Ochrona danych osobowych - co wiedzieć należy?
W ślad za Generalnym Inspektorem Ochrony Danych Osobowych oraz Informacyjnym Serwisem Policyjnym publikujemy materiały poradnikowe, zawierające wiedzę niezbędną każdemu policjantowi.
Poniżej przedstawiamy podstawowe zagadnienia dotyczące ochrony danych osobowych, które przydadzą się Państwu w codziennej pracy i służbie. Oryginalny tekst dostępny jest na portalu http://isp.policja.pl. Ponadto dla chętnych, pragnących pogłębić swoją wiedzę, zamieszczamy poradnik w formacie PDF opublikowany na stronie Generalnego Inspektora Ochrony Danych Osobowych pt. "ABC wybranych zagadnień z ustawy o ochronie danych osobowych".
Podstawowe zagadnienia dotyczące ochrony danych osobowych
Uprawnienia Policji
Katalog uprawnień Policji określa rozdział 3 ustawy o Policji z dnia 6 kwietnia 1990 r. Zgodnie art. 14 ust. 4 tej ustawy, Policja w celu realizacji ustawowych zadań może korzystać z danych o osobie, w tym również w formie zapisu elektronicznego, uzyskanych przez inne organy, służby i instytucje państwowe w wyniku wykonywania czynności operacyjno-rozpoznawczych oraz przetwarzać je w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), bez wiedzy i zgody osoby, której dane te dotyczą.
Zgodę na pozyskiwanie danych osobowych przez Policję regulują również inne akty prawne, takie jak np.: kodeksy karny i wykroczeń, kodeksy postępowania karnego i w sprawach o wykroczenie. Ponadto w prowadzonych w Komendzie Głównej Policji zgodnie z art. 36. ust. 2 dokumentacjach opisujących sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną wyszczególnione są akty prawne pozwalające na przetwarzanie tych danych osobowych.
Zakres stosowania ustawy
Zgodnie art. 2 ust. 2 ustawę stosuje się do przetwarzania danych osobowych:
w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych ( tj. w zbiorach niezautomatyzowanych – manualnych, tradycyjnych),
w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych (zbiory zautomatyzowane).
Zatem wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, jak również takie informacje wprowadzane i wykorzystywane w systemach informatycznych, są zbiorami danych osobowych.
Dane osobowe
1.W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2.Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny, albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3.Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Danymi osobowymi będą zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. Daną osobową będzie taka informacja, która pozwala na ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Poza zakresem przedmiotowej definicji znajdzie się zatem taka informacja, na podstawie której identyfikacja osoby wymagać będzie nieracjonalnych, nieproporcjonalnie dużych nakładów kosztów, czasu lub działań.
Dane wrażliwe
W art. 27 ust. 1 ustawy wyodrębniono szczególną kategorię danych osobowych, potocznie zwanych danymi wrażliwymi, sensytywnymi czy po prostu szczególnie chronionymi, są to informacje o:
pochodzeniu rasowym,
pochodzeniu etnicznym,
poglądach politycznych, religijnych, filozoficznych,
wyznaniu,
przynależności partyjnej lub związkowej,
dane o stanie zdrowia,
kodzie genetycznym,
nałogach,
życiu seksualnym,
dane dotyczące skazań,
oraz orzeczeń o ukaraniu i mandatów karnych.
Definicje ustawowe
zbiór danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
system informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
zabezpieczenie danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
usuwanie danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
administrator danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę (art. 3) decydujące o celach i środkach przetwarzania danych osobowych,
zgoda osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie,
odbiorca danych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:
osoby, której dane dotyczą,
osoby upoważnionej do przetwarzania danych,
przedstawiciela, o którym mowa w art. 31a ustawy,
podmiotu, o którym mowa w art. 31 ustawy,
organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem,
państwo trzecie - rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego.
Organ ochrony danych osobowych i jego zadania
Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych.
Do zadań Generalnego Inspektora w szczególności należy:
1.kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
2.wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych,
3. zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm.),
4.prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
5.opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
6.inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
7.uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
Do Generalnego Inspektora Ochrony Danych osobowych nie należy kierować wniosków o udostępnienie danych osobowych, gdyż stosownie do art. 12 ustawy udostępnianie takich danych pozostaje poza zakresem kompetencji Generalnego Inspektora. Zgodnie z przewidzianymi w ustawie kompetencjami Generalny Inspektor prowadzi rejestr zbiorów danych, a nie rejestr wszelkich danych osobowych. Stosownie do treści przepisów szczególnych dane z określonych zbiorów udostępniają, określone w tychże przepisach, właściwe przedmiotowo organy.
Przetwarzanie danych osobowych
Zgodnie art. 7 ust. 2 jakiekolwiek operacje wykonywane na danych osobowych, od momentu ich pozyskania do usunięcia, takie jak:
zbieranie,
utrwalanie,
przechowywanie,
opracowywanie,
zmienianie,
udostępniane
usuwanie,
a zwłaszcza te, które wykonuje się w systemach informatycznych, jest przetwarzaniem danych osobowych. Tym samym, już samo przechowywanie danych, nawet jeśli podmiot faktycznie z nich nie korzysta, jest także przetwarzaniem.
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1.osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2.jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3.jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4.jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5.jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych, albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Prawa osoby, której dane dotyczą
Każdej osobie, której dane dotyczą, zgodnie z art. 32 ust. 1, przysługuje m.in. prawo do:
uzyskania wyczerpującej informacji, czy taki zbiór istnieje oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy,
uzyskania informacji o celu, zakresie i sposobie przetwarzania danych,
uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące oraz podania w zrozumiałej formie treści tych danych,
uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące,
uzyskania informacji o sposobie udostępniania danych i o odbiorcach tych danych,
żądania uzupełnienia, uaktualnienia, sprostowania lub wstrzymania (czasowego lub stałego) przetwarzania danych, jeśli są one niekompletne, nieaktualne, nieprawdziwe, zebrane z naruszeniem ustawy, albo stały się zbędne.
Rejestracja zbiorów danych osobowych
Zgodnie z art. 40 ustawy na administratorze danych ciąży obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Wyjątki od tej zasady przewidziano w art. 43 ust. 1. Zgodnie z tym przepisem, z obowiązku rejestracji są zwolnieni m.in. administratorzy danych, które zostały uzyskane w wyniku :
czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności - pkt 1a,
przetwarzanych przez właściwe organy na potrzeby udziału RP w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym - pkt 2b,
przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się – pkt 4.
eb/KSP