Spis treści Wstęp... 2 I. Omówienie podstawowych pojęć... 4 1. Dane osobowe... 4 2. Zbiory danych... 5 3. Administrator danych osobowych (ADO)... 6 4. Administrator bezpieczeństwa informacji (ABI)... 8 5. Przetwarzanie danych... 9 6. Dane wrażliwe... 9 7. Odbiorca danych... 10 8. Generalny Inspektor Ochrony Danych Osobowych... 10 II. Zasady przetwarzania danych osobowych i ich zabezpieczanie 11 III. Przekazywanie, powierzanie i udostępnianie danych... 16 IV. Odpowiedzialność karna... 18 V. Pełen zapis ustawy o ochronie danych osobowych... 20 VI. Pełen zapis rozporządzenia... 53 VII. Zapis porozumienia między GIODO i PIP... 63
Wstęp Jako firma od ponad 7 lat specjalizujemy się w organizacji szkoleń zawodowych z zakresu BHP, pierwszej pomocy przedmedycznej, przeciwpożarowych oraz z zakresu ochrony danych osobowych, a także w przygotowaniu niezbędnej dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych w przedsiębiorstwie zgodnie z założeniami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst pierwotny Dz. U. z 1997 r. Nr 133 poz. 883) Aktualne materiały szkoleniowe zostały opracowane na postawie ustawy o ochronie danych osobowych (tekst jednolity: Dz. U. z 2014 r. poz. 1182) z uwzględnieniem zmian, które weszły w życie od 1 styczna 2015 r. na podstawie Dz. U. z 2014 r. poz. 1662 Art. 9 i dedykowane są osobom, które mają dostęp do danych osobowych w związku z działaniami zawodowymi. Dziękujemy za zaufanie jakim obdarzyli Państwo nasze centrum szkoleniowe. 2
Ochrona danych osobowych jest jednym z najbardziej newralgicznych zagadnień współczesnego świata. Ustawie o ochronie danych osobowych podlegają: - organy państwowe, - organy samorządu terytorialnego, - podmioty niepubliczne realizujące zadania publiczne, - osoby prawne, fizyczne i jednostki organizacyjne niebędące osobami prawnymi jeśli przetwarzają dane osobowe w związku z działalnością gospodarczą, zawodową czy statutową. Podmioty te zobowiązane są stosować odpowiednie środki techniczne i organizacyjne, a także prowadzić dokumentację w celu przeciwdziałania bezprawnemu wykorzystaniu danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem poprzez odpowiednią do zagrożeń oraz kategorii danych ochronę. Sposób ochrony oraz pełną dokumentację regulują zapisy ustawy oraz rozporządzenia. Wykonanie powyższych obowiązków podlega kontroli inspektorów ochrony danych osobowych, a w niektórych wypadkach może być także badane pod kątem prawno-karnym. 3
I. Omówienie podstawowych pojęć 1. Dane osobowe Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Informacje te mogą być wyrażone w jakiejkolwiek formie: znakami graficznymi, symbolami, w języku komputerowym, na fotografii, na taśmie magnetofonowej, płycie DVD itd. Mają one dotyczyć osoby fizycznej, co oznacza, że poza polem zainteresowania ustawy znajdują się zbiory informacji dotyczące osób prawnych, jednostek organizacyjnych, organów administracji państwowej oraz samorządowej i innych. By określone informacje mogły być uznane za dane osobowe, muszą pozwalać na zidentyfikowanie osoby, której dotyczą. Ustalenie tożsamości osoby nie musi następować wyłącznie w oparciu o informacje przetwarzane przez dany podmiot. Może nastąpić także poprzez połączenie zgromadzonych danych osobowych i innych dostępnych źródeł. Dla przykładu, podanie nazwiska, a nawet imienia i nazwiska osoby, nie zawsze jest okolicznością pozwalającą stwierdzić, iż istnieje możliwość identyfikacji konkretnej osoby. Dotyczy to zwłaszcza popularnych imion i nazwisk. Wówczas dopiero informacje dodatkowe (adres zamieszkania, data urodzenia, imiona rodziców, miejsce pracy itp.) mogą doprowadzić do sytuacji, w której ustalenie tożsamości staje się możliwe. Naczelny Sąd Administracyjny w wyroku z dnia 19 maja 2011 r., sygn. akt I OSK 1086/10 wskazał, że Informacje, które bez nadzwyczajnego wysiłku, bez nieproporcjonalnie dużych nakładów dają się "powiązać" z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, również zasługują na zaliczenie ich do kategorii danych osobowych. Specyficzna problematyka powstaje w odniesieniu do traktowania jako danych osobowych adresów internetowych (tzw. IP), adresów poczty elektronicznej (e-mail) czy adresów stron internetowych. Adres poczty elektronicznej w większości przypadków umożliwia jednoznaczną identyfikację właściciela konta i z tego względu powinien być traktowany jako dane osobowe. Brak jednak przesłanek takiej oceny w przypadku 4
adresów e-mail przypisanych określonym funkcjom, tworzonych bezimiennie w charakterze skrzynek kontaktowych. Z kolei adres internetowy (IP) odnosi się w istocie nie tyle do osoby, ile do komputera, z którego może przecież korzystać wiele różnych osób. Nierzadko występują także adresy łączone, które dotyczyć mogą wielu komputerów. W takiej sytuacji pojawia się kwestia możliwości pośredniej identyfikacji osoby. Należy zgodzić się z interpretacją uznającą, iż adresy internetowe, a także adresy stron internetowych spełniają kryteria przewidziane dla danych osobowych tylko wówczas, gdy samoistnie albo łącznie z innymi przetwarzanymi wraz z adresem informacjami pozwalają zidentyfikować osobę użytkownika. 2. Zbiory danych Ustawę o ochronie danych osobowych stosuje się do informacji przetwarzanych w tzw. zbiorach danych. Zbiorem danych jest: - zestaw danych o charakterze osobowym, - posiadający własną strukturę, - w którym dane są dostępne według określonych kryteriów. Zbiór może być zautomatyzowany lub niezautomatyzowany. Zbiory zautomatyzowane to m. in. bazy danych tworzone przez profesjonalne systemy informatyczne, jak też pliki zawierające dane, których strukturę definiuje programista lub użytkownik. Do drugiej kategorii należą ręczne zbiory ewidencyjne, akta osobowe, kartoteki, książki meldunkowe, zestawienia faktur, a nawet zgromadzone materiały jak np. formularze, kwestionariusze uporządkowane i ułożone w odpowiedni sposób. Zbiorem danych osobowych jest zarówno zestaw danych odnoszących się do wielu osób, jak i odnoszących się do jednej osoby. Nawet zatem w przypadku zatrudnienia przez przedsiębiorcę jednej osoby, akta osobowe pracownika stanowią zbiór danych, podlegający regulacji ustawy o ochronie danych osobowych. Cechą zbioru danych jest dostępność (zawartości danych) według określonych kryteriów. Chodzi tu o sytuację, w której do tego, aby znaleźć pewne dane, nie jest potrzebne przeglądanie sukcesywnie wszystkich 5
składników zbioru, lecz można się posłużyć kryteriami selekcjonującymi. Każdy zestaw danych osobowych, który umożliwia dostęp do poszczególnych danych przez jakiekolwiek kryterium, jest zbiorem danych w rozumieniu art. 7 pkt 1 ustawy; nie jest istotna liczba oraz rodzaj kryteriów. W praktyce często mogą się pojawiać wątpliwości, czy w danym przypadku mamy do czynienia ze zbiorem danych w rozumieniu ustawy. Rozstrzygnięcie tego leży w sferze uznania administracyjnego organów dokonujących kontroli, a prawidłowość kwalifikacji podlega weryfikacji przez Naczelny Sąd Administracyjny. Podsumowując należy podkreślić, że gromadzone i przetwarzane przez przedsiębiorcę informacje dotyczące pracowników, zleceniobiorców, wykonawców, agentów, klientów lub kontrahentów stanowią dane osobowe, jeżeli dotyczą osób fizycznych i umożliwiają ich identyfikację. O ile informacje te tworzą zbiory danych (np. akta pracownicze, baza danych klientów, zestawienie faktur, itp.), podlegają regulacji ustawy o ochronie danych osobowych. W takim wypadku konieczne jest wdrożenie przez administratora danych mechanizmów ochrony przewidzianych w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 3. Administrator danych osobowych (ADO) Administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. Zaliczamy do nich: - podmioty niepubliczne realizujące zadania publiczne, - osoby fizyczne i osoby prawne oraz jednostki organizacyjne, niebędące osobami prawnymi, które przetwarzają dane w związku ze swoją działalnością zarobkową, zawodową albo dla realizacji celów statutowych. Nie jest administratorem podmiot, któremu administrator powierzył przetwarzanie danych osobowych, czy agent działający na zlecenie administratora (np. agent ubezpieczeniowy). Podmiot taki nie decyduje bowiem o celach i środkach przetwarzania danych, a jedynie wykonuje zlecone mu usługi według wskazówek zleceniodawcy. Zasadniczym kryterium przy ocenie czy dany podmiot lub osoba jest administratorem 6
danych jest zatem samodzielność podejmowania decyzji dotyczących celów i środków przetwarzania danych. Od administratora danych należy odróżnić tego, kto administruje zbiorem danych. O ile administratorem - tam, gdzie nie chodzi o przetwarzanie danych przez osobę fizyczną - jest podmiot (organ, osoba prawna, jednostka organizacyjna), o tyle tym, kto administruje zbiorem danych jest kierownik lub osoba działająca w charakterze organu osoby prawnej, która to osoba prawna bądź jednostka organizacyjna nieposiadająca osobowości prawnej, zachowuje status administratora danych. Do obowiązków ADO należą: a) kontrola dopuszczalności przetwarzania danych, b) obowiązki informacyjne w stosunku do tych, których dotyczą przetwarzane dane, c) obowiązki rejestracyjne co do zbiorów danych osobowych, d) zabezpieczenie danych, zachowanie ich poufności, integralności i nienaruszalności, e) prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające prawidłową ochronę danych, f) nadawanie upoważnień do przetwarzania danych osobowych, g) zapewnienie środków i organizacyjnej odrębności dla ABI do wykonywania przez niego obowiązków ustawowych. 4. Administrator bezpieczeństwa informacji (ABI) Administrator danych może powołać w placówce administratora bezpieczeństwa informacji, czyli osobę, która ma nadzorować przestrzeganie zasad ochrony danych osobowych, a więc nadzorować stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. Na ABI może zostać powołana osoba: - niekarana za umyślne przestępstwo, - podlegająca bezpośrednio kierownikowi jednostki, - przeszkolona w zakresie ochrony danych osobowych, - mająca pełną zdolność do czynności prawnych. 7
Wyznaczenie administratora bezpieczeństwa informacji powinno mieć formę pisemną. Powinno znaleźć także odzwierciedlenie w indywidualnym zakresie obowiązków osoby wyznaczonej. Administrator bezpieczeństwa informacji powinien mieć zapewnioną możliwość reagowania w sytuacjach zagrożenia czy też naruszenia zasad ochrony danych osobowych, zatem konieczne jest przyznanie mu odpowiednich uprawnień i kompetencji. Dopuszczalne jest, by funkcja ABI była łączona ze sprawowaniem innych funkcji, co występuje przede wszystkim w mniejszych przedsiębiorstwach czy organizacjach i jest uzasadnione głównie względami finansowymi. Administrator danych może powołać zastępców ABI, którzy również spełniają powyższe wymogi. Administrator danych ma obowiązek zgłosić ABI do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych w terminie 30 dni od jego powołania. Zmiany dotyczące ABI objęte zgłoszeniem administrator danych musi zgłosić do GIODO w terminie 14 dni od dni zmiany. Odwołanie ABI również należy zgłosić do GIODO w ciągu 30 dni. Do obowiązków ABI należy: a) nadzorowanie przestrzegania zasad ochrony danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) przeprowadzanie okresowej analizy systemu ochrony danych, c) nadzorowanie funkcjonowania mechanizmów uwierzytelniania użytkowników mających dostęp do danych, d) aktualizowanie dokumentacji ochrony danych, e) zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami o ochronie danych osobowych. Jeżeli administrator danych nie wyznaczy ABI sam sprawuje powyższe funkcje z wyłączeniem sporządzania sprawozdania. 5. Przetwarzanie danych Przetwarzanie to wszelkie operacje, jakie wykonuje się na danych osobowych, czyli zbieranie ich, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, a także usuwanie. Przetwarzania danych dokonuje się najczęściej w systemach 8
informatycznych, czyli urządzeniach i narzędziach programowych, a powyższe operacje można wykonywać tylko w sytuacjach ściśle określonych przez prawo i tylko przez osoby mające do tego uprawnieniaupoważnienie. O celach i środkach przetwarzania danych osobowych decyduje administrator danych. 6. Dane wrażliwe Dane osobowe szczególnie chronione potocznie nazywane są danymi wrażliwymi (sensytywnymi). Do tej grupy należą dane ujawniające: - pochodzenie rasowe lub etniczne, - poglądy polityczne, - przekonania religijne lub filozoficzne, - przynależność wyznaniową, partyjną lub związkową, - stan zdrowia, - kod genetyczny, - nałogi, - życie seksualne, - orzeczenia o ukaraniu i skazania, - orzeczenia wydane w postępowaniu sądowym lub administracyjnym. 7. Odbiorca danych Odbiorcą danych jest osoba, której udostępniono dane osobowe z innego podmiotu z wyłączeniem: - osoby, której dane te dotyczą, - osoby upoważnionej do przetwarzania danych - przedstawiciela administratora danych, który ma siedzibę w państwie trzecim, przetwarzającego dane przy użyciu środków technicznych znajdujących się na terenie RP - osoby, która przetwarza dane na podstawie umowy powierzenia danych zawartej z administratorem - organów państwowych i organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem. W związku z powyższym nie należy mylić pojęcia powierzania danych z pojęciem udostępniania danych. W rozumieniu prawa podmiot, któremu powierzono przetwarzanie danych nie jest odbiorcą. 9
8. Generalny Inspektor Ochrony Danych Osobowych GIODO to organ do spraw ochrony danych osobowych działający na podstawie ustawy. Generalny Inspektor Ochrony Danych Osobowych, jego zastępcy i upoważnionych inspektorów mają za zadanie kontrolowanie zasad przetwarzania danych osobowych. Mogą oni przeprowadzać kontrole u administratorów danych, domagając się m. in. wstępu do pomieszczeń, w których zlokalizowany jest zbiór danych, oraz pomieszczeń, w których przetwarzane są dane poza zbiorem danych, jak też przeprowadzać oględziny urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie tego rodzaju kontroli. W razie stwierdzenia naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, może nakazać, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a w szczególności: - usunięcie uchybień, - uzupełnienie, uaktualnienie, sprostowanie, udostępnianie lub nieudostępnienie danych, - zastosowanie dodatkowych zabezpieczeń stosowanych do ochrony danych, - zabezpieczenie danych lub przekazanie ich innym podmiotom, - wstrzymanie przekazywania danych, - usunięcie danych osobowych. Generalny Inspektor może również zwrócić się do ABI w celu dokonania sprawdzenia zawierającego opis oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz zapis stwierdzonych przypadków naruszenia przepisów. Do zadań GIODO należy również prowadzenie rejestru zbiorów danych i udzielanie informacji o zarejestrowanych zbiorach oraz prowadzenie ogólnokrajowego, jawnego rejestru administratorów bezpieczeństwa informacji. 10
II. Zasady przetwarzania danych osobowych i ich zabezpieczanie Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby, którym zostanie nadane pisemne i imienne upoważnienie określające dozwolony zakres przetwarzania danych oraz posiadają odpowiednią wiedzę z zakresu ochrony danych osobowych. Upoważnienie do przetwarzania danych udzielane jest osobom, które na stałe bądź tylko czasowo zajmują się przetwarzaniem danych osobowych lub mają do nich dostęp, dokonując przeglądów serwisowych, usuwając usterki czy awarie. Osoba upoważniona do przetwarzania danych nie musi być zatrudniona u administratora, upoważnienie może być udzielone także osobie z zewnątrz. Powinno to być upoważnienie specjalne, odrębne, a nie wywodzone tylko z treści umowy cywilnoprawnej, umowy o pracę czy z zakresu obowiązków pracowniczych. W praktyce nadanie upoważnienia powinno być związane z podpisaniem przez osobę odbierającą upoważnienie oświadczenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych oraz o przyjęciu do wiadomości obowiązku zachowania tajemnicy. Osoby, które są upoważnione do przetwarzania danych osobowych, mają obowiązek zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczenia. O obowiązku tym osoby te powinny być powiadomione przy nadaniu upoważnienia. Wskazane jest, aby poświadczyły (najlepiej na piśmie) przyjęcie tego obowiązku do wiadomości. Jest to szczególnie ważne z uwagi na odpowiedzialność karną, której osoby te mogą podlegać w przypadku udostępnienia danych osobowych lub umożliwienia dostępu do nich osobom nieupoważnionym. Przetwarzanie danych osoby, której te dane dotyczą jest dopuszczalne gdy: - wyrazi ona na to zgodę, - jest to konieczne do realizacji umowy, - jest to niezbędne do wykonywania określonych prawem zadań i celów. Przed uzyskaniem zgody przetwarzanie jest możliwe w celach takich jak: - marketing bezpośredni własnych produktów lub usług administratora, - dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. W powyższych przypadkach zgodę na przetwarzanie należy uzyskać kiedy to tylko będzie możliwe. 11
Dane osobowe mogą być zbierane od osób, których te dane dotyczą lub z innych źródeł, ale w obu przypadkach należy osobę tą informować o: - adresie miejsca, gdzie dane są zebrane, - celu i zakresie przetwarzania danych, - prawie do dostępu i poprawienia danych. Przetwarzanie danych wrażliwych jest możliwe tylko w określonych przypadkach, takich jak: - pisemna zgoda osoby, której dane dotyczą, - zezwolenie szczególnych przepisów innej ustawy, - wykonywanie statutowych zadań kościołów i związków wyznaniowych, fundacji, stowarzyszeń, instytucji politycznych itp., - dochodzenie spraw przed sądem, - świadczenie usług medycznych, - podanie tych danych do publicznej wiadomości przez osobę, której dane dotyczą. Osoba, której dane dotyczą ma prawo do kontroli przetwarzania danych, a tym samym może nie częściej niż raz na 6 miesięcy skorzystać z prawa do uzyskania informacji : - o celu, zakresie i sposobie przetwarzania danych, - od kiedy przetwarza się w zbiorze jej dane, - o źródle z jakiego pochodzą dane jej dotyczące, - o odbiorcach, którym dane są udostępniane. Może również żądać uzupełnienia, zaktualizowania i sprostowania danych, a także zaprzestania ich przetwarzania. Zadaniem administratora danych jest zapewnienie kontroli nad tym jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, a także dopilnowanie, aby zbierane dane nie były udostępnione osobom lub podmiotom do tego nieuprawnionym, były merytorycznie poprawne i adekwatne do celu przetwarzania, i przechowywane nie dłużej niż jest to konieczne do osiągnięcia celu przetwarzania. Do obowiązków administratora należy zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę 12
nieuprawnioną, uszkodzeniem, zniszczeniem, zmianą, utratą lub przetwarzaniem z naruszeniem ustawy. Administrator danych lub ABI (jeśli został wyznaczony) ma obowiązek zapisywać stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych (uchybienia i zagrożenia) oraz planowane lub podjęte działania naprawcze przywracające stan zgodny z prawem. Podstawowymi dokumentami opisującymi zasady i zakres przetwarzania danych w podmiocie oraz warunki techniczne i organizacyjne, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych są: polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Nie ma natomiast przepisów mówiących wprost, jakie konkretnie środki techniczne (np. kasy pancerne) zastosować, żeby ten cel osiągnąć. Ustawa o ochronie danych osobowych przesądza jedynie, że zastosowane zabezpieczenia muszą być adekwatne do występujących zagrożeń. W związku z tym rodzaj zastosowanych zabezpieczeń zależy od konkretnego przypadku. Mogą to być kasy pancerne, specjalne zamki w drzwiach, odpowiednie hasła dostępu do komputerów budowane na podstawie szerokiego zestawu znaków, w tym znaków specjalnych i cyfr. Bardzo często inspektorzy w czasie kontroli dokonują ocen, czy zastosowane środki bezpieczeństwa są adekwatne do zagrożeń. Jako przykład najprostszego sposobu zabezpieczenia danych można podać odpowiednie ustawienie monitora, na którym widoczne są dane osobowe, tak aby osoba nieuprawniona nie mogła przeczytać, co się na nim znajduje. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym mają co najmniej dwie osoby, dla każdej z nich powinien być zarejestrowany odrębny identyfikator, a dostęp do danych powinien być możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Ponadto identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. Uwierzytelnienie może być dokonywane na różne sposoby, nadal jednak dominującym sposobem jest podanie hasła. Rozporządzenie określa, iż hasło powinno być zmieniane nie rzadziej niż co 30 dni, natomiast budowa hasła uzależniona jest od poziomu stosowanych środków bezpieczeństwa. Wymogi dotyczące systemów informatycznych zostały zróżnicowane przez 13
wprowadzenie tzw. poziomów bezpieczeństwa przetwarzania danych, uwzględniających kategorie przetwarzanych danych oraz zagrożenia związane z przetwarzaniem. Przewidziano trzy poziomy bezpieczeństwa: podstawowy, podwyższony oraz wysoki. Kryteria rozróżniające to: rodzaj danych (dane zwykłe czy sensytywne) oraz dostęp urządzeń informatycznych do sieci publicznej (połączenie z Internetem). Poziom podstawowy stosuje się, gdy w systemie informatycznym nie są przetwarzane dane sensytywne oraz żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Poziom podwyższony stosuje się, gdy w systemie informatycznym przetwarzane są dane sensytywne oraz system informatyczny nie jest połączony z siecią publiczną. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych połączone jest z siecią publiczną. Środki bezpieczeństwa na poszczególnych poziomach opisane zostały w załączniku do rozporządzenia. System informatyczny powinien zapewniać dla każdej osoby, której dane osobowe są przetwarzane w tym systemie, odnotowanie: a) daty pierwszego wprowadzenia danych do systemu, b) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych ma wyłącznie jedna osoba, c) źródła danych w przypadku zbierania danych nie od osoby, której one dotyczą, d) informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych, e) sprzeciwu wobec przetwarzania danych w celach marketingowych. Odnotowanie informacji powinno następować automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system powinien zapewniać sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie 14
wymienione wyżej informacje. III. Przekazywanie, powierzanie i udostępnianie danych Jedną z form przetwarzania danych osobowych jest ich udostępnianie, czyli działania umożliwiające innym niż administrator podmiotom, zapoznanie się z nimi. Warunkiem koniecznym udostępniania jest spełnienie przesłanek legalności. Udostępnianie danych następuje na rzecz osoby (odbiorca danych), której dane są udostępniane w związku z prowadzonym postępowaniem. Osoba trzecia otrzymując dane osobowe od administratora danych w drodze ich udostępnienia, sama staje się ich administratorem. Jednak nie oznacza to, że dotychczasowy administrator przestaje nim być i traci swoje uprawnienia, lecz dochodzi do nabycia uprawnień administratora danych przez kolejny podmiot on także decyduje o celach i środkach przetwarzania danych osobowych. Udostępnianie danych na żądanie innego podmiotu niż uprawniony do ich otrzymania na mocy przepisów prawa (np. Policja lub ABW), może dojść do skutku, gdy będzie to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez podmiot udostępniający dane lub podmiot, któremu dane są przekazywane. Ważne jest, aby czynności składające się na udostępnianie danych nie naruszały praw i wolności osób, których dane dotyczą. Można powierzyć przetwarzanie danych osobowych firmie zewnętrznej, musi jednak pamiętać, że samo powierzenie przetwarzania danych osobowych firmie zewnętrznej nie zwalnia go z obowiązków administratora, co wynika z art. 31 ustawy o ochronie danych osobowych. W takiej sytuacji za zabezpieczenie powierzonych danych osobowych wspólną odpowiedzialność ponoszą powierzający dane i osoba, firma, której powierzono przetwarzanie danych osobowych. Podmiot pełniący cały czas funkcję administratora powinien mieć kontrolę nad tym, aby nawet wówczas, kiedy dane podlegają przetwarzaniu nawet przez firmę zewnętrzną specjalizującą się w tego typu zadaniach, powierzone dane osobowe były w należyty sposób zabezpieczone. W przepisach karnych ustawy o ochronie danych osobowych mówi się wyraźnie o 15
odpowiedzialności karnej administratora i administrującego. Jednak biorąc pod uwagę odpowiedzialność, jaką administrator ponosi za przetwarzanie powierzonych danych, wszystkie szczegóły dotyczące powierzenia powinny być określone w pisemnej umowie. Dodatkowo dla własnego bezpieczeństwa administrator powinien nadzorować rzetelność wykonywania umowy. Ponadto powierzenie przetwarzania danych osobowych warto zlecić starannie dobranej, profesjonalnej firmie. Należy przy tym zaznaczyć, że podmiot będący administratorem danych przy jej wyborze powinien zwrócić szczególną uwagę na to, czy w firmie powołany jest administrator bezpieczeństwa informacji, czy jest odpowiedni poziom zabezpieczeń oraz czy są wydane upoważnienia do przetwarzania danych osobowych. Obowiązki zabezpieczenia danych osobowych ciążą nie tylko na administratorze danych, lecz również na osobie, która na zlecenie administratora przetwarza takie dane. Osoba ta zobowiązana jest przed rozpoczęciem przetwarzania danych do podjęcia środków zabezpieczających zbiór danych. Nie zwalnia to jednak administratora z odpowiedzialności związanej z brakiem zabezpieczenia zbiorów danych ani z innych ciążących na nim zobowiązań. Na administratorze spoczywa zatem obowiązek dołożenia należytej staranności przy wyborze podmiotu, któremu zleca administrowanie danymi osobowymi, gdyż odpowiada za działania lub zaniechania tego podmiotu jak za działania własne. Przekazywanie danych osobowych odnosi się do przekazywania danych do państw trzecich, czyli państw nienależących do Europejskiego Obszaru Gospodarczego, a jest to możliwe w przypadkach, gdy państwo docelowe daje gwarancję ochrony danych na swoim terytorium przynajmniej takie, jakie obowiązują w naszym kraju, a ocena czy warunki ochrony zostały spełnione, ocenia administrator danych. Przekazanie jest możliwe, gdy osoba, której dane dotyczą, pisemnie wyrazi na to zgodę lub przekazanie jest niezbędne: - do wykonania umowy w interesie osoby, której dane dotyczą, - do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie, - ze względu na dobro publicznej lub do wykazania zgodności prawnej, - do ochrony żywych interesów osoby, której dane dotyczą, - dane są ogólnie dostępne. 16
Jeśli nie zostały spełnione powyższe wymagania, a kraj docelowy nie zapewnia odpowiednich standardów ochrony, przekazanie jest możliwe tylko po uzyskaniu zgody Generalnego Inspektora decyzją administracyjną, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenie w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. IV. Odpowiedzialność karna Na odpowiedzialność karną jest narażony ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępni je lub umożliwi do nich dostęp osobom nieupoważnionym; sankcją jest kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. Wobec winy nieumyślnej zagrożenie pozbawienia wolności jest ograniczone do roku. W przypadku udostępniania lub umożliwiania dostępu osobom nieuprawnionym do danych wrażliwych karą może być pozbawienie wolności do lat 3. Kara jest również przewidziana dla przypadku, gdy administrujący danymi narusza, choćby nieumyślnie, obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. W tym kontekście niezwykle istotne jest prowadzenie skrupulatnej dokumentacji, potwierdzającej stosowanie przez administratora danych mechanizmów ich ochrony i dochowanie należytej staranności przy ich zabezpieczeniu. Art. 51 ust. 1 ustawy o ochronie danych osobowych przewiduje w takim wypadku zagrożenie karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. Zgodnie zaś z art. 266 1 kodeksu karnego, kto wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu ujawnia, lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Naruszenie obowiązku zachowania w tajemnicy przetwarzanych danych osobowych może zatem prowadzić do daleko idących konsekwencji. 17
Informujemy, że publikowane poniżej akty prawne nie są źródłami prawa, gdyż jedynym takim źródłem są publikowane na podstawie ustawy z 20 lipca 2000 r. o ogłaszaniu aktów normatywnych i niektórych aktów prawnych (Dz. U. 2010 r. Nr 17 poz. 95) akty prawne ogłaszane i wydawane w Dzienniku Ustaw i Monitorze Polskim, których wydawcą i dystrybutorem jest Kancelaria Prezesa Rady Ministrów. Prezentowane teksty ustawy i rozporządzenia traktujemy jako materiał informacyjny i pomocniczy dla uczestników szkolenia. V. Pełen zapis ustawy o ochronie danych osobowych (tekst pierwotny: Dz. U. z 1997 r. Nr 133 poz. 883) (tekst jednolity: Dz. U. z 2014 r. poz. 1182 z późn. zm.) Przepisy ogólne Art. 1. 1. Każdy ma prawo do ochrony dotyczących go danych osobowych. 2. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Art. 2. 1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. 2. Ustawę stosuje się do przetwarzania danych osobowych: 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. 3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5. 18
Art. 3. 1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. 2. Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Art. 3a. 1. Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, 2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych. 2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą. Art. 4. Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej. Art. 5. Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można 19
określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Art. 7. Ilekroć w ustawie jest mowa o: 1) zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, a) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, b) zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, 3) usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, 4) administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych, 5) zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie, 6) odbiorcy danych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: 20
a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, d) podmiotu, o którym mowa w art. 31, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, 7) państwie trzecim - rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego. Rozdział 2 Organ ochrony danych osobowych Art. 8. 1. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, zwany dalej Generalnym Inspektorem. 2. Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu. 3. Na stanowisko Generalnego Inspektora może być powołany ten, kto łącznie spełnia następujące warunki: 1) jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej, 2) wyróżnia się wysokim autorytetem moralnym, 3) posiada wyższe wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe, 4) nie był karany za przestępstwo. 4. Generalny Inspektor w zakresie wykonywania swoich zadań podlega tylko ustawie. 5. Kadencja Generalnego Inspektora trwa 4 lata, licząc od dnia złożenia ślubowania. Po upływie kadencji Generalny Inspektor pełni swoje obowiązki do czasu objęcia stanowiska przez nowego Generalnego Inspektora. 6. Ta sama osoba nie może być Generalnym Inspektorem więcej niż przez dwie kadencje. 7. Kadencja Generalnego Inspektora wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa polskiego. 21
8. Sejm, za zgodą Senatu, odwołuje Generalnego Inspektora, jeżeli: 1) zrzekł się stanowiska, 2) stał się trwale niezdolny do pełnienia obowiązków na skutek choroby, 3) sprzeniewierzył się złożonemu ślubowaniu, 4) został skazany prawomocnym wyrokiem sądu za popełnienie przestępstwa. Art. 9. Przed przystąpieniem do wykonywania obowiązków Generalny Inspektor składa przed Sejmem następujące ślubowanie: Obejmując stanowisko Generalnego Inspektora Ochrony Danych Osobowych uroczyście ślubuję dochować wierności postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych, a powierzone mi obowiązki wypełniać sumiennie i bezstronnie. Ślubowanie może być złożone z dodaniem słów Tak mi dopomóż Bóg. Art. 10. 1. Generalny Inspektor nie może zajmować innego stanowiska, z wyjątkiem stanowiska profesora szkoły wyższej, ani wykonywać innych zajęć zawodowych. 2. Generalny Inspektor nie może należeć do partii politycznej, związku zawodowego ani prowadzić działalności publicznej niedającej się pogodzić z godnością jego urzędu. Art. 11. Generalny Inspektor nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności. Generalny Inspektor nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania. O zatrzymaniu niezwłocznie powiadamia się Marszałka Sejmu, który może nakazać natychmiastowe zwolnienie zatrzymanego. Art. 12. Do zadań Generalnego Inspektora w szczególności należy: 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w 22
pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r., Nr 229, poz. 1954 z późn. zm.), 4) prowadzenie rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielanie informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji, 5.) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. Art. 12a. 1. Na wniosek Generalnego Inspektora Marszałek Sejmu może powołać zastępcę Generalnego Inspektora. Odwołanie zastępcy Generalnego Inspektora następuje w tym samym trybie. 2. Generalny Inspektor określa zakres zadań swojego zastępcy. 3. Zastępca Generalnego Inspektora powinien spełniać wymogi określone w art. 8 ust. 3 pkt 1, 2 i 4 oraz posiadać wyższe wykształcenie i odpowiednie doświadczenie zawodowe. Art. 13. 1. Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem. 1a. Generalny Inspektor w przypadkach uzasadnionych charakterem i liczbą spraw z zakresu ochrony danych osobowych na danym terenie może wykonywać swoje zadania przy pomocy jednostek zamiejscowych Biura. 2. (uchylony) 3. Prezydent Rzeczypospolitej Polskiej, po zasięgnięciu opinii Generalnego Inspektora, w drodze rozporządzenia, nadaje statut Biuru, określając jego organizację, zasady działania oraz siedziby jednostek zamiejscowych i zakres ich właściwości terytorialnej, mając na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej realizacji zadań Biura. 23
Art. 14. W celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej inspektorami, mają prawo: 1) wstępu, w godzinach od 6 do 22, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą, 2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego, 3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, 4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych, 5) zlecać sporządzanie ekspertyz i opinii. Art. 15. 1. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności umożliwić przeprowadzenie czynności oraz spełnić żądania, o których mowa w art. 14 pkt 1-4. 2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej. 3. Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową. 4. Imienne upoważnienie powinno zawierać: 1) wskazanie podstawy prawnej przeprowadzenia kontroli, 2) oznaczenie organu kontroli, 3) imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej, 4) określenie zakresu przedmiotowego kontroli, 5) oznaczenie podmiotu objętego kontrolą albo zbioru danych, albo 24
miejsca poddawanego kontroli, 6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli, 7) podpis Generalnego Inspektora, 8) pouczenie kontrolowanego podmiotu o jego prawach i obowiązkach, 9) datę i miejsce wystawienia imiennego upoważnienia. Art. 16. 1. Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych. 1a. Protokół kontroli powinien zawierać: 1) nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres, 2) imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora, 3) imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot, 4) datę rozpoczęcia i zakończenia czynności kontrolnych z wymienieniem dni przerw w kontroli, 5) określenie przedmiotu i zakresu kontroli, 6) opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 7) wyszczególnienie załączników stanowiących składową część protokołu, 8) omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień, 9) parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu, 10) wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany, 11) wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu, 12) datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany. 2. Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi. 25
3. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi. Art. 17. 1. Jeżeli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje do Generalnego Inspektora o zastosowanie środków, o których mowa w art. 18. 2. Na podstawie ustaleń kontroli inspektor może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach. Art. 18. 1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych. 2. Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mogą ograniczać swobody działania podmiotów zgłaszających kandydatów lub listy kandydatów w wyborach na urząd Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów samorządu terytorialnego, a także w wyborach do Parlamentu Europejskiego, pomiędzy dniem zarządzenia wyborów a dniem głosowania. 2a. Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów określonych w art. 43 ust. 1 pkt 1a, nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności 26
operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa. 3. W przypadku gdy przepisy innych ustaw regulują odrębnie wykonywanie czynności, o których mowa w ust. 1, stosuje się przepisy tych ustaw. Art. 19. W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie. Art. 19a. 1. W celu realizacji zadań, o których mowa w art. 12 pkt 6, Generalny Inspektor może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. 2. Generalny Inspektor może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. 3. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania. 19b. 1. Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru, o którym mowa w art. 46c, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. 2. Po dokonaniu sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a. 27
3. Dokonanie przez administratora bezpieczeństwa informacji sprawdzenia w przypadku, o którym mowa w ust. 1, nie wyłącza prawa Generalnego Inspektora do przeprowadzenia kontroli, o której mowa w art. 12 pkt 1 Art. 20. Generalny Inspektor składa Sejmowi, raz w roku, sprawozdanie ze swojej działalności wraz z wnioskami wynikającymi ze stanu przestrzegania przepisów o ochronie danych osobowych. Art. 21. 1. Strona może zwrócić się do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie sprawy. 2. Na decyzję Generalnego Inspektora w przedmiocie wniosku o ponowne rozpatrzenie sprawy stronie przysługuje skarga do sądu administracyjnego. Art. 22. Postępowanie w sprawach uregulowanych w niniejszej ustawie prowadzi się według przepisów Kodeksu postępowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej. Art. 22a. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia, wzór upoważnienia i legitymacji służbowej, o których mowa w art. 14 pkt 1, uwzględniając konieczność imiennego wskazania inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych. Rozdział 3 Zasady przetwarzania danych osobowych Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów 28