W administracji trzeba dbać o poufność informacji o obywatelach - przypomina GIODO
Urzędnicy pracujący przy przetwarzaniu danych osobowych muszą przestrzegać tych samych reguł co zatrudnieni w firmach prywatnych. Warto o tym pamiętać, bo przepisy przewidują surowe sankcje
Polska znajduje się w gronie tych państw, które nie różnicują regulacji prawnych w zakresie przetwarzania danych osobowych dla sektora publicznego i prywatnego. W praktyce oznacza to, że ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.; dalej: u.o.d.o.) co do zasady dotyczy w takim samym stopniu zarówno administracji publicznej, jak i prowadzących działalność gospodarczą przedsiębiorców. Są jednak wyjątki.
- Moje kompetencje kontrolne jako organu nie obejmują działalności Instytutu Pamięci Narodowej. Ograniczenia przewidują również regulacje dotyczące informacji niejawnych i służb specjalnych - tłumaczy dr Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych (GIODO).
Odpowiedzialny administrator
W zakresie informacji o obywatelach, które są przetwarzane w urzędach, kluczową rolę odgrywa administrator danych osobowych. O tym, jak ważna jest to funkcja, może świadczyć fakt, że na przykład w resorcie spraw wewnętrznych jest ona przypisana bezpośrednio ministrowi.
Zgodnie z rozdziałem 5 u.o.d.o. to administrator zapewnia środki techniczne i organizacyjne służące zapewnieniu bezpieczeństwa danym osobowym. Odpowiada za to, by dane nie dostały się w ręce osób nieuprawnionych, a także by nie zostały utracone, uszkodzone lub zniszczone. Innymi słowy ma sprawować kontrolę nad przetwarzanymi danymi osobowymi. To na nim przede wszystkim spoczywa odpowiedzialność za przestrzeganie przepisów ustawy o ochronie danych osobowych. Nie oznacza to jednak, że pozostali pracownicy urzędu uczestniczący w przetwarzaniu danych obywateli są z niej zwolnieni.
Błędy systemowe i naruszanie procedur
- Nie można generalnie stwierdzić, który rodzaj odpowiedzialności dominuje, bo to zależy od rodzaju uchybienia, a więc zawsze wymagana jest dokładna ocena konkretnej sytuacji. Naruszenie u.o.d.o. może wynikać nie tylko z błędów systemowych w danym urzędzie w zakresie ochrony danych osobowych, lecz także ze złamania przez urzędnika dobrze opracowanych procedur. Zatem za naruszenia może odpowiadać nie tylko administrator, lecz także konkretny pracownik instytucji - wskazuje dr Wiewiórowski.
Warto o tym pamiętać, bo ustawa przewiduje surowe sankcje. Przykładowo osoba, która jest zobowiązana do ochrony danych osobowych w jednostce, a mimo to udostępnia je lub umożliwia dostęp do nich podmiotom nieupoważnionym, podlega grzywnie, karze ograniczenia albo pozbawienia wolności do lat dwóch - w przypadku danych zwykłych, do trzech - w przypadku danych szczególnie chronionych, wrażliwych. Wpływ na wysokość kary może mieć to, czy działanie było umyślne.
W tle pojawia się jeszcze odpowiedzialność na gruncie cywilnym, bo dane osobowe traktowane jako dobro osobiste człowieka podlegają ochronie na gruncie ustawy z 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U. nr 16, poz. 93 z późn. zm.).
- Co do zasady nie angażujemy się w spory na drodze cywilnej. Możemy jednak pomóc w ustaleniu pewnych faktów potrzebnych osobie poszkodowanej do dochodzenia swoich roszczeń, jeżeli nie ma ona uprawnień, by te informacje pozyskać samodzielnie - tłumaczy GIODO.
Reakcja adekwatna do sytuacji
Trzeba również podkreślić, że pracownicy administracji publicznej wykonujący operacje na informacjach o obywatelach powinni reagować na pojawiające się w tym zakresie nieprawidłowości wewnątrz urzędu. Reakcja zależy oczywiście od rodzaju wykrytego błędu.
- Jeżeli urzędnik stwierdzi, że system do przetwarzania danych osobowych jest podatny na niekontrolowany wyciek informacji, powinien poinformować o swoich przypuszczeniach administratora jako podmiot odpowiedzialny za jego funkcjonowanie. Co innego, gdy do nieuprawnionego wypłynięcia danych już doszło. Wówczas konieczne jest zawiadomienie policji. Trzeba działać adekwatnie do sytuacji - radzi dr Wiewiórowski.
GIODO przypomina również, że urzędnicy mogą udostępniać dane osobowe jedynie wtedy, gdy istnieje ku temu podstawa prawna. Czasami okazuje się to problematyczne, jak np. w przypadku udzielania informacji publicznej. Wówczas pracownik administracji musi sam ocenić, które dane osobowe zawarte w publicznych dokumentach powinien ujawnić, czyniąc zadość prawu do informacji, a które należy jednak zanonimizować.
Piotr Pieńkosz
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu