S PRAWO ZDANIE ZE S POTKANIA DELEGACJI BIURA GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH Z PRZEDS TAWICIELAMI BAWARS KIEGO RZECZN IKA DO S PRAW OCHRONY DANYCH OSOBOWYCH Monachium, 14-17 lipca 2001 r. Celem spotkania było nawiązanie współpracy, zapoznanie się z ustawodawstwem landu bawarskiego i praktyką urzędu bawarskiego w zakresie ochrony danych osobowych, oraz wymiana doświadczeń z działalności Polskiego i Bawarskiego Rzecznika Ochrony Danych Osobowych. Program szkolenia obejmował następujące zagadnienia: 1) Bawarska ustawa o ochronie danych osobowych - krótka charakterystyka. 2) Zmiana celu przetwarzania danych przez administratora danych. 3) Pojęcie danych osobowych w zakresie poczty elektronicznej (czy pseudonim jest uważany za daną osobową?). Dostęp do danych o finansach urzędników państwowych. Publikowanie danych osobowych w książkach telefonicznych. 4) Prawo do kontroli swoich danych osobowych. 5) Przetwarzanie danych osobowych przez Policję. 6) Przetwarzanie danych na potrzeby zatrudnienia; dopuszczalność zbierania danych genetycznych, przeprowadzania badań psychologicznych i poligraficznych pracowników. 7) Przekazywanie danych za granicę. 8) Zagadnienie "Czarnych list" w systemie niemieckim (Schuffa). 9) Dostęp dziennikarzy do akt spraw prowadzonych przez prokuraturę lub rozstrzyganych przez sąd, przed wydaniem wyroku. 1 Bawarska Ustawa o ochronie danych osobowych - krótka charakterystyka. Bawarska ustawa z dnia 23 lipca 1993 r. o ochronie danych osobowych (BayDSG) reguluje jedynie kwestie związane z przetwarzaniem danych osobowych w Bawarii przez sektor publiczny; (przetwarzanie danych osobowych przez sektor prywatny podlega przepisom federalnej ustawy o ochronie danych osobowych). Bawarski Rzecznik Ochrony Danych Osobowych jest powoływany na 6 lat przez Sejm Bawarski; aktualnie funkcję Rzecznika Ochrony Danych Osobowych pełni Reinhard Vetter. W Biurze Rzecznika zatrudnionych jest 25 pracowników. Pracownicy Bawarskiego Urzędu Ochrony Danych Osobowych kontrolują jedynie sektor publiczny. Kontrole są przeprowadzane planowo, jak również na skutek skarg od obywateli lub w wyniku informacji zawartych w artykułach prasowych. Jedyne ograniczenie kontroli przewiduje art. 32 pkt 2 podpunkt 2 ustawy, który uniemożliwia przeprowadzenie kontroli w sytuacji, w której mogłoby dojść do naruszenia bezpieczeństwa Bawarii, innego Landu lub Republiki Federalnej Niemiec (w praktyce taki przypadek nigdy nie miał miejsca).
W trakcie kontroli pracownicy Rzecznika oceniają czy kontrolowane podmioty przetwarzają dane osobowe zgodnie z przepisami ustawy. W razie stwierdzenia naruszenia przepisów ustawy o ochronie danych osobowych Rzecznik występuje z tzw. zastrzeżeniem do podmiotu, który dokonał naruszenia. Wskazuje na czym polega naruszenie przepisów ustawy żądając usunięcia uchybień oraz zakazując takich praktyk w przyszłości. Rzecznik Ochrony Danych Osobowych w przypadku, gdy podmiot nie zgadza się z jego uwagami, może wystąpić do rządu Bawarskiego (dotychczas były dwa takie przypadki), który rozstrzyga spór. Procedura tzw. zastrzeżeń nie podlega kontroli sądu administracyjnego. 2 Zmiana celu przetwarzania danych przez administratora danych. Administrator danych, który zebrał dane w ściśle określonym celu, w myśl przepisów bawarskiej ustawy, powinien je przetwarzać tylko w tym celu. Jednak gdy cel wykorzystania jest inny a jednocześnie ważniejszy niż cel dla którego dane zostały zebrane, w takim przypadku dane mogą być wykorzystane dla tego ważnego celu.. Z reguły w takich sprawach wykorzystanie danych dla innego celu znajduje epilog w sądzie i w tej mierze decyzje sądu były różne. 3 Pojęcie danych osobowych w zakresie poczty elektronicznej (czy pseudonim jest uważany za daną osobową?). Dostęp do danych o finansach urzędników państwowych. Publikowanie danych osobowych w książkach telefonicznych. Według przepisów bawarskiej ustawy o ochronie danych osobowych, dane osobowe to dane o adresie osoby, jej majątku, dacie urodzenia oraz szeroko rozumiane dane dotyczące osoby, co do których istnieje interes ich ochrony (art. 4 pkt 1 BayDSG). W opinii Dr Reinharda Vettera ochronie powinny podlegać zarówno adresy poczty elektronicznej (bez względu na to, czy właściciel posługuje się własnym imieniem i nazwiskiem czy też używa pseudonimu), jak i adresy internetowe. Każdy użytkownik tego medium powinien bowiem mieć prawo decydowania o tym, z kim chce korespondować, czy chce i od kogo otrzymywać informacje czy innego rodzaju przesyłki na adres swojej poczty elektronicznej. Dane dotyczące wynagrodzeń urzędników państwowych, co do zasad ich ustalania, są w Niemczech powszechnie dostępne. Ochronie podlega część wynagrodzenia, która jest uzależniona od wieku i stanu rodzinnego urzędnika. Do publicznej wiadomości są podawane również dane dotyczące wynagrodzenia całego zarządu spółki, przy czym dane o wynagrodzeniu poszczególnych członków zarządu podlegają ochronie. W Niemczech, informacje o stanie majątkowym osób publicznych nie są publikowane w internecie. Dr Reinhard Vetter omówił również kwestię książek telefonicznych w Bawarii, które do niedawna były publikowane i bez zgody abonenta mogły być wykorzystywane do innych celów. Ostatnio, biorąc pod uwagę ochronę danych osobowych, uregulowania w tym zakresie zostały zmienione. Niemieckie prawo telekomunikacyjne przewiduje możliwość odmowy podania swoich danych do książki telefonicznej (papierowej i elektronicznej). Nie ma już obowiązku publikowania adresu i numeru telefonu w książce telefonicznej. Publikuje się dane w takim zakresie, w jakim życzy sobie tego abonent. Aktualnie od abonenta, którego dane
dotyczą należy uzyskać zgodę na publikowanie tych danych. Zgoda jest uzyskiwana odrębnie zarówno dla formy papierowej jak i dla formy elektronicznej. Według bawarskiego prawa ochrony danych osobowych (art. 17 pkt 2 ust 8) oraz przepisów prawa federalnego dotyczącego ochrony danych osobowych ( 14 pkt 14 ust. 5), podanie danych do publicznej wiadomości nie oznacza, że dane te w dowolny sposób i w dowolnym celu można wykorzystywać. Jeśli na przykład osoba wyraziła zgodę na publikowanie swojego numeru telefonu, czy adresu e-mail w papierowej czy elektronicznej książce telefonicznej, to nie oznacza, że dane te można przenieść na CD-ROM lub umieścić w Internecie, gdzie zastosowane mogą być inne mechanizmy wyszukiwania i selekcji danych. 4 Prawo do kontroli swoich danych osobowych. O prawie do kontroli danych osobowych osób, których dane dotyczą mówi 34 ustawy bawarskiej. Osoba, której dane dotyczą ma prawo do kontroli swoich danych osobowych, jednak nie posiada prawa fizycznego wglądu do dokumentów - może otrzymać jedynie informację od podmiotu, który przetwarza jej dane. Prawo do kontroli przetwarzanych danych może być ograniczone w postępowaniach karnych oraz, gdy w grę wchodzi np. tajemnica państwowa. Wówczas osoba, której odmówiono informacji może zwrócić się do Rzecznika Ochrony Danych, który występując na rzecz tej osoby informację taką może uzyskać. 5 Przetwarzanie danych osobowych przez Policję. W Bawarii wszelkie sprawy związane z przetwarzaniem danych w sądach, w systemach informatycznych podlegają kontroli rzecznika ochrony danych osobowych. Kontrola, jak i samo przetwarzanie spraw sądowych w systemach informatycznych rozpoczęły się od spraw dotyczących gruntów; jako pierwszy powstał rejestr spraw związanych z nieruchomościami. W Bawarii stworzono następnie landowy, elektroniczny system prokuratorski. Podstawą jego funkcjonowania są przepisy Kodeksu karnego. System rejestruje wszystkie sprawy sądowe oraz wszystkie sprawy prowadzone przez prokuraturę, w tym sprawy prowadzone przez Straż Graniczną, Straż Leśną i inne tego rodzaju służby. Dane dotyczące przestępstw (w tym dane osobowe przestępców i osób podejrzanych) są bezpośrednio wprowadzane do tego systemu w prokuraturze landowej. Rejestr obejmuje (poza wykroczeniami) wszystkie oskarżenia prokuratorskie z wyjątkiem oskarżeń przeciwko dzieciom. Dane osobowe zgromadzone w tym rejestrze są przechowywane przez 10 lat, a następnie usuwane. Jeżeli dane dotyczące danej osoby są przechowywane przez okres dłuższy niż 10 lat, oznacza to, że w ciągu 10 lat wpływały w stosunku do tej osoby nowe wnioski o dokonanie wpisu do rejestru. W ramach landowego, elektronicznego systemu prokuratorskiego prowadzony jest rejestr kodów DNA. Podstawą do wprowadzenia kodu DNA danej osoby jest akt oskarżenia, skazanie lub uzasadnione podejrzenie popełnienia przestępstwa. Ponadto, aby wprowadzić DNA do rejestru trzeba uzyskać zgodę osoby, której DNA dotyczy. W przypadku braku takiej zgody, sąd może nakazać poddanie się badaniu genetycznemu i w konsekwencji umieszczenie kodu DNA w rejestrze. Pracownicy rzecznika ochrony danych osobowych mają nieograniczony dostęp do tego rejestru.
Obok wymienionego rejestru Policja prowadzi swój własny rejestr, w którym przetwarzane są dane osobowe gromadzone wyłącznie przez Policję. Zarówno do tego rejestru, jak i innych rejestrów prowadzonych w Bawarii, w tym także rejestrów prowadzonych przez służby specjalne, pracownicy rzecznika mają nieograniczony dostęp. Jeżeli przeprowadzona przez Rzecznika kontrola zbiorów danych osobowych Policji ujawni naruszenie przepisów o ochronie danych osobowych, dane zostają zakwestionowane. W przypadku rozbieżności opinii (Policji i Rzecznika) co do kwestii naruszenia przepisów, sprawa rozpatrywana jest przez rząd bawarski. W zakresie kompetencji rzecznika bawarskiego nie leży skierowanie sprawy do prokuratury - może to uczynić na podstawie przepisów karnych dotyczących ogółu obywateli. W dotychczasowej działalności urzędu nie było takiego przypadku. 6 Przetwarzanie danych na potrzeby zatrudnienia; dopuszczalność zbierania danych genetycznych, przeprowadzania badań psychologicznych i poligraficznych pracowników. W Bawarii nie ma odrębnych regulacji określających jakiego rodzaju dane osobowe pracowników mogą przetwarzać pracodawcy. Decydującym dla oceny czy pracodawca jest uprawniony do przetwarzania konkretnych danych, jest ich niezbędność dla nawiązania, utrzymania i rozwiązania stosunku pracy (np. testy psychologiczne są dopuszczalne w ograniczonym stopniu, odpowiednim dla danego stanowiska; przetwarzanie danych genetycznych jest zabronione, gdyż naruszałoby cel zatrudnienia). W Niemczech nie są stosowane badania poligraficzne przy zatrudnianiu pracowników. Można badać jedynie profil osobowości kandydata do pracy. 7 Przekazywanie danych osobowych za granicę. Zagadnienia przekazywania danych osobowych za granicę uregulowane są w art. 21 pkt 1 i 2 BayDSG. Zgodnie z art. 21 pkt 1, dane osobowe można przekazywać do krajów Unii Europejskiej bez spełnienia dodatkowych kryteriów. W sytuacji natomiast przekazywania danych osobowych poza Unię Europejską (art. 21 pkt 2) konieczne jest ustalenie czy kraj, do którego dane są przekazywane zapewnia odpowiednią ochronę danych. 8 Zagadnienie "Czarnych list" w systemie niemieckim (Schuffa). W Niemczech istnieje stowarzyszenie Schuffa, do którego należą instytucje kredytowe, banki oraz instytucje leasingowe. Schuffa prowadzi rejestr wszystkich kredytobiorców. Podstawą przekazania danych do tego rejestru jest zgoda kredytobiorcy. Każdy kredytobiorca w momencie składania wniosku kredytowego wyraża zgodę na przekazanie jego danych do rejestru stowarzyszenia Schuffa. W przypadku braku zgody na przekazanie danych do rejestru kredytobiorca musi liczyć się z odmową przyznania kredytu. Wgląd do rejestru mają tylko instytucje zrzeszone w Schuffa. Taki sposób funkcjonowania rejestru został usankcjonowany przez Sąd Najwyższy, który wydał aprobujące orzeczenie. Na skutek takiego rozwiązania w
Niemczech nie istnieje problem "czarnych list" niesolidnych dłużników oraz ich publikowania w internecie. 9 Dostęp dziennikarzy do akt spraw prowadzonych przez prokuraturę lub rozstrzyganych przez sąd, przed wydaniem wyroku. Art. 4 niemieckiego prawa prasowego określa jak daleko może sięgać prasa w poszukiwaniu i otrzymywaniu informacji. Dziennikarze mają dostęp do aktu oskarżenia, w którym dane osobowe ograniczają się do inicjałów. Natomiast do akt prowadzonych przez policję, prokuraturę oraz do akt sądowych dziennikarze w ogóle nie mają dostępu. Na tydzień przed planowaną rozprawą dziennikarze zainteresowani daną sprawą są powiadamiani o jej terminie i miejscu. W związku ze sprawą karną rozpoznawaną przez sąd, w prasie może pojawić się informacja wskazująca przedmiot postępowania oraz inicjały osoby, przeciwko której toczy się postępowanie. We wszystkich landach niemieckich obowiązują takie same uregulowania. W trakcie spotkania omówiono również przepisy prawa określające warunki techniczne i organizacyjne jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Wymagania dotyczące zabezpieczeń systemów informatycznych, ich funkcjonalności oraz sposobu użytkowania są ściśle określone. Od systemów takich wymaga się aby odnotowywały między innymi: datę operacji wprowadzania danych, identyfikator użytkownika wprowadzającego dane, źródło pochodzenia danych oraz informacje o udostępnianiu danych innym podmiotom. System informatyczny powinien być odpowiednio zabezpieczony przed nieautoryzowanym dostępem, jeśli do autoryzacji używane jest hasło dostępu powinno być zmieniane minimum co 90 dni. Administrator obowiązany jest do stosowania ochrony antywirusowej oraz systematycznego tworzenia kopii awaryjnych. W Bawarii, kontrolami systemów informatycznych używanych do przetwarzania danych osobowych oraz ogólnie ochroną danych osobowych w instytucjach i podmiotach prywatnych zajmuje się, z godnie z niemieckim prawem federalnym, Rząd Środkowej Frankonii. Kontrole takie obejmują: sprawy związane z przestępstwami i nadużyciami popełnianymi w Internecie, sprawdzenie i kontrola logów serwerów bazodanowych, kto i jak przetwarza, przechowuje dane osobowe, weryfikacja struktury danych (struktur rekordów bazy), zarządzanie systemami informatycznymi stosowanymi do przetwarzania danych osobowych zagadnieniami e-commerce. Przed przystąpieniem do kontroli, do kontrolowanej instytucji kierowane jest, z czterotygodniowym wyprzedzeniem, pismo z prośbą o przygotowanie odpowiednich materiałów. W piśmie tym kontrolowana jednostka zobligowana zostaje do przygotowania między innymi: wykazu przetwarzanych zbiorów danych osobowych, wykazu stosowanych narzędzi programowych i bazodanowych, określenia struktury poszczególnych zbiorów danych (struktury rekordów danych),
wykazu stosowanych procedur, schematu przepływu danych pomiędzy różnymi systemami. Została również omówiona kwestia przetwarzania danych osobowych przez podmioty publiczne i prywatne w Internecie. Egzekwowanie przepisów dotyczących ochrony danych osobowych w Niemczech w Internecie należy do następujących instytucji: Ministerstwa Spraw Wewnętrznych i Rządu Środkowej Frankonii, w przypadku gdy dane przetwarzane są przez firmy z terenu Bawarii; Landowego Rzecznika Ochrony Danych, w przypadku gdy dane przetwarzane są przez urząd landowy; Federalnego Rzecznika Ochrony Danych Osobowych, w przypadku gdy dane przetwarza urząd federalny. Ostatnim zagadnieniem, które poddano dyskusji był sposób, w jaki Bawarski Urząd Ochrony Danych Osobowych interpretuje pojęcie zbioru danych osobowych. W zapytaniu chodziło głównie o sposób interpretacji zbioru w przypadku gdy: 1) Dane dotyczące różnych zagadnień i przetwarzane w różnych celach gromadzone są na wspólnym nośniku danych. 2) Dane przetwarzane w ściśle określonym celu podzielone są funkcjonalnie na części, które przetwarzane są w różnych miejscach, na różnych maszynach, które nie komunikują się pomiędzy sobą. 3) Dane przetwarzane w ściśle określonym celu podzielone są funkcjonalnie na części, które się wzajemnie uzupełniają. Części tych danych przetwarzane są na różnych maszynach, przy czym maszyna, która je przetwarza, w przypadku potrzeby komunikuje się z innymi maszynami w celu wymiany danych. W odpowiedzi wyjaśniono, że przy ocenie czy dane struktury danych (bazy danych) są w sensie prawnym danymi, które należy traktować niezależnie (oddzielnie), główną rolę odgrywają zabezpieczenia mające wpływ na autoryzację dostępu. We współczesnej technologii informatycznej zwłaszcza w środowiskach sieciowych niezależność w sensie uprawnień do przetwarzania danych buduje się poprzez wprowadzenie odpowiednich mechanizmów bezpieczeństwa i autoryzacji. Tak więc o niezależności dwóch zbiorów w danym środowisku informatycznym, w opinii specjalistów niemieckich zajmujących się ochroną danych osobowych, decydują zastosowane środki kontroli dostępu a nie ich fizyczna niezależność.