Przetwarzanie danych osobowych podczas postępowania kontrolnego prowadzonego przez Najwyższą Izbę Kontroli

Transkrypt

1 Przetwarzanie danych osobowych podczas postępowania kontrolnego prowadzonego przez Najwyższą Izbę Kontroli Dr Arwid Mednis Karolina Rudzińska Przegląd Metodyczny 3/2012, Departament Metodyki Kontroli i Rozwoju Zawodowego NIK, grudzień 2012 r. 1. Wstęp Niniejsze opracowanie poświęcone jest uprawnieniom i obowiązkom związanym z dostępem kontrolerów Najwyższej Izby Kontroli do danych osobowych oraz ich przetwarzaniem na potrzeby prowadzonych postępowań kontrolnych. Omówione zostaną podstawy legalizujące przetwarzanie przez NIK danych osobowych i obowiązki wynikające z tego faktu, przewidziane w ustawie z 29 sierpnia 1997 r. (Dz.U. nr 133, poz. 883), dalej uodo" lub ustawa". Wejście w życie uodo nałożyło na podmioty przetwarzające dane osobowe liczne obowiązki, a ochrona tych danych zyskała publicznoprawny charakter ze względu na wagę prawa do prywatności jednostki. Uodo ma charakter generalny w tym sensie, że znajduje zastosowanie zawsze tam, gdzie dochodzi do przetwarzania danych osobowych, zarówno w sektorze prywatnym, jak i w sektorze publicznym, z uwzględnieniem klauzuli kolizyjnej wyrażonej w art. 5 uodo, zgodnie z którym, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę niż wynika to z uodo, należy stosować przepisy tych ustaw. Ustawę stosuje się do przetwarzania danych osobowych w zbiorach (tj. w mających strukturę zestawach danych), a także do przetwarzania danych poza zbiorem, o ile do przetwarzania dochodzi w systemie informatycznym. W orzecznictwie wyrażono również pogląd, że uodo należy stosować także do sytuacji na etapie gromadzenia danych osobowych z zamiarem stworzenia na ich podstawie zbioru (a więc zanim powstanie ostatecznie ich zbiór, a także zanim dane zostaną włączone do zbioru już istniejącego). W praktyce oznacza to bardzo szerokie zastosowanie ustawy: chroni ona bowiem zarówno dane przetwarzane metodami tradycyjnymi (o ile są lub mają być elementem zbioru), jak i dane przetwarzane w systemie informatycznym, nawet jeśli nie są one przetwarzane w zbiorze Podstawowe pojęcia Zanim przejdziemy do szczegółowego omówienia obowiązków związanych z ochroną danych osobowych, przedstawimy podstawowe pojęcia istotne dla omawianego zagadnienia. Postępowanie kontrolne Jest to prowadzone przez NIK postępowanie mające na celu ustalenie stanu faktycznego w zakresie działalności jednostek poddanych kontroli, rzetelne jego udokumentowanie i dokonanie oceny kontrolowanej działalności pod względem legalności, gospodarności, celowości i rzetelności. Kwestia kryterium kontroli ma ogromny wpływ na zakres danych, które mogą być gromadzone w trakcie postępowania. Kontrolerzy Kontrolerzy są to pracownicy Najwyższej Izby Kontroli przeprowadzający kontrolę w jednostce kontrolowanej. 1

2 Zbiór danych Zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy podzielony funkcjonalnie. Pojedyncza informacja o osobie co do zasady nie stanowi zbioru danych w rozumieniu ustawy i, jeśli jest przetwarzana metodą tradycyjną, nie podlega ochronie. Cechą wyróżniającą zbiór danych od innego zestawienia danych jest jego uporządkowany charakter, zapewniający możliwość wyszukania konkretnych danych za pomocą określonego kryterium. Aby określony zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów uodo, wystarczające jest spełnienie jednego kryterium wyszukiwawczego w zestawieniu danych. Dla przykładu, zgodnie ze stanowiskiem GIODO, wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy. Dane osobowe Danymi osobowymi są wszelkie informacje Doty czące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na jeden lub kilka specyficznych czynników określających jej cechy fizyczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu oraz działań. Jeśli zatem jesteśmy w posiadaniu danych, które możemy skojarzyć z konkretną osobą (tj. możemy tę osobę wskazać), to wszystkie te dane są danymi osobowymi. Jeśli nie możemy wskazać osoby od razu, ale po dokonaniu pewnych czynności, to również posiadane przez nas dane będą danymi osobowymi, chyba że te czynności wiązałyby się z nadmiernymi kosztami, czasem oraz działaniami". Powyższa definicja oznacza, że nie można z góry ustalić katalogu danych mających charakter.osobowy". Wszystkie informacje, które mamy i które możemy skojarzyć z konkretną osobą, są danymi osobowymi. Mogą to być w szczególności: imię i nazwisko, adres, adres poczty elektronicznej. Musi zostać jednak spełniony warunek możliwej (choćby potencjalnej) identyfikacji osoby, do której dane te się odnoszą. Ta zasada powoduje, że nazwisko nie zawsze będzie informacją osobową: w przypadku popularnych nazwisk, np. Jan Nowak, identyfikacja na podstawie samego imienia i nazwiska może nie być możliwa. Warto również pamiętać, że jeśli osobę możemy wskazać, to danymi osobowymi będą wszystkie informacje, którymi na temat tej osoby dysponujemy (mogą to być więc np. informacje na temat zarobków, znajomości języków, hobby, itp.). Danymi osobowymi mogą być również wizerunek i głos osoby, co ma szczególne znaczenie w kontekście możliwości rejestracji przesłuchania świadka przez kontrolera NIK na podstawie art. 47 ustawy z 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (Dz.U. 2012, poz. 82, dalej ustawa o NIK"). Dane o szczególnym charakterze ( dane wrażliwe") Za dane wrażliwe uważa się dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 2

3 Administrator danych Administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, w tym organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne, decydujące o celach i środkach przetwarzania danych osobowych. Za administratora danych uznaje się organ państwowy lub samorządowy, państwową lub komunalną jednostkę organizacyjną, podmioty niepubliczne realizujące zadania publiczne, osobę prawną jednostkę organizacyjną nieposiadającą osobowości prawnej lub osobę fizyczną, przetwarzającą dane w związku ze swą działalnością zarobkową, zawodową albo dla realizacji celów statutowych, decydujące o celach i środkach przetwarzania danych osobowych. O celu i środkach przetwarzania danych osobowych przez podmioty publiczne decyduje zazwyczaj ustawodawca, stanowiąc odpowiednie przepisy prawa. Z tego względu podmioty publiczne są zobowiązane do przetwarzania danych osobowych dla realizacji określonych ustawowo celów. Zazwyczaj środki, jakie mają służyć przetwarzaniu danych osobowych, wskazane są w przepisach ustaw lub w wydanych na ich podstawie rozporządzeniach. O tym, czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania. Dla przykładu, zgodnie ze stanowiskiem GIODO, administratorem danych będzie marszałek województwa zgodnie z przepisami ustawy Prawo o ruchu drogowym, ponieważ decyduje on o celach i środkach przetwarzania danych osobowych psychologów uprawnionych do przeprowadzania badań w zakresie psychologii transportu. Przetwarzanie danych Przetwarzaniem danych są wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje wykonywane w systemach informatycznych. System informatyczny System informatyczny to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Zabezpieczenia danych w systemie informatycznym Przez zabezpieczenie danych w systemie informatycznym rozumie się wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. 2. Przetwarzanie danych osobowych przez NIK 2.1. NIK jako administrator danych osobowych Jak wspomnieliśmy, administratorem danych jest podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. Właśnie możliwość podejmowania decyzji o środkach i celach przetwarzania danych osobowych stanowi kryterium odróżniające administratora danych osobowych od innych uczestników biorących udział w przetwarzaniu danych. Ogólne cele działania NIK są wprawdzie ustalone ustawowo, Izba natomiast je uszczegóławia, opracowując plany kontroli lub decydując o kontrolach doraźnych. NIK pozostaje prawnym i faktycznym dysponentem określonych danych osobowych, a w konsekwencji należy uznać, iż jest administratorem danych, które uzyskuje w związku z przeprowadzaną kontrolą w zakresie i celu wskazanym w ustawie o NIK. Ustalenie, że określonemu podmiotowi przysługuje status administratora danych (a więc, że jest on podmiotem decydującym o celach i środkach przetwarzania danych), pociąga za sobą istotne konsekwencje praktyczne w postaci spoczywających na nim obowiązków. 3

4 2.2. Podstawa prawna przetwarzania danych osobowych Dane osobowe mogą być przetwarzane na podstawie jednej z przesłanek legalności przewidzianych w art. 23 ust. 1 uodo. Przetwarzanie danych osobowych jest dopuszczalne m.in., gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt. 2 uodo). Przepisy prawa uprawniające NIK do przetwarzania danych osobowych zawiera ustawa o NIK określająca zadania i kompetencje NIK w zakresie kontroli wykonywania budżetu państwa. Zgodnie z art. 11 ustawy o NIK jednym z jej obowiązków jest przeprowadzanie postępowań kontrolnych w określonych jednostkach. Do celów postępowania kontrolnego prowadzonego przez NIK kierownicy jednostek organów administracji rządowej, Narodowego Banku Polskiego, państwowych osób prawnych i innych państwowych jednostek organizacyjnych, mają obowiązek niezwłocznie przedkładać na żądanie Najwyższej Izby Kontroli, wszelkie dokumenty i materiały niezbędne do przygotowania lub przeprowadzenia kontroli, a także umożliwić dostęp do baz danych, z zachowaniem przepisów o tajemnicy ustawowo chronionej. Kontrola jako obowiązek, a zarazem uprawnienie NIK, pozwala Izbie na przetwarzanie danych osobowych. Zostało to również wyrażone expressis verbis w ustawie o NIK: upoważnieni przedstawiciele NIK mają prawo do przetwarzania danych osobowych, w tym danych wrażliwych, jeżeli jest to niezbędne do przeprowadzenia kontroli (art. 29 ust. 1 pkt 2 lit i) ustawy o NIK) Ustawa o ochronie danych osobowych a ustawa o NIK Uodo znajduje zastosowanie zawsze, kiedy dochodzi do przetwarzania danych osobowych. W art. 5 uodo ustanowiona została norma kolizyjna, zgodnie z którą, jeśli inny przepis przewiduje dalej idącą ochronę w stosunku do danych osobowych niż przepisy uodo, należy stosować ten przepis szczególny. Jeśli ochrona w przepisie szczególnym jest na wyższym poziomie niż ochrona wynikająca z przepisów uodo, to nie oznacza to, że przepisy ustawy szczególnej mają wyłączne zastosowanie do przetwarzania takich danych. Przepis szczególny znajdzie zastosowanie tylko w konkretnym, ograniczonym zakresie. Przepisy uodo mają zatem zastosowanie z wyjątkiem tych sytuacji, gdy ochrona praw jednostki na podstawie przepisu szczególnego jest lepsza. Na przykład, uodo nie zawiera generalnego zakazu udostępniania danych osobowych ani tym bardziej katalogu podmiotów, którym dane mogą być udostępniane. Dlatego przepisem szczególnym w rozumieniu powołanego art. 5 jest każde ustawowe ograniczenie kręgu podmiotów uprawnionych do otrzymywania danych, bądź-to poprzez konkretne wskazanie takich podmiotów, bądź - poprzez ustanowienie tajemnicy zawodowej, sektorowej lub innej (np. tajemnica lekarska, bankowa, telekomunikacyjna i in.). W przypadku NIK można wskazać informacje chronione tajemnicą kontrolerską (art. 28a ust. 3 ustawy o NIK) oraz innymi tajemnicami chronionymi ustawowo (np. art. 10 dotyczący publikacji niektórych dokumentów). Wyższy poziom ochrony w rozumieniu art. 5 uodo dotyczy oczywiście wyłącznie sytuacji, gdy tajemnicą mogą być objęte dane osobowe Zasada adekwatności Powyższe zagadnienie kolizji norm ma również znaczenie w przypadku zastosowania do działalności NIK tzw. zasady adekwatności. Chodzi o generalny obowiązek przetwarzania danych zgodnie z celem, w jakim zostały zebrane (art. 26 uodo). Administrator danych może przetwarzać dane osobowe tylko w celu, w którym dane zostały zebrane. W przypadku NIK celem tym jest przeprowadzenie konkretnego postępowania kontrolnego, określonego w art. 28 ustawy o NIK. Danych osobowych nie można poddawać dalszemu przetwarzaniu niezgodnemu z tymi celami. W przypadku, gdy administratorem danych jest podmiot publiczny, cel przetwarzania danych osobowych wyznacza przepis przyznający mu określone kompetencje. Celem postępowania kontrolnego prowadzonego przez NIK jest ustalenie stanu faktycznego w zakresie działalności jednostek poddanych kontroli, rzetelne jego udokumentowanie i dokonanie oceny kontrolowanej działalności, zgodnie z określonym kryterium wskazanym 4

5 w art. 5 ustawy o NIK. Zasada adekwatności ma zatem odniesienie do dwóch aspektów: zakresu przetwarzanych danych oraz okresu ich przetwarzania. Zakres danych powinien być adekwatny do celu, co oznacza, że nie wolno gromadzić danych nadmiarowych" niemających z określonym celem nic wspólnego. Wydaje się jednak, iż w przypadku NIK zasada ta ulega pewnej modyfikacji na korzyść osób, których dotyczą dane (podmiotów danych). Wspomniany przepis art. 28 ust. 1 pkt 2 lit. i) ustawy o NIK wprowadza tu bowiem wyższy poziom ochrony, nakazując przetwarzanie wyłącznie niezbędnych" danych. Kontrolerzy powinni zatem kierować się dyrektywą: jakie dane są niezbędne do realizacji celu kontroli?", a nie: jakie dane mogą się w ramach kontroli przydać?" Dostęp NIK do danych wrażliwych" Przetwarzanie danych wrażliwych" jest co do zasady zabronione. Zgodnie z art. 27 uodo zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie danych, o których mowa powyżej, jest jednak dopuszczalne, jeżeli m.in. przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony. 2 czerwca 2012 r. weszła w życie nowelizacja ustawy o NIK dotycząca postępowania kontrolnego. Podstawą uprawniającą NIK do dostępu do danych wrażliwych" jest znowelizowany art. 29 ustawy o NIK, na mocy którego przyznany został kontrolerom NIK dostęp do danych wrażliwych, jeżeli jest to niezbędne do przeprowadzenia kontroli. Znowelizowany art. 29 nie wskazuje, do jakich danych wrażliwych NIK ma dostęp, nadając jedynie kontrolerom ogólnie takie uprawnienie. Trzeba jednak mieć na względzie, że nie wszystkie dane wrażliwe" są niezbędne do przeprowadzenia kontroli (np. informacje o pochodzeniu rasowym czy etnicznym). Zgodnie z aktualnym stanem prawnym kontrolerzy NIK mają dostęp także do danych wrażliwych", o ile jest to niezbędne do przeprowadzenia kontroli. Przykładem danych, do których dostęp może okazać się niezbędny do przeprowadzenia kontroli, mogą być dane dotyczące skazań czy orzeczeń o ukaraniu niezbędnych do przeprowadzenia postępowania kontrolnego w zakładach karnych i poprawczych. Należy wziąć pod uwagę fakt, że każdorazowe wystąpienie kontrolera o udostępnienie mu danych wrażliwych" powinno być uzasadnione niezbędnością uzyskania tych danych dla przeprowadzanej kontroli, a dostęp do danych wrażliwych" musi odbywać się zgodnie z wewnętrznymi procedurami NIK w tym zakresie. Niezbędność należy tu rozumieć jako niemożność zrealizowania zadań spoczywających na NIK bez uzyskania dostępu do tychże danych. 3. Gromadzenie danych osobowych przy czynnościach kontrolnych 3.1. Zakres gromadzonych danych osobowych Ustawa o NIK nie zawiera żadnych ograniczeń co do kategorii danych, które mogą być gromadzone podczas kontroli. Do celów postępowania kontrolnego pracownicy NIK przeprowadzający kontrolę i posiadający odpowiednie upoważnienie mają prawo dostępu i przetwarzania różnych danych osobowych zgromadzonych w kontrolowanej jednostce, zgodnie z art. 29 ust. 1 pkt. 2 lit. i) ustawy o NIK. Kierownicy jednostek poddanych kontroli mają obowiązek na żądanie kontrolerów NIK niezwłocznie przedkładać wszelkie dokumenty i materiały oraz umożliwić dostęp do baz danych, w tym tych zawierających dane osobowe. Zgodnie z ustawową definicją pojęcia przetwarzania" danych osobowych kontrolerom NIK przysługuje prawo do dokonywania jakichkolwiek operacji wykonywanych na danych osobowych (np. zbierania, utrwalania, przechowywania, opracowywania czy udostępniania), ograniczonych jednak celem, jakim jest prowadzona w jednostce kontrola. W przypadku danych osobowych kontroler musi pamiętać, aby gromadzić tylko dane niezbędne z punktu widzenia celu i kryterium kontroli. Jak wspomnieliśmy powyżej, nie należy się kierować 5

6 tym, że dane mogą się przydać". Niezbędność" oznacza, że bez konkretnych danych osobowych nie zostanie zrealizowany cel kontroli. Odmowa udzielenia wyjaśnień (w tym również udostępnienia danych osobowych) oraz inne ograniczenia w dostępie do informacji mogą mieć miejsce tylko w przypadkach określonych w ustawie o NIK, m.in. w art. 40 tej ustawy (dotyczy to m.in. informacji objętych tajemnicą ustawowo chronioną inną niż tajemnica służbowa, do których dostęp NIK został ograniczony) oraz 43 (zakaz przesłuchiwania obrońcy co do faktów, o których dowiedział się, udzielając porady prawnej lub prowadząc sprawę, oraz duchownego na okoliczności objęte tajemnicą spowiedzi) Upoważnienia kontrolerów Zgodnie z art. 30 ustawy o NIK kontrolerzy w celu przeprowadzenia kontroli otrzymują stosowne upoważnienie, które obejmuje m.in. zakres przedmiotowy kontroli i okres objęty kontrolą. Zgodnie zaś z art. 37 uodo do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych (tu: NIK). Upoważnienie takie wydaje: Prezes Najwyższej Izby Kontroli, wiceprezesi oraz dyrektorzy i wicedyrektorzy kontrolnych jednostek organizacyjnych Najwyższej Izby Kontroli. Upoważnienie powinno określać oznaczenie osoby, której dotyczy, zakres upoważnienia, cel oraz ewentualny czas, na jaki zostało udzielone. Pracownik, który otrzymał takie upoważnienie, obowiązany jest zachować w tajemnicy przetwarzane dane oraz stosowane sposoby ich zabezpieczenia. Kontrole spraw lub dokumentów zawierających informacje niejawne oznaczone jako ściśle tajne przeprowadza się na podstawie legitymacji służbowej i odrębnego upoważnienia wydanego przez Prezesa NIK Obowiązek informacyjny Administrator danych jest obowiązany względem osoby, której dane przetwarza, zrealizować obowiązek informacyjny. Zgodnie z art. 24 uodo, w przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą, obowiązany jest poinformować tę osobę o: nazwie i adresie swojej siedziby, celu zbierania danych, ewentualnych odbiorcach lub kategoriach odbiorców danych, prawie dostępu do treści danych i prawie ich poprawiania, dobrowolności albo obowiązku podania danych. W razie zbierania danych nie od osoby (art. 25 uodo), której dane dotyczą, a więc pośrednio, administrator danych powinien poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie, celu i zakresie zbierania danych, źródle danych, prawie dostępu do treści swoich danych oraz ich poprawiania, uprawnieniach wynikających z art. 32 ust. 1 pkt. 7 i 8 uodo (chodzi o prawo sprzeciwu i prawo żądania zaprzestania przetwarzania danych - prawa te jednak nie przysługują jednostce wobec NIK). Obowiązek informacyjny nie ma zastosowania w przypadku pośredniego zbierania danych osobowych przez organy państwowe oraz państwowe i komunalne jednostki organizacyjne. NIK nie będzie zatem zobligowany do każdorazowego informowania o tym fakcie osoby trzeciej, której dane na potrzeby postępowania kontrolnego przetwarza. Obowiązek ten natomiast nie został wyłączony w przypadku bezpośredniego zbierania danych, a więc w sytuacji, gdy kontroler pozyskuje dane o konkretnej osobie bezpośrednio od niej, powinien przekazać jej informacje zgodnie ze wspomnianym powyżej art. 24 uodo. Forma udzielenia informacji jest dowolna. 6

7 a 4 Udostępnianie danych Zgodnie z art. 35a ust. 4 ustawy o NIK akta kontroli lub poszczególne dokumenty wchodzące w ich skład mogą być udostępniane także innym osobom, z zachowaniem przepisów o tajemnicy ustawowo chronionej. W razie udostępnienia akt lub dokumentów zawierających dane osobowe innemu podmiotowi odpowiednie zastosowanie powinny mieć przepisy uodo. Przyjmuje się, że z udostępnianiem danych osobowych będziemy mieli do czynienia, gdy ich odbiorcą jest inny administrator danych (tj. podmiot decydujący o celach i środkach przetwarzania danych osobowych). Chodzi tu zatem o sytuacje, w których administrator danych przekazuje dane innemu podmiotowi tak, iż ten drugi podmiot obejmuje je w posiadanie. Udostępnienie danych osobowych może nastąpić tylko w przypadku, gdy administrator danych udostępniający dane jest w stanie wykazać się podstawą prawną legitymującą go do udostępnienia danych zgodnie z art. 23 ust. 1 uodo. Może to być w szczególności konieczność zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Inną formą udostępnienia danych może być publikacja dokumentów, o których mowa w art. 7 ust. 1 i la, art. 8 i art. 9 ustawy o NIK oraz wystąpień pokontrolnych. Trzeba tu jednak pamiętać o ograniczeniu wynikającym z art. 10 tej ustawy, a mianowicie, że podanie treści tych dokumentów do wiadomości publicznej musi uwzględniać przepisy o tajemnicy ustawowo chronionej. Mogą to być m. in. przepisy uodo. 5. Inne obowiązki NIK związane z przetwarzaniem danych osobowych 5.1. Powierzenie przetwarzania danych Zgodnie z art. 31 uodo, każdy administrator danych (w tym NIK) jest uprawniony do powierzenia innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzania danych osobowych. Podmiot, któremu dane powierzono, może przetwarzać te dane wyłącznie w zakresie i celu przewidzianym w umowie. Ponadto jest on obowiązany podjąć wszystkie wymagane prawem środki bezpieczeństwa określone w uodo w celu zapewnienia danym bezpieczeństwa. Odpowiedzialność za przestrzeganie przepisów uodo w takim przypadku spoczywałaby na NIK jako administratorze danych osobowych, co jednak nie wyłącza odpowiedzialności podmiotu, któremu dane powierzono, jeżeli przetwarza je niezgodnie z umową. Warto zaznaczyć, że instytucja ta ma zastosowanie głównie w przypadku administratorów danych z sektora prywatnego. W przypadku NIK konieczność zawarcia stosownej umowy może pojawić się na tle sytuacji, o której mowa w art. 36 ustawy o NIK, zgodnie z którym materiały dowodowe mogą być przechowywane przez jednostkę kontrolowaną. Jednostka kontrolowana nie traci oczywiście statusu administratora danych w stosunku do danych zawartych w przechowywanych materiałach, niemniej z uwagi na to, że NIK uzyskuje taki status wobec dokumentów uznanych za materiał dowodowy, należy za każdym razem rozważyć podpisanie stosownej umowy (lub umieszczenie klauzuli w protokole) o powierzeniu przetwarzania danych. Jeżeli otrzymywany przez kontrolerów materiał zawiera dane zanonimizowane, zawarcie umowy o powierzeniu przetwarzania danych nie będzie konieczne Obowiązek rejestracyjny Na administratorze danych zgodnie z uodo spoczywa obowiązek zgłoszenia zbioru danych, o ile zbiór taki prowadzi, do rejestracji Generalnemu inspektorowi Ochrony Danych Osobowych (art. 40 uodo). Obowiązkowi rejestracji podlegają zbiory danych osobowych, tj. każdy posiadający strukturę zestaw danych osobowych, dostępnych według określonych kryteriów, niezależnie od tego, czy jest rozproszony, czy podzielony funkcjonalnie. O ile dane przetwarzane są poza zbiorem danych albo do powstania zbioru w ogóle nie dochodzi, nie będziemy mieli również do czynienia z obowiązkiem rejestracji zbioru. W praktyce sporadycznie dochodzi do rejestracji zbioru danych osobowych stanowiących akta postępowania prowadzonego przez organy administracji publicznej, jakkolwiek obowiązek ten na gruncie uodo istnieje i jest aktualny. 7

8 Co do zasady taki obowiązek powinien zostać wykonany przed rozpoczęciem zbierania danych osobowych, a administrator danych osobowych może rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi Ochrony Danych Osobowych. Natomiast jeżeli chodzi o rejestrację zbioru danych wrażliwych, możliwe jest rozpoczęcie przetwarzania tych danych w zbiorze dopiero po dokonaniu jego rejestracji, tj. otrzymaniu stosownej decyzji GIODO. Zgłoszenie zbioru danych Generalnemu Inspektorowi następuje za pomocą formularza rejestracyjnego stanowiącego załącznik do rozporządzenia ministra Spraw Wewnętrznych i Administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji GIODO (dostępnego również na stronie GIODO Prowadzony przez Generalnego Inspektora rejestr zbiorów danych osobowych jest jawny i powszechnie dostępny na stronie internetowej GIODO Zabezpieczenie danych Zgodnie z ogólną zasadą administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ust. 1 uodo). Administrator danych jest zobowiązany zastosować środki techniczne niezbędne do zapewnienia poufności, integralności oraz rozliczalności przetwarzania danych. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Wymagane przez uodo środki bezpieczeństwa mogą się różnić, w zależności od zakresu i kategorii przetwarzanych danych osobowych. Należy pamiętać, że niewłaściwe zabezpieczenie danych może prowadzić do ich wycieku, w konsekwencji administrator danych naraża się na odpowiedzialność na podstawie uodo (art. 51 uodo) jak również przepisów ogólnych (np. przepisów kodeksu cywilnego o ochronie dóbr osobistych). Szczegółowe warunki dotyczące zabezpieczenia danych zostały opisane w rozporządzeniu ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dokumentacja procesu przetwarzania danych osobowych Administrator danych powinien ponadto prowadzić dokumentację przetwarzania danych osobowych. Dokumentacja taka powinna, zgodnie z 3 ust. 1 ww. rozporządzenia ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r., zawierać politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Polityka bezpieczeństwa powinna zawierać w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, sposób przepływu danych pomiędzy poszczególnymi systemami, określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna zawierać zwłaszcza: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, 8

9 stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych, procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 6. Odpowiedzialność NIK oraz kontrolerów NIK Kontrolerzy NIK mogą ponosić odpowiedzialność dyscyplinarną za naruszenie przepisów ustawy o NIK np. w związku z naruszeniem tajemnicy kontrolerskiej, odpowiedzialność karną lub administracyjną na podstawie uodo oraz odpowiedzialność cywilną na podstawie zasad ogólnych prawa cywilnego Odpowiedzialność administracyjna W razie naruszenia przez administratora danych przepisów uodo, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności może nakazać m.in.: usunięcie uchybień; zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe; usunięcie danych osobowych. Do wszczęcia procedury administracyjnej przez Generalnego Inspektora może dojść z urzędu, np. w efekcie przeprowadzonej przez GIODO kontroli, lub w wyniku złożonej przez osobę skargi Odpowiedzialność cywilna Jeżeli dobra osobiste osoby, której dane są przetwarzane, zostaną naruszone, np. poprzez bezprawne ujawnienie danych jej dotyczących, zwłaszcza danych wrażliwych, osobie takiej przysługują roszczenia z art. 24 kodeksu cywilnego o naruszenie dóbr osobistych. Osoba, której dobra osobiste zostały naruszone, może żądać zadośćuczynienia pieniężnego. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, osoba taka może żądać jej naprawienia na zasadach ogólnych Odpowiedzialność karna Uodo przewiduje szereg przepisów karnych penalizujących niezgodne z prawem przetwarzanie danych osobowych: Przetwarzanie danych przez nieuprawnionego Kontroler NIK rozpoczynający przetwarzanie danych osobowych w zbiorze, mimo że przetwarzanie tych danych bądź nie jest dopuszczalne, bądź są to dane, do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli przetwarzane dane są danymi wrażliwymi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. Przyjmuje się, że odpowiedzialność karna za to przestępstwo powinna zostać przypisana osobie, która faktycznie podjęła decyzję o przetwarzaniu danych osobowych z naruszeniem przepisów art. 49 uodo. W przypadku kontroli NIK przestępstwo z art. 49 uodo może popełnić przedstawiciel NIK przetwarzający dane osobowe w zbiorze bez stosownego upoważnienia do ich przetwarzania oraz osoba reprezentująca NIK, która z racji wykonywanych obowiązków ma dostęp do przetwarzanych danych osobowych. 9

10 Udostępnianie danych osobom nieuprawnionym Administrujący zbiorem danych osobowych lub ten, kto jest obowiązany do ochrony tychże danych, który udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie, odpowiedzialność karna jest złagodzona. Administrującym zbiorem danych osobowych jest ten, kto zarządza, zawiaduje danymi lub zbiorem danych osobowych w procesie ich przetwarzania. Osobą obowiązaną do ochrony danych osobowych jest osoba fizyczna przetwarzająca dane osobowe na podstawie upoważnienia nadanego przez administratora danych osobowych. Osoby, które otrzymały upoważnienie do przetwarzania danych osobowych, obowiązane są zachować te dane w tajemnicy, co jest równoznaczne z obowiązkiem ochrony tychże danych. Przepis ten penalizuje bezprawne udostępnienie danych osobowych oraz umożliwienie dostępu do danych. Naruszenie obowiązku zabezpieczenia danych Administrator danych jest obowiązany do stosowania środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanym danym osobowym. Zgodnie z art. 52 uodo, kto administrując danymi (chodzić tu może zatem także o pracownika NIK przetwarzającego dane w związku z kontrolą), narusza choćby nieumyślnie obowiązek zabezpieczenia ich przez zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Przestępstwo to polega na naruszeniu obowiązku zabezpieczenia danych. Niezgłoszenie danych do rejestru Zgodnie z uodo penalizowane jest także niezgłoszenie zbioru danych do rejestracji. Administrator danych lub osoba działająca w imieniu administratora danych, który nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności do roku. 7. pozostałe zagadnienia 7.1. Postępowanie z danymi po zakończonej kontroli Jednym z obowiązków spoczywających na administratorze danych osobowych jest przechowywanie danych osobowych nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ust. 1 pkt. 4 uodo). Dane osobowe przetwarzane przez NIK nie powinny być przetwarzane dłużej, niż jest to niezbędne dla osiągnięcia celu, w jakim zostały zebrane, tj. na potrzeby przeprowadzenia postępowania kontrolnego. Dane zebrane na potrzeby postępowania kontrolnego powinny być po jego zakończeniu usunięte. Przez usunięcie" należy rozumieć zniszczenie danych osobowych (ich wymazanie") lub ich anonimizację, tzn. taką ich modyfikację, w efekcie której niemożliwe staje się ustalenie tożsamości osoby, której dane dotyczą. Zniszczenie danych następuje najczęściej przez zniszczenie ich nośnika (fiszek) albo przez usunięcie zapisu (np. zapisu magnetycznego). Uodo nie przewiduje jednak żadnego określonego sposobu usuwania danych Wykorzystywanie danych zebranych podczas kontroli na potrzeby innego postępowania kontrolnego W związku z tym, że administrator danych osobowych jest związany celem, w jakim dane zostały zebrane, wydaje się, że dane zebrane na cele konkretnego postępowania nie powinny być przetwarzane w innych celach. Uodo przewiduje wyjątek od tej zasady. Dopuszczalne jest przetwarzanie danych w innym celu niż ten, w którym zostały zebrane, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, 10

11 z zachowaniem przepisów art. 23, określającego przesłanki legalizujące przetwarzanie danych osobowych oraz art. 25 uodo, konstytuującego obowiązek informacyjny. Arwid Mednis jest doktorem nauk prawnych, partnerem w Kancelarii Wierzbowski Eversheds w Warszawie. Karolin! Rudzińska jest prawnikiem w zespole ochrony danych osobowych w Kancelarii Wierzbowski Eversheds w Warszawie. 11