SPRAWOZDANIE GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH Z DZIAŁALNOŚCI W ROKU 2005

Transkrypt

1 SPRAWOZDANIE GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH Z DZIAŁALNOŚCI W ROKU 2005

2 SPIS TREŚCI SPRAWOZDANIE GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH Z DZIAŁALNOŚCI W ROKU WSTĘP... 3 A. Wprowadzenie - prawne podstawy działalności Generalnego Inspektora Ochrony Danych Osobowych...4 B. Biuro Generalnego Inspektora Ochrony Danych Osobowych Struktura organizacyjna Budżet Stan zatrudnienia....6 Część I. OGÓLNA CHERAKTERYSTYKA DZIAŁALNOŚCI GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH Uprawnienia Generalnego Inspektora Ochrony Danych Osobowych Czynności kontrolne Rozpatrywanie skarg Rejestracja zbiorów danych osobowych Opiniowanie projektów aktów normatywnych Wyjaśnianie przepisów Udzielanie zgody na przekazanie danych osobowych do państwa trzeciego Działalność informacyjna Współpraca z mediami Konferencje naukowe i seminaria Szkolenia Informacja telefoniczna Internet Publikacje Część II. PRZETWARZANIE DANYCH PRZEZ PODMIOTY ZE SFERY PUBLICZNEJ I PRYWATNEJ. A. Administracja publiczna Geodezja i Kartografia Podatki Pomoc społeczna Archiwa Publiczne Inne...65 B. Bezpieczeństwo publiczne Policja Straże Miejskie C. Działalność stowarzyszeń i fundacji...93 D. Finanse Banki Windykacja Inne instytucje finansowe E. Firmy marketingowe F. Podmioty świadczące usługi w obszarze mediów G. Mieszkalnictwo

3 H. Oświata I. Partie polityczne J. Służba zdrowia K. Telekomunikacja L. Transport M. Turystyka N. Ubezpieczenia Ubezpieczenia społeczne Ubezpieczenia majątkowe i osobowe O. Wymiar sprawiedliwości Prokuratury Sądy Komornicy Służba Więzienna P. Zatrudnienie Urzędy pracy Inne instytucje rynku pracy Q. Działalność związkowa R. Internet S. Inne Część III. WSPÓŁPRACA MIĘDZYNARODOWA Współpraca w ramach prac instytucji i organizacji międzynarodowych Kontakty dwustronne z rzecznikami ochrony danych osobowych Udział w konferencjach, seminariach i warsztatach o charakterze międzynarodowym PODSUMOWANIE Ocena zabezpieczń technicznych Załącznik nr 1 Wykaz wystąpień Generalnego Inspektora Ochrony Danych Osobowych w roku 2005 o charakterze generalnym do centralnych organów państwa i do innych podmiotów z sektora publicznego Załącznik nr 2 Wykaz najważniejszych wystąpień Generalnego Inspektora Ochrony Danych Osobowych w roku 2005 do podmiotów prywatnych Załącznik nr 3 Wykaz kontroli przeprowadzonych w 2005 roku Załącznik nr 4 Wykaz orzeczeń Wojewódzkiego Sądu Administracyjnego i Naczelnego Sądu Administracyjnego wydanych w 2005 r. w sprawach prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych Załącznik nr 5 Wykaz szkoleń zorganizowanych przez Generalnego Inspektora Załącznik nr 6 Wykaz konferencji krajowych, w których uczestniczył Generalny Inspektor Ochrony Danych Osobowych oraz pracownicy Biura GIODO, zorganizowanych przez inne podmioty Załącznik nr 7 Informacje przekazane przez organy ścigania w sprawach skierowanych w 2005 roku przez Generalnego Inspektora Ochrony Danych Osobowych zawiadomień o popełnieniu przestępstwa. 319 WSTĘP 3

4 A. Wprowadzenie - prawne podstawy działalności Generalnego Inspektora Ochrony Danych Osobowych. Podstawą prawną działalności Generalnego Inspektora Ochrony Danych Osobowych jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), która weszła w życie 30 kwietnia 1998 r. 1 oraz trzy rozporządzenia: a) Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), b) Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 100, poz. 1025), c) Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. Nr 94, poz. 923). B. Biuro Generalnego Inspektora Ochrony Danych Osobowych. 1. Struktura organizacyjna. Zgodnie z art. 13 ustawy o ochronie danych osobowych, Generalny Inspektor wykonuje swoje zadania przy pomocy jednostki pomocniczej, jaką jest Biuro Generalnego Inspektora Ochrony Danych Osobowych. Organizacja oraz zasady działania Biura określone zostały w statucie stanowiącym załącznik do rozporządzenia Prezydenta Rzeczypospolitej Polskiej z dnia 29 maja 1998 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. Nr 73, poz. 464 ze zm.). Strukturę organizacyjną Biura przedstawia poniższy wykres. 1 Informacje na temat nowelizacji tej ustawy dokonanej ustawą z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, 4

5 GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH ZASTĘPCA GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH DYREKTOR BIURA GIODO Departament Prawny Dział Finansowy Zespół Prasowy Departament Rejestracji Zbiorów Danych Osobowych Departament Inspekcji Stanowisko do spraw Pracowniczych Pion Ochrony Departament Informatyki Departament Skarg Stanowisko do spraw Audytu Wewnętrznego Departament Organizacyjno- Administracyjny 2. Budżet. Plan budżetu Generalnego Inspektora za rok 2005 po naniesieniu w nim zmian wyniósł: - wynagrodzenia tys. zł - pochodne od wynagrodzeń tys. zł - pozostałe wydatki tys. zł - wydatki majątkowe 410 tys. zł Zrealizowane w 2005 r. przez Generalnego Inspektora wydatki wyniosły: - wynagrodzenia tys. zł - pochodne od wynagrodzeń tys. zł - pozostałe wydatki tys. zł - wydatki majątkowe 203 tys. zł z tego kwota 90 tys. zł przeznaczona w 2005 r. na wydatki majątkowe należy do wydatków wygasających z końcem 2005 r. Kwota 297 tys. zł została ujęta w wykazie wydatków nie wygasających z końcem 2005 r. z przeznaczeniem na zakup sprzętu komputerowego w związku z realizacją projektu Elektroniczna platforma komunikacji z GIODO E-GIODO 2. Minister poz. 285), która weszła w życie z dniem uzyskania przez Rzeczpospolitą Polską członkostwa w Unii Europejskiej, można odnaleźć w Sprawozdaniu Generalnego Inspektora z działalności w roku 2003 i Więcej informacji na temat projektu E GIODO odnaleźć można w Części I Sprawozdania, pkt 4 Rejestracja zbiorów danych osobowych. 5

6 Finansów udzielił Generalnemu Inspektorowi pożyczki w kwocie tys. zł. na prefinansowanie powyższego projektu. 3. Stan zatrudnienia. Przeciętne zatrudnienie w 2005 r. wyniosło 115 osób. Spośród ogółu zatrudnionych w Biurze GIODO 92 osoby były zatrudnione na stanowiskach merytorycznych, a 23 osoby jako personel pomocniczy. Znaczna większość pracowników Biura posiada wykształcenie wyższe 94 osoby, z tego 72 prawnicze. Część I. OGÓLNA CHERAKTERYSTYKA DZIAŁALNOŚCI GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH. 1. Uprawnienia Generalnego Inspektora Ochrony Danych Osobowych. Zadania Generalnego Inspektora jako organu właściwego do spraw ochrony danych osobowych oraz przyznane mu uprawnienia i kompetencje określone zostały w art. 12 ustawy o ochronie danych osobowych. Do zadań tych należy w szczególności: 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 4) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 5) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 6) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. Na Generalnego Inspektora zostały nałożone także innezadania niż wskazane wyżej. Do jego kompetencji należy opiniowanie regulaminów biur informacji gospodarczej na podstawie art. 5 ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424 ze zm.). 1) Decyzje Generalnego Inspektora Ochrony Danych Osobowych oraz orzeczenia sądów administracyjnych. Ustawa o ochronie danych osobowych przyznaje Generalnemu Inspektorowi Ochrony Danych Osobowych uprawnienia władcze w postaci prawa do wydawania decyzji 6

7 administracyjnych. W razie stwierdzenia, iż określony podmiot narusza przepisy o ochronie danych osobowych Generalny Inspektor wydaje decyzję administracyjną nakazującą przywrócenie, w procesie przetwarzania danych, stanu zgodnego z prawem. Adresatem decyzji może być administrator danych, podmiot, któremu przetwarzanie danych powierzono w trybie art. 31 ustawy o ochronie danych osobowych oraz inny podmiot naruszający przepisy o ochronie danych osobowych, np. podmiot przetwarzający dane bez przesłanki legalizującej takie działanie. Generalny Inspektor wydaje decyzje po przeprowadzeniu postępowania: - skargowego, - rejestracyjnego, - kontrolnego, - w sprawie przekazania danych do państwa trzeciego, - w sprawie udostępnienia informacji publicznej. W 2005 r. Generalny Inspektor wydał 825 decyzji administracyjnych, w tym: wydano na skutek przeprowadzonego postępowania zainicjowanego skargą, dotyczyło postępowań rejestracyjnych, - 98 wydano w związku z przeprowadzoną kontrolą, - 3 dotyczyły zgody na przekazanie danych do państwa trzeciego, - 5 wydano w związku z wniesionymi do Generalnego Inspektora wnioskami o udostępnienie informacji w trybie ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz ze zm.) Wykres Liczbowe zestawienie decyzji administracyjnych wydanych przez Generalnego Inspektora w latach W związku z opiniowaniem regulaminów biur informacji gospodarczej Generalny Inspektor wydał 2 postanowienia. W znacznej ilości przypadków organ ochrony danych osobowych odmawiał uwzględnienia wniosków skarżących. Najczęstszą przyczyną odmowy był brak stwierdzenia naruszeń ustawy o 7

8 ochronie danych osobowych. Następowało to również w przypadkach, gdy przepisy innych ustaw odrębnie regulowały tryb przetwarzania danych (np. w przypadku procedur sądowych przewidzianych w ustawie z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego; Dz. U. Nr 43, poz. 296 ze zm., czy ustawie z dnia 6 czerwca 1997 r. Kodeks postępowania karnego; Dz. U. Nr 89, poz. 555 ze zm.). Z odmową uwzględnienia wniosku skarżący spotykali się także w przypadku, gdy podstawę udostępnienia danych osobowych innym podmiotom stanowił art. 31 ustawy 3. W przypadkach naruszenia ustawy Generalny Inspektor wydawał decyzje nakazujące przywrócenie stanu zgodnego z prawem, w tym m. in. usunięcie danych przetwarzanych niezgodnie z prawem, zastosowanie odpowiednich środków techniczno-organizacyjnych w celu odpowiedniego zabezpieczenia danych, wypełnienie obowiązków informacyjnych z art. 24, 25 i 33 ustawy, oraz zaprzestanie przetwarzania danych np. w celach marketingowych. Z kolei w przypadku, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, np. poprzez usunięcie uchybień stanowiących przedmiot postępowania, Generalny Inspektor wydawał decyzje umarzające prowadzone postępowanie. Na uwagę zasługuje znacznie wyższa w 2005 r. niż w latach ubiegłych liczba decyzji wydanych po przeprowadzeniu postępowania administracyjnego zainicjowanego skierowanymi do Generalnego Inspektora skargami, przy czym aż 103 decyzje wydane zostały w związku z przetwarzaniem danych osobowych przez operatorów telekomunikacyjnych. Analizując treść decyzji wydanych w 2005 r. w związku z rejestracją zbiorów danych należy zwrócić uwagę, iż niemal połowę spośród nich stanowiły decyzje o wykreśleniu zbioru z rejestru prowadzonego przez organ ochrony danych. Decyzje w tym przedmiocie wydawane są w związku z zaprzestaniem przetwarzania danych w zbiorze zarejestrowanym uprzednio przez Generalnego Inspektora lub w przypadku, gdy rejestracji dokonano z naruszeniem prawa 4. Decyzje tej treści Generalny Inspektor może wydawać od 1 maja 2004 r. i od tego czasu liczba podmiotów, które zgłaszają się z wnioskiem o podjęcie takiej decyzji systematycznie rośnie. Z uwagi na spadek liczby przeprowadzonych kontroli Generalny Inspektor wydał mniej niż w latach ubiegłych decyzji administracyjnych będących następstwem czynności kontrolnych. W decyzjach tych nakazywał usunięcie uchybień w procesie przetwarzania danych lub umarzał postępowanie w zakresie nieprawidłowości usuniętych przez kontrolowane jednostki w toku postępowania. Podobnie jak to miało miejsce w latach poprzednich, najwięcej zastrzeżeń wzbudzały środki techniczne i organizacyjne stosowane przez jednostki kontrolowane w celu zapewnienia ochrony przetwarzanych danych. Najczęściej nakazy dotyczyły dostosowania 3 Art. 31 ustawy o ochronie danych osobowych upoważnia administratora danych do powierzenia przetwarzania danych innemu podmiotowi, w drodze umowy zawartej na piśmie. 4 Art. 44a ustawy o ochronie danych osobowych. 8

9 systemów informatycznych służących do przetwarzania danych osobowych do wymogów określonych w przepisach rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W szczególności nakazywano zmodyfikowanie systemów informatycznych w taki sposób, aby zapewniały dla każdej osoby, której dane osobowe są przetwarzane w systemie odnotowanie daty pierwszego wprowadzenia danych do systemu, identyfikatora użytkownika wprowadzającego dane osobowe do systemu oraz informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia. Nakazywano ponadto, aby dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia, a zmiana hasła użytkownika następowała nie rzadziej niż co 30 dni. Liczną grupę stanowiły także decyzje zawierające nakazy opracowania lub uzupełnienia o brakujące elementy dokumentów wymaganych przez przepisy o ochronie danych osobowych, tj. polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, ewidencji osób upoważnionych do przetwarzania danych osobowych. Sporadycznie natomiast w wydanych decyzjach nakazywano dopełnienie innych obowiązków wynikających z przepisów ustawy o ochronie danych osobowych, np. zgłoszenie prowadzonych zbiorów danych osobowych do rejestracji Generalnemu Inspektorowi oraz zbieranie danych w zakresie adekwatnym do celu ich przetwarzania. Część decyzji wydanych przez Generalnego Inspektora zostało poddanych kontroli sądowej. W 2005 r. zostały wydane 43 orzeczenia w sprawach będących przedmiotem rozstrzygnięć Generalnego Inspektora, w tym 37 orzeczeń wydał Wojewódzki Sąd Administracyjny, a Naczelny Sąd Administracyjny rozpatrzył 6 skarg kasacyjnych. Systematycznie wzrasta zatem liczba spraw poddanych kontroli sądowej. W 2004 r. sądy orzekały w 39 sprawach, zaś w roku 2003 w Wykres Liczbowe zestawienie orzeczeń sądów administracyjnych wydanych w związku z decyzjami Generalnego Inspektora w latach

10 30 20 Orzeczenia WSA wydane w latach w sprawach prowadzonych przez Generalnego Inspektora oddalenie skargi uwzględnienie skargi odrzucenie skargi wstrzymanie wykonania decyzji odmowa wstrzymania wykonania decyzji Problematyczną kwestią w orzecznictwie nadal pozostawało zagadnienie cesji wierzytelności. Pomimo, że NSA w wyroku z dnia 6 czerwca 2005 r. 5 wskazał, że co do zasady można przekazywać podmiotom trudniącym się windykacją należności dane dłużników bez ich zgody, ale trzeba wyważać między ochroną ich praw i wolności obywatelskich oraz prywatności a interesami wierzycieli, to jednak analizowane orzeczenie, jak też inne wyroki wydane w podobnych sprawach przez WSA, nie przyniosły odpowiedzi na zasadnicze pytanie, tj. czy Generalny Inspektor mógł orzekać o dopuszczalności przetwarzania danych dłużnika-konsumenta z uwzględnieniem treści postanowień ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.) 6. Jednak z uwagi na zmianę linii orzeczniczej sądów na rzecz dopuszczalności przekazywania danych ze względu na usprawiedliwiony interes administratora danych 7, Generalny Inspektor przyjął stosowaną przez sądy administracyjne interpretację przepisów prawa. W innych sprawach rozpatrywanych przed WSA i NSA skargi były z reguły oddalane, co oznaczało, że sądy podzielały stanowisko Generalnego Inspektora prezentowane w wydawanych decyzjach administracyjnych. Tego rodzaju rozstrzygnięcie zapadło np. w sprawie, w której Generalny Inspektor odmówił rozstrzygnięcia wniosku skarżącego o nakazanie Dyrektorowi Generalnemu Ministerstwa Infrastruktury podania skarżącemu pełnej treści danych zawartych w jego aktach osobowych oraz o wydanie odpisów kserokopii poszczególnych dokumentów 8, czy w sprawie, gdzie organ ochrony danych osobowych nakazał jednej z fundacji usunięcie uchybień w 5 Sygn. akt I OPS 2/05. 6 W szczególności przepisów art. 385¹ 1, art. 385³ pkt 5 i art. 509 Kodeksu cywilnego. 7 W latach ubiegłych sądy administracyjne uznawały stanowisko Generalnego Inspektora co do niedopuszczalności tego rodzaju praktyk, z uwagi na brak przesłanek je legalizujących. 8 Sygn. akt II SA/Wa 825/05. 10

11 procesie przetwarzania danych poprzez odbieranie od osób zamawiających produkty fundacji odrębnej zgody na udostępnianie ich danych innym podmiotom 9. Jedna z bardziej interesujących spraw rozpatrywanych przez Wojewódzki Sąd Administracyjny w Warszawie dotyczyła przechowywania przez Biuro Informacji Kredytowej S.A. 10 danych osobowych w postaci umożliwiającej identyfikację osób, których dotyczą, dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. BIK S.A. zaskarżył decyzję Generalnego Inspektora nakazującą zaprzestanie przetwarzania danych osób, których rachunki kredytowe zostały zamknięte w związku z uzyskaną od banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, informacją o okoliczności powodującej jego zamknięcie. Oddalając skargę 11 Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że ustawodawca upoważniając w art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jednolity: Dz. U. z 2002 r., Nr 72, poz. 665 ze zm.) do utworzenia instytucji mających służyć bankom zakreślił granice gromadzenia, przetwarzania i udostępniania informacji stanowiących tajemnicę bankową przez odwołanie się do potrzeb banków mających związek z czynnościami bankowymi. Zdaniem Sądu, na tle zakresu potrzeb banków w związku z wykonywaniem czynności bankowych powstaje jednak kolizja prawnie chronionych wartości w postaci zabezpieczenia interesów deponentów i zabezpieczenia poszanowania życia prywatnego. W związku z tym, wykonywanie uprawnień banków ograniczają przepisy ustawy o ochronie danych osobowych wyznaczając granice niekontrolowanego zbierania, gromadzenia i udostępniania danych osobowych, w tym jej art. 26 ust. 1 pkt 4, który nakazuje ograniczenie czasowe przechowywania danych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej jednak niż jest to niezbędne do osiągnięcia celu przetwarzania. Z tego względu Sąd podzielił pogląd Generalnego Inspektora Ochrony Danych Osobowych, że legalne przetwarzanie danych osobowych przez instytucję utworzoną m.in. w celu gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, kończy się z chwilą zamknięcia rachunku bankowego 12. Orzeczenie to przyczyniło się do nowelizacji Prawa bankowego i w obecnym stanie prawnym podmioty, o których mowa w art. 105 ust. 4 Prawa bankowego, jak również banki i inne instytucje ustawowo upoważnione do udzielania kredytów są obowiązane usunąć informacje stanowiące tajemnicę bankową, jeśli kredytobiorca nie narusza postanowień zawartej z nimi umowy 9 Sygn. akt II SA/Wa 563/ Instytucja utworzona m.in. w celu gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych. 11 Wyrok z dnia 22 lutego 2005 r., sygn. akt II SA/2030/ Wojewódzki Sąd Administracyjny w Warszawie uznał również, że określenie terminów przechowywania danych osób, których rachunki kredytowe zostały zamknięte, w regulaminie nastąpiło z naruszeniem przepisów Prawa bankowego i Konstytucji RP. 11

12 kredytowej w zakresie warunków spłaty zaciągniętego kredytu i nie wyraził pisemnej zgody na przetwarzanie dotyczących go danych po wygaśnięciu zobowiązania wynikającego z zawartej umowy kredytowej 13. Jeśli zaś kredytobiorca dopuścił się zwłoki powyżej 60 dni w spełnieniu przedmiotowego świadczenia, to przy spełnieniu dalszych warunków 14 wyżej wskazane instytucje będą mogły przetwarzać dane tej osoby przez 5 lat licząc od dnia wygaśnięcia zobowiązania 15. 2) Wystąpienia Generalnego Inspektora Ochrony Danych Osobowych. W swojej działalności Generalny Inspektor Ochrony Danych Osobowych wykorzystuje także inne formy reakcji na stwierdzone naruszenia bądź dla zasygnalizowania problemu pojawiającego się w praktyce. Głównymi adresatami jego wystąpień są centralne i naczelne organy państwa oraz inne podmioty mające zarówno formalne, jak i praktyczne możliwości wpływu na działania podległych im jednostek w zakresie stosowania przez nie zasad ochrony danych osobowych. Przykładowo, wystąpienia skierowane do Prezesa Rady Ministrów oraz właściwych starostów w sprawie podjęcia działań mających na celu dopełnienie obowiązku zgłoszenia do rejestracji zbiorów danych osobowych przez podlegające ich nadzorowi stowarzyszenia (ogółem 379 pism w tej sprawie), spowodowały zgłoszenie do rejestracji ponad 1000 zbiorów prowadzonych przez stowarzyszenia i fundacje. Mając na uwadze skuteczność tego rodzaju wystąpień Generalny Inspektor w 2005 r. częściej, niż w latach ubiegłych korzystał z tego instrumentu kierując 57 wystąpień do podmiotów publicznych i 39 do podmiotów prywatnych. W przypadku wystąpień skierowanych do podmiotów publicznych członków Rady Ministrów, Prezesa Narodowego Funduszu Zdrowia, Prezesa Zakładu Ubezpieczeń Społecznych, Prezesa Narodowego Banku Polskiego, Komendanta Głównego Policji miały one na celu zwrócenie uwagi na potrzebę podjęcia określonych działań o charakterze legislacyjnym lub też sygnalizowały nieprawidłowości w działaniach podmiotów podległych tym organom. Natomiast wystąpienia, w których Generalny Inspektor zwracał się do podmiotów prywatnych dotyczyły określonej, niezgodnej z przepisami o ochronie danych osobowych praktyki stosowanej przez te podmioty i wskazywały na konieczność jej zmiany. Po stronie podmiotów ze sfery publicznej odnotowano np. 13 Zgodnie z art. 105a ust. 2 Prawa bankowego, Instytucje, o których mowa w ust. 1, mogą, z zastrzeżeniem ust. 3, przetwarzać informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych (konsumentów) po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą. Zgoda ta może być w każdym czasie odwołana. 14 Art. 105a ust. 3 pkt 2: (...) upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody. W związku z wątpliwościami banków zaprezentowanymi przez Prezesa Związku Banków Polskich Generalny Inspektor rozstrzygnął, iż obydwie przesłanki wymienione w art. 105a ust. 3 pkt 1 i 2 powinny był traktowane łącznie. Oznacza to, iż tylko po bezskutecznym upływie terminu i braku stosownej reakcji na nadesłaną przez bank (inną instytucję upoważnioną do udzielania kredytów) informację, o której mowa w art. 105a ust. 3 pkt 2, instytucja kredytowa jest upoważniona do przetwarzania informacji stanowiących tajemnicę bankową, bez zgody osoby, której informacje dotyczą, przez 5 lat od dnia wygaśnięcia zobowiązania. 12

13 praktykę nieprawidłowego doręczania korespondencji, czy upubliczniania danych, umożliwiające zapoznanie się z jej treścią osobom nieupoważnionym, co powodowało konieczność kierowania przez Generalnego Inspektora sygnalizacji w przedmiocie zaprzestania takich działań. Problemami pojawiającymi się najczęściej w podmiotach z sektora prywatnego był natomiast brak zapewnienia opcjonalności klauzul zgody na przetwarzanie danych osobowych w celach marketingowych oraz na ewentualne udostępnianie przedmiotowych danych innym podmiotom oraz niewypełnienie bądź nienależyte wypełnianie obowiązków informacyjnych nałożonych na administratorów danych w art. 24 i 25 ustawy. Zwraca uwagę 5 sygnalizacji wystosowanych w okresie sprawozdawczym do Ministra Zdrowia i Prezesa Narodowego Funduszu Zdrowia skierowanych po przeprowadzeniu czynności kontrolnych w podmiotach udzielających świadczeń zdrowotnych i oddziałach wojewódzkich Narodowego Funduszu Zdrowia 16. Ustalenia z przeprowadzonych kontroli, których następstwem były sygnalizacje, dotyczyły przede wszystkim stosowanych przez kontrolowane jednostki środków technicznych i organizacyjnych niezapewniających odpowiedniej ochrony przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Kontrole wykazały bowiem m.in. niewłaściwe zabezpieczenie klucza kryptograficznego używanego do szyfrowania plików przesyłanych drogą elektroniczną między świadczeniodawcami a oddziałem wojewódzkim Narodowego Funduszu Zdrowia oraz dostępu do serwera ftp wykorzystywanego do dokonywania czynności związanych z analizą bądź naprawą baz danych, mogące skutkować udostępnieniem osobom nieuprawnionym danych osobowych świadczeniobiorców. W związku z powyższym, Generalny Inspektor zwrócił się do Ministra Zdrowia i Prezesa Narodowego Funduszu Zdrowia o podjęcie działań mających na celu zastosowanie takich zabezpieczeń, które zapewnią ochronę przetwarzanym danym osobowym 17. Jakkolwiek wystąpienia Generalnego Inspektora jedynie sygnalizują nieprawidłowości w procesie przetwarzania danych oraz zwracają uwagę na potrzebę eliminacji tych nieprawidłowości, są skutecznym narzędziem oddziaływania na realny poziom ochrony danych osobowych zwłaszcza w sektorze publicznym. 3) Zawiadomienia o popełnieniu przestępstwa. Korzystając z uprawnień przyznanych w art. 19 ustawy o ochronie danych osobowych w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej 15 Nowelizacja Prawa bankowego została przedstawiona w Części II Sprawozdania, lit. D. pkt 1. Banki. 16 M.in. kontrole GI-DIS-K-411/41/05 i GI-DIS-K-411/80/ M.in. pisma z dnia 17 maja 2005 r. o sygn. GI-DIS-K-411/138/04/294/05 i z dnia 8 grudnia 2005 r. o sygn. GI-DIS- K-411/80/05/

14 pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpywało znamiona przestępstwa określonego w ustawie o ochronie danych osobowych, Generalny Inspektor kierował do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa 18. W porównaniu z poprzednimi okresami działalności Generalnego Inspektora odnotowano spadek liczby skierowanych zawiadomień Wykres Liczbowe zestawienie zawiadomień o popełnieniu przestępstwa skierowanych do organów ścigania w latach Zdecydowana większość złożonych przez Generalnego Inspektora zawiadomień (49) była konsekwencją ustaleń podjętych w trakcie postępowań administracyjnych wszczętych na podstawie skargi wniesionej do organu ochrony danych osobowych. Najczęstszą przyczyną tego rodzaju interwencji było przetwarzanie danych osobowych bez podstawy prawnej (art. 49 ustawy), co głównie dotyczyło działalności podmiotów zajmujących się marketingiem bezpośrednim, czy udostępnienie danych osobom nieupoważnionym (art. 51 ustawy), jak miało to miejsce np. w przypadku operatorów telekomunikacyjnych. Warto zwrócić uwagę, że podmioty zajmujące się prowadzeniem promocji swoich produktów i usług w tzw. systemie wysyłkowym w wielu przypadkach prowadzą działalność poza granicami Polski, co bardzo utrudnia prowadzenie przeciwko nim postępowań. W sprawach tego rodzaju, gdy brak było dowodów świadczących o dopuszczalności przetwarzania danych przez te podmioty, a jednocześnie Generalny Inspektor nie miał możliwości odebrania wyjaśnień w celu zweryfikowania zebranego materiału dowodowego, kierowane były do organów ścigania zawiadomienia o popełnieniu przestępstwa określonego w art. 49 ust. 1 ustawy, polegającego na przetwarzaniu danych osobowych skarżących przez te podmioty bez podstawy prawnej 19. Generalny Inspektor składał na podmioty prowadzące działalność marketingową zawiadomienia o popełnieniu przestępstwa z art. 49 ust. 1 ustawy o ochronie danych osobowych również wtedy, gdy 18 Szczegółowe zestawienie informacji przekazanych przez organy ścigania w sprawach złożonych zawiadomień o popełnieniu przestępstwa zawiera załącznik nr 7 niniejszego Sprawozdania. 19 Problematyka dotycząca przetwarzania danych przez tego rodzaju podmioty została omówiona w Części II niniejszego Sprawozdania lit. E Firmy marketingowe. 14

15 podmioty te przetwarzały dane osobowe pomimo złożenia przez osoby, których dane dotyczyły, sprzeciwu wobec dalszego wykorzystywania ich danych w celach marketingowych. Podobnie jak w latach ubiegłych tego rodzaju działania Generalnego Inspektora nie wywołały pożądanych efektów ze względu na postawę organów ścigania, które umarzały większość zainicjowanych przez organ ochrony danych osobowych postępowań. Odpowiedzią ze strony Generalnego Inspektora na tak lekceważący stosunek Policji i prokuratury w kwestii przestępstw popełnianych na gruncie ustawy o ochronie danych osobowych było sygnalizowanie Ministrowi Sprawiedliwości popełnionych przez organy ścigania błędów przy ustalaniu stanu faktycznego i prawnej ocenie prowadzonych spraw. Brak zainteresowania problematyką ochrony danych osobowych przez organy powołane do ścigania przestępstwa znacznie utrudnia prowadzenie skutecznej polityki w zakresie ochrony danych. 4) Żądania wszczęcia postępowania dyscyplinarnego. Korzystając z uprawnienia przyznanego w art. 17 ust. 2 ustawy o ochronie danych osobowych w omawianym okresie sprawozdawczym Generalny Inspektor w 2 przypadkach wystąpił o wszczęcie postępowania dyscyplinarnego w stosunku do osób winnych stwierdzonych nieprawidłowości. W 2004 r. organ ochrony danych osobowych skierował 18 takich wniosków, zaś w 2003 roku Wykres Liczbowe zestawienie wniosków o wszczęcie postępowania dyscyplinarnego złożonych przez Generalnego Inspektora w latach Znaczny spadek liczby wniosków o wszczęcie postępowania dyscyplinarnego może wynikać z faktu, iż administratorzy danych już na etapie postępowania przed Generalnym Inspektorem sami inicjowali wobec zatrudnionych pracowników odpowiedzialnych za uchybienia działania dyscyplinujące. Jednocześnie podejmowali oni szereg działań ukierunkowanych na poprawę poziomu ochrony danych osobowych w zakładach pracy, np. przeprowadzali szkolenia wśród pracowników, podejmowali stosowne działania organizacyjno-techniczne, aby wyeliminować w przyszłości ryzyko wystąpienia błędów przy przetwarzaniu danych. 15

16 2. Czynności kontrolne. Czynności kontrolne, których celem jest ustalenie, czy jednostka kontrolowana przetwarza dane zgodnie z przepisami o ochronie danych osobowych, przeprowadzane są w oparciu o art. 12 pkt 1 i art. 14 ustawy o ochronie danych osobowych. W art. 14 ustawy o ochronie danych osobowych wymienione zostały uprawnienia przysługujące Generalnemu Inspektorowi, Zastępcy Generalnego Inspektora oraz upoważnionym inspektorom w związku z realizacją zadania określonego w art. 12 pkt 1 powołanej ustawy. Uprawnienia te obejmują w szczególności prawo wstępu do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą, żądania złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osoby w zakresie niezbędnym do ustalenia stanu faktycznego, wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. Wymienionym uprawnieniom towarzyszy obowiązek kierownika kontrolowanej jednostki umożliwienia inspektorom dokonania tych czynności (art. 15 ust. 1 ustawy o ochronie danych osobowych). Przeprowadzane w toku kontroli czynności (odbieranie wyjaśnień od kierownictwa i pracowników kontrolowanej jednostki, oględziny) są dokumentowane w formie protokołów. Protokół kontroli jest sporządzany na podstawie informacji zawartych w protokołach dokumentujących ustalenia czynione w toku czynności kontrolnych, kserokopii dokumentów przedłożonych w toku kontroli oraz wydruków z systemów informatycznych służących do przetwarzania danych osobowych. Następnie, w zależności od poczynionych w toku kontroli ustaleń, tzn. czy stwierdzone zostały nieprawidłowości w procesie przetwarzania danych osobowych, wszczynane jest postępowanie administracyjne lub kierowane jest do jednostki kontrolowanej pismo z informacją, że w zakresie objętym kontrolą nie stwierdzono uchybień. Ponadto w przypadku, gdy działanie lub zaniechanie kierownika jednostki kontrolowanej lub jej pracownika wyczerpuje znamiona przestępstwa określonego w ustawie o ochronie danych osobowych, do organu ścigania kierowane jest zawiadomienie o popełnieniu przestępstwa (art. 19 ustawy o ochronie danych osobowych). Ustalenia kontrolne mogą także uzasadnić żądanie wszczęcia postępowania dyscyplinarnego przeciwko osobom winnym dopuszczenia do uchybień (art. 17 ustawy). 16

17 W 2005 r. przeprowadzonych zostało 119 kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, w tym 43 kontrole kompleksowe obejmujące całość problematyki związanej z ochroną danych osobowych. Pozostałe były kontrolami częściowymi i obejmowały wybrane zagadnienia przetwarzania danych osobowych w systemach informatycznych Wykres Zestawienie liczbowe przeprowadzonych kontroli w latach % 80% 60% 40% 20% 0% 59,78% 43,06% 53,78% 40,22% 56,94% 46,22% kontrole w Warszawie kontrole poza Warszawą Wykres Porównanie procentowe kontroli przeprowadzonych w Warszawie i poza Warszawą w latach Najczęściej czynnościom kontrolnym poddawane były podmioty z sektorów administracji publicznej i instytucji finansowych. W porównaniu z poprzednimi okresami sprawozdawczymi w 2005 r. nastąpił spadek liczby przeprowadzonych kontroli. Spowodowane to było przede wszystkim tym, że w 2005 r. szczególny nacisk został położony na kontrole podmiotów przetwarzających dane w wielu zbiorach danych osobowych, często zróżnicowanych pod względem struktury, oraz przy użyciu wielu systemów informatycznych. Ustalenie zasad przetwarzania danych osobowych przez takie podmioty, a w szczególności zastosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, 17

18 uszkodzeniem lub zniszczeniem, wymagało przeprowadzenia większej ilości czynności kontrolnych, polegających np. na oględzinach systemów informatycznych służących do przetwarzania danych osobowych czy odbieraniu wyjaśnień od kierownictwa i pracowników jednostki kontrolowanej. Konieczność dokonania wielu czynności kontrolnych w celu ustalenia stanu faktycznego wpłynęła na czas trwania takich kontroli (np. kontrole jednostki Policji i jednego z ministerstw trwały około 3 tygodni), co w połączeniu z zaangażowaniem w nie większej liczby inspektorów musiało spowodować zmniejszenie ogólnej liczby kontroli. Tego typu kontrole zostały przeprowadzone w podmiotach reprezentujących prawie wszystkie sektory wymienione w niniejszym sprawozdaniu. Najwięcej jednak przeprowadzono ich w organach administracji publicznej, organach wymiaru sprawiedliwości oraz w podmiotach udzielających świadczeń zdrowotnych. Należy także wskazać, że zgromadzone w związku z kontrolami przeprowadzaniymi w takich podmiotach wielotomowe akta wymagały bardzo starannego (i czasochłonnego) przeanalizowania pod kątem ustalenia, czy kontrolowane jednostki przetwarzają dane w sposób zgodny z przepisami o ochronie danych osobowych. Podczas czynności kontrolnych skontrolowano w sumie 456 systemów informatycznych wykorzystywanych do przetwarzania danych osobowych. Zauważyć zatem należy, iż pomimo mniejszej liczby przeprowadzonych w 2005 r. kontroli, liczba skontrolowanych systemów informatycznych jest większa niż w roku ubiegłym 359 systemów. Stopień wypełnienia w poszczególnych latach wymogów formalnych, organizacyjnych i technicznych wynikających z przepisów o ochronie danych osobowych przedstawia poniższy wykres. 100% Realizacja wymogów formalnych, organizacyjnych i personalnych w latach % 60% 40% 20% 0% Polityka bezpieczństwa, instrukcja zarządzania systemem informatycznym Ewidencja osób upoważnionych do przetwarzania danych Wyznaczenie administratora bezpieczeństwa informacji Stopień spełnienia wymagań formalno-organizacyjnych kształtował się, w analizowanym okresie, na niezmiennym poziomie sięgającym około 90%. Stwierdzone tu uchybienia w przeważającej mierze dotyczyły zawartości informacyjnej takich dokumentów jak polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym wykorzystywanym do 18

19 przetwarzania danych osobowych, które nie zawierały elementów określonych w 4 i 5 rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych 20. W dalszym ciągu wiele uchybień odnotowano również w odniesieniu do sposobu prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. W porównaniu z latami ubiegłymi mniej było przypadków zupełnego braku wspomnianej wyżej dokumentacji. Tylko w przypadku 1 kontroli (Instytut Pamięci Narodowej Komisja Ścigania Zbrodni przeciwko Narodowi Polskiemu) podmiot nie posiadał podstawowych dokumentów wymaganych przepisami, jak np. polityki bezpieczeństwa. Realizacja wymogów o charakterze technicznym w latach % 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Przechowywanie nośników Odrębny identyfikator Kontrola dostepu do danych Odnotowanie daty pierwszego wprowadzenia danych Odnotowanie źródła danych Odnotowanie identyfikatora użytkownika Odnotowanie udostepnienia danych Odnotowanie sprzeciwu wobec przetwarzania danych Wydruk danych Zgodnie z 4 rozporządzenia, polityka bezpieczeństwa, o której mowa w 3 ust. 1, zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Jego 5 stanowi natomiast, że instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 5) sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych, o których mowa w pkt 4; 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4; 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 19

20 Porównanie stopnia realizacji poszczególnych wymogów ustawy w latach wskazuje wyraźnie, że największy postęp odnotowano w obszarze dotyczącym technicznych warunków przetwarzania danych osobowych, a zwłaszcza w obszarze wymagań dotyczących funkcjonalności systemów informatycznych. W roku 2005 o wiele więcej systemów informatycznych niż w latach poprzednich posiadało funkcjonalności umożliwiające odnotowanie informacji, o których mowa w 7 rozporządzenia 21. W zakresie tym odnotowano największy spadek uchybień w stosunku do lat poprzednich. Kontrola dużej liczby różnorodnych systemów informatycznych spowodowała, że działania kontrolne obejmowały szeroki zakres rozwiązań technologicznych, od najbardziej rozbudowanych opartych o zaawansowane mechanizmy bazodanowe, po najprostsze, gdzie zbiory danych osobowych przetwarzane były z wykorzystaniem powszechnie dostępnych aplikacji biurowych takich, jak np. Ms Excel, czy Ms Word. W przypadku rozbudowanych systemów informatycznych zaobserwowano, że podmioty kontrolowane stosowały najczęściej kompleksowe podejście do zagadnień bezpieczeństwa. Większość z takich podmiotów zabezpieczała zbiory prowadzone przez nie w systemach informatycznych w sposób zgodny z ustawą o ochronie danych osobowych. Wdrożenie procedur wskazujących jednoznacznie sposób postępowania w zakresie bezpieczeństwa, w połączeniu z zaawansowanymi rozwiązaniami w obszarze ochrony logicznej i fizycznej powoduje, że zabezpieczenie danych przetwarzanych z wykorzystaniem dużych systemów informatycznych, centralnie przetwarzających dane korporacyjne, które zawierają również dane osobowe, utrzymuje się na odpowiednio wysokim poziomie. Zdecydowana większość instytucji przetwarzających dane osobowe za pomocą wspomnianych powyżej systemów informatycznych wprowadziła również zaawansowane mechanizmy i narzędzia zabezpieczeń. Uniemożliwiały one m.in. nieuprawniony dostęp do danych, nieuprawnioną modyfikację danych, itp. 21 Zgodnie z 7 ust. 1, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. 2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. 3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu. 20