r., sygn. II SA/Wa 828/10, LEX nr 737814).

● Na podstawie rozporządzenia z 2004 r. mogą też być wydawane przez organy administracji przepisy wewnętrzne, określające szczegółowe zasady zabezpieczania danych osobowych w podległych im jednostkach. Takim aktem jest np. decyzja nr 3 komendanta głównego Straży Granicznej z 10 stycznia 2005 r. w sprawie zabezpieczenia danych osobowych w Straży Granicznej (Dziennik Urzędowy Komendanta Głównego Straży Granicznej z 2005 r. nr 1, poz. 6 ze zm.).

Rozdział 6

Rejestracja zbiorów danych osobowych

● Obowiązek rejestracji zbiorów danych osobowych dotyczy tylko administratorów, a nie np. osób, którym powierza się przetwarzanie danych na mocy umowy (określonych w art. 31 ustawy). Co do zasady administrator musi zgłaszać swoje zbiory danych osobowych do rejestracji w GIODO, niezależnie od tego, czy są rozproszone, czy też podzielone. Na obowiązek rejestracji nie ma wpływu charakter zbiorów (zewnętrzne czy wewnętrzne), status administratora jako podmiotu publicznego lub prywatnoprawnego, komercyjne lub niekomercyjne przeznaczenie zbiorów, metoda prowadzenia zboru (informatyczna lub tradycyjna) itp. Zgłoszenia można dokonać osobiście, drogą pocztową, a także online przy wykorzystaniu podpisu elektronicznego przez specjalny panel zamieszczony na stronie internetowej GIODO. Zgłoszenie zbioru danych osobowych do rejestracji nie podlega opłacie skarbowej.

● Jak podkreślają Janusz Barta, Ryszard Markiewicz i Paweł Fajgielski (komentarz do art. 40 ustawy o ochronie danych osobowych, program LEX, pkt 1) "przedmiotem zgłoszenia i rejestracji jest zbiór danych jako taki; nie jest nim ani samo przetwarzanie danych prowadzone na podstawie jednego czy więcej zbiorów, ani zawartość (treść) zbioru. Takie podejście pozwala jednym zgłoszeniem objąć różne, chociażby ze względu na cel, rodzaje przetwarzania danych dokonywane w ramach i przy wykorzystaniu jednego zbioru. Zgłaszane do rejestracji powinny być również zbiory niewykorzystywane". Ci sami autorzy zauważają, że "zgłoszenie i sama rejestracja zbioru danych osobowych mają w istocie jedynie informacyjny i formalny charakter. Nie są źródłem żadnych praw dla administratora ani też nie oznaczają, że przetwarzanie danych w zbiorze jest zgodne z prawem" (komentarz do art. 40 ustawy o ochronie danych osobowych, program LEX, pkt 4). Rejestracji zbioru dokonuje się czynnością materialno-techniczną, a tylko odmowa zarejestrowania następuje w formie decyzji administracyjnej.

● Rejestracji podlega także rozszerzenie zbioru na nowe kategorie danych osobowych podlegające obowiązkowi rejestracyjnemu. Nie ma znaczenia, czy zbiór danych osobowych był już wcześniej zarejestrowany, czy jeszcze nie. Natomiast samo poszerzenie, ograniczenie, aktualizacja albo weryfikacja danych zawartych w już zarejestrowanym zbiorze nie jest wystarczającą podstawą do dokonywania jego rejestracji (o ile wcześniej nie było to wymagane, albo ze względu na zmianę stanu prawnego nie wprowadzono nowego obowiązku rejestracyjnego szerszego niż dotychczasowy). W tym celu został też odpowiednio przygotowany oficjalny formularz rejestracyjny, którego wzór zawiera załącznik do rozporządzenia ministra spraw wewnętrznych i administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji generalnemu inspektorowi ochrony danych osobowych (Dz.U. z 2008 r. nr 229, poz. 1536), o którym więcej piszemy w komentarzu do art. 46a ustawy.

● Pełny katalog przypadków, w których rejestracja zbiorów przez GIODO nie jest konieczna, określa art. 43 ust. 1 ustawy. Katalogu tego nie można interpretować rozszerzająco, bo są to wyjątki od generalnej zasady, iż zbiory danych osobowych podlegają rejestracji. Ponadto zwolnienie z obowiązku rejestracyjnego nie oznacza, że nie należy przestrzegać innych ustawowych reguł przy przetwarzaniu danych osobowych i szanować praw osób, których dane dotyczą. Zbiory niezarejestrowane także podlegają kontrolom GIODO.

● Art. 41 zawiera katalog minimalnych wymogów, jakie musi spełniać zgłoszenie zbioru danych osobowych do rejestracji. Zgłoszenie należy też aktualizować, gdy zmieniają się podawane w nim informacje (nie dotyczy to jednak dodawania do zbioru kolejnych danych lub ich uzupełniania). Zgłoszenie aktualizujące powinno nastąpić nie później niż w ciągu 30 dni od dnia dokonania zmiany w zbiorze danych. Jeżeli zmiana dotyczy rozszerzenia zakresu przetwarzanych danych o dane wrażliwe (wymienione w art. 27 ustawy), to administrator danych musi dokonać zgłoszenia przed dokonaniem zmiany w zbiorze. Jest to regulacja skorelowana z rozwiązaniem przyjętym w art. 46 ustawy.

● Obowiązek prowadzenia jawnego rejestru ciąży na GIODO, który jednak nie może w nim udostępniać wszystkich informacji podawanych we wnioskach przez administratorów danych, ale musi się ograniczyć do katalogu określonego w art. 42 ust. 1 ustawy. GIODO nie ujawnia m.in. opisu środków technicznych i organizacyjnych zastosowanych w celach zabezpieczenia zbiorów danych osobowych. Rejestr nie może też ujawniać żadnych indywidualnych danych osobowych ani konkretnych przypadków ich przetwarzania. Także prawo przeglądania zawartości rejestru dotyczy tylko ujawnianych informacji, a nie wszystkich podawanych we wnioskach zgłoszeniowych przez administratorów.

● Obecnie o wydanie zaświadczenia może się ubiegać jedynie administrator danych (do 22 stycznia 2004 r. takie uprawnienie miał każdy zainteresowany) - z tym że zaświadczenie dotyczące zboru zawierającego dane wrażliwe wydaje się niezwłocznie z urzędu, bez konieczności składania wniosku przez administratora. Inne osoby - poza administratorem - mogą otrzymać zaświadczenie na zasadach ogólnych określonych w art. 217 kodeksu postępowania administracyjnego, ale muszą wykazać, że mają interes prawny w jego otrzymaniu.

● Główne powody, dla których wyłącza się obowiązek rejestracji, to interes publiczny albo niewielki stopień potencjalnego zagrożenia praw i wolności osób fizycznych, których dane osobowe są przetwarzane w zbiorach. Katalog zwolnień z rejestracji zawarty w art. 43 ustawy nie jest pełny - powiększają go też przepisy szczególne. Przykładowo można wskazać ustawę z 27 lipca 2005 r. - Prawo o szkolnictwie wyższym (t.j. Dz.U. z 2012 r. poz. 572 ze zm.). Zwolniono tam z obowiązku rejestracji zbiory danych osobowych uczelnianych systemów biblioteczno-informacyjnych (art. 88).

● Mimo zwolnienia zbioru z rejestracji nadal pozostaje on pod kontrolą GIODO (choć niekiedy znacząco zredukowaną, jak np. przy zbiorach zawierających informacje niejawne albo zbiorach kościelnych). Potwierdza to wyrok WSA w Warszawie z 7 maja 2012 r. (sygn. II SA/Wa 2767/11, LEX nr 1162872), który stwierdził, że "nie jest dopuszczalna merytoryczna ingerencja GIODO w sprawy przetwarzania danych osobowych osób należących do kościoła lub innego związku wyznaniowego o uregulowanej sytuacji prawnej przetwarzanych na potrzeby tego kościoła lub związku". GIODO nie może badać legalności przetwarzania takich danych osobowych (por. wyroki WSA w Warszawie: z 13 marca 2012 r., sygn. II SA/Wa 2558/11, LEX nr 1138973 oraz z 20 marca 2012 r., sygn. II SA/Wa 2493/11, LEX nr 1138961). W odniesieniu do zbiorów danych objętych tajemnicą państwową GIODO zachowuje np. uprawnienie określone w art. 14 pkt 2 ustawy, czyli może żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego (por. wyrok NSA z 17 sierpnia 2010 r., sygn. I OSK 1426/09, LEX nr 737492).

● Wobec zbiorów niepodlegających rejestracji obowiązują wszystkie pozostałe rygory ustawy o ochronie danych osobowych. W praktyce administratorzy danych najczęściej korzystają ze zwolnień zawartych w art. 43 pkt 4, 8-9 i 11 ustawy. Od 2004 r. zwolnienie zbiorów danych przetwarzanych w związku z zatrudnieniem u administratorów rozszerzono o dane osób świadczących im usługi na podstawie umów cywilnoprawnych, a także danych dotyczących osób u nich zrzeszonych lub uczących się. Zwolnienie to obecnie obejmuje nie tylko pracowników, ale również osoby zatrudnione na podstawie umów-zleceń, umów o dzieło itp. Co istotne, przez zbiory danych przetwarzanych w związku z zatrudnieniem u administratora rozumiane są zarówno zbiory odnoszące się do osób aktualnie zatrudnionych, jak i byłych pracowników. Tak samo jest ze zbiorami danych o osobach dawniej zrzeszonych bądź uczących się.

● Zwolnieni z obowiązku rejestracji są administratorzy przetwarzający dane wyłącznie w celach rozliczeniowych (chodzi głównie o wystawianie faktur VAT) lub sprawozdawczości finansowej. Jednak gdyby zbiory danych tworzone w celach rozliczeniowych miały być wykorzystywane także w innych celach (np. marketingowych), wówczas zbiory te powinny zostać zgłoszone do rejestracji.

● Przez dane powszechnie dostępne rozumie się przypadki udostępniania nieograniczonemu kręgowi podmiotów (np. w sieci internet).

● Zgodnie z art. 44 ustawy, gdy GIODO stwierdzi, że istnieje przyczyna odmowy rejestracji zbioru, to musi odmówić rejestracji. Jednak braki formalne zgłoszenia do rejestracji powinny być natomiast uzupełnione w trybie art. 64 kodeksu postępowania administracyjnego, odmowa rejestracji z tego powodu możliwa będzie dopiero wtedy, gdy nie dojdzie do ich usunięcia.

● Administrator danych ma prawo zgłosić ponownie zbiór danych do rejestracji po usunięciu przeszkód, które spowodowały odmowę jego rejestracji. Dopuszczalne jest więc wielokrotne ponawianie wniosku, z tym że GIODO każdorazowo ma prawo do jego pełnej kontroli, w tym do oceny, czy nie wystąpiły nowe przeszkody do rejestracji zbioru danych.

● Jak podkreśla się w doktrynie (Janusz Barta, Ryszard Markiewicz i Paweł Fajgielski, komentarz do art. 44 ustawy o ochronie danych osobowych, program LEX, pkt 4) "w razie ponownego zgłoszenia zbioru do rejestracji administrator danych może rozpocząć ich przetwarzanie dopiero po zarejestrowaniu zbioru. Dotyczy to także sytuacji, gdy towarzyszący pierwotnej odmowie nakaz ze strony generalnego inspektora odnosił się tylko do ograniczenia przetwarzania danych do ich przechowywania albo zastosowania innych środków. W przypadkach powtórnego zgłoszenia nie ma bowiem zastosowania przepis art. 46 (...) pozwalający administratorowi rozpocząć przetwarzanie danych w zbiorze już po zgłoszeniu tego zbioru do rejestracji".

● Ponieważ ustawa nie nakłada wprost obowiązku informowania o zaprzestaniu przetwarzania danych i likwidacji zbioru, to art. 44a pozwala GIODO z urzędu dokonać wykreślenia zbioru z rejestru. Wykreślenie zbioru z rejestru możliwe jest jedynie w okolicznościach szczegółowo wymienionych w art. 44a ustawy. Ma ono formę decyzji administracyjnej, od której strona może wnieść do GIODO wniosek o ponowne rozpatrzenie sprawy, a następnie zaskarżyć do WSA w Warszawie i złożyć skargę kasacyjną do NSA.

● Art. 45 zawierał delegacje ustawowe do wydania rozporządzeń wykonawczych do ustawy. Obecnie delegacje te znajdują się w innych artykułach ustawy.

● Art. 46 ustawy precyzuje, od kiedy można rozpocząć przetwarzanie danych osobowych w zbiorze danych podlegającym rejestracji. Co do zasady wystarczy samo zgłoszenie zbioru do rejestracji w GIODO. Wyjątkiem są zbiory z danymi wrażliwymi (ich katalog zawiera art. 27 ustawy, chodzi o dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym). Administrator danych wrażliwych może rozpocząć ich przetwarzanie w zbiorze dopiero po zarejestrowaniu zbioru przez GIODO, który zresztą ma obowiązek niezwłocznego wydania administratorowi zaświadczenia o zarejestrowaniu zbioru zawierającego jakiekolwiek dane wrażliwe. Zasada ta ma zastosowanie nie tylko do zbiorów składających się jedynie z danych wrażliwych (w praktyce spotykanych bardzo rzadko), ale przede wszystkim wtedy, gdy w zbiorze przetwarzane mają być - obok danych zwykłych - jakiekolwiek dane wrażliwe.

Natomiast przetwarzanie danych w zbiorach danych osobowych, które w ogóle nie podlegają rejestracji, jest dozwolone już po spełnieniu innych wymogów ustawowych, w tym zapewnienia odpowiedniego zabezpieczenia danych gromadzonych w zbiorach.

Obecnie wzór zgłoszenia zbioru do rejestracji określa rozporządzenie ministra spraw wewnętrznych i administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji generalnemu inspektorowi ochrony danych osobowych (Dz.U. z 2008 r. nr 229, poz. 1536), które zastąpiło analogiczne przepisy z 2004 r. Na oficjalnym formularzu stanowiącym załącznik do rozporządzenia zgłasza się po raz pierwszy do rejestracji zbiory danych (w tym również te zawierające dane wrażliwe określone w art. 27 ustawy), jak również rejestruje się zmiany do pierwotnych zgłoszeń.

Rozdział 7

Przekazywanie danych osobowych do państwa trzeciego

● Przez pojęcie "państwa trzeciego" wedle art. 47 należy rozumieć państwo nienależące do Europejskiego Obszaru Gospodarczego. Tak wynika z art. 6 komentowanej ustawy. Przepis odnosi się zatem do przekazywania danych do krajów innych niż Austria, Belgia, Bułgaria, Cypr, Czechy, Dania, Estonia, Finlandia, Francja, Grecja, Hiszpania, Holandia, Irlandia, Islandia, Liechtenstein, Litwa, Luksemburg, Łotwa, Malta, Niemcy, Norwegia, Portugalia, Rumunia, Słowacja, Słowenia, Szwecja, Węgry, Wielka Brytania oraz Włochy.

● To do administratora danych należy ocena, czy interesujące go państwo zapewnia ochronę na poziomie, o którym mowa w komentowanym przepisie. Nie może tu liczyć na wskazówki czy tym bardziej wiążącą interpretację generalnego inspektora ochrony danych osobowych, wydane przezeń zaświadczenie itp.

● Wyliczenie zawarte w ust. 3 komentowanego przepisu ma charakter alternatywny. Oznacza to, że wystarczy spełnienie którejkolwiek z wymienionych w nim przesłanek, aby administratorowi wolno było przekazać dane osobowe do państwa trzeciego. Innymi słowy, dla dopuszczalności takiej operacji dostateczny powód stanowi, że bądź to osoba, której dane dotyczą, udzieliła na to zgody na piśmie, bądź przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie, bądź przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem, bądź przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych, bądź przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, bądź to wreszcie dane są ogólnie dostępne.

● Przekazanie danych za granicę nie wyłącza obowiązków związanych z tą operacją, a wynikających z ustawy. Jak wyjaśnił GIODO w jednej z interpretacji dostępnych w jego serwisie internetowym (http://www.giodo.gov.pl/326/id_art/3307/j/pl/), w przypadku przekazywania danych do państwa trzeciego administrator danych powinien m.in. poinformować osoby, których dane dotyczą, o fakcie przekazywania ich danych do państw trzecich. Bowiem wypełnienie powyższego obowiązku przez administratora danych ma kluczowe znaczenie dla zapewnienia realizacji uprawnień przez osoby, których dane dotyczą. Uprawnienia te wynikają z art. 32 ust. 1 ustawy, zgodnie z którym każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, m.in. prawo do:

- uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,

- uzyskania informacji o źródle pochodzenia danych, chyba że administrator danych zobowiązany jest do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,

- żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane,

- prawo wniesienia pisemnego umotywowanego żądania zaprzestania przetwarzania danych ze względu na jej szczególną sytuację, czy też wniesienia sprzeciwu wobec przetwarzania jej danych osobowych w przypadkach, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

● Przekazanie danych z naruszeniem komentowanego przepisu może stanowić przestępstwo z art. 51 ustawy. Por. uwagi do tego artykułu.

● W literaturze zwrócono uwagę na konieczność rozróżnienia przekazania danych i dalszego przekazania danych. Pod tym drugim pojęciem kryje się przekazanie danych przez administratora z państwa docelowego do podmiotu trzeciego. Zdaniem P. Barty i P. Litwińskiego, niedopuszczalna wykładnia rozszerzająca, wymagająca od administratora przekazującego dane zapobiegania zjawisku ich dalszego przekazywania. Adresatem obowiązków mających swoje źródło w komentowanym przepisie jest bowiem wyłącznie administrator przekazujący dane osobowe i to wyłącznie pod warunkiem, że do jego działalności znajdują zastosowanie przepisy komentowanej ustawy. Tym samym administrator, który dokonał pierwotnego przekazania danych, nie jest odpowiedzialny za dalsze przekazanie, a podmiot dokonujący tego przekazania może być za nie odpowiedzialny wyłącznie w takim zakresie, w jakim podlega przepisom komentowanej ustawy (por. P. Barta, P. Litwiński, "Ustawa o ochronie danych osobowych", C.H. Beck, Warszawa 2009, s. 428).

● Ustawa nie określa sposobu, w jaki "administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą". Jednym ze sposobów jest z pewnością zawarcie przez administratora odpowiednich umów.

● Zawarcie umów nie zawsze będzie warunkiem wystarczającym do uzyskania zgody. Jak stwierdza A. Drozd (A. Drozd, "Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy", LexisNexis, Warszawa 2007, uw. 4 do art. 48), "zawarcie przez administratora danych umowy uwzględniającej standardowe klauzule umowne nie przesądza o zapewnieniu przez niego odpowiednich gwarancji w rozumieniu art. 48". Zdaniem tego autora "uwzględnić należy również to, czy w systemie prawnym państwa trzeciego umowy zawierane na rzecz osoby trzeciej są ważne".

● Zdaniem Naczelnego Sądu Administracyjnego (wyrok z 16 kwietnia 2003 r., sygn. II SA 3878/02), generalny inspektor ochrony danych osobowych, wyrażając zgodę na przekazywanie danych osobowych za granicę, powinien przy udzieleniu zgody kierować się oceną, czy zastosowane środki różnego typu, klauzule umowne, środki techniczne, pozwalają zapewnić odpowiadający ustawodawstwu polskiemu stopień ochrony tych danych.

● W interpretacji dostępnej w serwisie internetowym GIODO (http://www.giodo.gov.pl/326/id_art/3318/j/pl/) napisano, że generalny inspektor, rozpatrując wniosek o wyrażenie zgody na przekazywanie danych do państwa trzeciego, ustala, czy administrator danych (tu są nim obie spółki) zapewnił odpowiedni poziom zabezpieczeń w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Sprawdza m.in., czy wykorzystywane do przekazywania danych osobowych systemy informatyczne spełniają wymogi rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Ze względu na to, że zapewnienie odpowiedniego poziomu ochrony może wiązać się z przyjęciem odpowiednich zobowiązań umownych, generalny inspektor dokonuje również analizy odpowiednich postanowień umownych w oparciu o standardowe klauzule umowne zawarte w decyzji nr 2002/16/WE Komisji Europejskiej z 27 grudnia 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych przetwarzającym dane mającym siedzibę w państwach trzecich, na mocy dyrektywy 95/46/WE. Według bowiem zapisów tej decyzji standardowe klauzule umowne powinny zawierać techniczne i organizacyjne środki bezpieczeństwa zapewniające poziom ochrony adekwatny do ryzyka, jakie niosą przetwarzanie i charakter danych podlegających ochronie, jakie musi zastosować odbiorca mający siedzibę w państwie trzecim. W załączniku do wspomnianej decyzji zawartych jest 11 standardowych klauzul umownych, z których mogą skorzystać podmioty zawierające umowę o przekazanie danych do państwa trzeciego. Są wśród nich m. in.: klauzula wymieniająca obowiązki przekazującego dane, klauzula wymieniająca obowiązki odbierającego dane czy klauzula dotycząca mediacji i właściwości sądu. W tworzonej przez strony umowie dotyczącej przekazania danych do podmiotu mającego siedzibę w państwie trzecim ważne jest zatem, aby zawarte zostały w niej postanowienia dotyczące technicznych i organizacyjnych środków bezpieczeństwa przekazywanych danych.

Rozdział 8

Przepisy karne

● Wszystkie przestępstwa stypizowane w ustawie o ochronie danych osobowych ścigane są z urzędu. Teoretycznie nie jest więc nawet potrzebne zawiadomienie o dokonaniu któregokolwiek z nich ani tym bardziej wniosek pokrzywdzonego.

● Wśród przestępstw opisanych w ustawie o ochronie danych osobowych nie ma zbrodni, a tylko występki. Zbrodnią jest czyn zabroniony zagrożony karą pozbawienia wolności na czas nie krótszy od lat 3 albo karą surowszą, występkiem jest czyn zabroniony zagrożony grzywną powyżej 30 stawek dziennych, karą ograniczenia wolności albo karą pozbawienia wolności przekraczającą miesiąc (art. 7 kodeksu karnego).

● Pokrzywdzony może działać w postępowaniu karnym w charakterze oskarżyciela posiłkowego. W zależności od sytuacji procesowej występuje wówczas obok albo zamiast oskarżyciela publicznego (prokuratora).

● Art. 49 jest rozwinięciem art. 27, dotyczącego przetwarzania tzw. danych wrażliwych. Ten drugi zabrania właśnie przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. W tym kontekście ważna jest jednak lista wyłączeń zawarta w art. 27 ust. 1 (zob. uwagi do tego przepisu). Przetwarzanie danych w sytuacjach mieszczących się w dyspozycji art. 27 ust. 1 nie jest karalne.

● Zdaniem Sądu Najwyższego (postanowienie z 11 grudnia 2000 r., sygn. II KKN 438/2000), dane osobowe korzystają z ochrony przewidzianej ustawą o ochronie danych osobowych już wówczas, jeżeli tylko mogą znaleźć się w zbiorze danych osobowych, bez względu na to, czy się w nim ostatecznie znalazły, a ustawa w odniesieniu do różnych etapów i rodzajów przetwarzania danych określa jeszcze dodatkowe uprawnienia osób, których dane te dotyczą (rozdz. 4 ustawy). Rzecz bowiem w tym, że każdy ma prawo do ochrony dotyczących go danych osobowych (art. 1 ust. 1 ustawy), a nie jedynie ten, czyje dane znalazły się już w zbiorze.

● Art. 50 stanowił, iż "kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku". Został on uchylony 7 marca 2011 r. przez ustawę z 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz.U. nr 229, poz. 1497). Przyczyny tego omówiono w uzasadnieniu do projektu nowelizacji. Art. 50, penalizujący czyn polegający na przechowywaniu w zbiorze danych osobowych niezgodnie z celem utworzenia zbioru, usunięto z powodów, które można chyba określić jako formalne. Popełnienie takiego czynu w istocie wypełnia bowiem również dyspozycję art. 49 ustawy. Innymi słowy, działalność taka nie przestała stanowić czynu zabronionego. Tyle tylko, że funkcjonowanie w obrocie prawnym dwóch przepisów penalizujących taki sam czyn uznano za zbędne.

● Przestępstwo stypizowane w art. 50 może popełnić również podmiot, któremu administrator powierzył, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych. Rozwiązanie takie dopuszcza art. 31 ustawy (por. uwagi do tego przepisu).

● Przestępstwo, o którym mowa, może zostać popełnione tylko z winy umyślnej. Innymi słowy, sprawca musi mieć zamiar jego popełnienia, to jest chce je popełnić albo przewidując możliwość jego popełnienia, na to się godzić (art. 9 par. 1 kodeksu karnego). Wynika to z faktu, iż w rozumieniu polskiego prawa karnego materialnego występek można popełnić nieumyślnie, ale wtedy tylko, gdy ustawa wprost tak stanowi (art. 8 kodeksu karnego).

● Zbiór danych osobowych to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie (art. 7 ustawy). Zdaniem Naczelnego Sądu Administracyjnego (wyrok z 12 stycznia 2007 r., sygn. I OSK 218/06), skoro ustawodawca użył w tym przepisie sformułowania "kryteria" w liczbie mnogiej, to zgodnie z założeniem racjonalnego ustawodawcy należy przyjąć, że dostępność zestawu danych o charakterze osobowym musi być możliwa na podstawie co najmniej dwóch kryteriów. Warto jednak podkreślić, że poglądów Naczelnego Sądu Administracyjnego mogą nie podzielić organa ścigania, a także sądy powszechne i Sąd Najwyższy. Tymczasem sprawy o przestępstwa rozpoznawane są nie przez sądy administracyjne, lecz właśnie powszechne (nad orzecznictwem których czuwa z kolei właśnie Sąd Najwyższy).

● Pojęcia "administratora danych osobowych" i "administrującego zbiorem danych" nie są tożsame. Jak stwierdził Sąd Najwyższy w postanowieniu z 11 grudnia 2000 r. (sygn. II KKN 438/00), na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania tych danych (art. 7 pkt 4 ustawy), natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 50, 51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy, przy czym odpowiedzialność karna administrującego niebędącego administratorem danych wchodzi w rachubę wówczas gdy jego zachowanie - uznane za karalne przez ustawę - wynika z powierzonych mu czynności przetwarzania danych. Zdaniem SN w art. 51 nie chodzi jedynie o odpowiedzialność karną podmiotu, który ,,będąc administratorem danych" udostępnia je lub umożliwia do nich dostęp osobom nieupoważnionym, ale o odpowiedzialność każdego, kto czyni to ,,administrując zbiorem", choćby nie był jego administratorem. Istotne jest tu jednak, aby zawiadywał on nie tyle danymi, ile zbiorem danych.

● Czyn zabroniony popełniony jest nieumyślnie, jeżeli sprawca nie mając zamiaru jego popełnienia popełnia go jednak na skutek niezachowania ostrożności wymaganej w danych okolicznościach, mimo że możliwość popełnienia tego czynu przewidywał albo mógł przewidzieć (art. 9 par. 2 kodeksu karnego). Dlatego w literaturze przestępstwa nieumyślne określane są inaczej jako przestępstwa z nieostrożności.

● Osobami nieupoważnionymi są zarówno te niemające upoważnienia do przetwarzania danych osobowych, jak i te, które co prawda upoważnienie mają, ale nie do przetwarzania danych, które im udostępniono lub z którymi mogły się zapoznać (tak A. Drozd, "Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy", LexisNexis, Warszawa 2007, s. 323)

● Nie bez znaczenia jest, że w komentowanym przepisie ustawodawca posłużył się liczbą mnogą (osoba nieuprawniona), a nie pojedynczą, jak w art. 51 (osoby nieupoważnione). Zdaniem Sądu Najwyższego (wyrok z 21 listopada 2007 r., sygn. IV KK 376/07), wskazuje to, iż ustawodawca wyraźnie rozróżnia sytuacje, w których istotne jest, czy swego rodzaju "kontrahentem" sprawcy przestępstwa jest jedna czy też większa liczba osób.

● O tym, jak "zabezpieczyć dane przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem", stanowi m.in. rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).

● Zasadą jest, że obowiązek zgłoszenia zbioru danych do rejestracji obciąża każdego administratora. Wynika to wprost z art. 40 ustawy.

● W literaturze stwierdzono, że przestępstwo określone w art. 53 może popełnić każda osoba, na której ciąży obowiązek rejestracji zbioru danych. Może to być zarówno osoba występująca w roli administratora danych, jak i inna osoba, jeżeli jest obowiązana np. na podstawie umowy dokonać zgłoszenia zbioru danych do rejestracji (A. Drozd, "Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy", LexisNexis, Warszawa 2007, s. 324).

● Od reguły, o której mowa powyżej, przewidziano liczne wyjątki. I tak z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

- zawierających informacje niejawne,

- które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,

- przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,

- przetwarzanych przez generalnego inspektora informacji finansowej,

- przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

- przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,

- dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,

- przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

- dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

- tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,

- dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,

- przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

- powszechnie dostępnych,

- przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,

- przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Omówienie tych wyjątków znaleźć można w uwagach do art. 43.

● Co do pojęcia "administrującego zbiorem danych osobowych", por. uwagi do art. 51.

● Obowiązek poinformowania osoby, której dane dotyczą, o jej prawach, wynika w szczególności z art. 32. Stanowi on, że każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:

- uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska,

- uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,

- uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,

- uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,

- uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,

- uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2,

- żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane,

- wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację,

- wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych,

- wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1.

● Z kolei "obowiązek poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie" wynika z art. 24 i art. 25. Ten pierwszy stanowi, że w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,

- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

- prawie dostępu do treści swoich danych oraz ich poprawiania,

- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Natomiast w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,

- celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,

- źródle danych,

- prawie dostępu do treści swoich danych oraz ich poprawiania,

- uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.

● O tym, kiedy należy poddać się kontroli i jakie są jej zasady, przesądza sama ustawa o ochronie danych osobowych. I tak kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli (art. 15 ust. 1 ustawy). W szczególności chodzi o umożliwienie przeprowadzenie czynności oraz spełnienie żądań, o których mowa w art. 14 pkt 1-4 - a więc:

- wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,

- żądania złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osób w zakresie niezbędnym do ustalenia stanu faktycznego,

- wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,

- przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.

● W literaturze wyrażono pogląd, iż udaremnianie dokonania czynności kontrolnej oznacza niedopuszczenie do przeprowadzenia czynności, uniemożliwienie jej przeprowadzenia, natomiast utrudnianie wykonania czynności kontrolnej polegać może na stwarzaniu trudności, przeszkód, które zakłócają prawidłowy tok procesu kontroli. Przy interpretacji użytych w komentowanym przepisie pojęć "udaremnianie" i "utrudnianie" można odwołać się do dorobku doktryny prawa karnego, ukształtowanego na gruncie art. 225 k.k., w którym to przepisie ustawodawca posłużył się tymi sformułowaniami (J. Barta, P. Fajgielski, R. Markiewicz, "Ochrona danych osobowych. Komentarz", Wolters Kluwer, Warszawa 2011, uw. 3 do art. 54a).

● Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową. Imienne upoważnienie powinno zawierać wskazanie podstawy prawnej przeprowadzenia kontroli, oznaczenie organu kontroli, imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej, określenie zakresu przedmiotowego kontroli, oznaczenie podmiotu objętego kontrolą albo zbioru danych, albo miejsca poddawanego kontroli, wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli, podpis generalnego inspektora, pouczenie kontrolowanego podmiotu o jego prawach i obowiązkach oraz datę i miejsce wystawienia imiennego upoważnienia (art. 15 ust. 3-4 ustawy).

● Komentowany przepis obowiązuje od 3 lipca 2011 r. Został dodany ustawą z 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz.U. z 2010 r. nr 229, poz. 1497).

Rozdział 9

Zmiany w przepisach obowiązujących, przepisy przejściowe i końcowe

● Termin wyznaczony w art. 61 upłynął w 1999 r. Obecnie praktyczne znaczenie tego przepisu jest już mniejsze, niż w okresie tuż po wejściu w życie ustawy o ochronie danych osobowych.

● Zarysowała się różnica poglądów co do zakresu zastosowania komentowanego przepisu. W literaturze przedmiotu zaprezentowano pogląd, iż rejestracja, o której tu mowa, nie dotyczy zbiorów w postaci zwykłych kartotek, skorowidzów, ksiąg, wykazów czy innych zbiorów ewidencyjnych (J. Barta, P. Fajgielski, R. Markiewicz, "Ochrona danych osobowych. Komentarz", Wolters Kluwer, Warszawa 2011, uw. 2 do art. 61). W tym samym miejscu autorzy ci zauważają, że za odmienną wykładnią opowiada się generalny inspektor, który przyjmuje, że intencją komentowanego przepisu była jedynie prolongata rejestracji zbiorów w systemach informatycznych o półtora roku, a nie zwolnienie niektórych kategorii zbiorów z rejestracji; wszelkie zbiory funkcjonujące inaczej niż w systemach informatycznych ze wspomnianego przywileju nie korzystają i powinny być rejestrowane "od razu" po wejściu w życie ustawy (30 kwietnia 1998 r.).

● Ustawa o ochronie danych osobowych weszła w życie 30 kwietnia 1998 r.

Michał Kosiarski

prawnik, właściciel firmy doradczej Kos-Consulting

współpraca: WP