You are on page 1of 170

Druk nr 4475

Warszawa, 15 lipca 2011 r. SEJM RZECZYPOSPOLITEJ POLSKIEJ VI kadencja Generalny Inspektor Ochrony Danych Osobowych DESiWM 044 1/11/33776 Pan Grzegorz Schetyna Marszaek Sejmu Rzeczypospolitej Polskiej

Szanowny Panie Marszaku pragn zoy na Pana rce

- Sprawozdanie z dziaalnoci Generalnego Inspektora Ochrony Danych Osobowych w roku 2010.


Sprawozdanie stanowi wykonanie art. 20 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z pn. zm.), zgodnie z ktrym Generalny Inspektor Ochrony Danych Osobowych skada Sejmowi, raz w roku, sprawozdanie ze swojej dziaalnoci wraz z wnioskami wynikajcymi ze stanu przestrzegania przepisw o ochronie danych osobowych.

Z powaaniem (-) dr Wojciech R. Wiewirowski

Generalny Inspektor Ochrony Danych Osobowych

SPRAWOZDANIE
Z DZIAALNOCI GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH W ROKU 2010
Sprawozdanie stanowi wykonanie art. 20 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z pn. zm.), zgodnie z ktrym Generalny Inspektor Ochrony Danych Osobowych skada Sejmowi, raz w roku, sprawozdanie ze swojej dziaalnoci wraz z wnioskami wynikajcymi ze stanu przestrzegania przepisw o ochronie danych osobowych1.

Niniejsze Sprawozdanie obejmuje okres dziaalnoci Generalnego Inspektora Ochrony Danych Osobowych od 1 stycznia 2010 r. do 31 grudnia 2010 r.

SPIS TRECI
Wprowadzenie . Cz I. Prawne podstawy dziaalnoci Generalnego Inspektora Ochrony Danych Osobowych 1. 2. Informacje oglne ... Biuro Generalnego Inspektora Ochrony Danych Osobowych 2.1. Struktura organizacyjna . 2.2. Pracownicy Biura GIODO . 2.3. Wykonanie budetu Generalnego Inspektora Ochrony Danych Osobowych za 2010 rok . Cz II. 1. 2. 2.1. 2.2. Stan wiedzy i przestrzegania przepisw o ochronie danych osobowych 5 5 5 7 7 7

8 9 9 10 10 12 12 13 14 15 17 19 21 23 24 26 29 30 33 35 36 38

Informacje oglne .. Kontrola zgodnoci przetwarzania danych z przepisami o ochronie danych osobowych .. Czynnoci kontrolne ... Kontrola przetwarzania danych osobowych w wybranych obszarach ... 1) Administracja publiczna .. 2) Banki i inne instytucje finansowe ... 3) Internet ....... 4) Owiata i szkolnictwo wysze 5) Suba zdrowia 6) Ubezpieczenia spoeczne, majtkowe i osobowe 7) Telekomunikacja ..... 8) Zatrudnienie ... 9) Komunalne jednostki organizacyjne ... 10) Inne

2.3. 2.4. 2.5.

Systemy informatyczne suce do przetwarzania danych osobowych .. Wyniki kontroli w zakresie wypenienia obowizkw formalnych i organizacyjnych ..... Wyniki kontroli w zakresie warunkw techniczno-organizacyjnych .. 2.5.1. Ocena poziomu bezpieczestwa 2.5.2. Outsourcing i kolokacja danych 2.5.3. Systemy sieciowe i wielostanowiskowe 2

3. 3.1. 3.2. 3.3. 4. 5. 6.

Wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisw o ochronie danych osobowych Wydawanie decyzji .. Zawiadomienia o podejrzeniu popenienia przestpstwa Rozpatrywanie skarg ... Prowadzenie rejestru zbiorw danych osobowych oraz udzielanie informacji o zarejestrowanych zbiorach .. Opiniowanie projektw ustaw i rozporzdze dotyczcych ochrony danych osobowych .. Inicjowanie i podejmowanie przedsiwzi w zakresie doskonalenia ochrony danych osobowych . 6.1. Interpretacja przepisw . 6.1.1. Przetwarzanie danych osobowych za porednictwem sieci Internet . 6.1.2. Przetwarzanie danych osobowych z zastosowaniem systemw informatycznych oraz monitoringu .. 6.1.3. Inne 6.2. Dziaalno informacyjna ..... 6.2.1. Wsppraca ze rodkami masowego przekazu .. 6.2.2. Publikacje ...... 6.2.3. Szkolenia ... 6.2.4. Konkursy ... 6.2.5. Projekty i programy . 6.2.6. Konferencje, seminaria, spotkania . 6.2.7. Internet ... 6.2.8. Inne informacje ..

39 39 40 42 48 59 75 77 77 84 87 93 94 97 98 99 99 103 109 109 111 115 118 118 119

7.

Uczestnictwo w pracach midzynarodowych organizacji i instytucji zajmujcych si problematyk ochrony danych osobowych ... 7.1. Midzynarodowe spotkania i konferencje 7.2. Wizyty robocze . 7.3. Warsztaty Rozpatrywania Spraw .. 7.4. Warsztaty TAIEX .

Cz III.

Charakterystyka dziaalnoci Generalnego Inspektora Ochrony Danych Osobowych w 2010 roku Wnioski i planowane kierunki dziaa Generalnego Inspektora Ochrony Danych Osobowych .

119

Cz IV.

135

Zaczniki
Zacznik nr 1 Wykaz najwaniejszych wystpie Generalnego Inspektora Ochrony Danych Osobowych w roku 2010 o charakterze generalnym do centralnych organw pastwa i do innych podmiotw z sektora publicznego. Wykaz najwaniejszych wystpie Generalnego Inspektora Ochrony Danych Osobowych w roku 2010 do podmiotw prywatnych ... Wykaz kontroli przeprowadzonych w 2010 roku Wykaz orzecze Wojewdzkiego Sdu Administracyjnego w Warszawie i Naczelnego Sdu Administracyjnego wydanych w 2010 r. w sprawach prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych .. Informacje przekazane przez organy cigania w sprawach skierowanych w 2010 roku przez Generalnego Inspektora Ochrony Danych Osobowych zawiadomie o popenieniu przestpstwa Wykaz szkole przeprowadzonych przez GIODO w 2010 r. . Wykaz decyzji i postanowie Generalnego Inspektora Ochrony Danych Osobowych wydanych w 2010 roku w sprawach o wyraenie zgody na przekazanie danych osobowych do pastwa trzeciego ..

141

Zacznik nr 2

146

Zacznik nr 3 Zacznik nr 4

149

158

Zacznik nr 5

164 165

Zacznik nr 6 Zacznik nr 7

167

SPRAWOZDANIE Z DZIAALNOCI GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH W ROKU 2010

Wprowadzenie
Rok 2010 by dwunastym rokiem obowizywania ustawy o ochronie danych osobowych. By to jednoczenie rok istotnych zmian w podstawach prawnych dziaania Generalnego Inspektora Ochrony Danych Osobowych (GIODO) przede wszystkim zwizanych z zakoczeniem prac nad prezydenckim projektem nowelizacji ustawy o ochronie danych osobowych. W dniu 29 padziernika 2010 r. Sejm RP ostatecznie przyj poprawki do projektu zgoszone przez Senat. Dat wejcia w ycie zmian by 7 marca 2011 r. Omwiona w dalszej czci Sprawozdania nowelizacja uzupenia uprawnienia GIODO o zadania z zakresu egzekucji administracyjnej. Dokonano rwnie zmiany na stanowisku Generalnego Inspektora Ochrony Danych Osobowych. W dniu 25 czerwca 2010 r. Sejm Rzeczypospolitej Polskiej powoa do penienia tej funkcji dra Wojciecha Rafaa Wiewirowskiego. Po zatwierdzeniu tego wyboru przez Senat i zoeniu lubowania z dniem 4 sierpnia 2010 r. dr Wojciech Rafa Wiewirowski obj obowizki Generalnego Inspektora rozpoczynajc swoj czteroletni kadencj.

Cz I. Prawne podstawy dziaalnoci Generalnego Inspektora Ochrony Danych Osobowych


1. Informacje oglne Podstaw prawn dziaania Generalnego Inspektora Ochrony Danych Osobowych (GIODO) stanowi ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j.: Dz. U. z 2002 r. Nr 101, poz. 926 z pn. zm.) oraz wydane na jej podstawie akty wykonawcze rozporzdzenia Ministra Spraw Wewntrznych i Administracji: a) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych wraz zacznikiem zawierajcym opis rodkw bezpieczestwa na poziomie podstawowym, podwyszonym i wysokim (Dz. U. Nr 100, poz. 1024), wydane na podstawie art. 39a ustawy. Rozporzdzenie okrela:

sposb prowadzenia i zakres dokumentacji opisujcej sposb przetwarzania danych osobowych oraz rodki techniczne i organizacyjne zapewniajce ochron przetwarzanych danych osobowych odpowiedni do zagroe oraz kategorii danych objtych ochron,

podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych, wymagania w zakresie odnotowywania udostpniania danych osobowych i bezpieczestwa przetwarzania danych osobowych.

b) z dnia 11 grudnia 2008 r. w sprawie wzoru zgoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536) wydane na podstawie art. 46a ustawy okrela wzr zgoszenia, ktry jest zacznikiem do tego rozporzdzenia, c) z dnia 22 kwietnia 2004 r. w sprawie wzorw imiennego upowanienia i legitymacji subowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. Nr 94, poz. 923) wydane na podstawie art. 22a ustawy okrela wzory, o ktrych mwi to rozporzdzenie, d) rozporzdzenie Prezydenta Rzeczypospolitej Polskiej z dnia 3 listopada 2006 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2006 r. Nr 203, poz. 1494). Ustaw z dnia 29 padziernika 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektrych innych ustaw (Dz. U. Nr 229, poz. 1497) wprowadzone zostay zmiany w przepisach dotychczas obowizujcej ustawy. Wejd one w ycie z dniem 7 marca 2011 r. Nowelizacja ustawy bya rwnie czci procesu implementacji unijnej dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 padziernika 1995 r. w sprawie ochrony osb fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepywu tych danych (Dz. Urz. UE L 281 z 23 listopada 1995 r. s. 31 z pn. zm.). Szczegy nowelizacji przedstawione zostan w dalszej czci niniejszego Sprawozdania. Na system ochrony danych osobowych skadaj si te przepisy szczeglne innych ustaw, ktre reguluj kwestie zwizane z przetwarzaniem danych osobowych przez rne podmioty. Organy wadzy publicznej i obsugujce je urzdy, w myl zasady praworzdnoci wyraonej w art. 7 Konstytucji Rzeczypospolitej Polskiej, dziaaj wycznie na podstawie i w granicach prawa. Oznacza to, e mog one przetwarza dane osobowe jedynie wtedy, gdy suy to wypenieniu okrelonych prawem zada, obowizkw i upowanie. Rwnie wolno przetwarzania informacji gwarantowana osobom fizycznym i podmiotom innym ni organy publiczne przez art. 54 ust. 1 Konstytucji RP, znajduje pewne ograniczenia w przepisach szczeglnych chronicych prywatno osb fizycznych.

2. Biuro Generalnego Inspektora Ochrony Danych Osobowych 2.1 Struktura organizacyjna


Zgodnie z art. 13 ustawy o ochronie danych osobowych, Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych. Organizacja oraz zasady dziaania Biura okrelone zostay w statucie stanowicym zacznik do rozporzdzenia Prezydenta Rzeczypospolitej Polskiej z dnia 3 listopada 2006 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych. Struktur organizacyjn Biura Generalnego Inspektora Ochrony Danych Osobowych przedstawia poniszy schemat:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH ZASTPCA GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH DYREKTOR BIURA GIODO

Departament Orzecznictwa, Legislacji i Skarg Departament Inspekcji

Dzia Finansowy

Zesp Rzecznika Prasowego

Departament Rejestracji Zbiorw Danych Osobowych Departament Informatyki

Samodzielne Stanowisko do Spraw Pracowniczych

Samodzielne Stanowisko do Spraw Audytu Wewntrznego

Departament Edukacji Spoecznej i Wsppracy Midzynarodowej

Samodzielne Stanowisko do Spraw Ochrony Informacji Niejawnych

Departament OrganizacyjnoAdministracyjny

Generalny Inspektor wykonuje swoje zadania bezporednio lub przy pomocy Dyrektora Biura, dyrektorw jednostek organizacyjnych Biura oraz innych osb wskazanych w Regulaminie Organizacyjnym2.

2.2.

Pracownicy Biura GIODO

Stan zatrudnienia w Biurze GIODO w przeliczeniu na pene etaty wynosi na dzie 1 stycznia 2010 r. 120 etatw, za na dzie 31 grudnia 2010 r. 127 etatw. Na stanowiskach merytorycznych
2

Zarzdzenie nr 29/2007 Generalnego Inspektora Ochrony Danych Osobowych z dnia 14 wrzenia 2007 r. w sprawie wprowadzenia Regulaminu Organizacyjnego Biura Generalnego Inspektora Ochrony Danych Osobowych.

zatrudnionych byo 112 osb, a na stanowiskach pomocniczych 18 osb. Wysze wyksztacenie posiadao 115 pracownikw, w tym 79 legitymowao si wyksztaceniem wyszym prawniczym. Liczba pracownikw zatrudnionych w poszczeglnych jednostkach organizacyjnych Biura GIODO na koniec 2010 r. przedstawia si nastpujco: - GIODO - 1 osoba - Zastpca GIODO 1 osoba - Dyrektor Biura 1 osoba - Zesp Rzecznika Prasowego (ZRP) 4 osoby - Departament Edukacji Spoecznej i Wsppracy Midzynarodowej (DESiWM) 10 osb - Departament Informatyki (DIF) 14 osb, - Departament Inspekcji (DIS) 17 osb, - Departament Orzecznictwa, Legislacji i Skarg (DOLiS) 35 osb, - Departament Rejestracji Zbiorw Danych Osobowych (DRZDO) 18 osb, - Departament Organizacyjno-Administracyjny (DOA) 17 osb, - Dzia Finansowy 3 osoby - Samodzielne Stanowisko ds. Ochrony Informacji Niejawnych 2 osoby - Samodzielne Stanowisko ds. Pracowniczych 2 osoby - Samodzielne Stanowisko ds. Audytu 1 osoba

2.3. Wykonanie budetu Generalnego Inspektora Ochrony Danych Osobowych za 2010 rok
Budet Generalnego Inspektora ustalony w ustawie budetowej na 2010 r. wynosi: 13 842 tys. z, w tym: wynagrodzenia pochodne od wynagrodze wydatki majtkowe pozostae wydatki 9 305 tys. z 1 451 tys. z 81 tys. z 3 005 tys. z

Wydatki zrealizowane przez GIODO w 2010 roku w kwocie 13 720 tys. z obejmoway: wynagrodzenia pochodne od wynagrodze wydatki majtkowe pozostae wydatki 9 260 tys. z 1 404 tys. z 81 tys. z 2 975 tys. z

Cz II. Stan wiedzy i przestrzegania przepisw o ochronie danych osobowych


1. Informacje oglne Ustawa o ochronie danych osobowych wprowadza szczegowe normy suce realizacji prawa do ochrony danych osobowych. Reguluje postpowanie przy przetwarzaniu danych osobowych, czyli operacjach, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostpnianie i usuwanie danych osobowych, zdefiniowanych jako wszelkie informacje dotyczce osoby fizycznej, pozwalajce bez wikszego wysiku na okrelenie tosamoci tej osoby. Danymi osobowymi nie bd jednak pojedyncze informacje o duym stopniu oglnoci. Stan si nimi dopiero z chwil zestawienia ich z innymi, dodatkowymi informacjami, ktre w konsekwencji pozwol na odniesienie ich do konkretnej osoby. Moliwa do zidentyfikowania jest wic taka osoba, ktrej tosamo mona okreli bezporednio lub porednio, zwaszcza poprzez powoanie si na numer identyfikacyjny albo jeden lub kilka specyficznych czynnikw okrelajcych jej cechy fizyczne, fizjologiczne, umysowe, ekonomiczne, kulturowe lub spoeczne. Informacji nie uwaa si za umoliwiajc okrelenie tosamoci osoby, jeeli wymagaoby to nadmiernych kosztw, czasu lub dziaa. Gwne zasady postpowania przy przetwarzaniu danych osobowych wyznacza art. 26 ust. 1 ustawy, ujmujc je w form podstawowych obowizkw administratora danych3. Z jego treci wynika, e administrator danych powinien dooy szczeglnej starannoci w celu ochrony interesw osb, ktrych dane dotycz, a co za tym idzie, ma on przestrzega wskazanych poniej zasad: 1) legalnoci dane mog by przetwarzane tylko na podstawie przepisw prawa, 2) celowoci dane powinny by zbierane dla oznaczonych, zgodnych z prawem celw i niepoddawane dalszemu przetwarzaniu, jeli jest to niezgodne z tymi celami, 3) merytorycznej poprawnoci dane powinny by merytorycznie poprawne, 4) adekwatnoci dane powinny by adekwatne w stosunku do celw, w jakich s przetwarzane, 5) ograniczenia czasowego dane w postaci umoliwiajcej identyfikacj osb, ktrych dotycz, nie mog by przetwarzane duej, ni jest to niezbdne do osignicia celu, dla ktrego zostay zebrane. Jako obywatele mamy moliwo skorzystania z przysugujcego nam prawa do formalnej kontroli przetwarzania dotyczcych nas danych, ktre ustanowione jest w rozdziale 4 ustawy. Moemy domaga si rwnie: uzyskania informacji, czy zbir danych istnieje, ustalenia administratora danych,
3

Administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba decydujca o celach i rodkach przetwarzania danych (art. 7 pkt 4 ustawy o ochronie danych osobowych). Midzy innymi moe to by organ pastwowy, organ samorzdu terytorialnego lub pastwowa albo komunalna jednostka organizacyjna.

adresu jego siedziby, uzyskania informacji o celu, zakresie i sposobie przetwarzania danych oraz informacji o rdle, z ktrego pochodz, dania uzupenienia, uaktualnienia, sprostowania, a nawet czasowego lub staego wstrzymania przetwarzania danych, jeeli s one nieaktualne, niekompletne, nieprawdziwe lub zostay zebrane z naruszeniem prawa albo s ju zbdne do realizacji celu, dla ktrego byy zebrane. Mamy take prawo do sprzeciwu, gdy administrator przetwarza dane w celach marketingowych lub przekazuje je innemu administratorowi danych. Suy nam wic prawo dania od administratora danych odpowiedniego zachowania si w przypadku nieprzestrzegania ustawy, a take prawo do wystpowania do Generalnego Inspektora Ochrony Danych Osobowych, organw cigania oraz wymiaru sprawiedliwoci w sprawach naruszenia przepisw o ochronie danych osobowych. Reasumujc, ustawa o ochronie danych osobowych konkretyzuje prawa obywateli do ochrony dotyczcych ich danych osobowych oraz ustanawia instrumenty umoliwiajce realizacj tego prawa. Nad przestrzeganiem prawa jednostek do ochrony ich danych osobowych czuwa niezaleny organ Generalny Inspektor Ochrony Danych Osobowych. Postpowanie w sprawach uregulowanych w ustawie o ochronie danych osobowych prowadzi si wedug zasad okrelonych w przepisach Kodeksu postpowania administracyjnego (K.p.a.), o ile przepisy ustawy o ochronie danych osobowych nie stanowi inaczej (art. 22 ustawy). Zgodnie z brzmieniem art. 12 wspomnianej ustawy, Generalny Inspektor w szczeglnoci: 1) kontroluje zgodno przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydaje decyzje administracyjne i rozpatruje skargi w sprawach wykonania przepisw o ochronie danych osobowych, 3) prowadzi oglnokrajowy, jawny rejestr zbiorw danych oraz udziela informacji o zarejestrowanych zbiorach, 4) opiniuje projekty ustaw i rozporzdze dotyczcych ochrony danych osobowych, 5) inicjuje i podejmuje przedsiwzicia w zakresie doskonalenia ochrony danych osobowych, 6) uczestniczy w pracach midzynarodowych organizacji i instytucji zajmujcych si problematyk ochrony danych osobowych.

2. Kontrola zgodnoci przetwarzania danych z przepisami o ochronie danych osobowych 2.1. Czynnoci kontrolne
Czynnoci kontrolne, ktrych celem jest ustalenie, czy jednostka kontrolowana przetwarza dane zgodnie z przepisami o ochronie danych osobowych, przeprowadzane s na podstawie art. 12 pkt 1 i art. 14 ustawy o ochronie danych osobowych. W art. 14 ustawy wymienione zostay uprawnienia

10

przysugujce Generalnemu Inspektorowi Ochrony Danych Osobowych, Zastpcy Generalnego Inspektora Ochrony Danych Osobowych oraz upowanionym inspektorom w zwizku z realizacj zadania okrelonego w art. 12 pkt 1 powoanej ustawy. Uprawnienia te obejmuj w szczeglnoci prawo wstpu, w godzinach od 6.00 do 22.00, do pomieszczenia, w ktrym zlokalizowany jest zbir danych oraz pomieszczenia, w ktrym przetwarzane s dane poza zbiorem danych, i przeprowadzenia niezbdnych bada lub innych czynnoci kontrolnych w celu oceny zgodnoci przetwarzania danych z ustaw, dania zoenia pisemnych lub ustnych wyjanie oraz wzywania i przesuchiwania osb w zakresie niezbdnym do ustalenia stanu faktycznego, wgldu do wszelkich dokumentw i wszelkich danych majcych bezporedni zwizek z przedmiotem kontroli oraz sporzdzania ich kopii, przeprowadzania ogldzin urzdze, nonikw oraz systemw informatycznych sucych do przetwarzania danych, a take zlecania sporzdzania ekspertyz i opinii. Wymienionym uprawnieniom towarzyszy obowizek kierownika jednostki kontrolowanej oraz osoby fizycznej bdcej administratorem danych, umoliwienia inspektorom dokonania tych czynnoci (art. 15 ust. 1 ustawy o ochronie danych osobowych). Przeprowadzane w toku kontroli czynnoci (odbieranie wyjanie od kierownictwa i pracownikw kontrolowanej jednostki, ogldziny) s dokumentowane w formie protokow przyjcia ustnych wyjanie, protokow przesuchania w charakterze wiadka oraz protokow ogldzin miejsca, pomieszcze, dokumentw, urzdze, nonikw, systemw informatycznych sucych do przetwarzania danych osobowych. Na podstawie ustale zawartych w ww. protokoach, analizy dokumentw przedoonych w toku kontroli (stanowicych w szczeglnoci uchway i zarzdzenia organw reprezentujcych jednostk kontrolowan, regulaminy, instrukcje i procedury okrelajce zasady przetwarzania danych osobowych, zawarte umowy, w tym umowy powierzenia przetwarzania danych osobowych oraz opracowane formularze i kwestionariusze) oraz wydrukw z systemw informatycznych sucych do przetwarzania danych osobowych, sporzdzany jest protok kontroli. Podpisany przez inspektorw, ktrzy kontrol przeprowadzili, protok kontroli przedstawiany jest nastpnie do podpisu kierownikowi jednostki kontrolowanej, ktry zgodnie z art. 16 ust. 2 ustawy o ochronie danych osobowych moe wnie do niego umotywowane zastrzeenia i uwagi. W zalenoci od ustale poczynionych w toku kontroli, tzn. czy stwierdzone zostay nieprawidowoci w procesie przetwarzania danych osobowych, wszczynane jest postpowanie administracyjne lub kierowane jest do jednostki kontrolowanej pismo z informacj, e w zakresie objtym kontrol nie stwierdzono uchybie. Ponadto, w przypadku stwierdzenia, e dziaanie lub zaniechanie kierownika jednostki kontrolowanej lub jej pracownika wyczerpuje znamiona przestpstwa okrelonego w ustawie o ochronie danych osobowych, do organu powoanego do cigania przestpstw kierowane jest zawiadomienie o popenieniu przestpstwa. Ustalenia kontrolne mog take uzasadni danie

11

wszczcia przewidzianego prawem postpowania przeciwko osobom winnym dopuszczenia do uchybie, np. postpowania dyscyplinarnego.

2.2. Kontrola przetwarzania danych osobowych w wybranych obszarach


W 2010 r. Generalny Inspektor Ochrony Danych Osobowych przeprowadzi cznie 196 kontroli zgodnoci przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych.

1) Administracja publiczna
W 2010 r. w ramach kontroli podmiotw sektora administracji publicznej, przeprowadzono 10 kontroli w urzdach kontroli skarbowej4. Zakresem kontroli objto zabezpieczenie danych osobowych przetwarzanych przez dyrektorw urzdw kontroli skarbowej. Do najczciej stwierdzanych w toku kontroli nieprawidowoci, naleay uchybienia w zakresie niedostosowania systemw informatycznych wykorzystywanych do przetwarzania danych osobowych do wymogw rozporzdzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych. W szczeglnoci systemy te nie zapewniay dla kadej osoby, ktrej dane osobowe byy przetwarzane w systemie informatycznym, odnotowania daty pierwszego wprowadzenia danych do systemu i identyfikatora uytkownika wprowadzajcego dane osobowe do systemu. Liczne nieprawidowoci stwierdzono take w zakresie prowadzonej przez administratorw danych dokumentacji opisujcej sposb przetwarzania danych osobowych oraz rodkw technicznych i organizacyjnych zapewniajcych ochron przetwarzanych danych osobowych. Uchybieniem byo przede wszystkim niezawarcie w niej wszystkich elementw okrelonych w 4 i 5 wspomnianego rozporzdzenia, tj. okrelajcych polityk bezpieczestwa i instrukcj jej prowadzenia (np. brak byo opisu struktury zbiorw danych wskazujcego zawarto poszczeglnych pl informacyjnych i powizania midzy nimi). W pojedynczych przypadkach przeprowadzone kontrole wykazay, e administratorzy danych nie zastosowali odpowiednich rodkw technicznych i organizacyjnych zapewniajcych ochron przetwarzanych danych osobowych, w zwizku z brakiem rejestru pobranych i zdanych kluczy do pomieszcze, w ktrych przetwarzane s dane osobowe oraz rejestru wynoszonej poza obszar przetwarzania danych dokumentacji zawierajcej dane osobowe. W jednym przypadku stwierdzono, e prowadzona ewidencja osb upowanionych do przetwarzania danych osobowych nie speniaa wymaga okrelonych w art. 39 ust. 1 ustawy
4

Np. kontrole DIS-K-421/97/10, DIS-K-421/103/10, DIS-K-421/122/10, DIS-K-421/125/10.

12

o ochronie danych osobowych5, tj. nie zawiera informacji o identyfikatorach uytkownikw przetwarzajcych dane osobowe w systemach informatycznych. W zwizku ze stwierdzonymi uchybieniami, wobec dyrektorw urzdw kontroli skarbowej wszczte zostay postpowania administracyjne i wydane zostay decyzje nakazujce usunicie uchybie6. W decyzjach tych Generalny Inspektor nakaza m.in. zapewnienie, aby system informatyczny sucy do przetwarzania danych osobowych zapewnia dla kadej osoby, ktrej dane osobowe byy w tym systemie przetwarzane, odnotowanie daty pierwszego wprowadzenia danych do systemu i identyfikatora uytkownika wprowadzajcego dane osobowe do systemu. Na podstawie ustale dokonanych w toku kontroli tych podmiotw, Generalny Inspektor skierowa pismo do Ministra Finansw informujce o nieprawidowociach dotyczcych systemu informatycznego sucego do przetwarzania danych osb, ktre byy poddawane kontroli podatkowej7. W odpowiedzi na ww. pismo Generalny Inspektor Kontroli Skarbowej wskaza, e system informatyczny zosta dostosowany do wymogw okrelonych w przepisach o ochronie danych osobowych. Do wszystkich urzdw kontroli skarbowej przekazano now wersj systemu, ktra zapewnia automatyczne odnotowanie daty pierwszego wprowadzenia danych do systemu oraz identyfikatora uytkownika wprowadzajcego te dane8. Podkreli naley, e reakcja Ministra Finansw na wskazane nieprawidowoci bya niezwoczna i umoliwia przywrcenie stanu zgodnego z prawem we wszystkich urzdach kontroli skarbowej znacznie przed upywem terminu wskazanego przez GIODO w decyzjach nakazujcych usunicie uchybie.

2) Banki i inne instytucje finansowe


W 2010 r. przeprowadzono 18 kontroli zgodnoci przetwarzania danych osobowych z przepisami o ochronie danych osobowych w firmach inwestycyjnych prowadzcych dziaalno maklersk9, w tym 16 kontroli przeprowadzono w ramach kontroli sektorowej10. Zakresem kontroli objto zabezpieczenie danych osobowych. W toku 8 kontroli nie stwierdzono uchybie w procesie przetwarzania danych osobowych w zakresie objtym kontrol. Wikszo z przeprowadzonych kontroli wykazaa nieprawidowoci w zakresie prowadzonej przez administratorw danych dokumentacji, opisujcej sposb przetwarzania danych osobowych oraz
5

Art. 39. 1. Administrator danych prowadzi ewidencj osb upowanionych do ich przetwarzania, ktra powinna zawiera: 1) imi i nazwisko osoby upowanionej, 2) dat nadania i ustania oraz zakres upowanienia do przetwarzania danych osobowych, 3) identyfikator, jeeli dane s przetwarzane w systemie informatycznym. 6 Np. decyzje DIS/DEC-1330/47863/10, DIS/DEC-1323/47590/10, DIS/DEC-1321/47592/10. 7 Pismo z dnia 11 padziernika 2010 r. 8 Pisma z dnia 9 listopada 2010 r. KS3/0680/169/ROB/10/7411 oraz z dnia 7 grudnia 2010 r. KS2/066/123/BQS/10/ 7885. 9 Art. 3 pkt 33 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowym, stanowi, e przez firm inwestycyjn rozumie si dom maklerski, bank prowadzcy dziaalno maklersk, zagraniczn firm inwestycyjn prowadzc dziaalno maklersk na terytorium Rzeczypospolitej Polskiej oraz zagraniczn osob prawn z siedzib na terytorium pastwa nalecego do OECD lub WTO, prowadzc dziaalno maklersk na terytorium Rzeczypospolitej Polskiej. Dz. U. Nr 183, poz. 1538 z pn. zm.

13

rodki techniczne i organizacyjne zapewniajce ochron przetwarzanych danych osobowych. Uchybienia te polegay m.in. na nieuwzgldnianiu w opracowanych politykach bezpieczestwa, takich elementw jak wykaz budynkw, pomieszcze lub czci pomieszcze, tworzcych obszar, w ktrym przetwarzane s dane osobowe, opis struktury zbiorw danych wskazujcych zawarto poszczeglnych pl informacyjnych i powizania midzy nimi oraz sposb przepywu danych pomidzy poszczeglnymi systemami, okrelenie rodkw technicznych i organizacyjnych niezbdnych dla zapewnienia poufnoci, integralnoci i rozliczalnoci przetwarzanych danych. W jednym przypadku stwierdzono take uchybienia w odniesieniu do instrukcji zarzdzania systemem informatycznym, ktre polegay na niezawarciu w dokumentacji prowadzonej przez administratora danych m.in. procedur nadawania uprawnie do przetwarzania danych i rejestrowania tych uprawnie w systemie informatycznym oraz niewskazanie osoby odpowiedzialnej za te czynnoci i stosowanych metod i rodkw uwierzytelnienia oraz procedur zwizanych z ich zarzdzaniem i uytkowaniem. Do czstych uchybie stwierdzanych w toku kontroli firm inwestycyjnych prowadzcych dziaalno maklersk naleao take niezapewnianie przez administratora danych kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostay do zbioru wprowadzone oraz komu byy przekazywane. Uchybienia w ww. zakresie polegay w szczeglnoci na nieodnotowywaniu faktu przekazywania dokumentacji zawierajcej dane osobowe pomidzy poszczeglnymi jednostkami organizacyjnymi oraz na niezapewnieniu, aby dla kadej osoby, ktrej dane osobowe byy przetwarzane w systemie informatycznym, system ten zapewnia odnotowanie daty pierwszego wprowadzenia danych do systemu oraz identyfikatora uytkownika wprowadzajcego dane osobowe do systemu.

W pojedynczych przypadkach kontrole wykazay uchybienia polegajce na niezastosowaniu rodkw kryptograficznych dla ochrony danych osobowych przesyanych w sieci publicznej oraz niezawarciu w ewidencji osb upowanionych do przetwarzania danych osobowych identyfikatora uytkownika w systemie informatycznym, w ktrym odbywa si przetwarzanie danych osobowych. W wydanych decyzjach Generalny Inspektor Ochrony Danych Osobowych nakaza usunicie ww. uchybie w procesie przetwarzania danych osobowych.

3) Internet
Do najwaniejszych kontroli przeprowadzonych w 2010 r. w sektorze komunikacji elektronicznej poprzez sie Internet naley zaliczy kontrol przedsibiorcy11, ktry w ramach prowadzonego portalu umoliwia uytkownikom m.in. wyszukiwanie osb penicych okrelone funkcje w podmiotach, ktre podlegaj obowizkowemu wpisowi do Krajowego Rejestru Sdowego. Do wiadczenia przez przedsibiorc usug dostpnych we ww. portalu, wykorzystywane byy dane
10 11

Np. kontrole DIS-K-421/23/10, DIS-K-421/28/10, DIS-K-421/49/10 i DIS-K-421/77/10. DIS-K-421/105/10

14

pozyskane przez niego z Krajowego Rejestru Sdowego. Zasady wsppracy pomidzy ww. podmiotami uregulowane zostay w umowie o wsppracy, w ktrej w szczeglnoci okrelono zakres danych, ktry moe by udostpniany na portalu, rodki techniczne i organizacyjne, jakie zobowizany by zastosowa waciciel portalu w zwizku z udostpnieniem danych oraz sposb postpowania w przypadku wystpienia osoby, ktrej dotycz dane, z roszczeniem przeciwko wacicielowi portalu lub podmiotowi, ktry mu dane przekaza. Na podstawie zawartej umowy o wsppracy waciciel portalu zosta zobowizany do trwaego usunicia przekazanych mu danych po zakoczeniu wsppracy z podmiotem, ktry przekazywa mu dane w celu ich publikowania na portalu. Ustalenia kontroli potwierdziy, e waciciel portalu przetwarza przekazane dane wycznie w granicach upowanienia udzielonego mu w powoanej umowie o wsppracy, tj. wycznie w celu ich udostpnienia (publikacji) uytkownikom portalu. W zwizku z dokonanymi w toku kontroli ustaleniami, rozstrzygnicia w szczeglnoci wymagaa kwestia, ktry z ww. podmiotw jest administratorem danych przetwarzanych w ramach prowadzonego portalu. Po dokonaniu szczegowej analizy umowy zawartej pomidzy tymi podmiotami oraz po zbadaniu, ktry z tych podmiotw decyduje o celach i rodkach przetwarzania danych osobowych, Generalny Inspektor uzna, e administratorem danych by podmiot, ktry przekaza dane przedsibiorcy prowadzcemu portal internetowy, a jednostka kontrolowana podmiotem, ktremu administrator danych powierzy ich przetwarzanie.

4) Owiata i szkolnictwo wysze


W 2010 r. przeprowadzonych zostao w szkoach wyszych 31 kontroli zgodnoci przetwarzania danych osobowych z przepisami o ochronie danych osobowych, w tym 26 kontroli sektorowych12. Zakresem kontroli objto zabezpieczenie danych osobowych przetwarzanych przez szkoy wysze. W oparciu o wyniki kontroli mona stwierdzi, e szkoy wysze najwicej problemw miay z prawidowym wykonaniem obowizkw zwizanych z przetwarzaniem danych osobowych przy uyciu systemw informatycznych. Do najczciej spotykanych w tym zakresie narusze naleao niezapewnianie przez systemy informatyczne suce do przetwarzania danych osobowych dla kadej osoby, ktrej dane osobowe byy przetwarzane w systemie informatycznym, odnotowania informacji o dacie pierwszego wprowadzenia danych do systemu i identyfikatorze uytkownika wprowadzajcego te dane oraz sporzdzenia i wydrukowania raportu zawierajcego w powszechnie zrozumiaej formie informacje, o ktrych mowa w 7 ust. 1 powoanego rozporzdzenia13. Do czstych uchybie naleao
12

DIS-K-421/1/10, DIS-K-421/4/10, DIS-K-421/5/10, DIS-K-421/17/10, DIS-K-421/19/10, DIS-K-421/24/10, DISK-421/31/10, DIS-K-421/44/10, DIS-K-421/65/10, DIS-K-421/89/10. 13 7. 1. Dla kadej osoby, ktrej dane osobowe s przetwarzane w systemie informatycznym - z wyjtkiem systemw sucych do przetwarzania danych osobowych ograniczonych wycznie do edycji tekstu w celu udostpnienia go na

15

take ustawienie monitora komputera, na ktrym byy przetwarzane dane osobowe, w sposb umoliwiajcy wgld w te dane osobom nieupowanionym oraz przesyanie danych osobowych studentw za porednictwem poczty elektronicznej w formie niezaszyfrowanej i w postaci plikw niezabezpieczonych hasem, stosowanie hase o mniejszej ni wymagana liczba znakw oraz ich zmienianie rzadziej ni co 30 dni. Krytycznie naley rwnie oceni zastosowane rodki techniczne i organizacyjne w celu zabezpieczenia dokumentacji zawierajcej dane osobowe. Stwierdzone w tym zakresie uchybienia polegay na przechowywaniu tej dokumentacji w szafach niewyposaonych w zamki lub na otwartym regale oraz na nieopracowaniu procedury dotyczcej przechowywania dokumentacji o charakterze archiwalnym i procedury regulujcej sposb postpowania z kluczami do pomieszcze, w ktrych byy przetwarzane dane osobowe. Poddane kontroli szkoy wysze miay problemy take z waciwym prowadzeniem dokumentacji dotyczcej przetwarzania danych osobowych. Cz przeprowadzonych kontroli wykazaa bowiem, e jednostki kontrolowane nie opracoway dokumentacji stanowicej polityk bezpieczestwa i instrukcj zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych lub nie zawary w polityce bezpieczestwa wszystkich elementw wskazanych w 4 cytowanego rozporzdzenia (m.in. informacji o wszystkich systemach informatycznych uytkowanych przez administratora danych; wykazu budynkw, pomieszcze lub czci pomieszcze, tworzcych obszar, w ktrym przetwarzane s dane osobowe; opisu struktury zbiorw danych wskazujcych zawarto poszczeglnych pl informacyjnych i powizania midzy nimi; sposobu przepywu danych pomidzy poszczeglnymi systemami). Ponadto w niektrych szkoach wyszych nie zosta wyznaczony administrator bezpieczestwa informacji nadzorujcy proces przetwarzania danych osobowych lub do przetwarzania danych osobowych dopuszczone zostay osoby, ktrym administrator danych nie nada upowanie. Odnotowano te przypadki, gdzie nie zostaa opracowana ewidencja osb upowanionych do przetwarzania danych osobowych lub nie zawarto w niej wszystkich wymaganych elementw, okrelonych w art. 39 ust. 1 ustawy o ochronie danych osobowych (m.in. daty nadania i ustania upowanienia). W zwizku z uchybieniami stwierdzonymi w toku kontroli wydane zostay decyzje nakazujce usunicie uchybie w procesie przetwarzania danych osobowych oraz decyzje umarzajce postpowanie w zakresie nieprawidowoci usunitych przez jednostki kontrolowane w toku postpowania14.

pimie - system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora uytkownika wprowadzajcego dane osobowe do systemu, chyba e dostp do systemu informatycznego i przetwarzanych w nim danych posiada wycznie jedna osoba; 3) rda danych, w przypadku zbierania danych, nie od osoby, ktrej one dotycz; 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, ktrym dane osobowe zostay udostpnione, dacie i zakresie tego udostpnienia, chyba e system informatyczny uywany jest do przetwarzania danych zawartych w zbiorach jawnych; 5) sprzeciwu, o ktrym mowa w art. 32 ust. 1 pkt 8 ustawy. 14 Np. decyzje: DIS/DEC-653/21892/10, DIS/DEC-585/20169/10, DIS/DEC-703/23707/10, DIS/DEC-706/23841/10.

16

Kolejnym zagadnieniem badanym w toku kontroli przeprowadzonych w szkoach wyszych, byo przetwarzanie danych osobowych studentw w zwizku z wydanymi im elektronicznymi legitymacjami studenckimi. Kontrole wykazay, e elektroniczne legitymacje studenckie posiadaj dwa odseparowane fizycznie ukady elektroniczne, tj. ukad bezstykowy i ukad stykowy. Ukad bezstykowy wykorzystywany by przez przewonika do kodowania biletw komunikacji miejskiej na ww. legitymacjach. Natomiast ukad stykowy wykorzystywany by przez uczelnie w celu zapisania danych osobowych studenta. Jak ustalono, przewonik nie posiada dostpu do danych zapisanych w ukadzie stykowym. Wsppraca pomidzy szkoami wyszymi a przewonikiem w ww. zakresie odbywaa si na podstawie zawartych porozumie, ktre okrelay m.in. zabezpieczenia danych przetwarzanych na elektronicznych legitymacjach studenckich. Ponadto w wyniku jednej kontroli15 skierowano wystpienie do Ministra Edukacji Narodowej o podjcie dziaa majcych na celu zapewnienie, aby placwki owiatowe wskazane w rozporzdzeniu Ministra Edukacji Narodowej z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoy i placwki dokumentacji przebiegu nauczania, dziaalnoci wychowawczej i opiekuczej oraz rodzajw tej dokumentacji (Dz. U. Nr 23, poz. 225 z pn. zm.), ktre korzystaj z dziennikw prowadzonych przy uyciu systemu informatycznego (tzw. e-dzienniki), prowadziy te dzienniki zgodnie z przepisami o ochronie danych osobowych16. W toku kontroli ustalono, i placwki owiatowe powierzaj dane osobowe uczniw, ich przedstawicieli ustawowych i nauczycieli podmiotowi oferujcemu system informatyczny, ktry umoliwia prowadzenie dziennikw w formie elektronicznej. Generalny Inspektor zwrci uwag Ministrowi Edukacji Narodowej na to, i adna ze wskazanych placwek, jako administrator danych ww. osb, nie zawara z tym podmiotem umowy w formie pisemnej, o ktrej mowa w art. 31 ustawy o ochronie danych osobowych, oraz e placwki te nie dokadaj szczeglnej starannoci w zakresie upewnienia si, czy podmiot, ktremu powierzaj dane, przetwarza je zgodnie z wymogami okrelonymi w przepisach o ochronie danych osobowych.

5) Suba zdrowia
W okresie sprawozdawczym skontrolowano podmiot prowadzcy Krajowy Rejestr Nowotworw17. Do zada tej placwki naleao gromadzenie, przetwarzanie i analiza danych dotyczcych zachorowa i zgonw z powodu nowotworw zoliwych na terenie Polski. Do Krajowego Rejestru Nowotworw raz w roku z wojewdzkich rejestrw nowotworw przesyane s drog elektroniczn dane o zachorowaniach na nowotwory zoliwe w poprzednim roku. Zasady przekazywania danych do ww. rejestrw nowotworw nie zostay jednak ujte w regulacjach rangi
15 16

DIS-K-421/56/10 Pismo z dnia 23 lipca 2010 r. DIS-K-421/56/10/25558/10.

17

ustawowej, jak tego wymaga art. 27 ustawy o ochronie danych osobowych. Analiza stanu prawnego wykazaa, i stosownie do art. 18 ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. Nr 88, poz. 439 z pn. zm.) w drodze rozporzdze ustalane s przez Rad Ministrw, programy bada statystycznych statystyki publicznej. Kadego roku wydawane jest rozporzdzenie zawierajce program bada statystycznych statystyki publicznej na dany rok. Na przykad program bada na 2010 r. zosta okrelony w zaczniku do Rozporzdzenia Rady Ministrw z dnia 8 grudnia 2009 r. w sprawie programu bada statystycznych statystyki publicznej na rok 2010 (Dz. U. Nr 3, poz. 14). Jak wskazano w zaczniku do rozporzdzenia Rady Ministrw z dnia 27 listopada 2008 r. (Dz. U. Nr 221, poz. 1436), w ramach bada zachorowalnoci i leczonych na wybrane choroby, regionalne rejestry onkologiczne miay obowizek przekazywania do dnia 30 czerwca 2010 r. do Centrum Onkologii (Krajowego Rejestru Chorb Nowotworowych) karty zgosze nowotworu zoliwego (MZ/N-1a) za rok 2009, z terenu wojewdztwa, ktre dany rejestr obejmowa. Taki obowizek wynika rwnie z rozporzdze wydanych w poprzednich latach i zosta take utrzymany w ww. rozporzdzeniu Rady Ministrw z dnia 8 grudnia 2009 r. Wzory formularzy sprawozdawczych i objanienia, co do sposobu ich wypeniania oraz wzory kwestionariuszy i ankiet statystycznych stosowanych w badaniach statystycznych ustalonych w programie bada statystycznych statystyki publicznej, okrela Prezes Rady Ministrw w drodze rozporzdzenia. W 2010 r. Prezes Rady Ministrw wyda rozporzdzanie z dnia 28 kwietnia 2010 r. w sprawie okrelenia wzorw formularzy sprawozdawczych, objanie co do sposobu ich wypeniania oraz wzorw kwestionariuszy i ankiet statystycznych stosowanych w badaniach statystycznych, ustalonych w programie bada statystycznych statystyki publicznej na rok 2010 (Dz. U. Nr 106, poz. 676). Okreli w nim m. in. wzr formularzy sprawozdawczych do bada statystycznych, ustalonych w programie bada statystycznych statystyki publicznej na rok 2010, prowadzonych przez ministra waciwego do spraw zdrowia, w tym - kart zgoszenia nowotworu zoliwego MZ/N-1a. Biorc za podstaw stan faktyczny ustalony w toku kontroli oraz obowizujce przepisy prawa, Generalny Inspektor uzna, i przetwarzanie danych w Krajowym Rejestrze Nowotworw oraz w wojewdzkich rejestrach nowotworw odbywa si bez podstawy prawnej, a tym samym narusza przysugujce kadej osobie konstytucyjne prawo do ochrony jej danych osobowych (wyraone w art. 51 Konstytucji RP) i skonkretyzowane w ustawie o ochronie danych osobowych. Z uwagi na to, e korespondencja z Ministerstwem Zdrowia w ww. sprawie prowadzona jest od wielu lat, Generalny Inspektor po raz kolejny zwrci si do Ministra Zdrowia o podjecie dziaa majcych na celu odpowiednie uregulowanie przetwarzania danych osobowych w ramach Krajowego Rejestru Nowotworw i wojewdzkich rejestrw nowotworw.18 W odpowiedzi Generalny Inspektor zosta poinformowany o trwajcych pracach nad ustaw o systemie informacji w ochronie zdrowia, w ktrej
17 18

DIS-K-421/127/10 Pismo z dnia 11 padziernika 2010 r. DIS-K-421/127/10/39984,39987.

18

znajd si m.in. przepisy okrelajce zasady prowadzenia rejestrw medycznych, w tym Krajowego Rejestru Nowotworw i wojewdzkich rejestrw nowotworw19. Tym nie mniej w prowadzonych pracach legislacyjnych Minister Zdrowia wskazywa na konieczno uregulowania zakresu danych osobowych i zasad ich przetwarzania w wyej wymienionym rejestrze w rozporzdzeniu, co spotkao si z krytyk Generalnego Inspektora niezmiennie uznajcego, e kwestie te powinny stanowi materi ustawow.

6) Ubezpieczenia spoeczne, majtkowe i osobowe


W okresie sprawozdawczym w towarzystwach ubezpieczeniowych przeprowadzono 12 kontroli zgodnoci przetwarzania danych osobowych z przepisami o ochronie danych osobowych20. Zakresem kontroli objto udostpnianie przez towarzystwa ubezpieczeniowe danych osobowych klientw innym towarzystwom ubezpieczeniowym, pozyskiwanie danych osobowych klientw od innych towarzystw ubezpieczeniowych oraz zabezpieczenia zastosowane w procesie przetwarzania danych osobowych klientw. Naley podkreli, e na 12 skontrolowanych towarzystw ubezpieczeniowych, w 6 przypadkach nie stwierdzono uchybie w procesie przetwarzania danych osobowych. Powysze wskazuje, e podmioty te dokadaj naleytej starannoci i dbaoci w celu zapewnienia odpowiedniego zabezpieczenia przetwarzanych danych osobowych. Przeprowadzone kontrole wykazay, e dane osobowe byy przekazywane do innych towarzystw ubezpieczeniowych i otrzymywane od nich na podstawie art. 19 ust. 2 pkt 22 ustawy z dnia 22 maja 2003 r. o dziaalnoci ubezpieczeniowej (Dz. U. z 2010 r. Nr 11, poz. 66 z pn. zm.)21. Przekazywanie i pozyskiwanie dokumentw zawierajcych dane osobowe nastpowao

w zwizku z postpowaniem wyjaniajcym, bdcym jednym z etapw rozpatrywania zgoszonego roszczenia. Wymiana informacji pomidzy towarzystwami ubezpieczeniowymi, w zamierzeniu miaaby zapobiega przestpczoci ubezpieczeniowej zwizanej np. z wyudzaniem nienalenego odszkodowania lub odszkodowania od wicej ni jednego towarzystwa ubezpieczeniowego przez osob do tego nieuprawnion. W toku kontroli towarzystw ubezpieczeniowych sprawdzonych zostao szesnacie systemw informatycznych wykorzystywanych do wymiany danych osobowych z innymi towarzystwami
19 20

Pismo z dnia 2 listopada 2010 r. MZ-OZ-078-21628-39/N../10. Np. kontrole DIS-K-421/54/10, DIS-K-421/64/10, DIS-K-421/75/10, DIS-K-421/91/10, DIS-K-421/104/10. 21 Art. 19 ust. 1. Zakad ubezpiecze i osoby w nim zatrudnione lub osoby i podmioty, za pomoc ktrych zakad ubezpiecze wykonuje czynnoci ubezpieczeniowe, s obowizane do zachowania tajemnicy dotyczcej poszczeglnych umw ubezpieczenia. Art. 19 ust. 2 pkt 22. Zakaz, o ktrym mowa w ust. 1, nie dotyczy informacji udzielanych na wniosek innego zakadu ubezpiecze, w zakresie niezbdnym dla przeciwdziaania przestpczoci ubezpieczeniowej lub stosowania taryfy w zalenoci od dugoci okresu bezszkodowego, lub ustalania proporcjonalnej odpowiedzialnoci, w przypadku zawarcia umw ubezpieczenia obowizkowego na ten sam okres w co najmniej dwch zakadach ubezpiecze, lub dla potrzeb ustalenia odpowiedzialnoci, jeeli ten sam przedmiot ubezpieczenia w tym samym czasie jest ubezpieczony od tego samego ryzyka w dwch lub wicej zakadach ubezpiecze na sumy, ktre cznie przewyszaj jego warto ubezpieczeniow.

19

ubezpieczeniowymi. W wikszoci przypadkw systemy te opracowane zostay przez pracownikw danego towarzystwa ubezpieczeniowego. Spotykano si rwnie z wykorzystywaniem do powyszych celw takich narzdzi informatycznych jak edytory tekstu (pliki w formacie doc, PDF) i arkusze kalkulacyjne (skoroszyty, arkusze w formatach xls, ods) przetwarzanych z wykorzystaniem aplikacji pakietu MS Office, OpenOffice oraz Acrobat Reader. Proces pozyskiwania/udostpniania danych przetwarzanych w postaci elektronicznej, realizowany by za porednictwem teletransmisji danych z wykorzystaniem sieci Internet i/lub poprzez fizyczne przekazanie danych zapisanych na noniku informatycznym (noniku typu pyta CD). Proces pozyskiwania/udostpniania danych poprzez teletransmisj danych z wykorzystaniem sieci Internet, realizowany by przewanie za porednictwem jednego z gwnych systemw informatycznych, bd za porednictwem poczty elektronicznej uytkowanej przez dane towarzystwo ubezpieczeniowe. Dla wszystkich skontrolowanych systemw informatycznych, z wyjtkiem jednego, zastosowane zostay rodki bezpieczestwa na poziomie wysokim. Nieprawidowoci wystpujce w procesie przetwarzania danych osobowych przy uyciu systemw informatycznych wystpiy w odniesieniu do dwch administratorw danych, przy czym w jednym przypadku nieprawidowoci te dotyczyy nienaleytego zabezpieczenia przesyanych danych za porednictwem poczty elektronicznej. Towarzystwa ubezpieczeniowe, w ktrych odnotowano uchybienia w procesie przetwarzania danych osobowych, najwicej problemw miay z prawidowym wykonaniem podstawowych obowizkw dotyczcych zabezpieczenia danych, okrelonych w przepisach o ochronie danych osobowych. W toku kontroli dwch towarzystw ubezpieczeniowych stwierdzono, i polityka bezpieczestwa nie zawieraa wszystkich niezbdnych elementw okrelonych w 4 rozporzdzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych

i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych (m.in. wykazu budynkw, pomieszcze lub czci pomieszcze, tworzcych obszar, w ktrym przetwarzane s dane osobowe oraz opisu sposobu przepywu danych pomidzy poszczeglnymi systemami), w toku trzech innych kontroli ustalono, e do prowadzonej ewidencji osb upowanionych do przetwarzania danych osobowych nie wpisano wszystkich wymaganych informacji (m.in. zakresu upowanienia do przetwarzania danych osobowych), natomiast w jednym przypadku do przetwarzania danych osobowych zostay dopuszczone osoby nieposiadajce stosownego upowanienia. W zwizku ze stwierdzonymi uchybieniami wobec 6 towarzystw ubezpieczeniowych wszczte zostay postpowania administracyjne i wydane zostay decyzje nakazujce ich usunicie m.in. w zakresie uzupenienia ewidencji osb upowanionych do przetwarzania danych osobowych o zakres upowanienia do przetwarzania danych osobowych oraz dat ustania upowanienia oraz zapewnienia kryptograficznej ochrony danych przesyanych poczt elektroniczn do innych towarzystw

20

ubezpieczeniowych. Ponadto Generalny Inspektor nakaza uzupenienie polityki bezpieczestwa o: wykaz pomieszcze i czci pomieszcze tworzcych obszar, w ktrym przetwarzane s dane osobowe, wykaz zbiorw danych osobowych wraz ze wskazaniem programw zastosowanych do przetwarzania tych danych zawierajcy informacj o systemach sucych do przetwarzania danych osobowych udostpnianych innym towarzystwom ubezpieczeniowym i otrzymywanych od innych towarzystw ubezpieczeniowych, opis struktury zbiorw danych wskazujcy zawarto poszczeglnych p informacyjnych i powizania midzy nimi, a take o sposb przepywu danych pomidzy poszczeglnymi systemami.22

7) Telekomunikacja
W 2010 r. przeprowadzono 15 kontroli u dostawcw usug telekomunikacyjnych, tj. o 8 wicej w stosunku do poprzedniego roku sprawozdawczego. Na 15 kontroli, ktrymi objto przetwarzanie danych osobowych klientw usug telekomunikacyjnych, 14 przeprowadzono w ramach kontroli sektorowych23. Stwierdzone w toku kontroli nieprawidowoci dotyczyy przede wszystkim skadanych przez klientw owiadcze o wyraeniu zgody na przetwarzanie danych osobowych. Uchybienia w tym zakresie polegay w szczeglnoci na niezapewnieniu osobom skadajcym owiadczenie, swobody przy skadaniu tych owiadcze, na czeniu w jednym owiadczeniu zgd na rne cele przetwarzania danych (np. zgody na otrzymywanie informacji handlowej, przetwarzanie danych osobowych przez osoby trzecie w celach marketingowych, przetwarzanie danych transmisyjnych dla celw marketingowych, przetwarzanie danych zwizanych z przetwarzaniem usug drog elektroniczn do celw reklamy, badania rynku, zachowa i preferencji usugobiorcw) oraz niewskazaniu celu, w jakim bd przetwarzane. Ponadto, cz dostawcw usug telekomunikacyjnych pozyskiwaa zgod na przetwarzanie danych osobowych w celu marketingu ich wasnych produktw i usug, pomimo i w takich przypadkach zgoda osb, ktrych dane dotycz, nie jest wymagana. W pojedynczych przypadkach przeprowadzone kontrole wykazay, e operatorzy telekomunikacyjni nie realizowali w peni cicego na nich obowizku informacyjnego, wynikajcego z art. 24 ust. 1 ustawy o ochronie danych osobowych24 (m.in. brak informacji o aktualnym adresie siedziby administratora danych oraz
22 23

Np. decyzje DIS/DEC-689/23129/10, DIS/DEC-958/2955/10, DIS/DEC-1021/32677/10. Np. kontrole DIS-K-421/81/10, DIS-K-421/92/10, DIS-K-421/98/10, DIS-K-421/108/10, DIS-K-421/130/10, DIS-K421/133/10, DIS-K-421/161/10, DIS-K-421/163/10. 24 Art. 24 ust. 1. W przypadku zbierania danych osobowych od osoby, ktrej one dotycz, administrator danych jest obowizany poinformowa t osob o: 1) adresie swojej siedziby i penej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczeglnoci o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorcw danych, 3) prawie dostpu do treci swoich danych oraz ich poprawiania, 4) dobrowolnoci albo obowizku podania danych, a jeeli taki obowizek istnieje, o jego podstawie prawnej.

21

o podstawie prawnej obowizku podania danych), nie dopenili obowizku zgoszenia do rejestracji wszystkich prowadzonych zbiorw danych osobowych (m.in. zbioru danych osb, ktre wypeniaj tzw. formularze kontaktowe dostpne na stronie internetowej operatora) oraz zmian informacji zawartych w zgoszeniu zbioru danych osobowych do rejestracji Generalnemu Inspektorowi. Na podstawie wynikw kontroli operatorom telekomunikacyjnym zarzucono rwnie niedooenie szczeglnej starannoci w celu ochrony interesw abonentw, a w szczeglnoci niezapewnienie, aby dane te byy przetwarzane zgodnie z prawem. Stwierdzane w tym zakresie nieprawidowoci dotyczyy pozyskiwania danych w zakresie szerszym (np. imion rodzicw, miejsca i daty urodzenia), ni to wynika z przepisw 6 ust. 2 pkt 1 oraz 7 ust. 2 pkt 1 rozporzdzenia Ministra Infrastruktury z dnia 17 czerwca 2009 r. w sprawie warunkw korzystania z uprawnie w publicznych sieciach telefonicznych (Dz. U. Nr 97, poz. 810)25 oraz pozyskiwania dodatkowych danych (np. adresu do korespondencji i adresu poczty elektronicznej) bez zgody klienta, o ktrej mowa w art. 161 ust. 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjnego (Dz. U. Nr 171, poz. 1800 z pn. zm.)26. Do nielicznych naleay natomiast uchybienia zwizane z niedopenieniem obowizku zastosowania rodkw technicznych i organizacyjnych zapewniajcych ochron przetwarzanych danych osobowych. Nieprawidowoci polegay w szczeglnoci na niezastosowaniu rodkw kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, ktre s przesyane w sieci publicznej, na stosowaniu procedur, zgodnie z ktrymi hasa logowania do systemu informatycznego znane byy take innym osobom ni uytkownicy, na uytkowaniu systemu informatycznego, ktry nie zapewnia dla kadej osoby, ktrej dane osobowe s przetwarzane w systemie informatycznym, odnotowania identyfikatora uytkownika wprowadzajcego dane osobowe do systemu oraz sporzdzenia i wydrukowania raportu zawierajcego w powszechnie zrozumiaej formie ww. informacje, a take na nieopracowaniu ewidencji osb upowanionych do przetwarzania danych osobowych lub niezawarciu w niej wszystkich wymaganych elementw, okrelonych w art. 39 ust. 1 ustawy o ochronie danych osobowych (m.in. zakresu upowanienia do przetwarzania danych osobowych). W zwizku z uchybieniami stwierdzonymi w toku kontroli wydane zostay decyzje nakazujce usunicie uchybie w procesie przetwarzania danych osobowych oraz decyzje umarzajce postpowanie w zakresie nieprawidowoci usunitych przez jednostki kontrolowane w toku
25

6 ust. 2 pkt 1 oraz 7 ust. 2 pkt 1. Wniosek o przeniesienie numeru powinien zawiera nastpujce dane osobowe: imi i nazwisko, numer PESEL, nazw i numer dokumentu tosamoci (w przypadku osb nie posiadajcych numeru PESEL), adres korespondencyjny. 26 Art. 161 ust. 3. Oprcz danych, o ktrych mowa w ust. 2, dostawca publicznie dostpnych usug telekomunikacyjnych moe, za zgod uytkownika bdcego osob fizyczn, przetwarza inne dane tego uytkownika w zwizku ze wiadczon usug, w szczeglnoci numer identyfikacji podatkowej NIP, numer konta bankowego lub karty patniczej, adres

22

postpowania27. W wydanych decyzjach Generalny Inspektor nakaza m.in. zapewnienie klientom moliwoci zoenia owiadczenia o niewyraeniu zgody na przetwarzanie ich danych dodatkowych oraz opracowanie ewidencji osb upowanionych do przetwarzania danych osobowych.

8) Zatrudnienie
W 2010 r. skontrolowano dziaalno jednego z pracodawcw28, ktry wykorzystywa dane biometryczne pracownikw do rejestracji czasu pracy. Kontrola wykazaa, e zastosowany przez jednostk kontrolowan system rejestracji czasu pracy obejmowa czytniki linii papilarnych wraz z oprogramowaniem sucym do rejestracji wej i wyj w oparciu o rejestrowane obrazy cyfrowe linii papilarnych. Cyfrowy wzorzec odcisku palca, odpowiednio zaszyfrowany w postaci zapisu cyfrowego (kod pidziesiciu punktw charakterystycznych wybranego palca), zapisywany by na karcie elektronicznej. Pracownik przykada do czytnika kart elektroniczn i palec w celu potwierdzenia swojej tosamoci. Obrazy linii papilarnych pobierane byy z palcw doni poprzez czytnik i po przetworzeniu do okrelonej postaci cyfrowej porwnywane ze wzorcem, ktry zapisany by na karcie elektronicznej. W przypadku poprawnego porwnania, zdarzenie byo zapisywane w pamici czytnika (zapisywany by numer ID oraz pierwsze trzy litery imienia i nazwiska pracownika), a z pamici tymczasowej czytnika kasowany by obraz odczytanych linii papilarnych. W wyniku zestawienia kodu cyfrowego zapisanego na karcie pracownika z kodem cyfrowym wygenerowanym on-line przez oprogramowanie czytnika dla przyoonego palca moliwe byo potwierdzenie tosamoci pracownika i jego identyfikacja na podstawie zapisanego na karcie elektronicznej numeru ID. W oparciu o dokonane ustalenia Generalny Inspektor uzna, e cyfrowe wzorce odciskw palcw pracownikw jednostki kontrolowanej, stanowi dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych. Co wicej, ich pozyskiwanie w celu rejestracji czasu pracy stanowi poszerzenie zakresu danych zbieranych od pracownikw wzgldem katalogu wskazanego w art. 221 Kodeksu pracy29. W celu przywrcenia stanu zgodnego z prawem wydana zostaa decyzja nakazujca
korespondencyjny uytkownika, jeeli jest on inny ni adres miejsca zameldowania na pobyt stay tego uytkownika, a take adres poczty elektronicznej oraz numery telefonw kontaktowych. 27 Np. decyzje DIS/DEC-1212/41382/10, DIS/DEC-1244/43775/10, DIS/DEC-1375/49785/10. 28 DIS-K-421/46/10 29 Art. 221 1. Pracodawca ma prawo da od osoby ubiegajcej si o zatrudnienie podania danych osobowych obejmujcych: 1) imi (imiona) i nazwisko, 2) imiona rodzicw, 3) dat urodzenia, 4) miejsce zamieszkania (adres do korespondencji), 5) wyksztacenie, 6) przebieg dotychczasowego zatrudnienia. 2. Pracodawca ma prawo da od pracownika podania, niezalenie od danych osobowych, o ktrych mowa w 1, take: 1) innych danych osobowych pracownika, a take imion i nazwisk oraz dat urodzenia dzieci pracownika, jeeli podanie takich danych jest konieczne ze wzgldu na korzystanie przez pracownika ze szczeglnych uprawnie przewidzianych w prawie pracy, 2) numeru PESEL pracownika nadanego przez Rzdowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludnoci (RCI PESEL). 4. Pracodawca moe da podania innych danych osobowych ni okrelone w 1 i 2, jeeli obowizek ich podania wynika z odrbnych przepisw.

23

zaprzestanie zbierania danych osobowych obejmujcych przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palcw pracownikw jednostki kontrolowanej30. O ile wykorzystywanie metod biometrycznych dla kontroli stosowania zasad bezpieczestwa na terenie zakadu pracy moe w pewnych przypadkach zosta uznane za rodek adekwatny do celu, jaki chce osign podmiot odpowiedzialny za bezpieczestwo, o tyle stosowanie tych samych metod dla powiadczania zdarze zwizanych ze stosunkiem pracy nie znajduje podstaw w przepisach prawa pracy.

9) Komunalne jednostki organizacyjne


W okresie sprawozdawczym skontrolowano 18 komunalnych jednostek organizacyjnych, w tym 16 przeprowadzono w ramach kontroli sektorowej31. W toku 3 kontroli nie stwierdzono uchybie w procesie przetwarzania danych osobowych. Przeprowadzone kontrole wykazay, e komunalne jednostki organizacyjne najwicej problemw miay z prawidowym wykonaniem obowizkw wynikajcych z przepisw rozporzdzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych

i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych. Uchybienia w tym zakresie polegay w szczeglnoci na: wykorzystywaniu do przetwarzania danych osobowych systemw informatycznych niezapewniajcych dla kadej osoby, ktrej dane osobowe s przetwarzane w tych systemach, odnotowania daty pierwszego wprowadzenia danych do systemu i identyfikatora uytkownika wprowadzajcego dane osobowe do systemu, zmianie hase dostpu rzadziej ni co 30 dni oraz stosowaniu hase nie zawierajcych wymaganej liczby znakw. Niektre jednostki kontrolowane uyway rwnie systemw informatycznych, w ktrych dostp do danych osobowych nie wymaga wprowadzenia identyfikatora uytkownika i dokonywania uwierzytelnienia. Krytycznie naley oceni take sposb wykonania podstawowych obowizkw wynikajcych z przepisw ustawy o ochronie danych osobowych. Uchybienia w tym zakresie dotyczyy m.in. naruszenia zasady adekwatnoci przetwarzanych danych, jak rwnie przechowywania danych w postaci umoliwiajcej identyfikacj osb, ktrych dotycz, duej ni jest to niezbdne do osignicia celu przetwarzania. Zdarzay si rwnie przypadki niedopenienia w penym zakresie wobec osb, ktrych dane dotycz, obowizku informacyjnego wynikajcego z art. 24 ust. 1 ustawy o ochronie danych osobowych, niezgoszenia zmian informacji zawartych w zgoszeniu zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz

niezastosowania odpowiednich rodkw technicznych i organizacyjnych zapewniajcych ochron


30 31

Decyzja DIS/DEC-1133/37986/10. Np. kontrole DIS-K-421/131/10, DIS-K-421/157/10, DIS-K-421/160/10, DIS-K-421/166/10.

24

przetwarzanym danym osobowym (m.in. przechowywano dokumenty zawierajce dane osobowe w szafach, ktre nie zostay wyposaone w zamki). W pojedynczych przypadkach kontrole wykazay, e podmioty kontrolowane przetwarzay dane szczeglnie chronione dotyczce orzecze wydanych w postpowaniu sdowym, bez podstawy prawnej wynikajcej z art. 27 ust. 2 ustawy o ochronie danych osobowych32. Liczne zastrzeenia co do prawidowoci wykonania obowizkw wynikajcych z przepisw o ochronie danych osobowych, odnosiy si take do dokumentacji stanowicej polityk bezpieczestwa i instrukcj zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych. Dokumentacja ta najczciej nie zawieraa wszystkich wymaganych informacji, okrelonych w 4 i 5 ww. rozporzdzenia (m.in. opisu struktury zbiorw danych wskazujcego zawarto poszczeglnych pl informacyjnych i powizania midzy nimi oraz sposb przepywu danych pomidzy poszczeglnymi systemami i wykazu zbiorw danych osobowych wraz ze wskazaniem programw zastosowanych do przetwarzania tych danych). Nie wszystkie wymagane elementy, okrelone w art. 39 ust. 1 ustawy o ochronie danych osobowych, zawarte byy rwnie w ewidencji osb upowanionych do przetwarzania danych osobowych (np. brak zakresu upowanienia). Do rzadkich przypadkw naleao natomiast niewyznaczenie administratora bezpieczestwa informacji oraz nienadanie upowanie osobom dopuszczonym do przetwarzania danych osobowych. Jednym z bardziej interesujcych zagadnie, jakie wynikny w toku kontroli

przeprowadzonych w komunalnych jednostkach organizacyjnych, bya kwestia rozstrzygnicia, komu przysuguje przymiot administratora danych przetwarzanych w zwizku z zaspakajaniem zbiorowych potrzeb wsplnoty samorzdowej w Warszawie. Przeprowadzone w tych jednostkach kontrole wykazay, e na mocy nadanych im statutw s one jednostkami budetowymi m.st. Warszawy, do
32

Art. 27.2. Przetwarzanie danych, o ktrych mowa w ust. 1, jest jednak dopuszczalne, jeeli: 1) osoba, ktrej dane dotycz, wyrazi na to zgod na pimie, chyba e chodzi o usunicie dotyczcych jej danych, 2) przepis szczeglny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, ktrej dane dotycz, i stwarza pene gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezbdne do ochrony ywotnych interesw osoby, ktrej dane dotycz, lub innej osoby, gdy osoba, ktrej dane dotycz, nie jest fizycznie lub prawnie zdolna do wyraenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, 4) jest to niezbdne do wykonania statutowych zada kociow i innych zwizkw wyznaniowych, stowarzysze, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub zwizkowych, pod warunkiem, e przetwarzanie danych dotyczy wycznie czonkw tych organizacji lub instytucji albo osb utrzymujcych z nimi stae kontakty w zwizku z ich dziaalnoci i zapewnione s pene gwarancje ochrony przetwarzanych danych, 5) przetwarzanie dotyczy danych, ktre s niezbdne do dochodzenia praw przed sdem, 6) przetwarzanie jest niezbdne do wykonania zada administratora danych odnoszcych si do zatrudnienia pracownikw i innych osb, a zakres przetwarzanych danych jest okrelony w ustawie, 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, wiadczenia usug medycznych lub leczenia pacjentw przez osoby trudnice si zawodowo leczeniem lub wiadczeniem innych usug medycznych, zarzdzania udzielaniem usug medycznych i s stworzone pene gwarancje ochrony danych osobowych, 8) przetwarzanie dotyczy danych, ktre zostay podane do wiadomoci publicznej przez osob, ktrej dane dotycz, 9) jest to niezbdne do prowadzenia bada naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukoczenia szkoy wyszej lub stopnia naukowego; publikowanie wynikw bada naukowych nie moe nastpowa w sposb umoliwiajcy identyfikacj osb, ktrych dane zostay przetworzone, 10) przetwarzanie danych jest prowadzone przez stron w celu realizacji praw i obowizkw wynikajcych z orzeczenia wydanego w postpowaniu sdowym lub administracyjnym.

25

ktrych zada naley m.in. gospodarowanie w granicach zwykego zarzdu, w sposb i na zasadach okrelonych przepisami prawa oraz ustaleniami organw m.st. Warszawy, mieszkaniowym zasobem m.st. Warszawy, powierzonym zasobem nieruchomoci m.st. Warszawy, a take wykonywanie innych zada powierzonych przez organy m.st. Warszawy z zakresu zarzdu mieszkaniowym zasobem i zasobem nieruchomoci. Wymienione zadania wskazane jednostki wykonyway w oparciu o penomocnictwo udzielone przez Prezydenta m.st. Warszawy. Po dokonaniu analizy stanu faktycznego i prawnego Generalny Inspektor uzna, e administratorem danych przetwarzanych w zwizku z zaspakajaniem zbiorowych potrzeb wsplnoty samorzdowej w m.st. Warszawie jest Prezydent m.st. Warszawy, a wskazane jednostki s podmiotami, ktre dziaaj w jego imieniu.

10) Inne
W okresie sprawozdawczym w podmiotach nienalecych do sektorw omwionych w poprzednich rozdziaach przeprowadzono 47 kontroli zgodnoci przetwarzania danych z przepisami o ochronie danych osobowych33. Grupa tych podmiotw bya bardzo zrnicowana i obejmowaa m.in. podmioty wykonujce dziaalno gospodarcz w zakresie prowadzenia programw lojalnociowych, przewonikw, biura podry, podmioty zajmujce si produkcj, handlem i usugami.

60 45 30 15 0

51 34

47

2008

2009

2010

Wykres 1: Zestawienie porwnawcze liczby przeprowadzonych kontroli w podmiotach nalecych do sektora Inne w latach 20082010. Analizujc wyniki kontroli naley stwierdzi, e jednostki kontrolowane miay problemy z prawidowym wykonaniem podstawowych obowizkw wynikajcych z przepisw o ochronie danych osobowych. Uchybienia w tym zakresie dotyczyy m.in. naruszenia zasady adekwatnoci
33

Np. kontrole DIS-K-421/11/10, DIS-K-421/57/10, DIS-K-421/80/10, DIS-K-421/115/10 i DIS-K-421/165/09.

26

przetwarzanych danych, jak rwnie polegay na przechowywaniu danych w postaci umoliwiajcej identyfikacj osb, ktrych dotycz, duej ni jest to niezbdne do osignicia celu przetwarzania. Zdarzay si rwnie przypadki niedopenienia w penym zakresie wobec osb, ktrych dane dotycz, obowizku informacyjnego wynikajcego z art. 24 ust. 1 i art. 25 ust. 1 ustawy o ochronie danych osobowych34 oraz niezgoszenia zmian informacji zawartych w zgoszeniu zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Kontrole wykazay rwnie inne nieprawidowoci w procesie przetwarzania danych osobowych, takie jak brak ewidencji osb upowanionych do przetwarzania danych osobowych oraz polityki bezpieczestwa i instrukcji zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych lub niezawarcie w ww. dokumentach wszystkich wymaganych informacji, okrelonych w art. 39 ust. 1 ustawy o ochronie danych osobowych oraz 4 i 5 cytowanego rozporzdzenia. W pojedynczych przypadkach stwierdzano take uchybienia polegajce na niezawarciu w formie pisemnej umowy powierzenia przetwarzania danych osobowych lub nieokreleniu w takiej umowie zakresu i celu przetwarzania powierzonych danych. Przeprowadzone kontrole wykazay rwnie, e administratorzy danych maj problemy z prawidowym sformuowaniem treci owiadcze o wyraeniu zgody na przetwarzanie danych osobowych tak, aby wyraona w taki sposb zgoda nie bya domniemana lub dorozumiana z owiadczenia woli o innej treci. Uchybienia w tym zakresie stwierdzono w szczeglnoci w toku kontroli przeprowadzonych w podmiotach uczestniczcych w prowadzeniu programu lojalnociowego. Ustalono, e osoby zainteresowane przystpieniem do programu lojalnociowego wypeniay formularz, w treci ktrego zawarte zostao owiadczenie o wyraeniu zgody na przetwarzanie danych osobowych m.in. w celach marketingowych przez kilka podmiotw. Zawarcie wskazanej zgody w treci jednego owiadczenia bez jednoczesnego zapewnienia moliwoci wyboru oznaczao, e osoba, ktrej dane dotycz, nie miaa swobody w dysponowaniu swoimi danymi osobowymi, a w szczeglnoci swobody w wyborze podmiotw, na rzecz ktrych chciaaby wyrazi zgod na przetwarzanie dotyczcych jej danych osobowych. Tymczasem zgoda powinna by sformuowana w sposb wyrany i jednoznaczny oraz wyrnia si spord innych pochodzcych od tej osoby informacji i owiadcze woli. W przypadku owiadczenia dotyczcego rnych celw przetwarzania, zgoda powinna by wyraona wyranie pod kadym z tych celw przetwarzania35. Jednoczenie niezbdne jest umoliwienie osobie swobodnego wyraenia woli w przedmiocie zgody na
34

Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, ktrej one dotycz, administrator danych jest obowizany poinformowa t osob, bezporednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i penej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczeglnoci o odbiorcach lub kategoriach odbiorcw danych, 3) rdle danych, 4) prawie dostpu do treci swoich danych oraz ich poprawiania, 5) uprawnieniach wynikajcych z art. 32 ust. 1 pkt 7 i 8. 35 Por. wyrok Naczelnego Sdu Administracyjnego z dnia 11 kwietnia 2003 r. sygn. akt II SA 3942/02.

27

przetwarzanie jej danych, np. poprzez zapewnienie opcjonalnoci (moliwoci wyboru) w klauzuli zgody na przetwarzanie danych osobowych, w szczeglnoci wwczas, gdy dane maj by przetwarzane przez rne podmioty. Z uwagi na to, e owiadczenie o wyraeniu zgody zawarte w treci formularza przystpienia do programu lojalnociowego nie speniao ww. warunkw, Generalny Inspektor nakaza przywrcenie w tym zakresie stanu zgodnego z prawem poprzez sformuowanie przedmiotowego owiadczenia w taki sposb, aby zapewni osobie wypeniajcej ten formularz opcjonalno w kwestii wyraenia zgody na przetwarzanie jej danych osobowych przez podmioty wymienione w jego treci36. Kolejn spraw badan podczas kontroli bya kwestia zatrzymywania dokumentw potwierdzajcych tosamo klientw wypoyczajcych w hipermarketach wzki samochodziki dla dzieci. Mona okreli te dziaania jako swoisty zastaw za wypoyczany przedmiot. Zatrzymywane dokumenty stanowiy np. legitymacje studenckie, prawa jazdy, elektroniczne karty ubezpieczeniowe (wydawane przez lski Oddzia Narodowego Funduszu Zdrowia) i dowody rejestracyjne samochodw. Jak ustalono, podstaw prawn zatrzymywania dokumentw osb wypoyczajcych wzki, i tym samym przetwarzania danych osobowych ich posiadaczy, bya zgoda ww. osb wyraana poprzez dobrowolne pozostawienie dokumentu w punkcie wypoyczania wzkw oraz umowa o wypoyczenie wzka zawierana w formie ustnej. Zakres danych osobowych pozyskiwanych od wskazanych osb wynika z rodzaju dokumentu pozostawionego pod zastaw wzka. W wietle dokonanych ustale oraz po przeprowadzeniu szczegowej analizy przepisw okrelajcych zakres danych, jaki jest zawarty w treci poszczeglnych dokumentw, ktre byy zatrzymywane pod zastaw wzka, Generalny Inspektor uzna, e w zwizku z realizacj takiej umowy administrator danych pozyskiwa szerszy zakres danych ni ten, ktry by niezbdny dla realizacji ww. umowy, naruszajc tym samym zasad adekwatnoci wyraon w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Konsekwencj bya decyzja nakazujca przywrcenie stanu zgodnego z prawem poprzez zaprzestanie pozyskiwania danych osb wypoyczajcych wzki w zakresie szerszym, ni jest to niezbdne dla realizacji umowy wypoyczenia wzka37. Krytycznie naley oceni take sposb wykonania obowizkw zwizanych z przetwarzaniem danych przy uyciu systemw informatycznych. Nieprawidowoci dotyczyy przede wszystkim niespeniania przez te systemy wszystkich wymogw o charakterze technicznym (m.in. niezapewnianie dla kadej osoby, ktrej dane osobowe byy przetwarzane w systemach informatycznych, odnotowania daty pierwszego wprowadzenia danych do systemu i identyfikatora uytkownika wprowadzajcego dane osobowe do systemu oraz zmiana hase dostpu rzadziej ni co 30 dni).
36 37

Np. decyzja DIS/DEC-1098/36246/10. DIS/DEC-651/21887/10

28

W zwizku ze stwierdzonymi uchybieniami w procesie przetwarzania danych osobowych przez jednostki kontrolowane, wydane zostay decyzje nakazujce ich usunicie oraz umarzajce postpowanie w zakresie nieprawidowoci usunitych w toku postpowania38. Generalny Inspektor w decyzjach nakazywa w szczeglnoci dopenianie wobec osb, ktrych dane dotycz, obowizku informacyjnego, o ktrym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, zmodyfikowanie systemw informatycznych sucych do przetwarzania danych osobowych w taki sposb, aby systemy te zapewniay dla kadej osoby, ktrej dane osobowe s w nim przetwarzane, odnotowanie daty pierwszego wprowadzenia danych do systemu i identyfikator uytkownika wprowadzajcego te dane oraz opracowanie polityki bezpieczestwa i instrukcji zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych.

2.3. Systemy informatyczne suce do przetwarzania danych osobowych


W ramach przeprowadzonych w 2010 r. kontroli, weryfikacji poddano 715 systemw informatycznych wykorzystywanych do przetwarzania danych osobowych. Jest to najwysza liczba od 4 lat, gdzie liczby przeprowadzonych kontroli, w tym systemw informatycznych przedstawiay si nastpujco: rok 2007 = 161 kontroli, obejmujcych 625 systemw informatycznych, rok 2008 = 201 kontroli, obejmujcych 638 systemw informatycznych, rok 2009 = 220 kontroli, obejmujcych 424 systemy informatyczne, rok 2010 = 196 kontroli, obejmujcych 715 systemw informatycznych.

Wzrost liczby systemw informatycznych poddanych kontroli jest zjawiskiem naturalnym zwizanym z coraz czstszym przetwarzaniem danych w rodowisku elektronicznym w miejsce kartotek, skorowidzw, ksig, wykazw i w innych zbiorw ewidencyjnych prowadzonych w postaci papierowej. Naley zwrci uwag na zdecydowanie wikszy nakad pracy inspektorw z Biura GIODO przeznaczany na kad z kontroli, ktra obejmuje wiele systemw informatycznych prowadzonych przy uyciu rnego oprogramowania. Dalsze zwikszenie liczby kontrolowanych systemw nie bdzie moliwe bez zwikszenia nakadw finansowych przeznaczonych na szkolenie pracownikw Biura w zakresie nowych technologii przetwarzania danych i bez zwikszenia nakadw finansowych na same kontrole.

Np. decyzje DIS/DEC-1152/39023/10, DIS/DEC-843/26172/10, DIS/DEC-1206/40994/10, DIS/DEC-651/21887/10, DIS/DEC-1376/49787/10 i DIS/DEC-1053/35065/10.

38

29

Liczba skontrolowanych systemw informatycznych w latach 2007-2010 800 700 600 500 400 300 200 100 0 Rok 2007 Rok 2008 Rok 2009 Rok 2010 625 638 424 715

Wykres 2: Zestawienie porwnawcze liczby skontrolowanych systemw informatycznych w latach 20072010.

2.4. Wyniki

kontroli

zakresie

wypenienia

obowizkw

formalnych

i organizacyjnych
Realizacja w latach 2007-2010 wymogw formalnych, organizacyjnych i technicznych, o ktrych mowa w ustawie o ochronie danych osobowych i rozporzdzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych, zobrazowana zostaa poniej w formie diagramw. Wykresy pokazuj procentowe wyniki kontroli w odniesieniu do oglnej liczby kontroli w danym roku lub oglnej liczby kontrolowanych w danym roku systemw informatycznych. Warunki odnoszce si do wymaganych funkcjonalnoci systemw informatycznych oceniane byy w skali procentowej do liczby systemw objtych kontrol. Pozostae wymogi natomiast, odnoszce si np. do dokumentacji procesu przetwarzania, czy te obowizku prowadzenia ewidencji osb upowanionych do przetwarzania danych osobowych, oceniano w skali procentowej w stosunku do liczby kontrolowanych podmiotw. Proces przetwarzania danych w zakresie wymogw formalno-organizacyjnych uznawano za prawidowy, gdy kontrolowana jednostka opracowaa wymagane dokumenty (takie jak polityka bezpieczestwa oraz instrukcja zarzdzania systemem informatycznym sucym do przetwarzania

30

danych osobowych), prowadzia ewidencj osb upowanionych do przetwarzania danych osobowych oraz wdroya opisane w tej dokumentacji procedury. Ponadto sprawdzano, czy wyznaczony zosta administrator bezpieczestwa informacji oraz, czy osoby dopuszczone do przetwarzania danych posiaday stosowne upowanienia. Stopie wykonania przez kontrolowane podmioty ww. warunkw w latach 2007-2010 przedstawiono na poniszych diagramach (Wykresy: 3, 4, 5).

Realizacja w ym ogu w zakresie opracow ania polityki bezpieczestw a oraz instrukcji zarzdzania system em inform atycznym w latach 2007-2010

100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%

93 % 87 %

93 % 88 %

Rok 2007

Rok 2008

Rok 2009

Rok 2010

Wykres 3: Stopie wykonania obowizku posiadania dokumentacji przetwarzania danych osobowych (polityka bezpieczestwa i instrukcja zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych) w latach 20072010.

31

Realizacja w ym ogu w zakresie opracow ania ew idencji osb upow anionych do przetw arzania danych osobow ych w latach 2007-2010

100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%

96 %

91 %

93 %

92 %

Rok 2007

Rok 2008

Rok 2009

Rok 2010

Wykres 4: Stopie realizacji obowizku prowadzenia ewidencji osb upowanionych do przetwarzania danych osobowych w latach 20072010.
Realizacja w ym ogu w zakresie w yznaczenia adm inistratora bezpieczestw a inform acji w latach 2007-2010

100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%

96 % 92 %

97 %

95 %

Rok 2007

Rok 2008

Rok 2009

Rok 2010

Wykres 5: Stopie realizacji obowizku wyznaczenia administratora bezpieczestwa informacji w latach 2007-2010.

32

Zbiorcze zestawienie wypenienia wymogw formalnych i organizacyjnych w zakresie dotyczcym prowadzenia dokumentacji przetwarzania danych osobowych oraz wyznaczenia administratora bezpieczestwa informacji w latach 2007-2010 zestawiono na poniszym diagramie (Wykres 6).

Realizacja wymogw formalnych i organizacyjnych w latach 2007-2010 97 % 93 % 87 % 93 % 88 % 96 % 93 % 92 % 91 % 96 % 92 % 95 %

100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%

Rok 2007 Rok 2008 Rok 2009 Rok 2010

Polityka bezpieczestwa, instrukcja zarzdzania systemem informatycznym

Ewidencja osb upowanionych do przetwarzania danych

Wyznaczenie administratora bezpieczestwa informacji

Wykres 6: Stopie realizacji obowizku prowadzenia dokumentacji stanowicej polityk bezpieczestwa, instrukcj zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych, ewidencj osb upowanionych do przetwarzania danych osobowych oraz wypenienie obowizku wyznaczenia osoby penicej zadania administratora bezpieczestwa informacji w latach 20072010.

2.5. Wyniki kontroli w zakresie warunkw techniczno-organizacyjnych


W 2010 r. skontrolowano 715 systemw informatycznych sucych do przetwarzania danych osobowych. Byy to systemy o bardzo rnorodnych rozwizaniach technologicznych, od najprostszych, gdzie zbiory danych osobowych przetwarzane byy z wykorzystaniem powszechnie dostpnych aplikacji biurowych (edytorw tekstu, arkuszy kalkulacyjnych) po najbardziej rozbudowane oparte o zaawansowane mechanizmy bazodanowe. Jako jednostk statystyczn w zestawieniach odnoszcych si do stopnia realizacji technicznych warunkw przetwarzania danych, przyjto kontrolowany system informatyczny.

33

Gdy system informatyczny posiada wymagan funkcjonalno lub funkcjonalno ta bya realizowana przy uyciu dedykowanych moduw programowych, zgodnie z warunkami okrelonymi w 7 ust. 4 rozporzdzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych, poszczeglne warunki uznawano dla systemu objtego kontrol jako wypenione. Stopie realizacji wymogw o charakterze techniczno-organizacyjnym dla systemw informatycznych objtych kontrol w roku 2010 na tle lat 2007-2009, przedstawiono na poniszym diagramie (Wykres 7).

Realizacja w ym ogw o charakterze techniczno-organizacyjnym w latach 2007-2010


100%

90%

80%

70%

60%

50%

40%

30%

20%

10%

0% Zabezpieczenie nonikw kopii zapasowych Odrbny identyfikator Mechanizmy Odnotowanie daty uwierzytelnienia pierwszego wprowadzenia danych
Rok 2010

Odnotowanie rda danych

Odnotowanie identyfikatora uzytkownika

Odnotowanie udostpnienia danych

Odnotowanie sprzeciwu

Wydruk raportu danych

Rok 2007

Rok 2008

Rok 2009

Wykres 7: Stopie realizacji wymogw technicznych i organizacyjnych w latach 2007-2010. Jak wynika z przedstawionego wykresu, liczba systemw informatycznych objtych kontrol w roku 2010 bya wiksza ni w latach poprzednich. Spowodowane byo to tym, e przeprowadzane w 2010 r. kontrole sektorowe obejmoway m.in. urzdy kontroli skarbowej, towarzystwa ubezpieczeniowe, szkoy wysze, firmy inwestycyjne prowadzce dziaalno maklersk oraz komunalne jednostki organizacyjne, w ktrych do przetwarzania danych osobowych uywanych byo od kilku do kilkunastu systemw informatycznych. W znacznym stopniu liczba ta wynika rwnie z ukierunkowania niektrych kontroli na zagadnienia zwizane z procesami wymiany danych pomidzy rnymi instytucjami, jak np. w przypadku urzdw kontroli skarbowej, gdzie prawie

34

w kadym urzdzie kontrolowanych byo od kilku do kilkunastu systemw, z ktrych kady suy do wymiany danych z inn instytucj. Podobnie byo w sektorze ubezpieczeniowym, gdzie kontrole ukierunkowane byy na weryfikacje systemw sucych do wymiany danych pomidzy rnymi podmiotami. Specyfika ta zwikszya wydatnie liczb sprawdzanych systemw informatycznych. Jednoczenie zauwaono trend polegajcy na stosowaniu do przetwarzania danych osobowych wyspecjalizowanych systemw informatycznych, ktre czsto su do przetwarzania kilku rnych zbiorw danych osobowych. Przeprowadzone czynnoci kontrolne pokazuj rwnie, e niemal 100% kontrolowanych jednostek przetwarza dane osobowe z wykorzystaniem systemw informatycznych. Przypadki przetwarzania danych osobowych wycznie w formie tradycyjnej (papierowej) dotyczyy jedynie kilku skontrolowanych podmiotw.

2.5.1. Ocena poziomu bezpieczestwa W odniesieniu do skontrolowanych w 2010 r. systemw informatycznych podzia na poziomy bezpieczestwa przedstawiony zosta na poniszym diagramie (Wykres 8).
Stosowane poziomy bezpieczestwa w latach 2009-2010

100% 93 % 90% 80% 70% 60%


Rok 2009

85 %

50% 40% 30% 20% 10% 0% Podstawowy Podwyszony Wysoki 7% 6,8 % 8% 0,2 %

Rok 2010

Wykres 8: Podzia na poziomy bezpieczestwa zastosowane dla systemw informatycznych skontrolowanych w latach 2009-2010.

35

Jak wynika z ww. podziau, 93 % podmiotw skontrolowanych w 2010 r. zastosowao wysoki poziom bezpieczestwa przetwarzania danych osobowych w systemach informatycznych. Jest to w gwnym stopniu zwizane z tym, e coraz wicej systemw informatycznych posiada dostp do publicznej sieci Internet, skutkujcy koniecznoci stosowania zabezpiecze na poziomie wysokim. Zauwaono rwnie tendencj do zwikszania poziomu bezpieczestwa z podwyszonego na wysoki. Natomiast procentowy udzia zabezpiecze na poziomie podstawowym pozosta praktycznie bez zmian.

2.5.2. Outsourcing i kolokacja danych W 2010 r. okoo 5 % skontrolowanych systemw informatycznych uytkowanych byo na zasadzie cakowitego outsourcingu, gdzie proces przetwarzania danych osobowych, jak rwnie oprogramowanie i sprzt teleinformatyczny, administrator danych powierzy w caoci do administrowania podmiotom zewntrznym. W 81 % systemw informatycznych, jakie poddano kontroli w 2010 r., przetwarzaniem danych osobowych w tych systemach, ich obsug techniczn i administracj zajmowali si pracownicy administratora danych. Zmniejszya si natomiast w porwnaniu do 2009 r. liczba systemw objtych czciowym outsourcingiem, gdzie podmiotom zewntrznym powierzano tylko niektre aspekty zwizane z utrzymywaniem systemu typu kolokacja maszyn stanowicych platform sprztow dla uytkowanych systemw informatycznych, czy wykonywanie czynnoci administracyjnych, typu zarzdzanie baz danych, wykonywanie kopii zapasowych, itp. Outsourcing czciowy stosowany by w 14% skontrolowanych w 2010 r. systemw.

Ilociowy udzia outsourcingu systemw informatycznych objtych kontrolami w latach 20092010 przedstawiono na poniszym diagramie (Wykres 9). Opisywane zmiany parametrw nie musz jednak oddawa tendencji rynkowych i mog by zwizane z charakterem podmiotw poddanych kontroli w 2010 r.

36

Outsourcing system w inform atycznych w latach 2009-2010

100% 90% 81 % 80% 71 % 70% 60%


Rok 2009

50% 40% 30% 22 % 20% 7% 10% 0% Cakow ity Czciow y Brak 5% 14 %

Rok 2010

Wykres 9: Ilociowy udzia outsourcingu systemw informatycznych objtych kontrolami w latach 2009-2010.

Analiza przetwarzania danych osobowych pod ktem fizycznej lokalizacji danych wykazaa, e u wikszoci skontrolowanych podmiotw dane osobowe zapisywane byy w jednym, centralnym miejscu, np. na serwerze/serwerach znajdujcych si w jednym budynku, zazwyczaj w siedzibie kontrolowanego podmiotu. Tylko w nielicznych przypadkach zastosowano zabezpieczenia odnoszce si do cigoci przetwarzania i bezpieczestwa danych poprzez stosowanie zapasowych centrw przetwarzania zlokalizowanych w odrbnej lokalizacji. Poniej przedstawiono diagram (Wykres 10) ilustrujcy stopie stosowania przez kontrolowane podmioty rozwiza technicznych opartych o systemy centralne i rozproszone.

37

Kolokacja danych przetwarzanych z wykorzystaniem systemw informatycznych w latach 2009-2010

100% 90% 93 % 80% 70% 60% 50% 40% 30% 20% 10% 0% System centralny System rozproszony 7% 2%
Rok 2009 Rok 2010

98 %

Wykres 10: Ilociowy udzia centralnego i rozproszonego przetwarzania danych w systemach informatycznych objtych kontrol w latach 2009-2010.

2.5.3. Systemy sieciowe i wielostanowiskowe Jak przedstawiono na poniszym diagramie (Wykres 11), w 2010 r. w porwnaniu z rokiem 2009 zwikszya si liczba wielostanowiskowych systemw informatycznych (okoo 98 %). Rozwizania oparte o systemy jednostanowiskowe stanowiy zaledwie 2 % skontrolowanych systemw informatycznych. Zastosowanie systemw jednostanowiskowych w wikszoci przypadkw dotyczyo przestarzaych rozwiza informatycznych. Zauway jednak naley, e systemy jednostanowiskowe stosowano rwnie w przypadkach, gdy wymagay tego zwikszone wzgldy bezpieczestwa, np. przetwarzanie danych niejawnych.

38

Ilo systemw jedno i wielostanowiskowych skontrolowanych w latach 2009-2010

100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Systemy jednostanowiskowe Systemy wielostanowiskowe 21 % 17 %
Rok 2009 Rok 2010

79 %

83 %

Wykres 11: Procentowy udzia systemw informatycznych jedno- i wielostanowiskowych wrd systemw objtych kontrol w latach 2009-2010.

3.

Wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach

wykonania przepisw o ochronie danych osobowych


3.1. Wydawanie decyzji Postpowanie wszczte przez Generalnego Inspektora z urzdu lub na wniosek osoby zainteresowanej dotyczce naruszenia ustawy o ochronie danych osobowych, toczy si wedug przepisw Kodeksu postpowania administracyjnego. Postpowanie to moe zakoczy si wydaniem decyzji administracyjnej nakazujcej administratorowi danych przywrcenie stanu zgodnego z prawem poprzez usunicie uchybie, uzupenienie, danych uaktualnienie, osobowych, sprostowanie, udostpnienie lub

nieudostpnienie

albo

usunicie

zastosowanie

dodatkowych

rodkw

zabezpieczajcych zgromadzone dane, wstrzymanie przekazania ich za granic, zabezpieczenie danych lub przekazanie ich innym podmiotom. W 2010 r. Generalny Inspektor wyda 1412 decyzji administracyjnych, tj. o 64 wicej w stosunku do roku 2009, w ktrym wydanych byo 1348 decyzji. Spord 1412 decyzji wydanych w 2010 r. 879 dotyczyo postpowa rejestrowych, 137 zostao wydanych w zwizku z przeprowadzonymi kontrolami, 359 wydano na skutek postpowania zainicjowanego skarg, za 37 dotyczyo zgody na przekazanie danych do pastwa trzeciego.

39

137
przeprowadzone kontrole - 137

359 879

postpowania skargowe - 359 zgoda na przekazanie danych do pastwa trzeciego - 37

37

postpowania rejestrowe - 879

Wykres 12: Liczbowe zestawienie rodzajw decyzji administracyjnych wydanych przez Generalnego Inspektora Ochrony Danych Osobowych w 2010 r.

3.2. Zawiadomienia o podejrzeniu popenienia przestpstwa W analizowanym roku sprawozdawczym 2010 Generalny Inspektor Ochrony Danych Osobowych skierowa do organu powoanego do cigania przestpstw 23 zawiadomienia o podejrzeniu popenienia przestpstwa przez osoby odpowiedzialne za przetwarzanie danych osobowych. Niezmiennie najwicej zawiadomie zoonych zostao w zwizku z informacjami przekazanymi Generalnemu Inspektorowi Ochrony Danych Osobowych przez podmioty indywidualne - 18 zawiadomie. Naley tutaj podkreli, e na t ogln liczb 18 zawiadomie skierowanych do organw cigania, 10 z nich dotyczyo podejrzenia popenienia przestpstwa z uyciem Internetu39. Pozostae 8 przypadkw dotyczyo stwierdzonego przez organ w toku postpowania administracyjnego spenalizowanego w art. 49 ust. 1 ustawy, przetwarzania danych osobowych przez podmioty nieuprawnione. Ponadto w jednym z przypadkw dodatkow przyczyn zoenia zawiadomienia byo udostpnienie danych osobowych podmiotom nieuprawnionym (art. 51 ust. 1 ustawy). W pozostaych przypadkach przedmiotem zawiadomie uczyniono podejrzenie popenienia przestpstwa bezpodstawnego przetwarzania danych osobowych w celach marketingowych40, prb sprzeday zbioru danych towarzystwu emerytalnemu zawierajcego informacje o osobach fizycznych, ktre nie wybray
39

jeszcze

obowizkowego

funduszu

emerytalnego41

oraz

udostpnienie

osobom

DOLiS/ZAW-3/10, DOLiS/ZAW-7/10, DOLiS/ZAW-11/10, DOLiS/ZAW-12/10, DOLiS/ZAW-15/10, DOLiS/ZAW16/10, DOLiS/ZAW-17/10, DOLiS/ZAW-18/10, DOLiS/ZAW-3/10/2645, DOLiS/ZAW-15/10/29889. 40 Zawiadomienie z dnia 17 lutego 2010 r. DOLiS/ZAW-5/10/6815. 41 Zawiadomienie z dnia 11 stycznia 2010 r. DOLiS/ZAW-2/917/10.

40

nieupowanionym danych osobowych poprzez zamieszczenie ich na tablicach ogosze znajdujcych si na terenie ogrodu dziakowego42. Natomiast 5 zawiadomie miao zwizek z przeprowadzonymi kontrolami. W dwch przypadkach zawiadomienia dotyczyy przestpstwa wskazanego w art. 49 ustawy o ochronie danych osobowych43. W toku kontroli ustalono, e jednostki kontrolowane przetwarzay dane osobowe, do przetwarzania ktrych nie byy uprawnione. W jednym z ww. przypadkw kontrola wykazaa, e podmiot wystpujcy jako agencja pracy tymczasowej, przetwarza bez podstawy prawnej dane osobowe kandydatek na matki zastpcze (surogatki) oraz dane osb zainteresowanych ich wynajciem. W opinii organu ds. ochrony danych osobowych tego typu dziaalno nie moe by kwalifikowana jako wiadczenie usug w zakresie pracy tymczasowej. Natomiast drugi przypadek dotyczy przetwarzania danych osobowych pacjentw przez podmiot, ktry nie zosta wpisany do rejestru zakadw opieki zdrowotnej. Brak tego wpisu oznacza, e wskazany podmiot nie by uprawniony do przetwarzania danych dotyczcych stanu zdrowia ww. osb. W jednym przypadku ustalenia kontrolne uzasadniy zoenie zawiadomienia o podejrzeniu popenienia przestpstwa okrelonego w art. 52 ustawy o ochronie danych osobowych44. Zawiadomienie to dotyczyo niezabezpieczenia przez pracodawc dokumentacji zawierajcej dane osobowe pracownikw. W innym przypadku Generalny Inspektor stwierdzi wypenienie znamion czynu zabronionego wskazanego w art. 53 ustawy o ochronie danych osobowych, tj. niezgoszenia do rejestracji Generalnemu Inspektorowi zbioru danych uytkownikw serwisu internetowego45. Na skutek przeprowadzonych czynnoci kontrolnych w jednym z podmiotw stwierdzono wypenienie znamion czynw zabronionych okrelonych w art. 49, 52, 53 i 54 ustawy o ochronie danych osobowych46. Uchybienia uzasadniajce skierowanie zawiadomienia o popenieniu ww. przestpstw polegay m.in. na przetwarzaniu przez pracodawc bez podstawy prawnej danych osobowych pracownikw dotyczcych informacji o naogach, karalnoci, stanie zdrowia, zachowaniu w miejscu pracy, komunikatywnoci, a take na braku dokumentacji stanowicej polityk bezpieczestwa i instrukcji zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych, niezgoszeniu do rejestracji zbioru danych osobowych pracownikw innych podmiotw (usugobiorcw) oraz niedopenieniu wobec osb, ktrych dane osobowe dotycz, obowizku poinformowania o ich prawach lub przekazania tym osobom informacji umoliwiajcych korzystanie z praw przyznanych im w ustawie o ochronie danych osobowych.

42 43

Zawiadomienie z dnia 4 stycznia 2010 r. DOLiS/ZAW-1/10/91. DIS/ZAW-9/14956/10 i DIS/ZAW-14/24571/10. 44 DIS/ZAW-6/7473/10 45 DIS/ZAW-4/4295/10 46 DIS/ZAW-8/11530/10

41

Liczb zawiadomie o podejrzeniu popenienia przestpstwa skadanych przez Generalnego Inspektora w latach 20082010 przedstawia Wykres 13.

40

31 27 23

0 2008 2009 2010

Wykres 13: Porwnanie liczby zawiadomie o podejrzeniu popenieniu przestpstwa kierowanych przez GIODO w latach 20082010.

3.3. Rozpatrywanie skarg W 2010 r. do Departamentu Orzecznictwa, Legislacji i Skarg wpyno 1114 skarg dotyczcych naruszenia przepisw o ochronie danych osobowych. W porwnaniu z rokiem 2009 liczba skarg ulega zwikszeniu o 65, co przedstawia Wykres 14.
1500

1000

986

1049

1114

500

2008

2009

2010

Wykres 14: Zestawienie porwnawcze liczby skarg skierowanych do Generalnego Inspektora Ochrony Danych Osobowych w latach 20082010. Kada ze skarg analizowana bya na wstpie pod ktem spenienia warunkw formalnych przewidzianych przepisami Kodeksu postpowania administracyjnego. W przypadku tych, ktre je

42

speniay, GIODO inicjowa postpowania administracyjne. Jeeli w ich toku stwierdza naruszenie przepisw ustawy o ochronie danych osobowych, wydawa decyzje administracyjne i zgodnie z art. 18 ustawy nakazywa przywrcenie stanu zgodnego z prawem, a w szczeglnoci: 1) usunicie uchybie, 2) uzupenienie, uaktualnienie, sprostowanie, udostpnienie lub nieudostpnienie danych osobowych, 3) zastosowanie dodatkowych rodkw zabezpieczajcych zgromadzone dane osobowe,

4) wstrzymanie przekazywania danych osobowych do pastwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunicie danych osobowych. W postpowaniach zainicjowanych tymi skargami oraz wszcztych przez Generalnego Inspektora Ochrony Danych Osobowych z urzdu, wydanych zostao 359 decyzji administracyjnych, z ktrych 40 zostao zaskaronych do Wojewdzkiego Sdu Administracyjnego w Warszawie [WSA]. (za. 4). W porwnaniu z rokiem 2009, w ktrym 45 decyzji zostao zaskaronych, oznacza to spadek o 8,9 %.

450

338
300

355

359

150

0 2008 2009 2010

Wykres 15: Liczbowe zestawienie decyzji wydanych przez Generalnego Inspektora Ochrony Danych Osobowych w latach 2008-2010 w zwizku z rozpatrywanymi skargami. Analizujc tre skarg wyrni naley 11 kategorii, w zalenoci od zagadnie, ktrych dotyczyy. Wrd nich znalazy si: 1) administracja publiczna, 2) sdy, prokuratura, Policja, komornicy, 3) banki i inne instytucje finansowe, 4) Internet, 5) marketing, 6) mieszkalnictwo, 7) ubezpieczenia spoeczne, majtkowe i osobowe, 8) System Informacyjny Schengen,

9) telekomunikacja, 10) zatrudnienie i 11) inne.

43

Administracja publiczna Sdy, prokuratura, Policja, komornicy Banki i inne instytucje finansowe Internet Marketing Mieszkalnictwo Ubezpieczenia System Informacyjny Schengen Telekomunikacja Zatrudnienie Inne 0 100 28 38 57 77 59 52 55 119

149

157

323 200 300 400

Wykres 16: Zestawienie porwnawcze liczby skarg, ktre wpyny do Biura GIODO w 2010 r. w okrelonych sektorach. Porwnanie liczby skarg w ww. sektorach na przestrzeni lat 2008-2010 pozwala zauway dwa interesujce trendy. Pierwszym z nich by znaczcy wzrost liczby skarg w sektorze odnoszcym si do Internetu. Dla porwnania, w roku 2009 wpyno 88 skarg dotyczcych dziaalnoci podmiotw z tego sektora, za w analizowanym 2010 157, czyli o 69 wicej. Natomiast drugim zauwaalnym trendem by stopniowy spadek liczby skarg na podmioty z sektora bankw i innych instytucji finansowych. O ile w 2008 r. skarg tych byo 179, w 2009 139, to w 2010 r. wpyno ich ju zaledwie 119. W porwnaniu do 2008 r. oznacza to spadek liczby skarg o 66 %.
220 180 140 100 60 20 2008 2009 2010 119 179 139

Wykres 17:

Zestawienie porwnawcze liczby skarg dotyczcych sektora bankowoci, ktre wpyny do Generalnego Inspektora Ochrony Danych Osobowych w latach 2008-2010.

Ponadto stale wzrasta liczba skarg na przetwarzanie danych osobowych w Systemie Informacyjnym Schengen, co przedstawia poniszy Wykres 18.

44

60 38

30 7 0 2008

27

2009

2010

Wykres 18: Zestawienie porwnawcze liczby skarg dotyczcych przetwarzania danych osobowych w Systemie Informacyjnym Schengen w latach 2008-2010. Z chwil przystpienia Polski w dniu 21 grudnia 2007 r. do strefy Schengen, organ ds. ochrony danych rozpocz sprawowanie kontroli prawidowoci przetwarzania danych osobowych w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej47. Wspomniana kontrola odbywa si na zasadach uregulowanych w ustawie o ochronie danych osobowych. Generalny Inspektor Ochrony Danych Osobowych czuwa nad tym, aby przetwarzanie danych gromadzonych w tych systemach nie naruszao praw osb, ktrych dane dotycz. W sprawach skarg z tego sektora skarcy najczciej dali usunicia dotyczcych ich danych osobowych, poniewa w ich ocenie zostay one bezpodstawnie zamieszczone w tym systemie. Poniej przedstawione zostan przykady innych skarg, ktre w 2010 r. wpyny do Biura Generalnego Inspektora Ochrony Danych Osobowych. Wrd nich byy skargi zawierajce zarzut przetwarzania nieaktualnych danych osobowych przez proboszczw parafii Kocioa Katolickiego48. Skarcy wskazywali w nich, i pomimo zoenia owiadczenia o wystpieniu z Kocioa Katolickiego, nie zostaa o tym fakcie zamieszczona stosowna adnotacja w ksidze chrztw. Generalny Inspektor Ochrony Danych Osobowych zwraca si w poszczeglnych sprawach o wyjanienia do odpowiednich podmiotw przetwarzajcych dane czonkw lub byych czonkw Kocioa Katolickiego. Po uzyskaniu wyjanie, z ktrych wynikao, e osoby skarce s wci czonkami Kocioa Katolickiego Generalny Inspektor umarza postpowania administracyjne w takich sprawach wskazujc w oparciu o przepis art. 43 ust. 2 ustawy o ochronie danych osobowych na brak swojej kognicji do wydania merytorycznej decyzji administracyjnej w tym wzgldzie49. W zwizku bowiem
47

Ustawa z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej, Dz. U. Nr 165, poz. 1170 z pn. zm. 48 DOLiS-440-588/10, DOLiS-440-632/10, DOLiS-440-693/10, DOLiS-440-663/10, DOLiS-440-771/10, DOLiS-440793/10, DOLiS-440-810/10, DOLiS-440-845/10, DOLiS-440-858/10, DOLiS-440-859/10, DOLiS-440-872/10, DOLiS440-973/10, DOLiS-440-884/10, DOLiS-440-954/10, DOLiS-440-958/10, DOLiS-440-985/10. 49 Decyzja GIODO z dnia 15 grudnia 2010 r. DOLiS/DEC-1373/10/49651, 49658, decyzja GIODO z dnia 29 grudnia 2010 r. DOLiS/DEC-1402/10/51399,51405, decyzja GIODO z dnia 31 grudnia 2010 r. DOLiS/DEC-1425/10/51817,51818, decyzja GIODO z dnia 14 stycznia 2011 r. DOLiS/DEC-21/11/1560,1570, decyzja GIODO z dnia 20 stycznia 2011 r.

45

z treci

powoanego

przepisu,

organ

nie

moe

prowadzi

postpowania

wyjaniajcego

ukierunkowanego na wydanie merytorycznej decyzji administracyjnej ani przeprowadza czynnoci kontrolnych odnonie przetwarzania danych osobowych na potrzeby Kocioa Katolickiego, z wyczeniem prawa dania zoenia pisemnych lub ustnych wyjanie oraz wzywania i przesuchiwania osb w zakresie niezbdnym do ustalenia stanu faktycznego. W omawianym roku 2010, Generalny Inspektor Ochrony Danych Osobowych - podobnie jak w latach poprzednich najwicej wystpie kierowa do podmiotw z sektora administracji publicznej, sygnalizujc w nich uchybienia, ktrych si dopucili, np. udostpniajc dane osobie nieupowanionej, poprzez umoliwienie jej wgldu do akt postpowania administracyjnego. GIODO podejmowa rwnie dziaania dostosowujce proces przetwarzania danych osobowych w rejestrach publicznych do wymogw okrelonych przepisami ustawy o ochronie danych osobowych. W tym celu organ wystpi do Ministra Spraw Wewntrznych i Administracji o podjcie dziaa zapewniajcych lepsz jako danych osobowych przetwarzanych w centralnej ewidencji pojazdw, w szczeglnoci ich merytoryczn poprawno50. GIODO zwraca si take do Ministra Spraw Wewntrznych i Administracji o rozwaenie zasadnoci podjcia dziaa legislacyjnych majcych na celu zmian przepisw regulujcych przetwarzanie danych osobowych w Krajowym Systemie Informacyjnym Policji. Nowelizacja ta miaaby obejmowa wprowadzenie do ww. regulacji precyzyjnie okrelonych okresw, w ktrych Policja moe przetwarza w Krajowym Systemie Informacyjnym Policji pozyskane dane osobowe51 oraz okrelajcych kryteria weryfikacji danych osobowych zawartych w tym systemie52. Minister Spraw Wewntrznych i Administracji broni pogldu o niezbdnoci przetwarzania danych osobowych w Krajowym Systemie Informacyjnym Policji w dotychczasowym zakresie. Wskazywane przez Generalnego Inspektora wtpliwoci sugeruj jednak rozwaenie zmian legislacyjnych w najbliszej przyszoci. Kolejnym obszarem pod wzgldem liczby wystpie Generalnego Inspektora Ochrony Danych Osobowych spowodowanych uchybieniami w procesie przetwarzania danych osobowych, bya dziaalno spdzielni mieszkaniowych i wsplnot mieszkaniowych. Pomimo sygnalizowania tym podmiotom przez organ w poprzednich latach, koniecznoci respektowania w ich dziaalnoci przepisw ustawy o ochronie danych osobowych, nadal wywieszaj one na klatkach schodowych listy dunikw oraz pisma zawierajce dane osobowe czonkw, jak rwnie dorczaj korespondencj przez osoby nieposiadajce upowanienia do przetwarzania danych osobowych adresatw.

DOLiS/DEC-33/11/2429,2430, decyzja GIODO z dnia 25 stycznia 2011 r. DOLiS/DEC-44/11/3079,3082, decyzja GIODO z dnia 25 stycznia 2011 r. DOLiS/DEC-45/11/3167,3170. 50 Pismo GIODO z dnia 27 stycznia 2010 r. DOLiS-440-373/09/3742/10. 51 Pismo GIODO z dnia 25 czerwca 2010 r. DOLiS-440-20/10/25634, pismo GIODO z dnia 22 wrzenia 2010 r. DOLiS440-696/10/37853.

46

Liczne byy rwnie wystpienia Generalnego Inspektora Ochrony Danych Osobowych w zwizku z nieprawidowociami w przetwarzaniu danych osobowych w celach marketingowych. Ich adresatami byy przede wszystkim banki oraz operatorzy telekomunikacyjni. Najpowszechniejszym uchybieniem popenianym przez pracownikw bankw i operatorw telekomunikacyjnych by brak niezwocznego odnotowania sprzeciwu podmiotu danych wobec przetwarzanych dotyczcych go danych osobowych. Organ ds. ochrony danych osobowych wystpi rwnie w zwizku z praktyk prowadzenia przez banki akcji marketingowych, polegajcych na przesyaniu swoim klientom niezamawianych przez nich, spersonalizowanych, nieaktywnych kart kredytowych. W sprawie tej GIODO zwrci si do Przewodniczcego Komisji Nadzoru Finansowego o zajcie stanowiska w sprawie zgodnoci przedstawionej praktyki z odpowiednimi przepisami prawa53. W odpowiedzi Przewodniczcy Komisji Nadzoru Finansowego wskaza, i fakt przesyania klientowi przez bank karty kredytowej bez zawarcia umowy o kart kredytow, daje podstaw do stwierdzenia, e bank naruszy art. 21 ustawy o elektronicznych instrumentach patniczych54. W 2010 r. staym przedmiotem wystpie Generalnego Inspektora Ochrony Danych Osobowych byo nienaleyte dopenianie obowizku informacyjnego wynikajcego z art. 33 ustawy o ochronie danych osobowych, gwnie przez banki oraz operatorw telekomunikacyjnych. Administratorzy danych nie przestrzegali 30 dniowego terminu do udzielenia danych informacji. Jako drastyczny przykad zaniechania w tym wzgldzie naley wskaza dopenienie przedmiotowego obowizku przez jeden z bankw po blisko dwch latach i to wycznie na skutek dziaa podjtych przez Generalnego Inspektora Ochrony Danych Osobowych55. Generalny Inspektor Ochrony Danych Osobowych podejmowa rwnie dziaania majce na celu zapewnienie zgodnoci treci rnego rodzaju formularzy z regulacjami ustawy o ochronie danych osobowych. Uchybienia w tym obszarze polegay midzy innymi na niewaciwym spenieniu obowizku informacyjnego z art. 24 ustawy o ochronie danych osobowych albo braku jego spenienia, niewaciwym formuowaniu klauzuli zgody na przetwarzanie danych osobowych oraz pozyskiwaniu danych osobowych w zbyt szerokim zakresie. Jednoczenie naley zaznaczy, i w omawianym okresie na skutek wystpie organu ds. ochrony danych osobowych podejmowanych z urzdu, jeden z dostawcw paliwa gazowego dostosowa tre stosowanych przez niego wzorcw formularzy, w tym umowy kompleksowej dostarczania paliwa gazowego, do wymogw ustawy o ochronie danych osobowych poprzez dodanie informacji o braku obligatoryjnoci podania przez osoby nie prowadzce dziaalnoci gospodarczej numeru NIP, adresu do korespondencji, numeru telefonu, adresu poczty
52 53

Pismo GIODO z dnia 1 wrzenia 2010 r. DOLiS-440-696/10/34865. Pismo GIODO z dnia 9 marca 2010 r. DOLiS-440-705/09/9960/10. 54 Pismo KNF z dnia 25 marca 2010 r. DPP-WNB/023/586/2/10/AJ. 55 Pismo GIODO z dnia 27 maja 2010 r. DOLiS-440-23/10/21879.

47

elektronicznej oraz numeru konta bankowego56. Podjcie z urzdu dziaa przez Generalnego Inspektora Ochrony Danych Osobowych wobec tego podmiotu byo jak najbardziej zasadne ze wzgldu na znaczn liczb osb fizycznych korzystajcych z jego usug.

4. Prowadzenie rejestru zbiorw danych oraz udzielanie informacji o zarejestrowanych zbiorach


Jednym z podstawowych zada Generalnego Inspektora Ochrony Danych Osobowych jest prowadzenie oglnokrajowego, jawnego rejestru zbiorw danych osobowych. Z zadaniem tym skorelowany jest obowizek zgaszania zbiorw danych osobowych przez administratorw danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych57. Wskazane powyej zadanie realizowane jest w Departamencie Rejestracji Zbiorw Danych Osobowych Biura GIODO. Naoenie na administratorw danych obowizku zgoszenia zbioru danych do rejestracji umoliwia Generalnemu Inspektorowi Ochrony Danych Osobowych sprawowanie kontroli zgodnoci procesu przetwarzania danych osobowych w zgoszonych zbiorach z zasadami przyjtymi w ustawie. Informacje uzyskane w toku postpowania rejestracyjnego stanowi dla organu podstawowe rdo wiedzy na temat administratorw danych, prowadzonych przez nich zbiorw danych oraz warunkw przetwarzania danych w tych zbiorach. Posiadanie wymienionych informacji pozwala zdefiniowa problemy wystpujce w procesie przetwarzania danych w okrelonych obszarach i podj dziaania zmierzajce do przywrcenia stanu zgodnego z prawem. W roku 2010 r. administratorzy danych zgosili do rejestracji 8260 zbiorw, z czego podmioty z sektora administracji publicznej zgosiy 4679 zbiorw, co stanowi 57 % oglnej liczby zgosze dokonanych w tym okresie, za podmioty z sektora prywatnego 3581 zbiorw, co stanowi 43 % oglniej liczby zgoszonych zbiorw.

56 57

DOLiS-440-269/09 Zgodnie z art. 40 ustawy o ochronie danych osobowych, administrator danych obowizany jest zgosi zbir danych do rejestracji, z wyjtkiem przypadkw okrelonych w art. 43 ust. 1 ustawy.

48

10000 8000 6000 4000 2000 0

7688 5776 3602 2174 4984

8260

4679 2704 3581

2008 oglna liczba zgosze

2009 podmioty publiczne

2010 podmioty prywatne

Wykres 19: Liczbowe zestawienie zbiorw danych zgoszonych do rejestracji w latach 2008 -2010.

Analizujc przedstawione powyej zestawienie, oprcz stale rosncej oglnej liczby zgosze, zauway naley wzrost liczby zgosze dokonanych przez podmioty prywatne. Wynika to przede wszystkim z rozwoju wiadomoci prawnej spoeczestwa w zakresie obowizkw wynikajcych z przepisw o ochronie danych osobowych, w tym take obowizku rejestracji zbiorw danych osobowych. Na taki stan rzeczy niewtpliwie zasadniczy wpyw miaa dziaalno edukacyjna Generalnego Inspektora. Ponadto, dziki moliwoci realizacji obowizku rejestracji drog elektroniczn, zgaszanie zbiorw stao si atwiejsze i szybsze. Wrd podmiotw z sektora publicznego najwicej zbiorw zgosiy do rejestracji, podobnie jak w latach ubiegych, jednostki samorzdu terytorialnego (gminy, powiaty), a take podmioty realizujce zadania z zakresu pomocy spoecznej (orodki pomocy spoecznej, powiatowe centra pomocy rodzinie) oraz jednostki owiatowe (przedszkola, szkoy). Natomiast wrd podmiotw prywatnych, tak jak w poprzednich latach, najwicej zbiorw zgosiy te, ktre do przetwarzania danych osobowych wykorzystuj sie Internet. Jak wspomniano powyej systematycznie ronie liczba zgosze, ktre wpywaj do Biura Generalnego Inspektora Ochrony Danych Osobowych. W zrealizowaniu obowizku rejestracji niewtpliwie pomocny jest program komputerowy sucy do prawidowego wypenienia zgoszenia zbioru danych do rejestracji, udostpniony na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych. Program ten, wraz z internetow wersj rejestru zbiorw danych osobowych, funkcjonuje w ramach systemu Elektroniczna platforma komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych (w skrcie e-GIODO). Program ten zosta opracowany na podstawie dotychczasowych dowiadcze Departamentu Rejestracji Zbiorw Danych Osobowych Biura GIODO, z uwzgldnieniem najczstszych bdw popenianych przez wnioskodawcw przy wypenianiu zgoszenia. Celem programu jest wyeliminowanie - dziki systemowi podpowiedzi i komunikatw -

49

moliwoci popenienia tych bdw. Istot programu jest to, e wymusza podanie wszystkich informacji, ktre zgodnie z przepisami prawa powinno zawiera zgoszenie oraz ogranicza moliwo podania informacji nieprecyzyjnych lub sprzecznych. Po wypenieniu formularza wnioskodawca ma moliwo przesania zgoszenia zbioru danych osobowych do rejestracji GIODO drog elektroniczn rwnie wtedy, gdy nie dysponuje bezpiecznym podpisem elektronicznym. Jednake w takim przypadku powinien opatrzy wydruk zgoszenia przesanego elektronicznie podpisem i piecztk, a nastpnie przesa poczt lub zoy w siedzibie Generalnego Inspektora. Liczba zgosze wypenianych za pomoc ww. programu systematycznie ronie. W roku sprawozdawczym wikszo administratorw skorzystaa z takiego sposobu zgaszania zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. W omawianym okresie 4929 zgosze dokonano drog elektroniczn, tj. przy uyciu ww. programu (co stanowi 60 % oglnej liczby zgosze), w tym 873 zgoszenia opatrzone byy podpisem elektronicznym, co stanowi 18 % wszystkich zgosze przesanych elektronicznie i 11 % oglnej liczby zgosze nadesanych do rejestracji w 2010 r.

5000 4000 3000 2000 1000 0 zgoszenia tradycyjne zgoszenia elektroniczne

Wykres 20: Liczbowe zestawienie zgosze zbiorw danych do rejestracji dokonywanych w 2010 r. w formie tradycyjnej i elektronicznej.

50

9000 8000 7000 6000 5000 4000 3000 2000 1000 0 2008 2009 2010

wnioski e-GIODO wnioski tradycyjne

Wykres 21: Zestawienie porwnawcze zgosze zbiorw danych do rejestracji dokonywanych w latach 2008-2010 w formie tradycyjnej i przy uyciu programu wspomagajcego, udostpnionego na stronie www.giodo.gov.pl W okresie sprawozdawczym do oglnokrajowego jawnego rejestru zbiorw danych osobowych prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych zostao wpisanych 9921 zbiorw danych.

10500 9500 8500 7500 6500 5500 4500 3500 2500

9921

6465 3760 2008 2009 2010

Wykres 22: Zestawienie porwnawcze liczby zarejestrowanych zbiorw danych osobowych w latach 2008 - 2010. Naley zauway, e w roku 2010 zostao zarejestrowanych wicej zbiorw danych osobowych, ni w latach poprzednich. Byo to moliwe dziki temu, i zgoszenia nie zawieray a tak duej liczby bdw, jak to miao miejsce w latach ubiegych. Niewtpliwie na taki rezultat wpyw miay dwa czynniki. Pierwszym z nich bya przeprowadzona przez Generalnego Inspektora modyfikacja programu komputerowego wspomagajcego wypenianie formularza zgoszenia, drugim za wprowadzenie od 10 lutego 2009 r. nowego wzoru zgoszenia. Dziki modyfikacji ww. programu administrator moe wysa zgoszenie drog elektroniczn rwnie wtedy, gdy nie dysponuje bezpiecznym podpisem elektronicznym. Zmiana ta doprowadzia do

51

znacznego wzrostu liczby zgosze wypenianych za pomoc ww. programu. Co wicej, dziki mechanizmom, w oparciu o ktre zbudowany jest ten program, udaje si unika typowych bdw w procesie wypeniania wniosku do rejestracji, co z kolei pozwala szybciej zakoczy postpowania bez koniecznoci prowadzenia postpowa wyjaniajcych. Ponadto informacje zawarte we wnioskach przesanych elektronicznie trafiaj automatycznie do systemu obsugujcego oglnokrajowy rejestr zbiorw danych osobowych, bez koniecznoci rcznego wprowadzania danych, co take wpyno na przyspieszenie procesu rejestracji. Rwnie zgoszenia dokonywane tradycyjnie zawieray mniej bdw ni w latach ubiegych. Zgoszenia byy bowiem dokonywane na nowym, uproszczonym wzorze. Nowy wzr zgoszenia, wprowadzony zosta na mocy rozporzdzenia Ministra Spraw Wewntrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych58. Gwnym celem zmiany tego wzoru byo uproszczenie czci E zgoszenia dotyczcej informacji o rodkach technicznych i organizacyjnych zastosowanych w celu zabezpieczenia danych. Po penym roku stosowania nowego wzoru zgoszenia mona stwierdzi, i cel ten zosta osignity. Gwnym przejawem tego jest wyrane zmniejszenie liczby nieprawidowo wypenionych zgosze gwnie w czci E, co z kolei przekada si na przyspieszenie postpowania rejestracyjnego. W ramach postpowania prowadzonego w zwizku ze zgoszeniem zbioru do rejestracji dokonywana jest szczegowa analiza i ocena treci zgoszenia. Naley przede wszystkim ustali, czy zgoszenie faktycznie dotyczy zbioru danych, czy zbir zosta zgoszony przez podmiot uprawniony do dokonania takiego zgoszenia, tj. przez administratora danych, czy ustawa o ochronie danych osobowych ma zastosowanie ze wzgldu na informacje objte zgoszeniem oraz podmiot zgaszajcy zbir, a ponadto czy zgoszony do rejestracji zbir podlega obowizkowi rejestracji, tj. czy nie wystpuj przesanki zwolnienia z obowizku rejestracji okrelone w art. 43 ust. 1 ustawy. Jeli w trakcie postpowania w sprawie zgoszenia zbioru do rejestracji stwierdzone zostanie, i zachodzi jedna z wyej wymienionych sytuacji uniemoliwiajca zarejestrowanie zbioru danych, wwczas Generalny Inspektor Ochrony Danych Osobowych kieruje do wnioskodawcy pismo informujce o braku podstaw do dokonania wpisw w rejestrze. W roku sprawozdawczym zostao wysanych 712 takich pism, w tym 303 pisma informujce administratorw danych o braku obowizku rejestracji zbioru, wynikajcym z jednej z przesanek okrelonych w art. 43 ust. 1 ustawy oraz 409 pism informujcych o braku podstaw do dokonania wpisw w rejestrze z innych przyczyn, ni wynikajce z powoanego powyej przepisu. Pisma te dotyczyy zgosze dokonanych przez podmioty nie bdce administratorami danych lub zgosze obejmujcych wicej ni jeden zbir

52

danych osobowych, a take zgosze dotyczcych danych, w stosunku do ktrych przepisy ustawy nie maj zastosowania. Pisma kierowane do administratorw w zwizku z wystpieniem przesanek zwolnienia z obowizku rejestracji, okrelonych w art. 43 ust. 1 ustawy, najczciej dotyczyy zgosze zbiorw pracownikw lub osb ubiegajcych si o zatrudnienie u administratora danych. Wnioskodawcy, ktrzy nie byli administratorami danych, to zazwyczaj podmioty, ktrym administratorzy danych powierzyli przetwarzanie danych na podstawie art. 31 ustawy. Zgoszenia dotyczce wicej ni jednego zbioru czsto obejmoway wszystkie zbiory prowadzone w zwizku z dziaalnoci administratora, np. zbir danych klientw przetwarzanych w celu realizacji umw oraz zbir danych pracownikw prowadzony w zwizku z wykonywaniem obowizkw pracodawcy wynikajcych z Kodeksu pracy59. Tymczasem kady ze zbiorw powinien zosta zgoszony na odrbnym formularzu zgoszenia, co wynika wprost z art. 41 ust. 1 ustawy. Zgoszenia dotyczce danych, do ktrych przetwarzania przepisy ustawy o ochronie danych osobowych nie miay zastosowania, dotyczyy przede wszystkim danych identyfikujcych przedsibiorcw w obrocie gospodarczym, cile zwizanych z prowadzon przez nich dziaalnoci gospodarcz. Jeeli zgoszenie pozytywnie przejdzie opisan powyej wstpn weryfikacj,

to w nastpnej kolejnoci w postpowaniu rejestracyjnym ustala si, czy nie zachodzi przesanka odmowy rejestracji zgoszonego zbioru. Generalny Inspektor Ochrony Danych Osobowych odmawia bowiem rejestracji zgoszonego zbioru danych60, jeeli zgoszenie nie zawiera wszystkich wymaganych informacji, przetwarzanie danych naruszaoby okrelone w ustawie o ochronie danych osobowych zasady, a ponadto gdy urzdzenia i systemy informatyczne suce do przetwarzania zbioru danych nie speniaj podstawowych warunkw technicznych i organizacyjnych, okrelonych w rozporzdzeniu wykonawczym do ustawy61. Zatem w postpowaniu rejestracyjnym ocenie poddawany jest w szczeglnoci zakres przetwarzanych danych, tj. czy jest on adekwatny w stosunku do celu, w jakim prowadzony jest zbir. Administrator danych zobowizany jest bowiem gromadzi tylko takiego rodzaju dane, ktre s niezbdne ze wzgldu na cel ich przetwarzania. Badaniu podlega te legalno przetwarzania danych. W tym celu naley m.in. dokona analizy przepisw prawa regulujcych zadania lub dziaalno, w zwizku z realizacj ktrych administrator przetwarza dane osobowe
58 59

Dz. U. Nr 229, poz. 1536 Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy. Dz. U. z 1998 r. Nr 21, poz. 94 z pn. zm. 60 Zgodnie z art. 44 ust. 1 ustawy Generalny Inspektor Ochrony Danych Osobowych odmawia, w drodze decyzji administracyjnej, rejestracji zgoszonego zbioru danych, jeeli: nie zostay spenione wymogi okrelone w art. 41 ust. 1 ustawy, przetwarzanie naruszaoby zasady okrelone w art. 23-30 ustawy, urzdzenia i systemy informatyczne suce do przetwarzania zbioru danych zgoszonego do rejestracji nie speniaj podstawowych warunkw technicznych i organizacyjnych, okrelonych w przepisach, o ktrych mowa w art. 39a ustawy. 61 Rozporzdzenie Ministra Spraw Wewntrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

53

w zbiorze. Wraz z odmow rejestracji zbioru Generalny Inspektor nakazuje ograniczenie przetwarzania danych wycznie do ich przechowywania lub zastosowanie innych rodkw, okrelonych w art. 18 ustawy, np. usunicie uchybie, zastosowanie dodatkowych rodkw zabezpieczajcych zgromadzone dane osobowe, a nawet usunicie danych osobowych. Zatem skutki odmowy rejestracji mog mie negatywny wpyw na ca dziaalno wnioskodawcy, czsto wrcz uniemoliwiajc jej kontynuowanie. Zagroenie negatywnymi konsekwencjami zwizanymi z odmow rejestracji zbioru danych niewtpliwie mobilizuje administratorw danych do tego, aby przed zgoszeniem dokonali oceny, czy spenione s wszystkie wymagania przewidziane w ustawie o ochronie danych osobowych. W okresie sprawozdawczym Generalny Inspektor Ochrony Danych Osobowych wyda 453 decyzje o odmowie rejestracji zbioru danych, 115 decyzji o umorzeniu postpowania, 302 decyzje o wykreleniu zbioru danych z oglnokrajowego, jawnego rejestru zbiorw danych osobowych oraz 9 decyzji po ponownym rozpatrzeniu sprawy dotyczcej odmowy rejestracji zbioru.

302 453

odmowa rejestracji zbioru 453 umorzenie postpowania 115 decyzje o wykreleniu zbioru z rejestru - 302

115

decyzje po ponownym rozpatrzeniu sprawy - 9

Wykres 23: Liczbowe zestawienie decyzji administracyjnych dotyczcych postpowa rejestracyjnych wydanych przez Generalnego Inspektora Ochrony Danych Osobowych w 2010 r.

54

600 500 400 300 200 100 0 2008 2009 2010 decyzje o odmowie rejestracji 205 419 453

Wykres 24: Zestawienie porwnawcze decyzji o odmowie rejestracji zbioru wydanych przez Generalnego Inspektora Ochrony Danych Osobowych w latach 2008 - 2010.

120 100 80 60 40 20 0 2008 2009 43 77

115

decyzje o umorzeniu postpowania

2010

Wykres 25: Zestawienie porwnawcze decyzji o umorzeniu postpowania rejestracyjnego wydanych przez Generalnego Inspektora Ochrony Danych Osobowych w latach 2008 - 2010. Naley zauway, e nie zawsze informacje zawarte w zgoszeniu pozwalaj na zakoczenie sprawy bez przeprowadzenia postpowania wyjaniajcego. Wwczas Generalny Inspektor Ochrony Danych Osobowych zwraca si do wnioskodawcy o zoenie dodatkowych wyjanie lub dowodw. W 2010 roku w toku postpowa rejestracyjnych do wnioskodawcw skierowano 1828 pism, w ktrych Generalny Inspektor Ochrony Danych Osobowych zwraca si

o zoenie pisemnych wyjanie lub informowa o przesankach odmowy rejestracji zbioru danych oraz o uprawnieniach strony przed wydaniem decyzji administracyjnej. Ponadto w 2010 roku skierowano do wnioskodawcw, na podstawie art. 64 2 Kodeksu postpowania administracyjnego, 1267 wezwa do uzupenienia w zgoszeniu braku podpisu lub braku potwierdzenia umocowania wnioskodawcy do reprezentowania administratora danych. Rejestr zbiorw danych osobowych spenia przypisane mu funkcje tylko wwczas, gdy jest 55

zgodny ze stanem rzeczywistym, a zatem zawiera aktualne informacje o istniejcych zbiorach. Aktualnoci rejestru suy zarwno naoony na administratorw obowizek zgaszania Generalnemu Inspektorowi Ochrony Danych Osobowych kadej zmiany informacji, o ktrych mowa w art. 41 ust. 1 ustawy62, jak rwnie instytucja wykrelenia. Obie te instytucje stwarzaj moliwo porzdkowania rejestru, zgodnie ze zmieniajcymi si okolicznociami przetwarzania danych. W okresie sprawozdawczym Generalny Inspektor Ochrony Danych Osobowych wyda 302 decyzje o wykreleniu zbioru danych z oglnokrajowego, jawnego rejestru zbiorw danych osobowych. Wnioski o wykrelenie byy kierowane w zwizku z zaprzestaniem przetwarzania danych osobowych. Zgodnie z art. 44a pkt 1 ustawy wykrelenie z rejestru jest dokonywane w drodze decyzji administracyjnej, jeeli zaprzestano przetwarzania danych w zarejestrowanym zbiorze. Nie wszystkie kierowane przez administratorw wnioski o wykrelenie zbioru byy zasadne, bowiem wielu administratorw danych mylnie interpretujc pojcie przetwarzania danych wystpowao o wykrelenie zbioru, w ktrym nadal przetwarzane byy dane osobowe w celach archiwalnych. Tymczasem przechowywanie danych jest zgodnie z definicj ustawow jedn z form przetwarzania danych.

400 300 200 100 0 2008 2009 2010 166 285 302

decyzje o wykreleniu

Wykres 26: Zestawienie porwnawcze decyzji o wykreleniu zbioru z rejestru zbiorw danych osobowych wydanych przez Generalnego Inspektora Ochrony Danych Osobowych w latach 2008 - 2010. W 2010 r. Generalny Inspektor Ochrony Danych Osobowych rozpatrzy 3423 zgoszenia aktualizacyjne dokonane przez administratorw danych w trybie art. 41 ust. 2 ustawy o ochronie danych osobowych. Podobnie jak w poprzednich okresach sprawozdawczych aktualizacje te najczciej dotyczyy zmiany siedziby administratora danych, zmiany zakresu przetwarzanych danych, a take zmian dotyczcych rodkw technicznych i organizacyjnych zastosowanych w celu ochrony
62

Zgodnie art. 41 ust. 2 administrator danych obowizany jest zgasza kad zmian informacji zawartych w zgoszeniu rejestracyjnym w terminie 30 dni od dnia dokonania zmiany w zbiorze danych.

56

przetwarzanych danych osobowych.

3500 3000 2500 2000 1500 1000 500 2008 2009 1682 2419

3423

2010

Wykres 27: Zestawienie porwnawcze zgosze aktualizacyjnych rozpatrzonych w latach 2008 - 2010.

Naley zauway, i w roku 2010, w porwnaniu z poprzednimi latami, zostao rozpatrzonych zdecydowanie wicej zgosze aktualizacyjnych. Tak jak w przypadku zgosze zbiorw danych osobowych rozpatrzonych w 2010 r. osignicie takiego wyniku byo moliwe ze wzgldu na to, i nadsyane aktualizacje nie zawieray takiej iloci bdw, jak to miao miejsce w latach ubiegych. Powodw poprawy jakoci zgosze, z punktu widzenia speniania wymogw ustawowych, naley upatrywa w tych samych przyczynach, ktre odnosz si do zgosze zbiorw danych, a mianowicie w rozszerzeniu moliwoci wykorzystania programu komputerowego wspomagajcego wypenianie zgoszenia oraz uproszczeniu wzoru zgoszenia. Zadaniem Generalnego Inspektora Ochrony Danych Osobowych jest take udzielanie informacji o zarejestrowanych zbiorach, w szczeglnoci wydawanie zawiadcze o zarejestrowaniu zbioru danych osobowych. W omawianym okresie Generalny Inspektor Ochrony Danych Osobowych wyda 3353 zawiadczenia o zarejestrowaniu zbioru. Generalny Inspektor wydaje zawiadczenia o zarejestrowaniu zgoszonego zbioru danych na danie administratora. Jednake w przypadku zarejestrowania zbioru danych, w ktrym przetwarzane s dane osobowe szczeglnie chronione, okrelone w art. 27 ust. 1 ustawy, Generalny Inspektor Ochrony Danych Osobowych wydaje zawiadczenie z urzdu, niezwocznie po dokonaniu rejestracji takiego zbioru.

57

3500 2609 2000

3374

3353

500 2008 2009 2010

Wykres 28: Zestawienie liczby zawiadcze o zarejestrowaniu zbioru danych osobowych wydanych w latach 2008 - 2010.

W okresie od stycznia do grudnia 2010 roku, poza korespondencj prowadzon w zwizku z postpowaniami rejestracyjnymi, wysano 46 odpowiedzi na zapytania dotyczce problematyki rejestracji zbiorw danych osobowych. Celem rejestracji jest take upublicznienie informacji o zbiorach zarejestrowanych w oglnokrajowym jawnym rejestrze zbiorw danych osobowych. Kady, korzystajc z prawa do przegldania rejestru, moe uzyska oglne informacje o administratorach danych i prowadzonych przez nich zbiorach. Umoliwia to osobom, ktrych dane mog by przetwarzane w takich zbiorach, sprawowanie indywidualnej kontroli przetwarzania danych wynikajcej z art. 32 ustawy. Informacje zawarte w rejestrze udostpniane s na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych ( www.giodo.gov.pl ) w ramach platformy e-GIODO. Wyszukanie ksig rejestrowych dotyczcych zbiorw wpisanych do oglnokrajowego rejestru zbiorw danych osobowych moliwe jest wedug rnych kryteriw, m.in. nazwy administratora danych, miejscowoci, czy te nazwy zbioru danych. W roku 2010 w elektronicznej wersji rejestru odnotowano 134 671 wej do poszczeglnych ksig rejestrowych.

58

150 000 117 645 99 756 100 000

134 671

50 000

Liczba wej
0 2008 2009 2010

Wykres 29: Liczbowe zestawienie wej do poszczeglnych ksig rejestrowych w rejestrze zbiorw danych osobowych w ramach platformy e-GIODO w latach 2008 - 2010.

5.

Opiniowanie projektw ustaw i rozporzdze dotyczcych ochrony danych osobowych


Na wyeliminowanie nieprawidowoci w procesie przetwarzania danych osobowych ju na

etapie procesu tworzenia prawa, pozwala uprawnienie Generalnego Inspektora nadane mu moc art. 12 ust. 4 ustawy o ochronie danych osobowych. Stosownie do treci tego przepisu, do zada Generalnego Inspektora naley opiniowanie projektw ustaw i rozporzdze dotyczcych ochrony danych osobowych. W roku 2010 do Biura GIODO wpyno do zaopiniowania 617 projektw aktw prawnych, a zatem odnotowa naley nieznaczny spadek w tej kategorii wzgldem roku poprzedniego, co przedstawia Wykres 30.

800 600 400 200 0 2008 511

624

617

2009

2010

Wykres 30: Liczbowe zestawienie projektw aktw normatywnych skierowanych do zaopiniowania przez Generalnego Inspektora Ochrony Danych Osobowych w latach 2008-2010.

59

Naley zwrci uwag, e w roku 2010, moc przepisw ustawy z dnia 29 padziernika 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektrych innych ustaw (Dz. U. Nr 229, poz. 1497) zakoczony zosta trwajcy od 2007 roku proces legislacyjny, majcy na celu wprowadzenie zmian w przepisach ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Generalny Inspektor uzyska uprawnienia w postaci nakadania grzywien, jako rodka egzekucyjnego, w celu przymuszenia, jak rwnie wprost sformuowane zostao jego prawo wystpowania do waciwych organw z wnioskami o podjcie inicjatywy ustawodawczej albo o wydanie bd zmian aktw prawnych w sprawach dotyczcych ochrony danych osobowych. Ponadto podmioty, do ktrych zostao skierowane przez GIODO wystpienie lub wniosek bd zobowizane ustosunkowa si do nich w terminie 30 dni od daty jego otrzymania. W znowelizowanych przepisach ustawy o ochronie danych osobowych wprowadzony zostanie nowy rodzaj przestpstwa, jakim bdzie uniemoliwianie bd utrudnianie kontroli GIODO. Kara za ten czyn w postaci grzywny, ograniczenia wolnoci albo pozbawienia wolnoci do lat 2, bdzie moga by naoona nie tylko na administratora danych, ale take na kad osob, ktra uczestniczc w kontroli uniemoliwia bd utrudnia jej przeprowadzenie. Dla kontrolowanych podmiotw istotne znaczenie maj nowe przepisy precyzujce, co powinny zawiera wystawiane kontrolerom imienne upowanienie i sporzdzany przez nich protok. Doda mona te, e ustawa o zmianie ustawy o ochronie danych osobowych zawiera take przepisy o charakterze porzdkujcym rozwizania ju istniejce w obowizujcej ustawie o ochronie danych osobowych. Uchylony zosta art. 29, regulujcy udostpnianie danych osobowych w celach innych ni wczenie do zbioru. Po nowelizacji ustawy o ochronie danych osobowych jedynymi przesankami przetwarzania, a wic take udostpniania danych osobowych, pozostan te wymienione w art. 23 ustawy odnonie danych zwykych i art. 27 ustawy odnonie danych szczeglnie chronionych. Zaznaczy rwnie trzeba, e zmiany w ustawie o ochronie danych osobowych wprowadza te nowa ustawa o ochronie informacji niejawnych63. Zmiany te dotycz kwestii rejestracji zbiorw, odmowy udostpnienia danych i obowizku informacyjnego. I tak, z obowizku rejestracji zbioru danych zwolnieni bd administratorzy danych, ktrych zbiory zawieraj informacje niejawne, administrator danych bdzie mg odmwi udostpnienia danych, jeli ich ujawnienie

spowodowaoby ujawnienie wiadomoci zawierajcych informacje niejawne, a take nie bdzie informowa osoby o tym, skd pozyska jej dane, jeli te informacje objte bd tajemnic informacji niejawnych lub tajemnic zawodow.
63

DOLiS-033-244/09, ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych. Dz. U. Nr 182, poz. 1228.

60

Opiniujc projekt ustawy o systemie informacji w ochronie zdrowia (element tzw. pakietu zdrowotnego), organ do spraw ochrony danych osobowych zgosi w trakcie prac legislacyjnych szereg istotnych zastrzee do przedmiotowego projektu, ktre na etapie prac rzdowych w znacznej czci nie zostay uwzgldnione. Organ do spraw ochrony danych osobowych nie zanegowa samej potrzeby tworzenia zintegrowanego systemu teleinformatycznego sucego do zarzdzania zadaniami w zakresie ochrony zdrowia, ani koniecznoci wprowadzenia skutecznych mechanizmw kontroli sposobu wiadczenia usug publicznych w ochronie zdrowia. Jednake jako podmiot stojcy na stray praw osobistych gwarantowanych przez Konstytucj Rzeczypospolitej Polskiej podj starania dla zapewnienia, by przyjmowane nowe rozwizania prawne gwarantoway jak najwyszy poziom ochrony szczeglnie wraliwych danych, jakimi s dane o stanie zdrowia. Generalny Inspektor Ochrony Danych Osobowych wskaza zagroenia dla prawa do prywatnoci i prawa do ochrony danych osobowych wynikajce z regulacji zawartych w przedstawionym do zaopiniowania projekcie. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych podstawowe kryteria oceny zbioru, jego zawartoci, zasad przetwarzania danych (w tym danych osobowych) oraz technicznych metod zabezpieczenia tych danych przed nieuprawnionym przetwarzaniem powinny by

zdeterminowane faktem, i zaprojektowana baza danych - pod wzgldem swojej zawartoci - bdzie jedn z najwikszych w Polsce. W uzasadnieniu do projektu ustawy wskazano, e w trakcie analizy systemw informacyjnych obsugujcych system ochrony zdrowia, zidentyfikowano 69 rejestrw i ewidencji, dla ktrych podstaw prawn funkcjonowania stanowi przepisy o randze ustawy. Co wicej, stwierdzono, i analiza ta nie uwzgldnia rejestrw, ewidencji i innych uporzdkowanych zbiorw informacji w ochronie zdrowia funkcjonujcych na podstawie umw lub porozumie zawieranych przez organy publiczne w celu wykonania zada publicznych, rejestrw i ewidencji funkcjonujcych w oparciu o normy zwyczajowe lub prowadzonych na podstawie nieobowizujcych ju aktw prawnych na zasadach historycznych oraz rejestrw prowadzonych bez jakichkolwiek podstaw prawnych. W opinii GIODO niepokojcym by rwnie fakt uwzgldniania w ramach projektowanego systemu, rejestrw funkcjonujcych bez podstawy wynikajcej z powszechnie obowizujcych przepisw prawa (na przykad tzw. rejestry rakowe). Generalny Inspektor Ochrony Danych Osobowych opiniujc przedmiotowy projekt podkreli, i kade przedsiwzicie zwizane z przetwarzaniem danych powinno odbywa si z poszanowaniem zasad przetwarzania danych osobowych wynikajcych z przepisw prawa powszechnie

obowizujcego, w tym z ustawy o ochronie danych osobowych oraz jej przepisw wykonawczych. Planowany niniejszym projektem ustawy system informacji w ochronie zdrowia swoim zakresem obejmowa powinien wycznie te rejestry oraz ewidencje, ktre tworzone bd w oparciu o przepisy obowizujcego prawa. W ocenie organu niedopuszczalne jest przetwarzanie danych osobowych, w tym danych szczeglnie chronionych, w zbiorach (rejestrach, ewidencjach) funkcjonujcych na

61

podstawie innej ni przepisy powszechnie obowizujce, ani te prba zalegalizowania takiego stanu rzeczy poprzez oglne sformuowania analizowanego projektu. Niezalenie od powyszego GIODO zgosi do projektu rwnie wiele uwag szczegowych odnonie niezgodnoci projektowanych przepisw z regulacjami ustawy o ochronie danych osobowych, bd ich niejasnoci interpretacyjnej. W odniesieniu do tego projektu GIODO zamierza nadal podejmowa dziaania celem zmiany rozwiza zaakceptowanych przez Sejm. W roku 2010 GIODO kontynuowa prace legislacyjne nad projektem zaoe projektu ustawy o systemie informacji owiatowej. Opiniujc zaoenia, a nastpnie projekt przepisw ustawy GIODO wskaza, e kwestia tworzenia tak rozbudowanych zbiorw, jak projektowana przez Ministerstwo Edukacji Narodowej megabaza danych osobowych, zawierajca miliony danych osobowych w tym przypadku informacje o okoo 5 milionach uczniw, 900 tysicach przedszkolakw, 600 tysicach suchaczy i 600 tysicach nauczycieli, zawsze bya i pozostawa bdzie przedmiotem szczeglnego zainteresowania organu do spraw ochrony danych osobowych. Pomimo prowadzonych w trakcie dotychczasowego procesu legislacyjnego konsultacji, zawarta w przedmiotowym projekcie propozycja utworzenia przy ministrze waciwym ds. owiaty i wychowania systemu teleinformatycznego obsugujcego scentralizowany zbir danych, nadal budzia istotne wtpliwoci organu do spraw ochrony danych osobowych. Nie przekonywaa bowiem prezentowana dotychczas przez Ministerstwo Edukacji Narodowej argumentacja, zgodnie z ktr zgromadzenie w bazie danych administrowanej przez ministra waciwego ds. owiaty i wychowania wielkiej iloci danych osobowych jest niezbdne dla prawidowej realizacji polityki owiatowej oraz zarzdzania owiat. GIODO wskaza take na niebezpieczestwo bezprawnego ujawnienia zgromadzonych danych, jak i pokus ich wykorzystania dla innych celw, anieli te, dla ktrych pierwotnie zostay zebrane. Do projektu zgoszone zostay take uwagi szczegowe, jak np. ta, e nie zosta zrealizowany sygnalizowany przez Generalnego Inspektora ju na etapie prac ministerialnych postulat okrelenia w projektowanej ustawie o systemie informacji owiatowej, zamknitego katalogu danych zamieszczanych we wniosku o udzielenie upowanienia do dostpu do bazy danych SIO. Ponadto w projekcie opisane zostay procedury nadawania i odbierania upowanie do dostpu do bazy danych SIO, jednake zaniechano wskazania podmiotu odpowiedzialnego za prowadzenie ewidencji osb upowanionych do dostpu do tej bazy. Nieracjonalne w opinii Generalnego Inspektora byo rwnie rozwizanie, zgodnie z ktrym rodzice ucznia skadaj w placwce owiatowej, prowadzcej zalecan dla ucznia form ksztacenia, opini lub orzeczenie, a nastpnie placwka ta na podstawie numeru i daty tego dokumentu pozyskuje z bazy danych SIO dane o tej opinii lub orzeczeniu. Projekt omawianej ustawy skierowany zosta do Sejmowej Komisji Edukacji, Nauki i Modziey oraz Komisji Samorzdu Terytorialnego i Polityki Regionalnej.

62

GIODO opiniujc powysze projekty podkrela, i w toku dotychczasowych prac nie zostaa rozstrzygnita wtpliwo, czy zaproponowana koncepcja funkcjonowania tych systemw nie bdzie prowadzia do naruszenia zasady adekwatnoci przetwarzanych danych w stosunku do celw, w jakich bd one przetwarzane. Generalny Inspektor sygnalizowa autorom wymienionych projektw, e nie naley rwnie wyklucza takiej zmiany prawa w przyszoci, ktra dopuci wykorzystywanie danych zgromadzonych w megabazach w celu innym, ni wskazany pierwotnie. Tym bardziej, i dane te posiada bd znaczn warto rynkow. Zwrci take uwag na inne istotne zagadnienie, jakim bdzie moliwo czenia w przyszoci systemw teleinformatycznych obsugujcych projektowane megabazy, z innymi, ju istniejcymi systemami teleinformatycznymi (na przykad w odniesieniu do systemu informacji o ochronie zdrowia - z systemami obsugiwanymi przez ePUAP64, czy GUS), bd z systemami planowanymi do utworzenia w przyszoci, np. w szkolnictwie wyszym w odniesieniu do systemu informacji owiatowej. Wobec powyszego, ewentualne uchybienia popenione dzi przy tworzeniu podstaw prawnych dla przetwarzania danych w systemie informacji w ochronie zdrowia czy systemie informacji owiatowej mog w przyszoci zaway nad dziaaniem innych systemw w naszym kraju65.

Kolejna projektowana megabaza przedstawiona zostaa w dokumencie Zaoenia do projektu ustawy o zmianie ustawy o zasadach ewidencji i identyfikacji podatnikw i patnikw oraz o zmianie niektrych innych ustaw. Pomimo ustale poczynionych na konferencji uzgodnieniowej, dokument ten wci budzi zastrzeenia Generalnego Inspektora Ochrony Danych Osobowych, poniewa projektowana megabaza bdzie wykorzystywa informacje pochodzce ze zbioru PESEL. Opiniujc powyszy dokument GIODO podnis, e przedstawiona przez Ministerstwo Finansw propozycja wykorzystania administracyjnego numeru identyfikacyjnego PESEL, jako identyfikatora osb fizycznych w ich kontaktach z administracj podatkow, nie jest rozwizaniem powszechnie przyjtym w ustawodawstwach pastw europejskich. Wykorzystywanie we wszystkich kontaktach z administracj publiczn jednego numeru identyfikacyjnego obywatela stanowioby bowiem nadmiern ingerencj w jego prywatno. Nie negujc prawa projektodawcy do zmiany istniejcego stanu prawnego, Generalny Inspektor Ochrony Danych Osobowych czu si zobligowany do wskazania, e zaproponowane przez Ministerstwo Finansw wykorzystanie numeru PESEL, jako identyfikatora w kontaktach z administracj podatkow dla podatnikw bdcych osobami fizycznymi nieprowadzcymi
64

ePUAP stanowi cz projektu elektronicznej Platformy Usug Administracji Publicznej, realizowanego w ramach Centrum Projektw Informatycznych MSWiA. Zadaniem portalu jest udostpnianie informacji na temat usug publicznych realizowanych drog elektroniczn. Informacje zawarte na portalu odnosz si do formy organizacyjno-prawnej, moliwoci systemu, sposobu korzystania oraz innych kwestii zwizanych z platform. 65 Uwagi zgoszone przez GIODO zostay w wikszoci uwzgldnione, co nastpio w styczniu 2011 r.

63

dziaalnoci gospodarczej, skutkowa moe zmniejszeniem poziomu ochrony tej danej osobowej. Logiczn konsekwencj potraktowania numeru PESEL jako identyfikatora podatkowego jest bowiem wyczenie go spod zakresu tajemnicy skarbowej. Przypomniano take, i art. 37 ust. 1 ustawy o swobodzie dziaalnoci gospodarczej, uznaje numer PESEL przedsibiorcy bdcego osob fizyczn za dan tak cile powizan z t osob, e zasugujc na szczegln ochron i w konsekwencji niepodlegajc udostpnieniu za porednictwem Centralnej Ewidencji i Informacji o Dziaalnoci Gospodarczej. Organ do spraw ochrony danych osobowych nie mg take pomin, i przyjcie propozycji Ministerstwa Finansw przedstawionej w projekcie zaoe, umoliwia ministrowi waciwemu do spraw finansw publicznych, jako organowi prowadzcemu Centralny Rejestr Podmiotw - Krajow Ewidencj, dokonywanie unifikacji w oparciu o jeden identyfikator zbiorw danych prowadzonych przez rne podmioty publiczne. Nakada to na Ministra Finansw obowizek dooenia wyjtkowej starannoci w celu ochrony praw osb, ktrych dane bdzie przetwarza, w szczeglnoci za do uniemoliwienia dokonywania, take w przyszoci, istotnie ingerujcego w te prawa profilowania osb. Z punktu widzenia zasad ochrony danych osobowych, wtpliwoci Generalnego Inspektora Ochrony Danych Osobowych budzia zwaszcza przedstawiona w projekcie zaoe koncepcja

przeksztacenia Krajowej Ewidencji Podatnikw w Centralny Rejestr Podmiotw Krajow Ewidencj Podatnikw (CRP KEP). Krajowa Ewidencja Podatnikw zawiera dane ze zgosze identyfikacyjnych i aktualizacyjnych podatnikw, tj. osb fizycznych, osb prawnych lub jednostek organizacyjnych niemajcych osobowoci prawnej, podlegajcych na mocy ustaw podatkowych obowizkowi podatkowemu wynikajcemu z art. 7 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (Dz. U. z 2005 r. Nr 8, poz. 60 z pn. zm.). Tymczasem projekt zaoe przewiduje automatyczne zapisywanie w CRP KEP imienia, nazwiska i numeru PESEL kadej osoby posiadajcej numer PESEL. Tym samym zbir nazwany w projekcie zaoe Centralnym Rejestrem Podmiotw Krajow Ewidencj Podatnikw, bdzie w istocie obejmowa swoim zakresem rwnie osoby niebdce jeszcze podatnikami, na przykad noworodki czy osoby o polskim obywatelstwie pozostajce na stae za granic. W grupie tych podmiotw mog si wic znale nawet takie osoby, ktre nigdy podatnikami si nie stan. GIODO uzna, e tworzenie takiego zbioru nie wydaje si prawidowe w wietle zasad ochrony danych osobowych, jak rwnie stanowi dublowanie, utworzonego na podstawie ustawy o ewidencji ludnoci i dowodach osobistych i majcego wej w ycie od 1 sierpnia 2011 roku na podstawie ustawy o ewidencji, zbioru (rejestru) PESEL. Nie negujc prawa administracji podatkowej do prowadzenia bazy danych osb, w stosunku do ktrych zaistniao jakiekolwiek zdarzenie skutkujce powstaniem obowizku podatkowego, czyli bazy podatnikw, organ do spraw ochrony danych osobowych pozostawi pod rozwag autorw projektu

64

zaoe kwesti zakresu pozyskiwanych danych. Proponowany w zmianie katalog tych danych wydaje si bowiem nadmiernie szeroki w stosunku do deklarowanego celu tworzenia takiej bazy. Zauwaono te, e problematyka waciwego okrelenia okresu retencji danych w zbiorach danych, jak rwnie zagadnienie koniecznoci dokonywania przegldu posiadanych danych pod ktem ich przydatnoci do realizacji deklarowanych celw istnienia konkretnego zbioru danych, jest w chwili obecnej przedmiotem szczeglnego zainteresowania ze strony organw Unii Europejskiej. Tymczasem przedstawiony projekt zaoe pomija te kwestie milczeniem i dlatego wci jeszcze wymaga dalszych uzgodnie i konsultacji z organem do spraw ochrony danych osobowych. Z uwagi na wskazane wyej liczne wtpliwoci, Generalny Inspektor Ochrony Danych Osobowych zamierza aktywnie uczestniczy w pracach dotyczcych przedmiotowego projektu zaoe i zwrci si do projektodawcy o przesyanie zarwno kolejnych wersji samego projektu zaoe, jak i projektu ustawy, po ich sporzdzeniu. Organ do spraw ochrony danych osobowych podobnie jak w przypadkach innych doniosych projektw zastrzeg sobie przy tym prawo do zgaszania uwag do tych projektw na kadym etapie prac legislacyjnych, zwaszcza w oparciu o dokonan analiz ich konkretnych unormowa, nie za sformuowanych w sposb oglny zaoe, czy propozycji66. Na oddzielne omwienie zasuguje take tzw. pakiet ustaw zdrowotnych. Jest to popularna nazwa szeregu projektw legislacyjnych. W prace nad tymi projektami organ do spraw ochrony danych by zaangaowany ze wzgldu na zawarte w nich istotne rozwizania prawne dotyczce przetwarzania danych osobowych, w tym danych wraliwych. W pocztkowej fazie pakiet ten skada si z 12 projektw ustaw. Po odrzuceniu projektu ustawy o zakazie zapodnienia pozaustrojowego i manipulacji ludzk informacj genetyczn przez Sejm RP w I czytaniu, liczba projektowanych aktw prawa zmniejszya si do jedenastu. Poniej przedstawionych zostao dziesi projektw wchodzcych w skad pakietu ustaw zdrowotnych, poniewa charakterystyka jednego z nich, a mianowicie projektu ustawy o systemie informacji w ochronie zdrowia, zostaa ju wczeniej przedstawiona. Pierwsze uwagi do trzech projektw, a mianowicie: ustawy o ochronie genomu ludzkiego i embrionu ludzkiego oraz Polskiej Radzie Bioetycznej i zmianie innych ustaw, ustawy o zmianie ustawy o pobieraniu, przechowywaniu i przeszczepianiu komrek, tkanek i narzdw, ustawy o zmianie ustawy Kodeks rodzinny i opiekuczy, Generalny Inspektor Ochrony Danych Osobowych zgosi w roku 2009. Opiniujc powysze projekty GIODO podkreli, i istot ochrony danych osobowych jest ochrona prywatnoci osoby, ktrej dane dotycz. rdo tej ochrony wynika przede wszystkim z przepisw Konstytucji Rzeczypospolitej Polskiej. Zgodnie natomiast z utrwalonym orzecznictwem Trybunau Konstytucyjnego, wkroczenie w prywatno jednostki jest dziaaniem konstytucyjnym, o ile
66

Rada Ministrw przyja zaoenia do omawianego projektu zaoe podczas posiedzenia w dniu 15 lutego 2011 r.

65

jest konieczne dla osignicia wskazanych w zapisach ustawy zasadniczej celw. I tylko te cele s wadne uzasadni naruszenie praw i wolnoci jednostki67. Dlatego te GIODO zwrci si do projektodawcw o rozwaenie, czy rozwizania istniejce w aktualnym stanie prawnym i utrzymywane moc przepisw przedoonych projektw, w istocie wyczerpuj warunki wskazane w przepisach konstytucyjnych. W 2010 roku Sejm RP kontynuowa prace dotyczce pakietu ustaw regulujcych problematyk zapodnienia pozaustrojowego (in vitro), ochrony genomu ludzkiego i embrionu ludzkiego oraz pobierania, przechowywania i przeszczepiania komrek, tkanek i narzdw. Projekty te zostay skierowane do Komisji Polityki Spoecznej i Rodziny oraz Komisji Zdrowia. W zwizku z tym GIODO poinformowa przewodniczcych tych komisji68, e zagadnienia regulowane przepisami tych aktw jako e dotycz przetwarzania danych szczeglnie chronionych pozostaj przedmiotem szczeglnego zainteresowania organu do spraw ochrony danych osobowych. Opiniujc projekt ustawy o dziaalnoci leczniczej Generalny Inspektor podnis, e jego zastrzeenia wzbudzia dyspozycja przewidujca wyposaenie pacjentw szpitali w znaki identyfikacyjne zawierajce ich imiona i nazwiska. W uzasadnieniu projektu brak jest bowiem wskazania przyczyn wprowadzenia takiego unormowania. W ocenie Generalnego Inspektora Ochrony Danych Osobowych wprowadzenie tego zapisu moe godzi w prawo pacjentw do prywatnoci, a nawet w statuowane ustaw o prawach pacjenta i Rzeczniku Praw Pacjenta - prawo pacjentw do intymnoci. Generalny Inspektor Ochrony Danych Osobowych wskaza take na brak racjonalnych powodw, dla ktrych projektodawcy zdecydowali si narazi pacjentw na takie niedogodnoci. Rozumiejc jednak potrzeb sprawnej identyfikacji pacjentw szpitali przez uprawnionych pracownikw suby zdrowia, zwrci si o przyjcie w projekcie takich rozwiza, ktre nie bd prowadziy do naruszenia konstytucyjnie gwarantowanych praw pacjentw. GIODO pozytywnie natomiast oceni okrelone w projekcie zasady prowadzenia rejestru podmiotw wykonujcych dziaalno lecznicz. Z drugiej jednak strony wskaza, i sposb, w jaki regulacja ta zostaa ujta, rodzi dwie wtpliwoci. Po pierwsze, nie ma jasnoci z jakich rde organ prowadzcy rejestr ma pozyskiwa informacje nieznajdujce si we wnioskach o wpis do przedmiotowego rejestru, po drugie za jaki zakres informacji miaby by w rzeczywistoci zamieszczony w rejestrze podmiotw wykonujcych dziaalno lecznicz. Nie umkn uwadze organu do spraw ochrony danych osobowych fakt pominicia w projekcie zasad udostpniania danych z rejestru. Dodatkowo sposb rozwizania przez autorw projektu kwestii jawnoci, bd powszechnej dostpnoci danych zawartych w rejestrze, rzutowa take bdzie w sposb bezporedni na ocen GIODO w odniesieniu do zagadnienia adekwatnoci danych zamieszczanych w tym rejestrze.
67 68

Wyrok Trybunau Konstytucyjnego z dnia 20 listopada 2002 r. o sygn. K. 41/2002. DOLiS-070-19/10

66

W przedstawionym do zaopiniowania projekcie ustawy o zmianie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, zastrzeenia GIODO wzbudzi brak unormowania nakadajcego na czonkw wojewdzkich komisji do spraw orzekania o bdach medycznych, obowizku zachowania w tajemnicy informacji i danych osobowych uzyskanych podczas wydawania orzecze, w tym rwnie po ustaniu czonkostwa w takiej komisji. W opinii Generalnego Inspektora Ochrony Danych Osobowych konieczno wprowadzenia przedmiotowej regulacji nie ulega wtpliwoci. Zgaszajc uwagi do ustawy o zmianie ustawy o zawodach lekarza i lekarza dentysty Generalny Inspektor podnis, e w wietle okrelonych w ustawie o ochronie danych osobowych zasad ochrony tych danych (zwaszcza zasady adekwatnoci), zachodzi potrzeba okrelenia zakresu danych zawartych w zawiadczeniach, o ktrym mowa jest w projektowanych przepisach. Generalny Inspektor wskaza ponadto, e jeli w zawiadczeniu nie miayby si znajdowa dane szczeglnie chronione w rozumieniu wspomnianej ustawy, moliwym rozwizaniem mogoby by okrelenie wzoru tego zawiadczenia w rozporzdzeniu wykonawczym do ustawy o zawodach lekarza i lekarza dentysty. Zastrzeenia organu do spraw ochrony danych osobowych wzbudziy rwnie projektowane unormowania nakadajce na organy prowadzce postpowanie kwalifikacyjne oraz Pastwow Komisj Egzaminacyjn (lub wydzielony spord jej czonkw zesp egzaminacyjny) obowizek sporzdzenia listy lekarzy zakwalifikowanych i niezakwalifikowanych do rozpoczcia danego szkolenia specjalizacyjnego oraz listy lekarzy dopuszczonych do Pastwowego Egzaminu Specjalizacyjnego. Nie sprecyzowano bowiem, wbrew wymaganiom wynikajcym z ustawy o ochronie danych osobowych, jakie dane osobowe winny zawiera przedmiotowe listy. Podkreli naley, e niewskazanie zakresu danych osobowych lekarzy przetwarzanych na potrzeby przygotowania powyszych list, godzi bezporednio w prawo tych osb do ochrony dotyczcych ich danych osobowych oraz rodzi realne niebezpieczestwo naruszenia zasady adekwatnoci przetwarzanych danych w stosunku do celw ich przetwarzania. W opinii do projektu ustawy o refundacji lekw, rodkw spoywczych specjalnego przeznaczenia ywieniowego oraz wyrobw medycznych Generalny Inspektor zwrci uwag, e nie zawiera on okrelenia katalogu danych zawartych w deklaracji o braku konfliktu interesw, a dotyczcych danych osoby skadajcej owiadczenia oraz danych jej maonka, wstpnych i zstpnych. Po raz kolejny Generalny Inspektor zmuszony by zwrci uwag, e ustawa o ochronie danych osobowych wymaga, aby dane osobowe byy adekwatne w stosunku do celw ich przetwarzania, a zatem swym rodzajem i sw treci nie powinny wykracza poza potrzeby wynikajce z celu zbierania. Zastrzeenia budzi take sposb oznaczenia w projektowanych przepisach osoby wnioskodawcy midzy innymi poprzez podanie jego adresu. Zgodnie z aktualnie obowizujcym

67

stanem prawnym, dane dotyczce osoby fizycznej prowadzcej dziaalno gospodarcz nie podlegaj ochronie przewidzianej przepisami ustawy o ochronie danych osobowych, jeli s powizane cile z prowadzon dziaalnoci gospodarcz. GIODO zaproponowa zatem, aby w opiniowanym projekcie dokonano takiego zredagowania terminu adres, aby oczywistym byo, i podawany jest adres zamieszkania osoby fizycznej prowadzcej dziaalno gospodarcz jedynie w przypadku, gdy adres i miejsce wykonywania tej dziaalnoci s tosame. GIODO nie zaakceptowa rwnie praktyki posugiwania si przez projektodawc sformuowaniem w szczeglnoci dla okrelenia elementw, jakie zawiera bdzie umowa na realizacj recept, jak rwnie umowa upowaniajca do wystawiania recept na refundowane leki, rodki spoywcze specjalnego przeznaczenia ywieniowego oraz wyroby medyczne. Tre projektowanych przepisw prawa nie powinna bowiem budzi jakichkolwiek wtpliwoci interpretacyjnych. W chwili obecnej nad projektami ustawy o refundacji lekw, ustawy o Urzdzie Rejestracji Produktw Leczniczych69, ktry nie wpyn do zaopiniowania przez GIODO oraz ustawy Prawo Farmaceutyczne70, do ktrego GIODO nie zgosi uwag, trwaj prace w sejmowej podkomisji Nadzwyczajnej. Zaznaczy jednak trzeba, e jeszcze na etapie prac ministerialnych nad tymi projektami, uwagi GIODO uwzgldnione zostay w satysfakcjonujcy sposb. Aktualnie trwaj prace parlamentarne nad tymi projektami. Poniej przedstawione zostay projekty innych aktw prawnych przesanych Generalnemu Inspektorowi Ochrony Danych Osobowych w 2010 r. do zaopiniowania, ktre rwnie zwrciy jego uwag ze wzgldu na podejmowane w nich istotne kwestie zwizane z regulacjami zawartymi w ustawie o ochronie danych osobowych, jak i samej Konstytucji RP oraz prawie Unii Europejskiej. Analiza projektu ustawy o kredycie konsumenckim71 wzbudzia zasadnicze wtpliwoci GIODO w przedmiocie powanego rozszerzenia katalogu danych osobowych w ustawie Prawo bankowe72. Konstrukcja tego katalogu umoliwia udostpnianie bardzo szerokiemu krgowi kredytodawcw (take tym majcym siedzib na terytorium innych pastw czonkowskich UE), informacji stanowicych tajemnic bankow w zakresie, w jakim s one niezbdne do oceny ryzyka kredytowego. Generalny Inspektor zaoponowa przeciwko rozszerzeniu art. 105 ust. 4 Prawa bankowego o kolejne podmioty, ktre mog uzyskiwa od instytucji utworzonych na podstawie tego przepisu informacje bdce tajemnic bankow. Utworzenie instytucji informacji kredytowej miao na celu uatwienie uzyskiwania informacji i jej przepyw w sektorze bankowym73. Tymczasem
69 70

DOLiS-033-361/10 DOLiS-033-249/09 71 DOLiS-033-201 i DOLiS-033-450. 72 Art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe. Dz. U. z 2002 r. Nr 72, poz. 665 z pn. zm. 73 W literaturze przedmiotu wskazuje si, i, cyt.: (...) Funkcjonowanie takiej instytucji bdzie wygodniejsze dla bankw ni uzyskiwanie informacji bezporednio od konkretnego banku lub instytucji (...). zob. Bczyk M., Gral L., Fojcik

68

w rozumieniu spornego przepisu projektu, kredytodawc miaby by przedsibiorca w rozumieniu przepisw ustawy Kodeks cywilny74, ktry w zakresie swojej dziaalnoci gospodarczej lub zawodowej, udziela lub daje przyrzeczenie udzielenia konsumentowi kredytu. Powysze oznaczaoby, e dostp do objtych tajemnic bankow danych o zobowizaniach olbrzymiej grupy osb, uzyskaaby znacznie wiksza, ni obecnie, liczba podmiotw. GIODO uzna za niedopuszczalne uczynienie z informacji o zobowizaniach osb fizycznych wiedzy niemal powszechnie dostpnej, wskazujc przy tym, e praktyka taka stanowi naruszenie zasad demokratycznego pastwa prawa. Za celowe GIODO uzna take zwrcenie uwagi na zapisy ustawy z dnia 9 kwietnia 2010 r. o udostpnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. Nr 81, poz. 530), ktre maj na celu usprawnienie systemu wymiany informacji gospodarczych, popraw warunkw funkcjonowania biur informacji gospodarczych, a take zapewnienie lepszej ochrony wierzycieli. Do jednej z najwaniejszych zmian, jakie przewiduje ta ustawa w stosunku do uprzedniego stanu prawnego, naley otwarcie katalogu podmiotw uprawnionych do przekazywania informacji gospodarczych, a take uzyskiwania wiedzy na temat wierzytelnoci. Zdaniem GIODO przepisy tej ustawy bd bardzo pomocne w ocenie ryzyka kredytowego przez kredytodawc. W odniesieniu do innych postanowie projektu ustawy o kredycie konsumenckim Generalny Inspektor Ochrony Danych Osobowych wskaza, e brak byo w jego treci doprecyzowania, jakiego rodzaju dane osobowe konsumenta zamieszczane miayby by w projekcie umowy o kredyt konsumencki. Informacji na temat zakresu podstawowych danych osobowych konsumenta, przetwarzanych w zwizku z procesem udzielania kredytu konsumenckiego, nie byo take w pozostaych przepisach projektu. GIODO wskaza, e celem uniknicia wtpliwoci

interpretacyjnych, jakiego rodzaju dane osobowe konsumenta maj by przetwarzane w treci umowy, niezbdne jest wprowadzenie odpowiednich przepisw do przedoonego projektu. Na podstawie analizy projektu ustawy przekazanego do prac w Komisji sejmowej ustalono, e powysze uwagi GIODO, skupione zasadniczo wok proponowanych zmian obowizujcych przepisw ustawy Prawo bankowe, zostay uwzgldnione. Podczas trwajcych obecnie prac legislacyjnych nad tym projektem w Sejmowej Komisji Gospodarki, GIODO wnis zastrzeenia do sposobu sformuowania art. 30 ust. 1 ww. projektu. Okrelony w tym przepisie katalog informacji, ktre zawiera miaaby umowa o kredyt konsumencki, poprzedzony zosta formu co najmniej i zyska w ten sposb charakter otwarty. Przy takim ujciu opiniowanej regulacji konsument mgby by zobligowany do podawania przy zawieraniu umowy o kredyt konsumencki dowolnych swoich

Mastalska E. (red.), Pisuliski J., Pyzio W.: Najnowsze wydanie: Prawo bankowe. Komentarz. Wyd. V, Warszawa 2007, Wydawnictwo Prawnicze LexisNexis, s. 840. 74 Zgodnie z art. 43 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny, przedsibiorc jest osoba fizyczna, osoba prawna i jednostka organizacyjna, o ktrej mowa w art. 33 1, prowadzca we wasnym imieniu dziaalno gospodarcz lub zawodow. Dz. U. Nr 16, poz. 93 z pn. zm.

69

danych osobowych, co stwarza niebezpieczestwo pozyskiwania przez kredytodawcw danych zbdnych, w nadmiarze, i w konsekwencji naruszenia jednej z podstawowych zasad przetwarzania danych osobowych, to jest zasady adekwatnoci przetwarzanych danych w stosunku do celw, w jakich s przetwarzane. Identyczn uwag zgoszono wobec zaproponowanego brzmienia art. 35 ust. 1 zdanie wstpne projektu. Tematem aktualnym w pracach komisji sejmowej jest rwnie dokonanie ww. zmian w Prawie bankowym. Sejmowa Komisja Gospodarki rozpatrzya projekt tej ustawy, a zatem trwaj dalsze prace legislacyjne nad tym projektem. Po przeprowadzeniu analizy projektu zaoe projektu ustawy o zmianie ustawy o ksigach wieczystych i hipotece75 GIODO wskaza, e wymaga dogbnego rozwaenia prezentowane przez projektodawc stanowisko, jakoby udostpnianie w sieci Internet wszystkich danych zawartych w ksigach wieczystych (w tym danych osobowych w rozumieniu ustawy o ochronie danych osobowych) stanowio waciw realizacj zasady jawnoci ksig wieczystych, statuowanej w art. 2 ustawy z dnia 6 lipca 1982 roku o ksigach wieczystych i hipotece (Dz. U. z 2001 r. Nr 124, poz. 1361 z pn. zm.). Generalny Inspektor Ochrony Danych Osobowych w swojej dotychczasowej praktyce zawsze stanowczo wystpowa przeciwko utosamianiu poj jawno i powszechna dostpno w odniesieniu do udostpniania danych osobowych76. Organ do spraw ochrony danych osobowych zwrci take uwag na kwesti proporcjonalnoci i niezbdnoci zaproponowanego rozwizania w stosunku do celu, ktry za jego pomoc projektodawca chce osign (zwaszcza wobec zakresu danych, jaki na by publikowany za pomoc sieci Internet), a take na pominite w projekcie zaoe kwestie rozwiza technicznych i organizacyjnych, jakie bd zastosowane przez Ministra Sprawiedliwoci dla zapewnienia bezpieczestwa Centralnej Bazy Danych Ksig Wieczystych. W szczeglnoci jej ochrony przed nieuprawnionym dostpem osb trzecich, zniszczeniem oraz utrat danych. GIODO zamierza nadal aktywnie uczestniczy w pracach dotyczcych przedmiotowego projektu zaoe i w procesie opiniowania tworzonych przepisw prawa regulujcych udostpnianie ksig wieczystych w Internecie. W zwizku z tym zwrci si do projektodawcy o przesyanie zarwno kolejnych wersji samego projektu zaoe, jak i projektu ustawy o zmianie ustawy o ksigach wieczystych i hipotece oraz projektu rozporzdzenia wykonawczego do tej ustawy, po ich sporzdzeniu. GIODO zastrzeg sobie przy tym prawo do zgaszania uwag do tych projektw na kadym etapie prac legislacyjnych. W roku sprawozdawczym 2010, Generalny Inspektor Ochrony Danych Osobowych podda analizie prawnej Umow midzy Rzdem Rzeczypospolitej Polskiej a Rzdem Stanw Zjednoczonych
75

DOLiS-033-51/10

70

Ameryki Pnocnej o wsppracy w zwalczaniu przestpczoci, w szczeglnoci przestpczoci zorganizowanej77. W opinii do projektu tej ustawy poinformowa, e wice Rzeczpospolit Polsk na mocy Traktatu o przystpieniu do Unii Europejskiej przepisy prawa europejskiego, w zwaszcza dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 padziernika 1995 roku w sprawie ochrony osb fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepywu tych danych (Dz. Urz. UE L 281 z 23.11.1995, s. 31 z pn. zm.), nakadaj na niezaleny organ do spraw ochrony danych osobowych obowizek szczeglnego kontrolowania umw midzynarodowych zawieranych przez Rzeczpospolit Polsk, w szczeglnoci tych, przewidujcych przekazywanie danych osobowych do pastw trzecich. Uwzgldniajc fakt, e Stany Zjednoczone s pastwem trzecim, ktre na swoim obszarze nie daje gwarancji ochrony danych osobowych takich, jakie obowizuj na terytorium Rzeczypospolitej Polskiej, przedmiotowa umowa bdzie miaa wyjtkowo istotny charakter z punktu widzenia problematyki ochrony danych osobowych, a co za tym idzie jej postanowienia musz podlega wnikliwej analizie Generalnego Inspektora. Projektowana Umowa midzy Rzdem Rzeczypospolitej Polskiej a Rzdem Stanw Zjednoczonych Ameryki Pnocnej o wsppracy w zwalczaniu przestpczoci, w szczeglnoci przestpczoci zorganizowanej, powinna zawiera w swojej treci unormowania, ktre zapewni wysoki i adekwatny do charakteru przetwarzanych danych osobowych, poziom ich ochrony. Jest to szczeglnie istotna kwestia, jeli zauway, i umowa ta ma by ratyfikowana za uprzedni zgod wyraon w ustawie, a zatem w przypadku kolizji jej przepisw z postanowieniami ustaw polskich (w tym rwnie ustawy o ochronie danych osobowych) bdzie miaa ona pierwszestwo i bdzie wycza stosowanie polskich regulacji. Kontynuujc korespondencj w sprawie, GIODO podtrzyma opini, e zamieszczenie w projekcie umowy wszego ni w polskiej ustawie o ochronie danych osobowych, katalogu danych podlegajcych szczeglnej ochronie, wpynie negatywnie na poziom ochrony przekazywanych na jej podstawie danych dotyczcych skaza oraz informacji o kodzie genetycznym. W tym miejscu doda mona, e analogicznie jak w latach poprzednich, jednym z przykadw projektw opiniowanych przez Generalnego Inspektora Ochrony Danych Osobowych byy rwnie umowy bilateralne zawierane przez Rzd Rzeczypospolitej Polskiej o wzajemnej ochronie informacji niejawnych78. Przeprowadzona szczegowa analiza projektu ustawy o dowodach osobistych pozwolia stwierdzi, i unormowania w nim przyjte stanowi niemal dosowne powtrzenie rozwiza
76

Na praktyczne aspekty tego problemu wskazywa Minister Sprawiedliwoci w pimie z dnia 28 czerwca 2010 roku (znak: DL-P-II-4105-7/10) skierowanym do GIODO niedugo po uruchomieniu Podsystemu Dostpu do Centralnej Bazy Danych Ksig Wieczystych. 77 DOLiS-033-134/10 i DOLiS-033-234/10. 78 Np. projekt wniosku o udzielenie przez Rad Ministrw zgody na podpisanie umowy midzy Rzdem Rzeczypospolitej Polskiej a Rzdem Socjalistycznej Republiki Wietnamu o wzajemnej ochronie informacji niejawnych (DOLiS-033-115/10),

71

zaproponowanych w dokumencie Projekt zaoe projektu ustawy o dowodach osobistych (pl. ID), ktry by uzgadniany z organem do spraw ochrony danych osobowych w 2009 r. W zwizku z udziaem w opiniowaniu projektu tej ustawy rwnie w 2010 r., GIODO wystpi o zwrcenie szczeglnej uwagi na konieczno uwzgldniania organu do spraw ochrony danych osobowych w procedurze uzgodnie midzyresortowych, co zaowocowao inicjatyw MSWiA wystpienia do Kancelarii Prezesa Rady Ministrw o zmian uchway Regulamin pracy Rady Ministrw. Zmiana przedmiotowej uchway dotyczya zapewnienia organowi do spraw ochrony danych osobowych udziau we wszystkich pracach legislacyjnych dotyczcych projektw mogcych mie wpyw na problematyk ochrony danych osobowych. W toku prac prowadzonych w 2009 r. Generalny Inspektor Ochrony Danych Osobowych nie zgosi uwag do tego projektu. Wyrazi jednak opini w przedmiocie utworzenia przez Ministerstwo Spraw Wewntrznych i Administracji zbioru obejmujcego serie i numery wszystkich uniewanionych dowodw. GIODO stwierdzi, e przyjcie takiego rozwizania wychodzi naprzeciw potrzebom zgaszanym przez jednostki samorzdu terytorialnego oraz podmioty gospodarcze. Bezspornym jest bowiem, e utworzenie przez organ publiczny zbioru obejmujcego serie i numery wszystkich uniewanionych dowodw osobistych w sposb istotny poprawioby bezpieczestwo obrotu prawnego w Polsce oraz mogoby utrudni osobom nieuczciwym dokonywanie kradziey tosamoci. Dlatego te GIODO popar inicjatyw uzupenienia projektu dokumentu Projekt zaoe projektu ustawy o dowodach osobistych (pl. ID) o kwestie dotyczce wykazu uniewanionych dowodw osobistych. GIODO zadeklarowa pen wspprac w tej dziedzinie, biorc jednoczenie pod uwag, i oglna dostpno wykazu uniewanionych dowodw osobistych budzi pewne wtpliwoci z punktu widzenia ochrony danych osobowych. W zwizku z przyjtym stanowiskiem organu do spraw ochrony danych osobowych w kwestii utworzenia przez Ministerstwo Spraw Wewntrznych i Administracji zbioru wszystkich uniewanionych dowodw osobistych, projektodawcy zaproponowali nastpujce rozwizania: wykaz bdzie obejmowa serie i numery wszystkich uniewanionych dowodw osobistych oraz utraconych niespersonalizowanych blankietw dowodw osobistych, dane te bd si znajdowa na stronie internetowej, dostp do tej strony wymaga bdzie uwierzytelnienia podpisem elektronicznym opatrzonym certyfikatem kwalifikowanym lub certyfikatem podpisu osobistego zawartym w nowym dowodzie osobistym, a po uwierzytelnieniu pytajcy bdzie zobligowany poda seri i numer poszukiwanego dowodu osobistego. W odpowiedzi uzyska tylko odpowied Tak lub Nie w kwestii istnienia bd braku okrelonego dokumentu w wykazie uniewanionych dowodw osobistych oraz utraconych niespersonalizowanych blankietw dowodw osobistych. Fakt skorzystania przez konkretn osob z tego wykazu podlega bdzie odnotowaniu.

czy projekt umowy midzy Rzdem RP a Rzdem Algierskiej Republiki Ludowo-Demokratycznej o wzajemnej ochronie informacji niejawnych (DOLiS-033-244/10).

72

W ocenie GIODO unormowania powyej opisane w peni realizuj wytyczne organu do spraw ochrony danych osobowych odnonie zapewnienia kontroli nad dostpem do danych zgromadzonych w przedmiotowym zbiorze, w zwizku z czym GIODO uzna projekt za zgodny z przepisami ustawy o ochronie danych osobowych. Na uwag zasuguje take rozpoczta z kocem 2010 r. praca GIODO nad opini w sprawie projektu ustawy o wymianie informacji z organami cigania pastw czonkowskich Unii Europejskiej79, do ktrej Generalny Inspektor zgosi zasadnicze zastrzeenia. Argumentacja organu do spraw ochrony danych osobowych skupia si w szczeglnoci na kwestii wdroenia decyzji ramowej Rady 2008/977/WSiSW z dnia 27 listopada 2008 roku w sprawie ochrony danych osobowych przetwarzanych w ramach wsppracy policyjnej i sdowej w sprawach karnych (Dz. Urz. UE L 350 z 30.12.2008 r. s. 60). Niestety, Ministerstwo Spraw Wewntrznych i Administracji dopiero na wysoce zaawansowanym etapie prac dotyczcych wdroenia do polskiego porzdku prawnego wspomnianej decyzji, zwrcio si do GIODO z prob o wyraenie opinii. Generalny Inspektor podnis, e gdyby przedmiotowa sprawa zostaa przedstawiona przez MSWiA wczeniej, by moe pewne wtpliwe kwestie mogyby zosta ju dawno wyjanione, za GIODO nie musiaby siga po tak drastyczny rodek, jakim jest negacja projektu w caoci. Przeprowadzona bowiem szczegowa analiza przedstawionych rozwiza prowadzia do wniosku, e zaproponowana przez Ministerstwo Spraw Wewntrznych i Administracji formua polegajca na implementacji w jednej ustawie szeregu aktw prawnych Unii Europejskiej nie bya rozwizaniem dobrym i celowym. Z tego powodu Generalny Inspektor uzna przedstawiony projekt ustawy o wymianie informacji z organami cigania pastw czonkowskich Unii Europejskiej za niemoliwy do zaakceptowania. Zaproponowa natomiast odrbne wdroenie decyzji ramowej poprzez dokonanie caociowego przegldu obowizujcej ustawy o ochronie danych osobowych i ustalenie, ktre przepisy decyzji ramowej s ju do niej wdroone, implementacja ktrych wymagaaby zmian ustawy o ochronie danych osobowych, a ktre przepisy decyzji ramowej 2008/977/WSiSW maj na tyle szczeglny charakter, i ich odpowiedniki winny znale si w ustawach szczeglnych regulujcych funkcjonowanie poszczeglnych organw cigania czy sub. Generalny Inspektor zadeklarowa pen wspprac i wspdziaanie z projektodawcami przy dokonaniu powyszego przegldu80. Szczegowa analiza innych koniecznych zmian i dostosowa bdzie przedmiotem dalszych prac organu do spraw ochrony danych osobowych i zostanie
79 80

DOLiS-033-452/10 Zapewnienie prawidowego wdroenia art. 25 decyzji ramowej 2008/977/WSiSW, wymaga bdzie usunicia z ustawy o ochronie danych osobowych zapisw ograniczajcych uprawnienia Generalnego Inspektora Ochrony Danych Osobowych przewidzianych w art. 15 ust. 2, art. 18 ust. 2 a i art. 43 ust. 2 teje ustawy oraz wprowadzenia do niej odpowiednika art. 17 ust. 1 pkt b wspomnianej decyzji ramowej. W zwizku z art. 13 tego dokumentu konieczna bdzie take zmiana przepisw ustawy o ochronie danych osobowych dotyczcych przekazywania danych osobowych do pastwa trzeciego (art. 47 ust. 1).

73

przedstawiona w przypadku zaakceptowania przez Ministerstwo Spraw Wewntrznych i Administracji zaproponowanej koncepcji wdroenia decyzji ramowej 2008/977/WSiSW. W dziaaniach tych ze strony Generalnego Inspektora Ochrony Danych Osobowych mog uczestniczy rwnie osoby majce wieloletnie dowiadczenie w pracy Wsplnych Organw Nadzorczych dla EUROPOLu, EURODACu oraz organw prowadzcych bazy policyjne i sdowe. Niestety MSWiA nie zaakceptowao tej koncepcji. Aktualnie GIODO po raz kolejny negatywnie zaopiniowa ten projekt81. Podsumowujc dziaalno Generalnego Inspektora Ochrony Danych Osobowych w zakresie opiniowania projektw znajdujcych si na rnych etapach procesu legislacyjnego warto zwrci uwag na kilka kwestii generalnych, ktre maj wpyw na jako tworzonego prawa z punktu widzenia zasad ochrony danych osobowych. a) Liczba projektw legislacyjnych poddanych opiniowaniu GIODO utrzymuje si na staym bardzo wysokim poziomie. Powoduje to, e Generalny Inspektor uczestniczy jednoczenie w co najmniej kilkudziesiciu dziaaniach legislacyjnych, w ktrych nie moe pozosta bierny. Wymaga to staego zdobywania przez pracownikw Biura Generalnego Inspektora wiedzy w sprawach merytorycznych zwizanych praktycznie z caym spektrum polskiej legislacji. b) Wci dochodzi do sytuacji, gdy akty prawne nie s zgaszane do opiniowania Generalnemu Inspektorowi na etapie przygotowania zaoe lub projektu aktu, co powoduje, e GIODO przycza si do dyskusji na zbyt pnym etapie pracy i bywa traktowany jako przeszkadzajcy w sprawnym procesie legislacyjnym, mimo e wikszo uwag GIODO jest uwzgldniana jako suszne. c) Zdarza si, e ustawy s przyjmowane przez obie izby Parlamentu bez zapoznania si z opini Generalnego Inspektora Ochrony Danych Osobowych, mimo e s w oczywisty sposb zwizane z budow elementw infrastruktury informacyjnej Pastwa oraz ze scentralizowanym przetwarzaniem duej liczby danych osobowych, a nawet wydawaniem decyzji przy uyciu automatycznego przetwarzania danych w systemach

teleinformatycznych. Bardzo niepokojcym przykadem takiego dziaania byo przyjcie ustawy o zmianie ustawy Prawo o ruchu drogowym, ktrej zadaniem byo stworzenie podstaw prawnych do budowy Zautomatyzowanego Systemu Informacji o Zdarzeniach Drogowych. d) Bardzo pozytywnie oceni naley wspprac z Komisjami Sejmowymi i Senackimi, ktre jeli GIODO wczony zosta do procesu opiniodawczego bardzo szczegowo rozwaaj
81

Pismo z dnia 24 marca 2011 r. o sygn. 033-452/10/13212/11.

74

opinie GIODO. Nawet jeli posowie lub senatorowie nie podzielaj opinii Generalnego Inspektora, bior j pod uwag przy podejmowanych decyzjach.

6.

Inicjowanie i podejmowanie przedsiwzi w zakresie doskonalenia ochrony danych osobowych


Udzielanie odpowiedzi na pytania dotyczce legalnoci przetwarzania danych osobowych stanowi

istotny element dziaalnoci informacyjnej i edukacyjnej Generalnego Inspektora Ochrony Danych Osobowych. Naley przy tym wskaza, e problematyka ta pozostaje przedmiotem zainteresowania szerokiej i zarazem zrnicowanej grupy interesantw i e zainteresowanie to systematycznie wzrasta. W analizowanym okresie sprawozdawczym do Biura Generalnego Inspektora Ochrony Danych Osobowych wpyno 3448 pyta prawnych z prob o interpretacj obowizujcych w obszarze ochrony danych osobowych przepisw prawa, bd sygnalizujcych rnego rodzaju problemy zwizane z przestrzeganiem przepisw dotyczcych ochrony danych. Porwnanie liczby pyta skierowanych do Generalnego Inspektora w latach 20082010 przedstawia Wykres 31.
5000 4000 3000 2000 1000 0 2008 2009 2010 1707 2491 3448

Wykres 31: Zestawienie porwnawcze liczby pyta dotyczcych interpretacji przepisw z zakresu ochrony danych osobowych skierowanych do GIODO w latach 20082010. W porwnaniu z ubiegym rokiem, w okresie objtym sprawozdaniem o 957 zwikszya si liczba pyta wpywajcych do organu do spraw ochrony danych osobowych. Naley to uzna za rezultat aktywnoci i zaangaowania organu ds. ochrony danych osobowych w popularyzacj zasad ochrony danych i prawa do prywatnoci poprzez udzielanie wywiadw, porad prawnych, publikacje, a take organizacj konferencji, spotka i szkole powiconych tej tematyce. Zagadnienia te bd przedstawione w dalszej czci Sprawozdania zatytuowanej Dziaalno informacyjna.

Charakterystyczny jest dwukrotny wzrost liczby pyta w cigu ostatnich dwch lat. Odpowied na coraz bardziej precyzyjne pytania dotyczce trudnych kwestii prawnych czsto zwizanych z

75

zastosowaniem nowych technologii teleinformatycznych stanowi bardzo wan cze pracy Biura Generalnego Inspektora. Zadanie to realizowane jest bez moliwoci powikszania zespou merytorycznego. Warto zwrci uwag na zagadnienie, ktre nie sposb nazwa wprost problemem, a ktre jednak budzi pewien niepokj z punktu widzenia organizacji pracy Biura. Coraz wiksza liczba pyta kierowana jest do Biura GIODO przez podmioty wykonujce zawodowo dziaalno prawnicz lub oferujcych usugi konsultacyjne. Podmioty te staj si de facto porednikiem w przekazywaniu informacji dotyczcych zasad ochrony danych osobowych. Oferujc swym klientom usugi komercyjne, ktre maj polega na rozwizywaniu problemw prawnych, wykonuj je poprzez zasiganie opinii w Biurze GIODO, przekazujc swym klientom za opat informacje przekazane przez Biuro GIODO w ramach dziaalnoci informacyjnej i edukacyjnej Generalnego Inspektora Ochrony Danych Osobowych. Biuro Generalnego Inspektora nie moe odmwi udzielenia informacji podmiotom wykonujcym zawodowo dziaalno prawnicz lub oferujcym usugi konsultacyjne. Co wicej kontakt z takimi podmiotami jest bardzo wskazany. Przy organizacji pracy Biura naley wszake pamita, e wzrastajca liczba pyta dotyczcych legalnoci przetwarzania danych osobowych jest w duej mierze spowodowana zwikszajc si liczb zapyta ze strony podmiotw poredniczcych pomidzy Biurem a podmiotami przetwarzajcymi dane osobowe lub

zaniepokojonych sposobem przetwarzania ich danych osobowych. W przypadku korespondencji wychodzcej naley wskaza, e w 2010 r. pracownicy Biura Generalnego Inspektora Ochrony Danych Osobowych przygotowali cznie 2815 wystpie oraz odpowiedzi na pytania prawne kierowane do organu. Oznacza to ponad dwukrotny wzrost (218 %) w porwnaniu z 2007 r.

3000 2500 2000 1500 1000 500 0 2007 2008 2009 1294 1548 2289

2815

2010

Wykres 32: Zestawienie liczbowe korespondencji wychodzcej z Biura Generalnego Inspektora Ochrony Danych Osobowych w latach 2008-2010 w odniesieniu do wystpie i pyta dotyczcych interpretacji przepisw z zakresu ochrony danych osobowych.

76

6.1.

Interpretacja przepisw Przedstawiona poniej analiza pyta, ktre w 2010 r. wpyny do Biura Generalnego

Inspektora Ochrony Danych Osobowych, w gwnej mierze dotyczy bdzie problematyki przetwarzania danych osobowych w dziedzinach zwizanych z szeroko rozumianym rozwojem technologicznym. Z uwagi na kryterium, jakim by sposb przetwarzania danych osobowych, pytania te podzielone zostay na dwie zasadnicze grupy. Pierwsz grup stanowiy pytania dotyczce przetwarzania danych osobowych za porednictwem sieci Internet, drug za pytania zwizane z wykorzystaniem systemw informatycznych i monitoringu przy przetwarzaniu danych. Trzeci za grup bd stanowiy pytania prawne, ktre z uwagi na tre nie mogy zosta zakwalifikowane do dwch wczeniejszych.

6.1.1. Przetwarzanie danych osobowych za porednictwem sieci Internet W dobie szybko rozwijajcej si technologii komputerowej, z uwagi na wzrastajc potrzeb sprawnej wymiany informacji, coraz czciej dane osobowe s przetwarzane w sieci Internet. Osoby prywatne, podmioty gospodarcze oraz instytucje pastwowe, powszechnie korzystaj z udogodnie dostarczanych przez Internet, aby szybciej i sprawniej realizowa wasne zadania. Dziki temu sposobowi przetwarzania danych osobowych wykonuje si operacje na coraz wikszej liczbie danych, czsto w zakresie nie tylko danych zwykych, ale take danych szczeglnie chronionych. Oprcz wielu zalet, Internet niesie ze sob rwnie zagroenia, zwaszcza w dziedzinie przetwarzania danych osobowych. W zwizku z tym wiele pyta kierowanych do Generalnego Inspektora w 2010 r. dotyczyo wydania opinii potwierdzajcej prawidowo przetwarzania danych osobowych za porednictwem sieci publicznych. Jednym z pierwszych wystpie bdcych reakcj na sygnay wskazujce na

nieprawidowoci w wypenianiu obowizkw wynikajcych z ustawy o ochronie danych osobowych, byo wystpienie z dnia 15 stycznia 2010 r. kierowane do Termedia Sp. z o.o.82. Ustalono bowiem, e w treci strony rejestracyjnej nalecej do ww. podmiotu znajdowaa si klauzula zgody na przetwarzanie danych osobowych, ktra nie speniaa warunkw wskazanych w art. 7 ustawy o ochronie danych osobowych. Zgodnie z brzmieniem tego przepisu, przez zgod osoby, ktrej dane dotycz, rozumie si owiadczenie woli, ktrego treci jest zgoda na przetwarzanie danych osobowych tego, kto skada owiadczenie, i e zgoda nie moe by domniemana lub dorozumiana z owiadczenia woli o innej treci. W opisywanym przypadku wyraenie zgody na przetwarzanie danych osobowych utosamiane byo z czynnoci wypenienia formularza rejestracyjnego. W treci

77

pisma skierowanego do Prezesa Termedia Sp. z o. o. Generalny Inspektor Ochrony Danych Osobowych powoa si na dwa wyroki Naczelnego Sdu Administracyjnego83 stanowice o tym, jakie warunki spenia powinna klauzula zgody na przetwarzanie danych osobowych. Podkreli rwnie, e administrator danych moe przetwarza dane w celu marketingu wasnych produktw i usug bez koniecznoci pozyskiwania zgody od osb, ktrych dane przetwarza w tym celu. Ponadto Generalny Inspektor zwrci uwag, e w owiadczeniu zamieszczonym na stronie internetowej tej spki, niesprecyzowany zosta w sposb wyrany cel, dla ktrego podmiot ten pozyskuje zgod. Okrelenie cel informatyczny brzmi bowiem nazbyt abstrakcyjnie, co narusza zasady wynikajce z przepisw o ochronie danych osobowych. Organ ds. ochrony danych osobowych wskaza, i niedopuszczalnym rozwizaniem jest pozyskiwanie w jednej klauzuli (owiadczeniu) zgody na przetwarzanie danych w celach informatycznych przez firmy wsppracujce i inne podmioty. Ma to bowiem znaczenie w kontekcie legalnoci procesu przetwarzania danych oraz niezbdnoci (koniecznoci), bd zbdnoci, pozyskiwania zgody na przetwarzanie danych od osb, ktrych te dane dotycz. Spka poinformowana zostaa rwnie o obowizku wynikajcym z art. 24 ustawy o ochronie danych osobowych. Przepis te wyranie mwi, e w przypadku zbierania danych osobowych od osoby, ktrej one dotycz, administrator danych jest obowizany poinformowa t osob o: 1) adresie swojej siedziby i penej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczeglnoci o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorcw danych, 3) prawie dostpu do treci swoich danych oraz ich poprawiania,4) dobrowolnoci albo obowizku podania danych, a jeeli taki obowizek istnieje, o jego podstawie prawnej. Prezes Termedia Sp. z o. o. przedstawi zmodyfikowan tre regulaminu odnoszc si do zakwestionowanych przez Generalnego Inspektora Ochrony Danych Osobowych postanowie, owiadczajc tym samym, e dane osobowe pozyskiwane przez Spk przetwarzane bd z prawem. W 2010 r. wpyno pismo od Ministra Infrastruktury o wydanie opinii prawnej dotyczcej publikacji na stronie internetowej ministerstwa danych osobowych - w tym danych dotyczcych skaza - rzeczoznawcw majtkowych, porednikw w obrocie nieruchomociami oraz zarzdcw nieruchomoci. Generalny Inspektor w opinii z dnia 23 marca 2010 r.84 wskaza, i jakiekolwiek przetwarzanie danych osobowych jest dopuszczalne tylko po spenieniu jednej z przesanek wskazanych w art. 23 ust. 1 pkt 1 5 ustawy o ochronie danych osobowych, za w odniesieniu do danych tzw. szczeglnie chronionych (tj. danych ujawniajcych pochodzenie rasowe lub etniczne, pogldy polityczne, przekonania religijne lub filozoficzne, przynaleno wyznaniow, partyjn lub
82 83

DOLiS-035-78/10/1760 Wyrok z dnia 4 kwietnia 2003 r. sygn. akt II SA 2135/2002 oraz wyrok z dnia 11 kwietnia 2003 r. sygn. akt: II SA 3942/2004.

78

zwizkow, jak rwnie danych o stanie zdrowia, kodzie genetycznym, naogach lub yciu seksualnym oraz danych dotyczcych skaza, orzecze o ukaraniu i mandatw karnych, a take innych orzecze wydanych w postpowaniu sdowym lub administracyjnym) - w art. 27 ust. 2 pkt 1 10 teje ustawy. Przepisy wspomnianego aktu zabraniaj rwnie przetwarzania danych dotyczcych skaza, orzecze o ukaraniu i mandatw karnych, a take innych orzecze wydanych w postpowaniu sdowym lub administracyjnym. Natomiast administrator danych powinien dooy szczeglnej starannoci w celu ochrony interesw osb, ktrych dane dotycz, a w szczeglnoci jest obowizany zapewni, aby dane te byy przetwarzane zgodnie z prawem, merytorycznie poprawne i adekwatne w stosunku do celw, w jakich s przetwarzane. Jawno i dostpno danych osobowych osb, ktrym nadano uprawnienia i licencje zawodowe w zakresie gospodarowania nieruchomociami, gwarantuje ustawa z dnia 21 sierpnia 1997 r. o gospodarce nieruchomociami (Dz. U. z 2004 r. Nr 261, poz. 2603 z pn. zm.). Obecnie obowizujce przepisy tej ustawy wyranie wskazuj, jaki zakres danych osobowych i w jaki sposb moe by udostpniany przez ministra waciwego do spraw budownictwa. Generalny Inspektor wyranie podkreli, i regulacje te nie przewiduj moliwoci udostpniania za porednictwem strony internetowej ministerstwa danych osobowych zarzdcw, porednikw, czy rzeczoznawcw majtkowych w zakresie informacji o orzeczonych wobec nich karach

dyscyplinarnych. Zakres podlegajcych udostpnieniu danych osobowych dotyczcych osb, ktrym nadano uprawnienia i licencje zawodowe w zakresie gospodarowania nieruchomociami, wynika wprost z przepisw ustawy o gospodarce nieruchomoci. Udostpnienie ich w szerszym zakresie bdzie moliwe jedynie po zmianie stosownych przepisw prawa. Kolejnym istotnym wystpieniem Generalnego Inspektora Ochrony Danych Osobowych dotyczcym publikacji danych osobowych w sektorze administracji pastwowej za pomoc Internetu, byo wystpienie z dnia 3 sierpnia 2010 r.85. Organ ds. ochrony danych osobowych zwrci si do Ministra Finansw z prob o podjcie prac legislacyjnych majcych na celu zawenie zakresu publikacji danych okrelonych w art. 76g ust. 1 ustawy z dnia 29 wrzenia 1994 r. o rachunkowoci (Dz. U. z 2009 r., Nr 152, poz. 1223). Na podstawie tego przepisu prowadzony jest przez ministra waciwego do spraw finansw publicznych wykaz osb, ktre uzyskay certyfikat ksigowy, zawierajcy imi i nazwisko, numer certyfikatu ksigowego, numer PESEL - a w przypadku osb nieposiadajcych obywatelstwa polskiego - numer i rodzaj dokumentu tosamoci. Wykaz, o ktrym mowa w ust. 1, i dokonywane w nim zmiany, zamieszczany by w celach informacyjnych na stronie internetowej urzdu obsugujcego Ministra waciwego do spraw finansw publicznych. Pozostawa wic do wgldu nieograniczonej liczby odbiorcw, umoliwiajc tym samym przetwarzanie zawartych w nim danych. Generalny Inspektor uzna, i komentowany przepis ustawy o rachunkowoci dotyczy
84 85

DOLiS-035-494/10 DOLiS-035-1858/10/30789

79

udostpniania informacji stanowicych dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych. Majc na uwadze wyej wskazany zakres informacji o osobach posiadajcych certyfikat ksigowy, a take analizujc jedynie informacyjny cel ich publikacji wynikajcy z powoanego przepisu ustawy o rachunkowoci, wskazano, e do spenienia tak okrelonego celu wystarczyaby publikacja danych w zakresie wycznie imienia, nazwiska oraz numeru certyfikatu ksigowego. Analizujc przedmiotow spraw Generalny Inspektor odnis si do wynikajcej z art. 26 ustawy o ochronie danych osobowych zasady adekwatnoci oraz zasady zwizania celem. Stanowi one, e administrator danych przetwarzajcy dane powinien dooy szczeglnej starannoci w celu ochrony interesw osb, ktrych dane dotycz, a w szczeglnoci jest obowizany zapewni, aby dane osobowe zbierane byy dla oznaczonych, zgodnych z prawem celw i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeeniem ust. 2. Zwrci rwnie uwag na normy konstytucyjne wynikajce z art. 47 Konstytucji Rzeczypospolitej Polskiej, ktre wyranie mwi, e kady ma prawo do ochrony prawnej ycia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim yciu osobistym. Generalny Inspektor Ochrony Danych Osobowych stwierdzi, e cho funkcja peniona przez osoby wykonujce zawd ksigowego bez wtpienia ma doniose znaczenie dla prawidowego obrotu gospodarczego i zrozumiae jest publikowanie danych osobowych osb wyspecjalizowanych w tej profesji dla celw informacyjnych, to jednak zamieszczanie w Internecie numeru PESEL bd numeru i rodzaju dokumentu potwierdzajcego ich tosamo nie jest konieczne dla wypenienia tego celu. Minister Finansw zgodzi si z argumentacj przedstawion przez organ ds. ochrony danych osobowych i zapewni, i w przyszoci uwagi zostan uwzgldnione w pracach legislacyjnych nad zmian przepisw ustawy o rachunkowoci. W dniu 27 grudnia 2010 r. GIODO skierowa do proboszcza Parafii w. Mikoaja Biskupa we Wleniu wystpienie86 dotyczce praktyki upubliczniania na stronie internetowej Parafii, imion i nazwisk osb, ktre sprztay koci i tych, ktre kocioa nie sprztay. Koci Katolicki, jak i inne zwizki wyznaniowe, s w zakresie swojej dziaalnoci niezalene i przy wykonywaniu wadzy duchownej posuguj si swoim wewntrznym prawem. Nie oznacza to jednak, e s zwolnione z obowizku respektowania przepisw obowizujcych ustaw, w tym ustawy o ochronie danych osobowych. W pimie do proboszcza Generalny Inspektor przypomnia, e wszelkie dziaania ograniczajce prawo do prywatnoci i ochrony danych osobowych, zaliczonych do konstytucyjnych wolnoci i praw osobistych czowieka i obywatela, powinny znajdowa ustawow podstaw. W opisanym przypadku podstaw udostpnienia informacji, ktre mog prowadzi do identyfikacji osoby fizycznej na stronie internetowej Parafii, do ktrej dostp ma nieograniczona liczba
86

DOLiS-035-3381/10/51157

80

uytkownikw, mogaby by jedynie zgoda osoby, ktrej dane dotycz (art. 23 ust.1 pkt 1, art. 27 ust. 2 pkt 1 ustawy). Udostpnienie danych osobowych w sieci prowadzi moe nie tylko do naruszenia dbr materialnych, ale i ywotnych interesw osb. W treci wystpienia przypomniano rwnie, i Generalny Inspektor oraz Sekretarz Generalny Konferencji Episkopatu Polski podpisali w dniu 23 wrzenia 2009 r. instrukcj pt. Ochrona danych osobowych w dziaalnoci Kocioa Katolickiego w Polsce. Instrukcja ta stanowi swego rodzaju kodeks dobrych praktyk zawierajcy podstawowe zasady, jakimi naley si kierowa przy przetwarzaniu danych osobowych w dziaalnoci kocioa. Podobny dokument zosta przygotowany dla Polskiego Autokefalicznego Kocioa Prawosawnego we wsppracy z Prawosawnym Metropolit Warszawskim i Caej Polski87. Pytanie, czy do danych osobowych mona zakwalifikowa pliki znane pod angielsk nazw flash cookies (cookies), zadaa Generalnemu Inspektorowi QXL Poland Sp. z o.o. Pliki te wykorzystywane s na stronach zawierajcych obiekty flash np. bandery reklamowe, gry itp. i su gwnie do automatycznego rozpoznawania przez serwer okrelonego uytkownika w celu wygenerowania dla niego odpowiednio zindywidualizowanej strony www. Taka funkcjonalno pozwala w praktyce na precyzyjne ledzenie aktywnoci sieciowej konkretnego uytkownika i budowanie profili behawioralnych wykorzystywanych nastpnie dla potrzeb dostarczenia spersonalizowanych reklam internetowych. Zakres informacji, ktre mog by zapisane w pliku flash cookies jest znacznie szerszy ni w tradycyjnym pliku cookie, co zwiksza prawdopodobiestwo, e zarejestrowane w ten sposb informacje bd wystarczajce do ustalenia tosamoci okrelonego uytkownika. Ciasteczka flashowe nie mog by przegldane oraz kasowane przez uytkownika. Brak moliwoci zablokowania flash cookies, ani te ustawienia daty ich wyganicia za pomoc opcji ochrony prywatnoci wbudowanych standardowo w przegldarki internetowe, stanowi powane niebezpieczestwo dla tego prawa. Nierzadko uytkownik sieci nie jest w ogle wiadomy ich istnienia. Kolejnym ryzykiem zwizanym ze stosowaniem ciasteczek flash jest funkcjonalno, ktra pozwala za ich pomoc odtwarza zwyke pliki cookies usunite wczeniej przez uytkownika. Flash cookies s zapisywane nie tylko przez strony, ktre uytkownik odwiedza wiadomie, ale rwnie przez tzw. strony trzecie (t.j. kod podlinkowany z innej strony www.). Odpowiadajc na pytanie QXL Poland Sp. z o.o., Generalny Inspektor Ochrony Danych Osobowych przywoa Opini 1/2008 Grupy Roboczej Art. 29 dotyczc zagadnie ochrony danych zwizanych z wyszukiwarkami, zgodnie z ktr plik typu cookies moe nalee do kategorii danych, na podstawie ktrych moliwe bdzie zidentyfikowanie osoby, ktrej on dotyczy. Wykorzystanie trwaych plikw cookies lub podobnych instrumentw zawierajcych niepowtarzalny identyfikator uytkownika, pozwala na ledzenie uytkownikw okrelonego
87

W dniu 22 marca 2011 r. dr Wojciech R. Wiewirowski, GIODO, i Metropolita Sawa, Prawosawny Metropolita Warszawski i caej Polski, podpisali dokument pt. Zalecenia opracowane przez Generalnego Inspektora Ochrony Danych Osobowych i Sobr Biskupw Polskiego Autokefalicznego Kocioa Prawosawnego. Zalecenia okrelaj zasady ochrony danych osobowych w dziaalnoci Polskiego Autokefalicznego Kocioa Prawosawnego, wskazujc na prawa i obowizki

81

komputera nawet w przypadku, gdy korzysta on z dynamicznych adresw IP. Dane na temat zachowa uytkownika sieci, generowane przy wykorzystaniu takich instrumentw, pozwalaj na szczegowe poznanie zainteresowa, a nawet pewnych cech osobowociowych internauty. Trwae pliki cookies zawierajce niepowtarzalny identyfikator uytkownika komputera zgodnie z ww. opini 1/2008 mog nalee do kategorii danych, na podstawie ktrych mona ustali tosamo osb, ktrych one dotycz. W takim rozumieniu mog stanowi dane osobowe. Zgodnie zatem z przytoczon definicj danych osobowych, bd to dane, ktre umoliwiaj identyfikacj osb, ktrych dotycz, natomiast same ich nie identyfikuj. Kwestia uznania tych informacji za dan osobow jest zalena od charakteru, okolicznoci, sposobu i celu, w jakim te dane s zbierane i wykorzystywane. W 2010 roku szczeglnym zainteresowaniem wrd pytajcych cieszy si rwnie temat dotyczcy legalnoci przetwarzania danych osobowych przez portal WHOIS88. Jedno z pierwszych wystpie GIODO w tej sprawie miao miejsce 16 lutego 2010 r.89. Baza WHOIS jest powszechnie dostpn baz danych o abonentach domen internetowych i podmiotach rejestrujcych domeny internetowe. Gwnym celem prowadzenia takiej bazy jest zapewnienie poszanowania praw uytkownikw Internetu, wacicieli znakw towarowych, praw autorskich i innych dbr chronionych prawem. Zakres danych abonenta powszechnie dostpnych w bazie WHOIS obejmuje imi i nazwisko, adres pocztowy, miasto, adres poczty elektronicznej oraz numer telefonu. Waciciel portalu WHOIS jest akredytowanym rejestratorem nazw domen internetowych, dziaajcym w oparciu o porozumienie zawarte pomidzy rejestratorem i ICANN (Internet Corporation for Assigned Names and Numbers). ICANN to podmiot odpowiedzialny za przyznawanie nazw domen internetowych, ustalanie ich struktury oraz sprawujcy oglny nadzr nad dziaaniem serwerw Domain Name Servers na caym wiecie. Wystpuje w procesie rejestracji nazwy domenowej w charakterze partnera, tj. podmiotu upowanionego przez abonenta do reprezentowania go przed rejestratorem (w tym przypadku przed ICANN) w oparciu o stosowne porozumienie. Rejestrator ma prawo do przetwarzania danych osobowych abonenta w zakresie wskazanym w art. 4 przedmiotowej umowy. Na mocy tego przepisu, w celu dokonania rejestracji abonent zobowizuje si poda za porednictwem partnera swoje imi i nazwisko (albo pen nazw w przypadku podmiotw nie bdcych osobami fizycznymi), adres zamieszkania lub siedziby, numer PESEL albo inny numer ewidencyjny w sposb jednoznaczny identyfikujcy abonenta, adres poczty elektronicznej, numer telefonu oraz numer faksu o ile wystpuje. Przekazanie ww. danych jest niezbdne w celu rejestracji domeny oraz przekazania ich do ICANN przez partnera w zwizku z koniecznoci wykonania obowizkw rejestratora wynikajcych z umowy akredytacyjnej zawartej z ICANN, o czym partner powinien poinformowa abonenta. Niezalenie od obowizku przekazywania przez rejestratorw nazw domen internetowych abonentw do bazy danych

kocielnych osb prawnych, o ktrych mowa w Ustawie z dnia 4 lipca 1991 r. o stosunku Pastwa do Polskiego Autokefalicznego Kocioa Prawosawnego, w sprawach dotyczcych bezpieczestwa przetwarzanych danych osobowych. 88 DOLiS-035-660/10, DOLiS-035-2173/10, DOLiS-035-2360/10.

82

WHOIS, podmioty takie oferuj czsto usug polegajc na ograniczeniu zakresu lub ukryciu danych abonenta, dostpnych w wynikach bazy WHOIS tzw. usuga ID PROTECT. W przypadku skorzystania z takiej usugi w bazie WHOIS wywietlane s wycznie dane rejestratora okrelonej nazwy domenowej oraz wskazanie, e jej abonentem jest osoba fizyczna (status nazwy domenowej: INDIVIDUAL). Bardzo wiele pyta kierowanych do Generalnego Inspektora Ochrony Danych Osobowych dotyczyo przetwarzania danych osobowych na forach internetowych. Omawiajc ten problem warto wskaza wystpienie dotyczce bezprawnego opublikowania przez pracownika Liberty Direct na internetowym forum dyskusyjnym, danych osobowych klientw Spki oraz powizanych z nimi osb biorcych udzia w zdarzeniach komunikacyjnych90. W wystpieniu do tego podmiotu wskazano na obowizki administratora danych wynikajce z art. 26 ust. 1 ustawy o ochronie danych osobowych. Przepis tego artykuu stanowi, e administrator danych przetwarzajcy dane powinien dooy szczeglnej starannoci w celu ochrony interesw osb, ktrych dane dotycz, a w szczeglnoci jest obowizany zapewni, aby dane te byy przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celw i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (z zastrzeeniem ust. 2), merytorycznie poprawne i adekwatne w stosunku do celw, w jakich s przetwarzane oraz by byy przechowywane w postaci umoliwiajcej identyfikacj osb, ktrych dotycz, jednak nie duej ni jest to niezbdne do osignicia celu przetwarzania. GIODO odwoa si rwnie do zasad dotyczcych zabezpieczenia danych osobowych wyraonych w art. 36 ustawy, ktry zobowizuje administratora danych do zastosowania rodkw technicznych i organizacyjnych zapewniajcych ochron przetwarzanych danych osobowych odpowiedni do zagroe oraz kategorii danych objtych ochron, a w szczeglnoci powinien zabezpieczy dane przed ich udostpnieniem osobom nieupowanionym, zabraniem przez osob nieuprawnion, przetwarzaniem z naruszeniem ustawy oraz zmian, utrat, uszkodzeniem lub zniszczeniem. Na skutek interwencji Generalnego Inspektora wadze Spki usuny dane bezprawnie upublicznione w Internecie przez pracownika Liberty Direct. Nie zmienia to jednak faktu, e przez pewien okres dane te byy dostpne dla nieograniczonej liczby osb, ktre mogy je przetwarza z naruszeniem zasad okrelonych w ustawie o ochronie danych osobowych, za co grozi odpowiedzialno karna. W zwizku z przedstawionym wystpieniem wadze Liberty Direct przekazay Generalnemu Inspektorowi Ochrony Danych Osobowych dokumentacj wskazujc na dostosowanie si do zasad przetwarzania danych osobowych i zapewniy, e upubliczenie danych osobowych klientw Spki miao charakter wycznie incydentalny.

89 90

DOLiS-035-87/10/6606 DOLiS-035-1565/10/ 27280

83

6.1.2. Przetwarzanie danych osobowych z zastosowaniem systemw informatycznych oraz monitoringu Przetwarzanie danych osobowych jest nieodzown czci dziaalnoci kadego pracodawcy bez wzgldu na to, czy jest to jednostka o charakterze publicznym, czy prywatnym. Z oczywistych wzgldw w interesie kadego pracodawcy ley usprawnienie procesu przetwarzania danych osobowych pracownikw. W zwizku z tym wiele takich podmiotw decyduje si na zastosowanie systemw i nonikw informatycznych sucych do zwikszenia efektywnoci przetwarzania danych. Wyej wskazane zagadnienie byo przedmiotem wystpienia Generalnego Inspektora Ochrony Danych Osobowych z 15 lutego 2010 r. wydanego w zwizku z pytaniem Ministra Pracy i Polityki Spoecznej dotyczcym legalnoci archiwizowania danych osobowych pracownikw (byych i obecnych) przez pracodawcw na nonikach informatycznych. W odpowiedzi Generalny Inspektor Ochrony Danych Osobowych wskaza, e w kontekcie przetwarzania danych osobowych pracownikw przez pracodawcw oraz formy przeprowadzania tego procesu, naley odnie si do przepisw ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 1998 r. Nr 21, poz. 94 z pn. zm.) oraz do rozporzdzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawcw dokumentacji w sprawach zwizanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz. U. Nr 62, poz. 286 z pn. zm.). Z treci przywoanego rozporzdzenia wynika zasada prowadzenia dokumentacji dotyczcej zatrudnienia w formie pisemnej. Wskazuj na to choby takie sformuowania jak: karta, lista, dokument, czy pisemne potwierdzenie. Powysze nie wskazuje jednak, i prowadzenie dokumentacji pracowniczej w formie elektronicznej jest zabronione. Wysnu mona wniosek, e w obecnym stanie prawnym pracodawca mgby prowadzi tak dokumentacj, aczkolwiek dodatkowo, pomocniczo, czy te rwnolegle do prowadzenia jej w formie papierowej. Niemniej jednak czynnikiem decydujcym o obowizkowym prowadzeniu dokumentacji w formie pisemnej, na podstawie aktualnie

obowizujcych przepisw prawa pracy, jest moc dowodowa przedmiotowej dokumentacji w kontekcie np. ewentualnych sporw sdowych ze stosunku pracy. Na koniec swych rozwaa Generalny Inspektor Ochrony Danych Osobowych wskaza, e w kontekcie prowadzenia przez pracodawcw dokumentacji pracowniczej, rozway naley podjcie prac legislacyjnych majcych na celu dostosowanie obowizujcych przepisw, bd stworzenie nowych regulacji prawnych, odnoszcych si wprost do elektronicznej formy prowadzenia teje dokumentacji, przewidujcych m.in. stosowne, szczeglne zasady jej zabezpieczenia. Z wielu sygnaw napywajcych do Generalnego Inspektora Ochrony Danych Osobowych wynika, i zwiksza si dostpno systemw, ktrych istot jest przetwarzanie danych osobowych biometrycznych. Przykadem wskazanej powyej problematyki byo przetwarzanie danych biometrycznych uczniw i nauczycieli w jednym z zespow szk, w celu ograniczenia dostpu na

84

teren szkoy osobom nieuprawnionym. W wystpieniu z dnia 21 stycznia 2010 r.91 Generalny Inspektor wskaza, e dane biometryczne okrelonej osoby, takie jak np. jej linie papilarne czy obraz tczwki oka, niewtpliwie mona uzna za dane osobowe. Pozwalaj one bowiem na ustalenie tosamoci osoby w sposb pewny. Z racji ich wycznej przynalenoci do konkretnej osoby, dane te stanowi swego rodzaju identyfikator. Analizujc przedmiotowy przypadek, GIODO odwoa si do opinii Grupy Roboczej Art. 29, przyjtej w dniu 1 sierpnia 2003 r. pod nazw Dokument Roboczy w sprawie biometrii (12168/02/FR GT 80). Jak wskazano w przedmiotowej opinii (...) szybki rozwj technologii biometrycznych, jak i coraz powszechniejsze ich stosowanie w ostatnich latach, wymagaj uwanej analizy z punktu widzenia ochrony danych. Powszechne i niekontrolowane posugiwanie si biometri wzbudza niepokj z punktu widzenia ochrony wolnoci i fundamentalnych praw czowieka. (...) Szczeglne zaniepokojenie zwizane z danymi biometrycznymi wzbudza ryzyko zmniejszenia wraliwoci ludzi - spowodowane coraz wiksz powszechnoci uywania tych danych - na konsekwencje, jakie przetwarzanie ich danych moe mie w yciu codziennym. Na przykad, posugiwanie si biometri w bibliotekach moe zmniejszy wiadomo dzieci, co do zagroe zwizanych z ochron dotyczcych ich danych, a to moe mie dla nich powane konsekwencje w przyszoci. Dane biometryczne zawsze powinny by uwaane za dane dotyczce osoby fizycznej, poniewa odnosz si do danych ze swej natury dotyczcych okrelonej osoby. GIODO przypomnia, e zakres danych osobowych, jakie pracodawca moe gromadzi w zwizku z zatrudnieniem, zosta szczegowo okrelony w przepisach art. 221 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. 1998 r. Nr 21, poz. 94 z pn. zm.)92. Majc na uwadze powysze, organ ds. ochrony danych osobowych uzna, e pozyskiwanie odciskw palcw, jak rwnie porwnywanie odwzorowania punktw charakterystycznych palca przez czytniki linii papilarnych z zapisanymi na nich danymi, w celu ich identyfikacji w zwizku z wprowadzeniem systemu dokonujcego na ich podstawie kontroli dostpu do budynku (np. szkoy), narusza zasad adekwatnoci przetwarzania danych, o ktrej mowa w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Argumentujc powysz kwesti zwrci uwag na wyrok Naczelnego Sdu Administracyjnego w Warszawie z dnia 1 grudnia 2009 r. (sygn. akt I OSK 249/09), w ktrym NSA orzek, i w przyjtym przez Grup Robocz Art. 29 w dniu 1 sierpnia 2003 r. dokumencie roboczym w sprawie biometrii przyjto jako niezbdn zasad proporcjonalnoci
91 92

DOLiS- 035-115/10/2681 Art. 221 1. Pracodawca ma prawo da od osoby ubiegajcej si o zatrudnienie podania danych osobowych obejmujcych: 1) imi (imiona) i nazwisko, 2) imiona rodzicw, 3) dat urodzenia, 4) miejsce zamieszkania (adres do korespondencji), 5) wyksztacenie, 6) przebieg dotychczasowego zatrudnienia. 2. Pracodawca ma prawo da od pracownika podania, niezalenie od danych osobowych, o ktrych mowa w 1, take: 1) innych danych osobowych pracownika, a take imion i nazwisk oraz dat urodzenia dzieci pracownika, jeeli podanie takich danych jest konieczne ze wzgldu na korzystanie przez pracownika ze szczeglnych uprawnie przewidzianych w prawie pracy, 2) numeru PESEL pracownika nadanego przez Rzdowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludnoci (RCI PESEL).

85

i legalnoci. Oznacza to, e ryzyko naruszenia swobd i fundamentalnych praw obywatelskich musi by proporcjonalne do celu, ktremu suy. Skoro zasada proporcjonalnoci wyraona w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych jest gwnym kryterium przy podejmowaniu decyzji dotyczcych przetwarzania danych biometrycznych, to stwierdzi naley, e wykorzystanie danych biometrycznych do kontroli czasu pracy pracownikw (...) jest nieproporcjonalne do zamierzonego celu ich przetwarzania. Na podstawie powyszego stanowiska oraz w toku prowadzonej korespondencji dyrektor zespou szk zobowizaa si do usunicia systemu przetwarzajcego dane biometryczne uczniw i nauczycieli. Odpowiadajc na inne pytania dotyczce przetwarzania danych biometrycznych, Generalny Inspektor wskazywa na nieadekwatno takich rozwiza dla weryfikacji czasu pracy, powoujc ww. opini Grupy Roboczej Art. 29 ds. ochrony danych osobowych oraz sdu. Organ ds. ochrony danych osobowych wielokrotnie prezentowa stanowisko, i dopuszczalne jest przetwarzanie danych biometrycznych pracownikw wycznie w przypadku koniecznoci zapewnienia szczeglnego bezpieczestwa informacji bd zasobw gromadzonych w zwizku z dziaalnoci administratora danych. Oprcz stosowania systemw bezpieczestwa przetwarzajcych dane biometryczne, wiele instytucji i przedsibiorcw decyduje si na zastosowanie monitoringu. Majc na uwadze, e tego typu rozwizania stanowi mog niebezpieczn ingerencj w prawo do prywatnoci, sprawy zwizane z monitoringiem stay si przedmiotem szczeglnego zainteresowania Generalnego Inspektora Ochrony Danych Osobowych93. W jednym ze swoich wystpie zwrci si do wadz Miejskiego Orodka Sportu i Rekreacji w Ostrowcu94 o zaprzestanie praktyki monitorowania tego obiektu przy uyciu kamer zainstalowanych w bezporednim ssiedztwie kabin sucych do przebierania si. GIODO przywoa art. 47 Konstytucji Rzeczypospolitej Polskiej, ktry stanowi, e kady ma prawo do ochrony prawnej ycia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim yciu osobistym i e prawo to nie moe doznawa ogranicze take w stanach nadzwyczajnych. Zwrci rwnie uwag na przyjt w dniu 11 lutego 2004 r. opini (nr 4/2004) Grupy roboczej do spraw ochrony osb fizycznych, w ktrej zwrcono uwag m. in. na konieczno respektowania zasady proporcjonalnoci (dane musz by adekwatne i istotne dla celw przetwarzania) przy posugiwaniu si wideonadzorem. Zasada ta oznacza przede wszystkim, e urzdzenia wideonadzoru mog by stosowane wycznie jako rodki pomocnicze, gdy istnieje prawnie okrelony cel uzasadniajcy ich uycie, a dotychczas stosowane rodki niewymagajce pozyskiwania obrazu oka si ewidentnie niewystarczajce dla jego realizacji. Ta sama zasada dotyczy rwnie wyboru odpowiedniej
93

Np: DOLiS-035-2261/10, DOLiS-035-2775/10, DOLiS-035-2873/10, DOLiS-035-2882/10, DOLiS-035-2933/10, DOLiS-035-3134/10, DOLiS-035-3173/10. 94 DOLiS-035-137/2010/ 3163

86

technologii, kryteriw wykorzystywania urzdze w konkretnych sytuacjach oraz ustale dotyczcych przetwarzania danych, zasad dostpu i okresu przechowywania. Generalny Inspektor wskaza ponadto, e osoby korzystajce z usug monitorowanego obiektu musz mie wiadomo faktu prowadzenia na jego terenie czynnoci wideonadzoru. Tablice informacyjne o wideonadzorze powinny by widoczne, syntetyczne, umieszczone w sposb trway w niezbyt duej odlegoci od nadzorowanych miejsc. Musz take wskazywa cele dziaa nadzoru jak rwnie administratora przetwarzania, natomiast wymiary tablic musz by proporcjonalne do miejsca, gdzie s umieszczone. W toku przedstawionych wyjanie wadze Miejskiego Orodka Sportu i Rekreacji zobowizay si do przestrzegania podstawowych praw i wolnoci osb korzystajcych z usug obiektu. W podobnych sprawach dotyczcych stosowania wideomonitoringu, Generalny Inspektor niejednokrotnie wskazywa, e stosowanie tej techniki nadzoru prowadzi do przetwarzania danych osobowych. A jeli dochodzi do ich gromadzenia w zbiorze to zastosowanie w tym wypadku maj przepisy dotyczce ochrony danych osobowych.

6.1.3. Inne Na wstpie tej czci podsumowujcej prac GIODO w zakresie udzielania odpowiedzi na pytania prawne, naley wskaza na nasuwajcy si po analizie poszczeglnych spraw wniosek, i wzrasta spoeczna potrzeba ochrony prywatnoci, zwaszcza wobec rodkw masowego przekazu. Za przykad moe posuy sprawa dotyczca realizacji programu Uwaga Pirat emitowanego przez stacj TVN TURBO95. Organ ds. ochrony danych skierowa wystpienie do Komendanta Gwnego Policji, w ktrym przedstawi informacje o zaniepokojeniu widzw w zwizku z przetwarzaniem danych osobowych osb biorcych udzia w nagraniach ww. programu. Nie ulega wtpliwoci, e program ten mia charakter prewencyjny, a jego celem byo zminimalizowanie liczby przestpstw oraz wykrocze drogowych. GIODO podkreli jednak rang konstytucyjnego prawa osoby do ochrony ycia prywatnego, wskazujc przy tym odpowiednie przepisy Konstytucji Rzeczypospolitej Polskiej oraz innych ustaw. Na przykad art. 12 ust. 1 ustawy z dnia 26 stycznia 1984 r. Prawo prasowe (Dz. U. z 1984 r. Nr 5, poz. 24 z pn. zm.), zgodnie z ktrym dziennikarz jest obowizany zachowa szczegln staranno i rzetelno przy zbieraniu i wykorzystaniu materiaw prasowych, zwaszcza sprawdzi zgodno z prawd uzyskanych wiadomoci lub poda ich rdo oraz chroni dobra osobiste, a ponadto interesy dziaajcych w dobrej wierze informatorw i innych osb, ktre okazuj mu zaufanie. Natomiast regulacje zawarte w art. 23 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 1964 r. Nr 16 poz. 93 z pn. zm.) wyranie stanowi, e dobra osobiste czowieka, w szczeglnoci zdrowie, wolno, cze, swoboda sumienia, nazwisko lub pseudonim, wizerunek,
95

DOLiS-035-1428/24024/10

87

tajemnica korespondencji, nietykalno mieszkania, twrczo naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostaj pod ochron prawa cywilnego niezalenie od ochrony przewidzianej w innych przepisach. Dlatego sposb realizacji programu Uwaga Pirat przez podlegych Komendantowi Gwnemu Policji funkcjonariuszy powinien by tak zorganizowany, aby osobom biorcym udzia w przedmiotowym programie zagwarantowane zostao poszanowanie ich prywatnoci, a dotyczce ich dane osobowe byy przetwarzane zgodnie z prawem. W odpowiedzi na wystpienie Generalnego Inspektora, Komendant Gwny Policji obieca zwrci uwag na sposb realizacji przedmiotowego programu, uczulajc funkcjonariuszy biorcych udzia w nagraniach oraz dziennikarzy, na prawa uczestniczcych w nich osb. W wystpieniu z dnia 25 maja 2010 r. do dyrektora Miejskiej Izby Wytrzewie w Szczecinie, GIODO wyrazi swoje zaniepokojenie praktyk tego podmiotu, polegajc na ustanawianiu zastawu na komrkowym aparacie telefonicznym (razem z kart pamici), w sytuacji, gdy osoba zatrzymana w izbie wytrzewie nie posiada rodkw finansowych na opacenie swojego pobytu. Podobnie jak w poprzednim wypadku i tutaj powoano si na regulacje zamieszczone w polskiej ustawie zasadniczej podkrelajc gwarantowane jej przepisami prawo do prywatnoci. Dodatkowo wskazano, e stosownie do art. 7 Konstytucji Rzeczypospolitej Polskiej organy wadzy publicznej dziaaj na podstawie i w granicach prawa. Przedmiotowa zasada nakazuje, by wszelkie dziaania organw wadzy publicznej byy oparte na wyranie okrelonych normach kompetencyjnych. Oceniono, e stosowana przez Miejsk Izb Wytrzewie w Szczecinie praktyka moe prowadzi do pozyskiwania danych osobowych, a take naruszenia tajemnicy komunikowania si, co stanowi pogwacenie art. 49 Konstytucji. Ograniczenie w tej sferze moe nastpi jedynie w przypadkach okrelonych w ustawie. Zaznaczono, e uprawnienie to naley rozumie szeroko, a wic nie tylko jako prawo do tajemnicy treci korespondencji, ale rwnie prawo do zachowania w tajemnicy przed innymi podmiotami faktu, e do komunikacji pomidzy okrelonymi osobami w ogle doszo. Wskazano rwnie, e podmiot ten poprzez zatrzymywanie telefonu w zastaw moe dochodzi do pozyskiwania danych osobowych, do ktrych przetwarzania nie jest moc przepisw szczeglnych uprawniony. Jednoczenie, w ten sposb ogranicza si dysponentowi danych osobowych dostp do nich, co uniemoliwia mu zapewnienie ich prawidowej ochrony i odpowiedniego zabezpieczenia. W ramach skadanych wyjanie dyrektor placwki wskaza, e podlegajca mu Izba Wytrzewie dziaa w oparciu o przepisy w ustawy z dnia 26 padziernika 1982 r. o wychowaniu w trzewoci i przeciwdziaaniu alkoholizmowi (Dz. U. z 2002 r. Nr 128, poz. 1401 z pn. zm.) oraz wydanych na jej podstawie aktw wykonawczych, w szczeglnoci w oparciu o przepisy rozporzdzenia Ministra Zdrowia z dnia 4 lutego 2004 r. w sprawie trybu doprowadzania, przyjmowania i zwalniania osb w stanie nietrzewoci oraz organizacji izb wytrzewie i placwek utworzonych lub wskazanych przez jednostk samorzdu terytorialnego (Dz. U. Nr 20, poz. 192). Wskaza jednoczenie, e podlegli

88

mu pracownicy przestrzegaj regulacji zawartych w powyszych aktach prawnych, zapewniajc tym samym bezpieczestwo w procesie pozyskiwania i gromadzenia danych osobowych znajdujcych si w telefonach komrkowych i kartach pamici. W zwizku wykonywanym zadaniem w przedmiocie doskonalenia regulacji prawnych zwizanych z przetwarzaniem danych osobowych, GIODO skierowa do Ministra Infrastruktury wystpienie dotyczce zmiany w toku prac legislacyjnych, zacznika do rozporzdzenia Ministra Transportu z dnia 25 wrzenia 2007 r. w sprawie warunkw i trybu rejestracji odbiornikw radiofonicznych i telewizyjnych (Dz. U. 2007 r. Nr 187, poz. 1342), poprzez usunicie klauzuli zgody na przetwarzanie danych osobowych96. Podczas analizy przedmiotowego zacznika zauway bowiem, e w celu rejestracji odbiornikw radiowych naley wypeni odpowiedniej treci formularz o nazwie Wniosek o rejestracj odbiornikw radiofonicznych/telewizyjnych, ktry oprcz jednoznacznie okrelonego przez ustawodawc zakresu danych osobowych, zawiera klauzul zgody na przetwarzanie danych osobowych. Generalny Inspektor stwierdzi, e jeli podstaw przetwarzania danych osobowych stanowi przepisy prawa a tak jest w przypadku rejestracji odbiornikw radiofonicznych i telewizyjnych przy pomocy formularza obowizujcego moc przepisw przedmiotowego rozporzdzenia to pozyskiwanie od osb, ktrych dane dotycz, zgody na przetwarzanie tych danych, jako dodatkowej przesanki legalizujcej przetwarzanie danych osobowych, jest zbdne

i wprowadzajce w bd co do moliwoci i ewentualnie skutkw jej niewyraenia. W konsekwencji uznano, i zasadne jest usunicie ww. klauzuli zgody z treci przedmiotowego formularza o nazwie Formularz zgoszenia zmiany danych, bdcego zacznikiem do rozporzdzenia Ministra Transportu w sprawie warunkw i trybu rejestracji odbiornikw radiofonicznych i telewizyjnych. W odpowiedzi Minister Infrastruktury zgodzi si z przedstawion wyej argumentacj, obiecujc jednoczenie, e przy najbliszej nowelizacji rozporzdzenie zostanie zmienione zgodnie ze stanowiskiem Generalnego Inspektora Ochrony Danych Osobowych. W niniejszym sprawozdaniu naley rwnie przedstawi problematyk przetwarzania danych osobowych w zakadach opieki zdrowotnej bd w instytucjach zwizanych z dziaalnoci na rzecz zdrowia. Dziaalno takich jednostek zasuguje na szczegln uwag ze strony Generalnego Inspektora, poniewa dotyczy przetwarzania danych osobowych szczeglnie chronionych

(wraliwych). Majc na uwadze powysze warto przytoczy tre wystpienia Generalnego Inspektora z dnia 21 kwietnia 2010 r. kierowanego do niepublicznego zakadu opieki zdrowotnej Medicus97. Organ ds. ochrony danych osobowych pozyska informacje, e aby mc zarejestrowa si w przychodni, pacjenci placwki obowizani byli w obecnoci innych osb oczekujcych w kolejce, podawa dane osobowe,
96 97

DOLiS-035-287/10/5918 DOLiS-035-948/10/16743

89

jak imi i nazwisko, adres zamieszkania, numer PESEL i numer telefonu. W ocenie Generalnego Inspektora tego typu dziaania skutkoway ryzykiem pozyskania przez osoby nieupowanione danych osobowych rejestrujcych si pacjentw. Przetwarzanie danych osobowych odbywa si powinno w zgodzie z art. 26 i 36 ustawy o ochronie danych osobowych. W szczeglnoci ich pozyskiwanie musi odbywa si w sposb zapewniajcy im ochron przed udostpnieniem osobom nieuprawnionym. Gromadzenie danych od osb rejestrujcych si w wyej wskazany sposb, stwarza wysokie ryzyko naruszenia prawa do prywatnoci tych osb. Istniao bowiem due prawdopodobiestwo, i osoby znajdujce si w pobliu (nieupowanione) mogy pozyska dane osobowe rejestrujcego si pacjenta. W wystpieniu zwrcono uwag na potrzeb zabezpieczenia przetwarzanych danych osobowych, ktre powinny uniemoliwi m.in. pozyskanie danych przez osoby nieupowanione. Obowizek zabezpieczenia przetwarzanych danych powinien by realizowany przy zastosowaniu odpowiednich do zagroe, a zatem skutecznych rodkw technicznych i organizacyjnych. W wyniku podjtej interwencji, Generalny Inspektor otrzyma od wadz niepastwowego zakadu opieki zdrowotnej zapewnienia, i sposb rejestrowania pacjentw zosta zmieniony, a proces przetwarzania danych osobowych przebiega obecnie w zgodzie z wymogami wskazanymi we waciwych aktach prawnych. Kolejne stanowisko dotyczce przetwarzania danych osobowych w zwizku z dziaalnoci jednostek wiadczcych usugi zdrowotne, przedstawiono w wystpieniu odnoszcym si do przetwarzania danych osobowych osb poszkodowanych w wypadkach drogowych przez Interdyscyplinarne Centrum Genetyki Zachowa przy Uniwersytecie Warszawskim, w ramach programu Psychologiczne przyczyny i nastpstwa wypadkw drogowych TRAKT98. Do

Generalnego Inspektora Ochrony Danych Osobowych dotary informacje wskazujce na przesyanie przez ww. Centrum, pism informacyjnych zawierajcych ofert udzielenia pomocy psychologicznej dla osb poszkodowanych w wypadkach drogowych. W wystpieniu GIODO podkreli, e wszelkie przetwarzanie danych osobowych powinno odbywa si z poszanowaniem zasad przetwarzania danych osobowych wyznaczonych w art. 26 ust. 1 i 2 ustawy, w szczeglnoci z zasad celowoci. Wykorzystywanie danych adresowych uzyskanych przez administratora danych w celu innym ni ten, dla ktrego dane zostay pierwotnie zebrane, jest prawnie dopuszczalne, jeeli nie narusza to praw i wolnoci osoby, ktrej dane dotycz, oraz nastpuje w celach bada naukowych, dydaktycznych, historycznych lub statystycznych, z zachowaniem przepisw art. 23 i art. 25 ustawy o ochronie danych osobowych99. Zastrzeenia Generalnego Inspektora budziy niecisoci oraz nieprawidowoci w treci
98 99

DOLiS-035-285/10/5903 Zgodnie z art. 25 ust. 1 ustawy w przypadku zbierania danych osobowych nie od osoby, ktrej one dotycz, administrator danych jest obowizany poinformowa t osob, bezporednio po utrwaleniu zebranych danych o: 1) adresie swojej siedziby i penej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie danych, a w szczeglnoci o odbiorcach lub kategoriach odbiorcw danych, 3) rdle danych, 4) prawie dostpu do treci swoich danych oraz ich poprawiania, 5) uprawnieniach wynikajcych z art. 32 ust. 1 pkt 7 i 8.

90

pisma informacyjnego wysyanego przez Centrum do osb poszkodowanych w wypadkach, ktre skutkoway ograniczon kontrol procesu przetwarzania danych osobowych przez osoby, ktrych dane dotyczyy. Dla przykadu, w pimie nieprawidowo okrelono rdo pozyskanych przez Centrum danych osobowych, wskazujc, e zostay one otrzymane z Centralnego Rejestru Kolizji i Wypadkw Drogowych za rok 2008 Komendy Gwnej Policji za zgod MSWiA i GIODO. Tymczasem zgod na przetwarzanie danych osobowych moe wyrazi jedynie osoba, ktrej dane dotycz, nie za wymieniony organ administracji publicznej. Zwrcono wic uwag, i w przedmiotowym pimie informacyjnym naleaoby wskaza, e dane adresowe zostay ustalone przez Departament Ewidencji Pastwowych MSWiA, na podstawie uzyskanych przez Centrum informacji o numerach PESEL ofiar wypadkw i kolizji drogowych z terenu wojewdztwa mazowieckiego za okres 2008 2009. Informacje te pochodziy z Systemu Ewidencji Wypadkw i Kolizji SIWEK, prowadzonego przez Komend Gwn Policji, a nastpnie przekazane administratorowi danych przez ww. departament MSWiA. Stwierdzono rwnie, i pismo przewodnie nie zawierao wskazania administratora ww. danych, na ktrym spoczywaj okrelone w ustawie o ochronie danych osobowych obowizki zwizane z procesem przetwarzania danych. Brak informacji o penej nazwie oraz adresie siedziby administratora, praktycznie uniemoliwia osobie, ktrej dane dotycz, realizacj uprawnie, o ktrych mowa w art. 32 i 33 ustawy, tj. do kontroli przetwarzania dotyczcych jej danych osobowych. Dodatkowo Generalny Inspektor powoa si na art. 26 ust. 1 pkt 4 ustawy, zgodnie z ktrym administrator danych ma obowizek przechowywania danych w postaci umoliwiajcej identyfikacj osb, ktrych dane dotycz, nie duej ni jest to niezbdne do osignicia celu przetwarzania (zasada ograniczenia czasowego przetwarzania danych). Zaznaczono, e dane pozyskanie w wyranie wskazanym celu, nie bezporednio od osoby, ktrej dotycz, nie mog by nastpnie przetwarzane w jakimkolwiek innym celu, np. dla ochrony interesw finansowych administratora danych przez ograniczanie kosztw wysyanej przez niego korespondencji. Podsumowujc, organ ds. ochrony danych osobowych przyj, e przetwarzanie danych osobowych osb poszkodowanych w wypadkach drogowych, ktre zechc wzi udzia w programie TRAKT w zwizku z jego realizacj, moe nastpi tylko po tym, jak osoby te zwrc si do administratora danych o pomoc objt programem oraz wyra zgod na przetwarzanie ich danych osobowych przez Centrum we wskazanym powyej celu. W okresie sprawozdawczym Generalny Inspektor Ochrony Danych Osobowych zajmowa si zagadnieniem zakresu danych osobowych danych przez wadze gminy i dyrektorw przedszkoli od rodzicw w procesie rekrutacji dzieci do przedszkoli. Zainteresowanie organu do spraw ochrony danych osobowych t problematyk spowodowane zostao napywajc do Biura Generalnego Inspektora Ochrony Danych Osobowych korespondencj gwnie ze strony rodzicw dzieci uczestniczcych w procesie rekrutacji do przedszkoli prowadzonych w wielu gminach na terenie caego

91

kraju, ktrzy wyrazili wtpliwo co do zasadnoci przedstawiania w zwizku z rekrutacj ich dzieci do przedszkoli rnego rodzaju dokumentw, a zwaszcza zawiadcze ZUS RMUA (na potwierdzenie zatrudnienia), zawiadcze o niepenosprawnoci, orzecze sdowych oraz rocznych rozlicze podatkowych PIT (potwierdzajcych miejsce zamieszkania i opacania podatku dochodowego). Zaniepokojenie tym zjawiskiem wyrazi rwnie Rzecznik Praw Dziecka, ktry zwrci si do Generalnego Inspektora z zapytaniem, czy praktyka dania przez wadze gminy i dyrektorw przedszkoli przedoenia przez rodzicw ww. dokumentw na potrzeby przyjcia dziecka do przedszkola jest zgodna z obowizujcym prawem. Spraw zainteresowa si take Rzecznik Praw Obywatelskich. Dokonana przez Generalnego Inspektora Ochrony Danych Osobowych analiza powszechnie obowizujcych przepisw prawa, tj. ustawy z dnia 7 wrzenia 1991 r. o systemie owiaty (tekst jednolity: Dz. U. 2004 r. Nr 256, poz. 2572 z pn. zm.) oraz wydanych na jej podstawie aktw wykonawczych, doprowadzia do stwierdzenia, i przepisy te nie daj ww. organom uprawnienia do pozyskiwania tego rodzaju dokumentw. Jakkolwiek bowiem ustawa o systemie owiaty odnosi si do zasad rekrutacji dzieci do przedszkoli upowaniajc w jej art. 22 ministra waciwego do spraw owiaty i wychowania do okrelenia w drodze rozporzdzenia warunkw i trybu przyjmowania uczniw do szk i przedszkoli, to nie reguluje zakresu danych osobowych (w tym dokumentw dane te zawierajcych) rodzicw niezbdnego dla przeprowadzania rekrutacji. Tym bardziej podstaw nie mog by w tym przypadku akty prawa miejscowego (np. uchway rady gminy), ktrych zakres regulacji nie moe zosta rozszerzony poza materi stanowica regulacj ustawow,

co w badanym przypadku ma miejsce. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych taka praktyka jest niedopuszczalna w wietle powszechnie obowizujcych przepisw prawa, stanowi nadmiern ingerencj w prywatno rodzicw, a nader wszystko prowadzi do naoenia na nich dodatkowych obowizkw bez podstaw prawnych. Powysze ustalenia day przyczynek do wystpienia przez Generalnego Inspektora Ochrony Danych Osobowych z pismem do Ministra Edukacji Narodowej w sprawie koniecznoci uregulowania ustawowego zasad przetwarzania danych osobowych przy naborze do przedszkoli. Stanowisko w tym zakresie Generalny Inspektor Ochrony Danych Osobowych potwierdzi w toku opiniowania w ramach uzgodnie midzyresortowych zmiany ustawy o systemie owiaty wskazujc konieczno zmiany przepisw w kierunku precyzyjnego uregulowania sposobu pozyskiwania i zakresu danych osobowych przetwarzanych przy rekrutacji do publicznych szk i przedszkoli, dla wykluczenia rozszerzania przez rady gmin, prezydentw, burmistrzw i wjtw przy procesie rekrutacji do publicznych szk, przedszkoli, zakresu pozyskiwanych danych osobowych rodzicw. Niezalenie od tego Generalny Inspektor zasugerowa Ministrowi Spraw Wewntrznych i Administracji, by w przypadku kontynuowania praktyki ustalania kryteriw przyj oraz zasad przetwarzania danych osobowych w uchwaach rad gminy

92

wojewodowie korzystali ze swych uprawnie nadzorczych i zapobiegali wejciu w ycie odpowiednich przepisw prawa miejscowego. Podczas analizy pyta prawnych, ktre w 2010 r. wpyny do GIODO, naley mie rwnie na wzgldzie to, e w roku tym odbyy si wybory samorzdowe i w zwizku z prowadzonymi kampaniami wyborczymi napyno wiele sygnaw wiadczcych o nielegalnym pozyskiwaniu danych osobowych wyborcw celem promowania programw wyborczych osb kandydujcych na stanowiska samorzdowe100. Przykadem nieprawidowoci w przetwarzaniu danych osobowych potencjalnych wyborcw byo pytanie z dnia 25 listopada 2010 r., zwizane z przesyaniem na prywatne adresy email, treci promujcych kandydata na prezydenta miasta Szczecin. W odpowiedzi Generalny Inspektor wskaza na uprawnienia kontrolne wynikajce z rozdziau 4 ustawy o ochronie danych osobowych, przysugujcych kadej osobie, ktrej dane osobowe przetwarzane s w zbiorach danych i zaznaczy, e bezprawne przetwarzanie danych osobowych moe skutkowa poniesieniem odpowiedzialnoci karnej przewidzianej.

6.2.

Dziaalno informacyjna W celu upowszechniania wiedzy z zakresu ochrony danych osobowych, Generalny Inspektor,

wzorem lat ubiegych, korzysta z porednictwa mediw (prasa, radio, telewizja, agencje informacyjne i portale internetowe) oraz wszelkich innych form propagowania wiedzy o ochronie danych osobowych. Organizowa konferencje prasowe i akcje informacyjne, udziela wywiadw, odpowiada na indywidualne pytania dziennikarzy, jak te z wasnej inicjatywy przekazywa najistotniejsze informacje wymagajce nagonienia. Na bieco zamieszcza te i aktualizowa informacje zawarte na stronie internetowej (www.giodo.gov.pl) bdcej jednoczenie Biuletynem Informacji Publicznej. Informacje do pojedynczych odbiorcw trafiay zarwno w formie pism, jak i ustnych wyjanie udzielanych podczas dyurw telefonicznych oraz indywidualnych spotka z pracownikami Biura GIODO. Duy krg odbiorcw informacji z zakresu ochrony danych osobowych zapewniy rwnie inicjowane przez GIODO publikacje ksikowe, szkolenia oraz konferencje naukowe. Przygotowywane i upowszechniane przez GIODO materiay edukacyjne i informacyjne obejmoway m.in. interpretacje przepisw o ochronie danych osobowych, wystpienia Generalnego Inspektora do podmiotw z zasygnalizowanymi nieprawidowociami dotyczcymi stosowania przepisw o ochronie danych osobowych, a take odpowiedzi na kierowane do Biura pytania. Zainteresowani mogli zapozna si rwnie z podejmowanymi w indywidualnych sprawach rozstrzygniciami oraz z informacjami dotyczcymi dziaalnoci GIODO na arenie midzynarodowej.

100

DOLiS-035-2872/10

93

6.2.1 Wsppraca ze rodkami masowego przekazu 1. Stae kontakty z mediami W celu upowszechniania wiedzy o ochronie danych osobowych, GIODO wzorem lat ubiegych w roku 2010 kontynuowa sta wspprac z mediami polegajc na przekazywaniu do publikacji opracowanych przez GIODO materiaw informacyjno-edukacyjnych. Wsppraca prowadzona bya zarwno z pras codzienn o zasigu oglnopolskim, przede wszystkim za z Rzeczpospolit i Dziennikiem Gazeta Prawna, jak i oglnopolskimi pismami branowymi, m.in. Serwisem Prawno-Pracowniczym, Przegldem Komunalnym, Computerworldem, Kadrami w Urzdzie oraz portalami, takimi jak np. Dziennik Internautw. Dodatkow form upowszechniania wiedzy z zakresu ochrony danych osobowych bya publikacja wyjanie GIODO w czasopismach kobiecych, takich jak Twoje Imperium, Tina czy Przyjacika. W 2010 r. GIODO zainicjowa ponadto stae kontakty m.in. z tygodnikiem Wsplnota (pismem kierowanym do jednostek samorzdu terytorialnego) oraz Radiem TOK FM, co zaowocowao regularnym upowszechnianiem w tych mediach problematyki z zakresu ochrony danych osobowych (w tym godzinne audycje w cyklu W Sieci Sieci powicone w caoci problematyce ochrony prywatnoci). Dodatkowo w 2010 r. GIODO zrealizowa dwa cykle audycji radiowych. Pierwszy by przygotowany dla rozgoni Polskiego Radia w Kielcach i obejmowa 8 audycji. Drugi zrealizowao Radio Pomorza i Kujaw liczy cznie 15 audycji. Dziki staej wsppracy z wymienionymi wyej mediami, w 2010 r. zostao opublikowanych lub wyemitowanych okoo 140 materiaw powiconych tematyce ochrony danych osobowych. Wikszo z nich jest dostpna na stronie internetowej GIODO.

2.

Odpowiedzi na indywidualne pytania dziennikarzy Sta form kontaktw GIODO z dziennikarzami byo udzielanie im odpowiedzi na przesane

pytania dotyczce ochrony danych osobowych. W 2010 r. GIODO udzieli pisemnie lub telefonicznie okoo 300 takich odpowiedzi. Wrd problemw, z ktrymi najczciej zgaszali si przedstawiciele mediw, byy m.in.: funkcjonowanie portali spoecznociowych, zasady przetwarzania danych osobowych dunikw, wykorzystywanie danych osobowych na potrzeby marketingu, ochrona danych osobowych w procesie rekrutacji i zatrudnienia, wycieki danych osobowych zarwno z instytucji publicznych, jak i prywatnych, zasady przetwarzania danych osobowych przez placwki medyczne, zabezpieczanie danych osobowych, zasady przetwarzania danych osobowych przez kocioy i zwizki wyznaniowe, pozyskiwanie danych osobowych zawartych w internetowym systemie ksig wieczystych, 94

dostarczanie korespondencji przez pracownikw spdzielni i wsplnot mieszkaniowych, udostpnianie danych osobowych bdcych w dyspozycji jednostek samorzdu terytorialnego, upublicznianie przez jednostki samorzdu terytorialnego danych osobowych zarwno w BIP, jak i w uchwaach czy decyzjach, dopuszczalno wiadczenia usugi Google Street View, moliwo stosowania monitoringu wizyjnego przez podmioty inne ni ustawowo upowanione.

3.

Wywiady i wystpienia Jedn z form dziaalnoci edukacyjno-informacyjnej byy wywiady radiowe i telewizyjne

z GIODO, ktrych w 2010 r. udzieli blisko 130. Ich tematyka dotyczya zarwno oglnych zasad ochrony danych osobowych okrelonych w ustawie o ochronie danych osobowych, jak i rozwiza ustanowionych przepisami branowymi. Oprcz opisanych wczeniej tematw zainteresowanie mediw budzio take przetwarzanie danych osobowych na potrzeby zatrudnienia, w sektorze ubezpieczeniowym, bankowym, marketingowym, mieszkalnictwa, owiaty i suby zdrowia. Wiele wywiadw i wypowiedzi odnosio si do kwestii ochrony danych osobowych w kontekcie rozwoju nowoczesnych technologii. Dziennikarze bardzo czsto pytali, jak bezpiecznie korzysta z portali internetowych, zwaszcza spoecznociowych, m.in. takich jak Facebook czy Nasza Klasa. Wrd innych tematw rozmw zwizanych z wykorzystaniem nowoczesnych technologii wymieni mona: wyudzanie bd wykradanie danych osobowych, monitorowanie pracownikw, czy dopuszczalno wiadczenia usugi polegajcej na umieszczaniu w Internecie zdj ulic. GIODO niejednokrotnie udziela wywiadw powiconych zatrzymywaniu i przetwarzaniu przez operatorw usug telekomunikacyjnych danych pozyskanych w zwizku ze wiadczeniem usug cznoci telefonicznej lub internetowej, a take przetwarzaniu danych osobowych przez wyszukiwarki, w tym nowo uruchomion 123people.pl. Przetwarzanie danych osobowych na potrzeby przeprowadzenia powszechnego spisu rolnego w 2010 r., zwaszcza w kontekcie waciwej ich ochrony, to kolejny temat czstych wystpie medialnych GIODO w 2010 r. Pod koniec 2010 r. due zainteresowanie mediw budziy zmiany prawa o ochronie danych osobowych, takie jak nowelizacja ustawy o ochronie danych osobowych czy zmiana Dyrektywy 95/46/WE o ochronie osb w zwizku z przetwarzaniem danych osobowych oraz o swobodnym przepywie tych danych. Czstym tematem rozmw bya te kwestia przetwarzania danych osobowych przez suby specjalne, co byo spowodowane m.in. omawianymi przez parlament propozycjami zwikszenia uprawnie kontrolnych GIODO w stosunku do tych sub.

95

e) Konferencje i spotkania prasowe W zwizku z potrzeb nagonienia niektrych wydarze lub upublicznienia stanowiska GIODO w istotnych sprawach, GIODO w 2010 r. zorganizowa 1 spotkanie oraz 3 konferencje prasowe. Powicone one byy: obchodom IV Dnia Ochrony Danych Osobowych i podpisaniu pomidzy GIODO a Zwizkiem Pracodawcw Brany Internetowej IAB Polska porozumienia na rzecz upowszechniania prawa do ochrony danych osobowych i prawa do prywatnoci oraz tworzenia kodeksu dobrych praktyk (28 stycznia 2010 r.), realizacji przez Biuro GIODO programu pilotaowego Twoje dane twoja sprawa. Skuteczna ochrona danych osobowych. Inicjatywa edukacyjna skierowana do uczniw i nauczycieli, a take dwch projektw finansowanych ze rodkw unijnych (11 marca 2010 r.), pozyskiwaniu w czasie rekrutacji do przedszkoli zbyt szerokiego zakresu danych osobowych dzieci i ich rodzin (25 sierpnia 2010 r.), wykorzystywaniu danych osobowych na potrzeby samorzdowej kampanii wyborczej (13 grudnia 2010 r.). Rezultatem konferencji prasowych byy liczne materiay prasowe i wystpienia GIODO w audycjach radiowych i telewizyjnych.

f) Akcje informacyjno promocyjne Szczeglne wydarzenia czy informacje zwizane z tematyk ochrony danych osobowych s naganianie przez Generalnego Inspektora w formie specjalnych akcji informacyjno-promocyjnych. W 2010 r. dwa zagadnienia zostay rozpropagowane w ten wanie sposb. W zwizku z przypadajcym 28 stycznia Dniem Ochrony Danych Osobowych GIODO podj

dziaania majce na celu nagonienie europejskich i polskich obchodw tego Dnia, zwaszcza ich tematu przewodniego tj. prawa do prywatnoci w Internecie. Podobnie jak w latach ubiegych obchodom tego wita towarzyszyy liczne wydarzenia, jak spotkanie GIODO z eurodeputowanymi w Brukseli i uroczystoci w siedzibie Staego Przedstawicielstwa Rzeczypospolitej Polskiej przy Unii Europejskiej oraz Dzie Otwarty w Biurze GIODO, w czasie ktrego podpisane zostao Porozumienie pomidzy Generalnym Inspektorem Ochrony Danych Osobowych a Zwizkiem Pracodawcw Brany Internetowej IAB Polska majce na celu upowszechnianie prawa do ochrony danych osobowych i prawa do prywatnoci oraz tworzenie kodeksu dobrych praktyk. Obchody Dnia Ochrony Danych Osobowych byy te okazj do organizacji przez GIODO oraz redakcj Dziennika Gazety Prawnej debaty Masz prawo do prywatnoci w Internecie. Odbya si ona 12 stycznia 2010 r. w siedzibie redakcji. Akcja informacyjna dotyczca Dnia Ochrony Danych Osobowych zaowocowaa publikacj licznych artykuw prasowych i internetowych zwizanych z jego tematem 96

przewodnim. Dziki wsppracy GIODO z Wydawnictwem Wiedza i Praktyka z okazji Dnia Ochrony Danych Osobowych wydany zosta specjalny plakat edukacyjny zawierajcy wskazwki GIODO dotyczce bezpiecznego korzystania z Internetu, ktry by kolportowany w styczniowym numerze miesicznika Bezpieczniej w Przedszkolu, a take podczas Dnia Otwartego w Biurze GIODO. W celu edukowania dzieci i modziey w 2010 r. GIODO nawiza wspprac z redakcj

programu Zagadkowa niedziela emitowanego w Programie 3 Polskiego Radia, dziki czemu wzi udzia w trzech wydaniach tej audycji (25 kwietnia oraz 9 i 23 maja 2010 r.), podczas ktrych wyjania, co to s dane osobowe i jak s chronione, co oznaczaj takie pojcia, jak tosamo czy prywatno. Tumaczy, jak bezpiecznie korzysta z Internetu oraz jak dzieci i modzie powinny dba o dane osobowe, zarwno swoje, jak i swoich najbliszych. Dodatkowym elementem tego cyklu audycji by konkurs wiedzy o ochronie danych osobowych, w ktrym nagrod by wyjazd do Brukseli dla trzech modych suchaczy poczony ze zwiedzaniem Parlamentu Europejskiego.

6.2.2 Publikacje W 2008 roku Generalny Inspektor Ochrony Danych Osobowych rozpocz publikacj serii broszur informacyjnych na temat ochrony danych osobowych. Dotychczas wydanych zostao 6 publikacji o nastpujcych tytuach: - ABC ochrony danych osobowych, - ABC rejestracji zbiorw danych osobowych, - ABC wybranych zagadnie z ustawy o ochronie danych osobowych, - ABC zasad kontroli przetwarzania danych osobowych, - ABC zasad przekazywania danych osobowych do pastw trzecich, ABC bezpieczestwa danych osobowych przetwarzanych przy uyciu systemw

informatycznych, - ABC przetwarzania danych osobowych w sektorze bankowym, ABC zagroe bezpieczestwa danych osobowych w systemach teleinformatycznych. W 2010 r. GIODO kontynuowa opracowywanie broszur z serii ABC ochrony danych osobowych. W efekcie zakoczone zostay prace redakcyjne nad broszur ABC przetwarzania danych osobowych w dziaalnoci marketingowej.

97

6.2.3 Szkolenia a) Szkolenia podmiotw zewntrznych W ramach szeroko prowadzonej dziaalnoci edukacyjnej, organizowane byy nieodpatne szkolenia skierowane gwnie do instytucji publicznych zgaszajcych zainteresowanie problematyk z zakresu ochrony danych osobowych. Generalny Inspektor Ochrony Danych Osobowych przeprowadzi szkolenia m.in.: dyrektorw warszawskich placwek szkolnych, pracownikw Kuratorium Owiaty w Warszawie, Biura Edukacji m. st. Warszawy i Narodowego Centrum Kultury. W szkoleniu zorganizowanym przez GIODO w Kielcach udzia wzili liderzy reprezentujcy Samorzdowy Orodek Doradztwa Metodycznego i Doskonalenia Nauczycieli w Kielcach za w szkoleniu w Gliwicach liderzy Gliwickiego Orodka Metodycznego, ktre to orodki uczestniczyy w programie pilotaowym ,,Twoje dane twoja sprawa. Skuteczna ochrona danych osobowych. Inicjatywa edukacyjna skierowana do uczniw i nauczycieli. Ponadto wrd podmiotw szkolonych w 2010 r. znalaz si Narodowy Bank Polski, Urzd Komunikacji Elektronicznej, Urzd ds. Cudzoziemcw, Sd Okrgowy w Przemylu, Prokuratura Okrgowa w Warszawie i Okrgowa Izba Radcw Prawnych w Lublinie, a take Urzd Miasta Zgierz, Wojewdzki Urzd Pracy w Warszawie, Izba Skarbowa w Gdasku oraz Izba Celna w Gdyni i Izba Celna w odzi. Na licie przeszkolonych przez Generalnego Inspektora Ochrony Danych Osobowych pracownikw ministerstw znalazy si Ministerstwa: Spraw Zagranicznych, Infrastruktury, Finansw (Departament Izby Celnej i Departament Kontroli Skarbowej) oraz Spraw Wewntrznych i Administracji (w tym Centrum Personalizacji Dokumentw MSWiA). W szkoleniach z zakresu ochrony danych osobowych brali te udzia pracownicy Mazowieckiej Jednostki Wdraania Programw Unijnych i funkcjonariusze Suby Wiziennej oraz podobnie jak w latach poprzednich - kadra kierownicza i urzdnicza Kancelarii Sejmu RP i Kancelarii Prezesa Rady Ministrw. Szkolenia odbyway si na zasadzie cyklicznie zorganizowanych spotka, albo w ramach seminariw czy konferencji. Przykadem moe by XIV Oglnopolska Konferencja Uniwersyteckich Poradni Prawnych, ktrej uczestnicy wzili udzia w szkoleniu na temat prawa do prywatnoci i ochrony danych osobowych w zwizku z dziaalnoci poradni studenckich. W sumie w 2010 r. przeprowadzonych zostao 55 szkole z zakresu ochrony danych osobowych dla podmiotw zewntrznych. Ich wykaz znajduje si w zaczniku nr 6. b) Szkolenia wewntrzne pracownikw Biura GIODO W zalenoci od dynamiki przyjmowania nowych pracownikw do pracy w Biurze Generalnego Inspektora Ochrony Danych Osobowych, organizowane byy szkolenia dla wszystkich nowo zatrudnionych. Tematyka szkole obejmowaa zagadnienia takie jak: geneza ochrony danych osobowych, prawa osb, ktrych dane dotycz, bezpieczestwo i podstawowe zasady ochrony danych,

98

platforma e-learningowa eduGIODO, status GIODO na tle organizacji i funkcjonowania organw wadzy publicznej, organizacja i techniczne rodki zabezpieczania danych, rejestracja zbiorw, podstawy prawne SIS, CIS i Europolu, europejskie standardy ochrony danych osobowych oraz przekazywanie danych do pastw trzecich. c) Udzia pracownikw Biura GIODO w szkoleniach organizowanych przez jednostki zewntrzne Pracownicy Biura GIODO korzystali ze szkole informatycznych, ktre maj na celu podnoszenie ich kompetencji w zakresie zarzdzania i administrowania posiadan infrastruktur informatyczn. Do najwaniejszych naleay szkolenia organizowane nieodpatnie przez Rzdowe Centrum Reagowania na Incydenty Komputerowe CERT.GOV.PL dziaajce w ramach Departamentu Bezpieczestwa Teleinformatycznego Agencji Bezpieczestwa Wewntrznego (ABW). W roku 2010 pracownicy Biura GIODO uczestniczyli w 4 takich szkoleniach. Ponadto w zwizku z przygotowaniami polskiej administracji do Prezydencji w Radzie Unii Europejskiej, przedstawiciele Biura Generalnego Inspektora Ochrony Danych Osobowych brali udzia w szkoleniach z zakresu wiedzy oglnej na temat systemu prawnego, porzdku instytucjonalnego oraz procesu decyzyjnego UE.

6.2.4 Konkursy Generalny Inspektor Ochrony Danych Osobowych ogosi III edycj Konkursu rysunkowego pt. Ochrona danych osobowych we wspczesnym wiecie, ktry tym razem adresowany by do wychowankw placwek opiekuczo - wychowawczych w wieku 12 - 16 lat. Prace uczestnikw konkursu zostay zaprezentowane na wystawie zorganizowanej w dniu 28 stycznia 2010 roku z okazji IV Europejskiego Dnia Ochrony Danych Osobowych. W konkursie udzia 25 osb, ktre nadesay 27 prac.

6.2.5 Projekty i programy W roku sprawozdawczym 2010, Biuro GIODO kontynuowao swj udzia w dwch rodzajach projektw. Pierwszy z nich stanowiy projekty finansowane ze rodkw Unii Europejskiej w ramach Programu Leonardo da Vinci (LdV) bdcego czci Programu Uczenia si przez cae ycie (Lifelong Learning Programme), a mianowicie projekt wymiany i projekt partnerski. Drugim rodzajem by krajowy projekt edukacyjny, ktry po okresie pilotau przeksztaci si w oglnopolski program edukacyjny, realizowany pod patronatem Ministra Edukacji Narodowej i Rzecznika Praw Dziecka.

99

I.

Projekty unijne

a) Projekt wymiany W latach 2009-2010 przedstawiciele Biura GIODO wzili udzia w midzynarodowej wymianie pracownikw europejskich organw ochrony danych osobowych w ramach projektu Wzmocnienie umiejtnoci pracownikw Biura GIODO. Zostali oni oddelegowani na 1-2 tygodniowe pobyty w urzdach organw ochrony danych osobowych z krajw biorcych udzia w projekcie, takich jak Sowenia, Cypr, Wgry oraz Niemcy. Dziki wymianie pracownikw zorganizowanej w ramach Programu, uczestnicy wyjazdw mieli moliwo pogbienia wiedzy, pozyskania nowych informacji zwizanych ze stosowaniem prawa z zakresu ochrony danych osobowych przez inne organy zajmujce si t problematyk, wymiany dowiadcze dotyczcych funkcjonowania organw ochrony danych osobowych w kraju partnera, zapoznania si z systemem wdraania prawodawstwa unijnego w wybranych obszarach objtych projektem wymiany, a take podniesienia umiejtnoci jzykowych. Realizacja tego projektu trwaa od 1 sierpnia 2009 r. do 30 czerwca 2010 r. W podobnym projekcie Biuro GIODO uczestniczyo w latach 2007-2008.

b) Projekt partnerski W 2010 r. w ramach Programu Leonardo da Vinci kontynuowany by projekt partnerski pt.: Zwikszanie wiadomoci w zakresie ochrony danych wrd przedsibiorcw funkcjonujcych na rynkach Unii Europejskiej (Raising awareness of the data protection issues among the entrepreneurs operating in the UE). Celem projektu jest dostarczenie materiaw edukacyjnych i szkoleniowych dla podmiotw podejmujcych dziaalno w jednym z krajw uczestniczcych w konsorcjum projektowym. Realizacja projektu umoliwi analiz i porwnanie praktyk stosowania prawa o ochronie danych osobowych w krajach partnerskich, dotarcie z informacjami o ochronie danych osobowych do podmiotw gospodarczych podejmujcych dziaalno za granic,

uwiadomienie i poinformowanie wszystkich odbiorcw, do ktrych adresowany jest projekt o niezbdnych dziaaniach, prawach i obowizkach przy rejestracji przedsibiorstwa w krajach partnerskich, wzmocnienie roli organw ochrony danych poszczeglnych pastw uczestniczcych w projekcie w upowszechnianiu informacji do poszczeglnych grup odbiorcw oraz zintensyfikowanie wsppracy midzy organami ochrony danych w rnych krajach czonkowskich UE. W ramach projektu powstanie publikacja, w ktrej omwione zostan zagadnienia ochrony danych w kontekcie prowadzenia dziaalnoci gospodarczej oraz przeprowadzony zostanie przegld praktyk stosowanych w poszczeglnych krajach partnerskich, w zakresie stosowania przepisw prawa ochrony danych osobowych, mogcych mie bezporedni wpyw na legalno i zgodno z przepisami wykonywanej dziaalnoci gospodarczej. Poruszone te zostan zagadnienia zwizane m.in. z obowizkami i dziaaniami, ktre naley podj celem rejestracji i zabezpieczenia danych osobowych pracownikw

100

oraz dysponowaniem danymi na potrzeby dziaalnoci przedsibiorstwa. W rezultacie projekt ukierunkowany bdzie na upowszechnianie wiedzy z zakresu ochrony danych osobowych, w sposb umoliwiajcy efektywn i samodzieln nauk przez adresatw przepisw prawa w tym obszarze w krajach partnerskich. Pierwsze spotkanie konsorcjum partnerskiego realizujcego ten projekt tj. Generalnego Inspektora Ochrony Danych Osobowych z przedstawicielami Urzdu Ochrony Danych z Czech i Wgier, odbyo si w Warszawie, w Biurze GIODO w dniach 5-6 listopada 2009 r. W 2010 r. w siedzibie Czeskiego Urzdu Ochrony Danych Osobowych w Pradze odbyy cztery spotkania tego konsorcjum, podczas ktrych dyskutowano nad ksztatem przygotowywanej publikacji Selected data protection issues. Vademecum for entrepreneurs operating in the EU. Projekt kontynuowany bdzie w 2011 roku.

W 2010 r. Biuro GIODO rozpoczo realizacj kolejnego projektu partnerskiego w ramach Programu Leonardo da Vinci Postrzeganie zagadnie zwizanych z ochron danych i prywatnoci przez dzieci i modzie. Projekt realizowany bdzie w latach 2010-2011 we

wsppracy z Wgierskim Organem Ochrony Danych oraz Chorwack Agencj Ochrony Danych Osobowych. Zaoeniem projektu jest przeprowadzenie bada w Polsce, Chorwacji i na Wgrzech wrd dzieci i modziey, na temat oceny ich podejcia do zagadnie zwizanych z ochron danych osobowych i prywatnoci. W rezultacie powstanie raport podsumowujcy badania wraz z ocen tego zjawiska w trzech krajach czonkowskich Unii Europejskiej.

II.

Krajowy program edukacyjny W celu poszerzenia oferty edukacyjnej szk o treci zwizane z ochron danych osobowych

i prawem kadego czowieka do prywatnoci, powstaa inicjatywa edukacyjna zakadajca wspdziaanie na zasadzie partnerstwa dwch samorzdowych orodkw doskonalenia zawodowego nauczycieli (z Kielc i Gliwic) i Generalnego Inspektora Ochrony Danych Osobowych, nad zwikszeniem wiedzy nauczycieli, pedagogw szkolnych i uczniw szk gimnazjalnych o zagadnienia zwizane z t tematyk. Powsta wic projekt programu Twoje dane twoja sprawa. Skuteczna ochrona danych osobowych. Inicjatywa edukacyjna skierowana do szk i nauczycieli, ktry zosta objty honorowym patronatem Rzecznika Praw Dziecka. Pilota programu realizowany by w wojewdztwach lskim i witokrzyskim przy wykorzystaniu dobrych praktyk europejskich organw ochrony danych osobowych. W ramach I etapu, w okresie od wrzenia 2009 r. do czerwca 2010 r. odbyy si w Kielcach i Gliwicach szkolenia kadry nauczycielskiej. Podstawowym celem szkole byo podniesienie kompetencji nauczycieli w obszarze ksztatowania wrd uczniw wiedzy i umiejtnoci zwizanych z ochron prywatnoci i danych osobowych, a take poszerzenie warsztatu

101

metodycznego. Idea programu prezentowana bya take na forum midzynarodowym, podczas spotkania Generalnego Inspektora Ochrony Danych Osobowych z dziennikarzami w dniu 11 marca 2010 r. Prezentacja taka bya moliwa m.in. dziki temu, e w marcu 2010 r. GIODO by wsporganizatorem dwch midzynarodowych wizyt. Pierwsz z nich bya wizyta przedstawicieli wgierskiego organu ds. ochrony danych osobowych przyjedajcych do Polski w ramach wymiany midzy urzdami. Drug za - wizyta studyjna finansowana ze rodkw UE w ramach Programu Wizyt Studyjnych, bdcego czci wspomnianego Programu Uczenie si przez cae ycie (Warszawa, 9-12 marca 2010 r.). Byo to spotkanie osb uczestniczcych w projekcie Zagadnienia ochrony danych osobowych i prywatnoci w edukacji realizowanym przez GIODO z funduszy UE. Ju sam tytu projektu wskazywa, e jego celem bdzie wymiana informacji i dowiadcze na temat sposobu i metod przekazywania dzieciom i modziey wiedzy z dziedziny ochrony danych osobowych. W trakcie spotkania oceniana bya moliwoci wprowadzenia programw edukacyjnych do szk podstawowych, gimnazjw i licew oraz przedyskutowano najbardziej efektywne formy prowadzenia edukacji w tym obszarze. Uczestnikami wizyty byli reprezentanci europejskich organw ochrony danych osobowych oraz instytucji zajmujcych si edukacj z takich unijnych pastw, jak Cypr, Chorwacja, Grecja, Wochy i Hiszpania. Ze strony polskiej w spotkaniu udzia wzili przedstawiciele instytucji i rodowisk zwizanych z edukacj i doradztwem, nauczyciele szk podstawowych, gimnazjw i licew, decydenci w zakresie programw edukacyjnych Ministerstwa Edukacji Narodowej, przedstawiciele lokalnych i regionalnych wadz zwizanych z edukacj, a take przedstawiciele rodowisk, ktre monitoruj zagroenia pynce z korzystania Internetu. Natomiast w II etapie pilotau programu Twoje dane twoja sprawa nastpio bezporednie wczenie do tematyki zaj szkolnych zagadnie zwizanych z ochron danych osobowych. Powstay konspekty zaj dla nauczycieli i uczniw, raport ewaluacyjny podjtych dziaa oraz opracowany zosta w oparciu o wyniki pilotau edukacyjny program o zasigu oglnopolskim, pod honorowym patronatem Minister Edukacji Narodowej oraz Rzecznika Praw Dziecka. Jego adresatami s nauczyciele, pedagodzy szkolni i uczniowie szk gimnazjalnych. W jego ramach nauczyciele bd mogli korzysta z bezpatnych szkole, konsultacji materiaw dydaktycznych oraz wymiany dowiadcze. W ramach programu przygotowane zostay pakiety edukacyjne dla jego uczestnikw, zawierajce m.in. skrypty informacyjne dotyczce zasad ochrony danych osobowych, scenariusze i konspekty lekcji, prezentacje multimedialne, ankiety do ewaluacji zaj i inne pomoce dydaktyczne. Ostatnim etapem programu by konkurs na konspekt zaj Lekcja z wykorzystaniem treci dotyczcych ochrony danych osobowych i bezpieczestwa w sieci, skierowany do nauczycieli wszystkich typw szk oraz konkurs Twoje dane twoja sprawa adresowany do uczniw

102

gimnazjum. Realizacja programu rozpocza si w padzierniku 2010 r. i trwa bdzie do sierpnia 2011 r.

6.2.6 Konferencje, seminaria, spotkania W roku sprawozdawczym 2010, Generalny Inspektor Ochrony Danych Osobowych organizowa konferencje i seminaria, jak rwnie bra aktywny udzia w konferencjach zorganizowanych przez inne podmioty. Poniej przedstawiony zosta wykaz najwaniejszych konferencji, seminariw i spotka z udziaem Generalnego Inspektora bd przedstawicieli jego Biura. 1. IV Dzie Ochrony Danych Osobowych 28 stycznia 2010 r. W dniu 28 stycznia 2008 r. Generalny Inspektor Ochrony Danych Osobowych ju po raz czwarty organizowa Europejski Dzie Ochrony Danych Osobowych ustanowiony przez Komitet Ministrw Rady Europy. W tym dniu witowana jest rocznica otwarcia do podpisu Konwencji 108 Rady Europy z dnia 28 stycznia 1981 r. w sprawie ochrony osb w zakresie zautomatyzowanego przetwarzania danych osobowych - najstarszego aktu prawnego o zasigu midzynarodowym, kompleksowo regulujcego zagadnienia zwizane z ochron danych osobowych. Z tej okazji zorganizowany zosta w Biurze GIODO Dzie Otwarty, w ramach ktrego uczestnicy mieli okazj uzyska informacje na temat ochrony danych osobowych oraz porady prawne i konsultacje. W ramach obchodw Dnia Ochrony Danych Osobowych zorganizowany zosta cykl wykadw powiconych ochronie prywatnoci i danych osobowych. Tegoroczne haso Dnia Otwartego brzmiao: Masz prawo do prywatnoci w Internecie. W zwizku z tym wykady koncentroway si przede wszystkim wok tematw zwizanych z ochron prywatnoci w wiecie elektronicznym, a w szczeglnoci ochron praw dziecka w Internecie. Zorganizowany rwnie zosta czat GIODO z uczniami 7 gliwickich gimnazjw objtych programem pilotaowym Twoje dane twoja sprawa. Skuteczna ochrona danych osobowych. Inicjatywa edukacyjna skierowana do szk i nauczycieli, jako e w tym roku do obchodw tego wita wczy si Urzd Miasta Gliwice, Gliwicki Orodek Metodyczny oraz nauczyciele i uczniowie gliwickich szk gimnazjalnych uczestniczcych w programie. W czasie obchodw Dnia odbyo si wrczenie nagrd laureatom konkursu rysunkowego pod hasem Ochrona danych osobowych we wspczesnym wiecie, ktrego adresatami byli wychowankowie warszawskich placwek opiekuczo-wychowawczych. Podczas Dnia Otwartego miao te miejsce uroczyste podpisanie porozumienia pomidzy GIODO i Zwizkiem Pracodawcw Brany Internetowej IAB Polska na rzecz upowszechniania prawa do ochrony danych osobowych i prawa do prywatnoci poprzez podejmowanie wsplnych dziaa, w tym stworzenie kodeksu dobrych praktyk.

103

Wydarzenia, jakie towarzysz obchodom Dnia Ochrony Danych Osobowych, tradycyjnie od czterech lat odbywaj si nie tylko w Polsce, ale i w Brukseli. W 2010 r. Generalny Inspektor Ochrony Danych Osobowych na spotkaniu z przedstawicielami Koa Poselskiego zainicjowa debat na temat przetwarzania danych osobowych w pracach Parlamentu Europejskiego. Natomiast spotkanie w siedzibie Staego Przedstawicielstwa RP przy Unii Europejskiej byo okazj do wymiany dowiadcze na poziomie europejskim w zakresie prawa do prywatnoci i ochrony danych osobowych w Internecie. 2. Seminarium Prawnokarna ochrona danych osobowych (Warszawa, 25 lutego 2010 r.) 25 lutego 2010 r. odbyo si seminarium naukowe Prawnokarna ochrona danych osobowych zorganizowane przez Generalnego Inspektora Ochrony Danych Osobowych na Uniwersytecie Kardynaa Stefana Wyszyskiego w Warszawie. Wsporganizatorem spotkania by Dziekan Wydziau Prawa prof. Jarosaw Majewski. 3. Konferencja Ochrona danych osobowych w ubezpieczeniach problemy w praktyce obrotu (Warszawa, 21 maja 2010 r.) Konferencj powicon praktycznym aspektom zapewnienia ochrony danych osobowych w dziaalnoci ubezpieczeniowej, w ktrej uczestniczy przedstawiciel Generalnego Inspektora Ochrony Danych Osobowych, zorganizowali: Rzecznik Ubezpieczonych oraz Fundacja Edukacji Ubezpiecze. 4. II Konferencja naukowa Bezpieczestwo w Internecie (Warszawa, 8 czerwca 2010 r.) Organizatorami konferencji, ktrej honorowy patronat sprawowa Generalny Inspektor Ochrony Danych Osobowych oraz Minister Sprawiedliwoci, by Uniwersytet Kardynaa Stefana Wyszyskiego w Warszawie i Polski Instytut Demokracji Lokalnej. Konferencja powicona bya aspektom prawnym, organizacyjnym i technicznym bezpiecznego korzystania z Internetu. Na spotkaniu tym GIODO wygosi referat na temat identyfikacji osb w Internecie w wietle orzecznictwa i przepisw o ochronie danych osobowych. W trakcie konferencji odbyo si rwnie uroczyste wrczenie dyplomw absolwentom podyplomowych studiw prawno-informatycznych w zakresie ochrony danych osobowych, zorganizowanych na UKSW. 5. Spotkanie GIODO i RPO w sprawie retencji danych (Warszawa, 10 sierpnia 2010 r.) Generalny Inspektor Ochrony Danych Osobowych oraz jego zastpca spotkali si z prof. Iren Lipowicz, Rzecznik Praw Obywatelskich, w celu omwienia zasad staej wsppracy obu instytucji. Gwnym tematem spotkania bya wsppraca dotyczca m.in. dziaa na rzecz osb

niepenosprawnych. Wskazano rwnie na potrzeb poprawy standardw ochrony danych osobowych, w szczeglnoci w kwestii retencji danych telekomunikacyjnych.

104

6. Letnie Konwersatorium Ochrony Danych Osobowych (Wisa, 20 sierpnia 2010 r.) Krajowe Stowarzyszenie Ochrony Informacji Niejawnych byo organizatorem odbywajcego si co roku Letniego Konwersatorium Ochrony Danych Osobowych, podczas ktrego przedstawiciel Generalnego Inspektora Ochrony Danych Osobowych przedstawi prezentacj zatytuowan Zagroenia zwizane z przetwarzaniem danych osobowych w systemach informatycznych. Wymagania dotyczce dokumentacji przetwarzania danych osobowych. Adresatami konwersatorium byli
administratorzy danych osobowych (ADO), administratorzy bezpieczestwa informacji (ABI) oraz kadra kierownicza i pracownicy dziaw przetwarzajcych dane osobowe. Celem konwersatorium byo

ugruntowanie wiedzy w zakresie przepisw dotyczcych ochrony danych osobowych, a take doskonalenie umiejtnoci opracowania dokumentacji dotyczcej ochrony danych osobowych, opracowania i wdraania polityki bezpieczestwa, instrukcji zarzdzania systemem informatycznym, wprowadzania niezbdnych zmian w jednostce organizacyjnej dostosowujcych jej dziaania do wymaga prawnych z dziedziny ochrony danych osobowych oraz wymiana dowiadcze i uwag na temat roli, zada i kompetencji ADO i ABI. 7. Midzynarodowa konferencja naukowa Zarzdzanie informacj i energi w systemie bezpieczestwa Unii Europejskiej (Jzefw k/Otwocka, 20 wrzenia 2010 r.) Dyskusja na temat tego, jak informacja i energia w yciu codziennym i jej umiejtne wykorzystanie moe wpyn na system bezpieczestwa pastw Unii Europejskiej, identyfikacja nowych zagroe, jakie generuje rodowisko midzynarodowe XXI wieku w kontekcie efektywnego wykorzystania i zarzdzania informacj o nich dla celw zwizanych z usprawnieniem systemw informacyjnych pastwa, to jedne z wielu tematw poruszonych na midzynarodowej konferencji naukowej z udziaem dr Wojciecha R. Wiewirowskiego, Generalnego Inspektora Ochrony Danych Osobowych, ktry wygosi na niej referat pt. Bezpieczestwo informacji a dezinformacja. Organizatorem tego wydarzenia bya Wysza Szkoa Gospodarki Euroregionalnej im. Alcide De Gasperi i Euro-Centrum Park Naukowo-Technologiczny. Generalny Inspektor Ochrony Danych Osobowych zasiada w Komitecie Honorowym konferencji. 8. Konferencja naukowa Aktualne problemy rozgraniczenia waciwoci sdw

administracyjnych i powszechnych zagadnienia szczegowe (Warszawa, 29 wrzenia 2009 r.) Reguy kolizyjne, rozstrzyganie sporw o waciwo pomidzy sdami administracyjnymi i sdami powszechnymi (w szczeglnoci w sprawach z zakresu prawa pracy i ubezpiecze spoecznych) to najwaniejsze tematy poruszane na konferencji naukowej z udziaem dr Wojciecha R. Wiewirowskiego, Generalnego Inspektora Ochrony Danych Osobowych. Organizatorami spotkania by Zakad Prawa Administracyjnego Instytutu Nauk Prawnych PAN oraz Naczelny Sd Administracyjny.

105

9. Cykl wykadw powiconych problematyce ochrony danych osobowych na Wszechnicy Polskiej Szkoy Wyszej Towarzystwa Wiedzy Powszechnej w Warszawie (Warszawa, w okresie od 8 padziernika 2009 r. do 7 lutego 2010 r.) Na mocy porozumienia zawartego w dniu 4 sierpnia 2009 r. pomidzy GIODO a Rektorem Wszechnicy Polskiej Szkoy Wyszej TWP o wsppracy w zakresie ochrony danych osobowych i prawa do prywatnoci, w semestrze zimowym roku akademickiego 2009/2010 dyrektorzy Biura GIODO oraz ich zastpcy przeprowadzili 50 godzin zaj na studiach stacjonarnych, kierunek Bezpieczestwo wewntrzne, 48 godzin na studiach niestacjonarnych, kierunek Bezpieczestwo wewntrzne i 20 godzin na studiach niestacjonarnych, kierunek Administracja. Tematyka spotka ze suchaczami obejmowaa takie zagadnienia, jak charakterystyk podstawowych poj ustawy o ochronie danych osobowych, przetwarzanie danych osobowych, zadania administratora danych oraz prawa podmiotu danych, rejestracja zbiorw danych osobowych, ochrona danych osobowych na forum Unii Europejskiej: podstawy prawne, zasady i ramy wsppracy, kontrola przestrzegania przepisw ustawy o ochronie danych osobowych, techniczno-organizacyjne aspekty ochrony danych osobowych w systemach informatycznych, narzdzia i systemy informatyczne suce do przetwarzania danych osobowych. 8. VIII edycja seminarium Jako danych w systemach informatycznych zakadw ubezpiecze spoecznych (Warszawa, 11 padziernika 2010 r.) Tematyka seminarium dotyczya zagadnie zwizanych z konsekwencjami nowelizacji ustawy o ochronie danych osobowych dla sektora ubezpieczeniowego, w szczeglnoci w zakresie jej wpywu na standardy i procedury ochrony danych w zakadach ubezpiecze. Na spotkaniu tym zastpca GIODO wygosi referat pt. Kodeksy Dobrych Praktyk jako gwarant postpowa zgodnych z prawem ochrony danych osobowych. Organizatorem seminarium bya Polska Izba Ubezpiecze. 9. Konferencja i cywilizacyjne Czy istnieje uniwersalny statusu standard jednostki praw czowieka? Kulturowe 22-23

uwarunkowania

(Chlewiska

k/Szydowca,

padziernika 2010 r.) Luksemburska Fundacja Praw Czowieka oraz Katedra Prawa Konstytucyjnego Uniwersytetu Wrocawskiego zorganizoway Konferencj Czy istnieje uniwersalny standard praw czowieka? Kulturowe i cywilizacyjne uwarunkowania statusu jednostki", na ktrej GIODO wygosi referat zatytuowany "Ochrona danych osobowych w Europie na tle wiatowych standardw ochrony prywatnoci". 10. VIII edycja studiw podyplomowych (Sosnowiec, 23 padziernika 2010 r.) Na Wydziale Informatyki i Nauki o Materiaach Uniwersytetu lskiego w Sosnowcu, podczas inauguracji VIII edycji Studiw podyplomowych Ochrona informacji niejawnych i administracja bezpieczestwa informacji, Generalny Inspektor Ochrony Danych Osobowych wygosi przemwienie

106

Przetwarzanie danych w chmurze (cloud computing), jako nowe wyzwanie dla prawa ochrony informacji. 11. I Krajowe Forum Kierownikw Jednostek Organizacyjnych oraz V Forum Penomocnikw ds. Ochrony Informacji Niejawnych (Rynia k/Warszawy, 3 listopada 2010 r.) Nowe technologie i rozwizania prawne a potrzeby i wyzwania spoeczestwa informacyjnego" to tytu wystpienia dr Wojciecha R. Wiewirowskiego, GIODO, wygoszonego podczas I Krajowego Forum Kierownikw Jednostek Organizacyjnych oraz V Forum Penomocnikw ds. Ochrony Informacji Niejawnych. Organizatorem tych wydarze byo Krajowe Stowarzyszenie Ochrony Informacji Niejawnych. 12. Seminarium Identyfikacja kluczowych zagadnie lokalnej administracji cyfrowej (Warszawa, 8 listopada 2010 r.) Stowarzyszenie Miasta w Internecie byo organizatorem seminarium powiconemu kwestii identyfikacji kluczowych zagadnie zwizanych z funkcjonowaniem e-administracji. Na spotkaniu tym dr Wojciech R. Wiewirowski, GIODO, wygosi referat Korzystanie z informacji osobowych przez pracownikw administracji samorzdowej". 13. IX Forum ADO/ABI Nowelizacja 2010 ustawy o ochronie danych osobowych (Warszawa, 16 listopada 2010 r.) Program spotkania zdominowany zosta przez zagadnienia zwizane z nowelizacj ustawy o ochronie danych osobowych, a take z przyszoci prawa do prywatnoci i ochrony danych osobowych w wietle ostatnich stanowisk zajmowanych przez waciwe organy w Polsce i w innych krajach Unii Europejskiej. Podczas obrad, Generalny Inspektor Ochrony Danych Osobowych wygosi referat, pt. Konsekwencje nowelizacji ustawy o ochronie danych osobowych oraz kierunki dalszych prac nad zmianami w publicznoprawnej ochronie danych osobowych. Spotkanie zorganizowao Centrum Promocji Informatyki. 14. TransparencyCamp 2010 (Warszawa, 18 listopada 2010 r.) Granice prywatnoci przy dostpie do informacji publicznej. Spojrzenie w przyszo" referat pod takim tytuem wygosi Generalny Inspektor Ochrony Danych Osobowych podczas TransparencyCamp 2010, zorganizowanego przez Stowarzyszenie Liderw Lokalnych Grup Obywatelskich. 15. Konferencja Od papierowej do cyfrowej: e-administracja w Polsce (Warszawa, 19 listopada 2010 r.) Wspdzielenie informacji przetwarzanych w rejestrach publicznych. Jawno formalna w wiecie cyfrowym to tytu wystpienia dr Wojciecha R. Wiewirowskiego, GIODO, podczas Konferencji Od papierowej do cyfrowej: e-administracja w Polsce, zorganizowanej przez Wadz Wdraajc Programy Europejskie.

107

16.

XIV Oglnopolska Konferencja Uniwersyteckich Poradni Prawnych (Krakw, 22-23 listopada 2010 r.) Temat Konferencji odnosi si do praktycznych aspektw realizacji prawa do prywatnoci

i ochrony danych osobowych w zwizku z dziaalnoci poradni studenckich. Organizatorem wydarzenia bya Fundacja Uniwersyteckich Poradni Prawnych i Krakowska Akademia im. Frycza Modrzewskiego. Uczestnikami zorganizowanego w ramach Konferencji szkolenia na temat zasad ochrony danych, byli przedstawiciele 25 studenckich poradni z caego kraju, a take z Ukrainy i Czech. 17. XIV Kongres Administratorw Bezpieczestwa Informacji (Wisa, 1-3 grudnia 2010 r.) Podczas XIV Kongresu Administratorw Bezpieczestwa Informacji, zorganizowanego przez European Network Security Institute, Generalny Inspektor Ochrony Danych Osobowych wygosi referat zatytuowany Nowelizacja ustawy o ochronie danych osobowych A.D. 2010 a kierunki zmian w zasadach ochrony prywatnoci w Europie. 18. Debata Bilingi, inwigilacja, interes publiczny (Warszawa, 2 grudnia 2010 r.) Bilingi, inwigilacja, interes publiczny to temat debaty zorganizowanej 2 grudnia 2010 r. przez prof. Iren Lipowicz, Rzecznik Praw Obywatelskich. Jej uczestnicy wskazywali, e naley wzmocni kontrol nad stosowaniem rozmaitych metod inwigilacji obywateli, takich jak wykorzystywanie danych z bilingw czy informacji o miejscu logowania si czyjego telefonu komrkowego. Generalny Inspektor Ochrony Danych Osobowych odnis si do problemu zbyt szerokiej implementacji do polskiego porzdku prawnego dyrektywy retencyjnej (dyrektywa 2006/24/WE), zobowizujcej pastwa czonkowskie Unii Europejskiej do zapewnienia, aby dostawcy usug telekomunikacyjnych oraz publicznie dostpnych usug internetowych, zatrzymywali i przechowywali szczegowe informacje o wszystkich realizowanych poczeniach. Ponadto przedstawi uwagi wobec niektrych przepisw projektu ustawy o zmianie ustawy - Kodeks postpowania karnego oraz niektrych innych ustaw, a take omwi projektowany zakres zmian w ustawie z dnia 28 wrzenia 1991 r. o kontroli skarbowej. Zdaniem dr Wojciecha R. Wiewirowskiego, GIODO, projekt ten przewiduje zbyt szerokie uprawnienia kontroli skarbowej w zakresie wykorzystywania dowodw uzyskanych podczas stosowania przez t sub kontroli operacyjnej. 19. Konferencja z okazji obchodw Midzynarodowego Dnia Przeciwdziaania Korupcji (Warszawa, 9 grudnia 2010 r.) W ramach VIII obchodw Midzynarodowego Dnia Przeciwdziaania Korupcji odbya si w Warszawie Konferencja z udziaem przedstawiciela Biura GIODO, powicona prawnym i spoecznym aspektom dziaa antykorupcyjnych w sektorze publicznym i prywatnym oraz wypracowaniu i wdroeniu dobrej praktyki walki z tym zjawiskiem. Organizatorem Dnia byo Centralne Biuro Antykorupcyjne.

108

20. Seminarium Reforma ochrony prywatnoci (Warszawa, 16 grudnia 2010 r.) Konferencj Reforma ochrony prywatnoci Generalny Inspektor Ochrony Danych Osobowych otworzy publiczn debat o tym, jak skutecznie chroni nasz prywatno w dobie dynamicznego rozwoju nowoczesnych technologii. Staa si ona przyczynkiem do wypracowania stanowiska w kwestii koniecznych zmian w polskich i unijnych przepisach dotyczcych tego tematu. Podczas spotkania dr Wojciech R. Wiewirowski, GIODO, wygosi referat zatytuowany Privacy by Design jako paradygmat ochrony prywatnoci. Legislacja z wbudowan ochron prywatnoci.

Organizatorami konferencji byli Generalny Inspektor Ochrony Danych Osobowych, Uniwersytet Kardynaa Stefana Wyszyskiego w Warszawie oraz Naukowe Centrum Prawno-Informatyczne.

6.2.7 Internet W roku 2010 przeprowadzona zostaa modyfikacja systemu e-GIODO (platforma e-GIODO) w czci dotyczcej obsugi funkcjonalnoci dostpnej pod nazw Twoja sprawa. Jej celem byo rozszerzenie udostpnianych przez t funkcj informacji o wnioskach dotyczcych rejestracji zbiorw danych osobowych lub ich zmianach, ktrych obsug zakoczono wydaniem decyzji innej ni rejestracja lub aktualizacja zbioru. Modyfikacja ta wymagaa do istotnych zmian w strukturze bazy danych systemu e-GIODO oraz procedurach przenoszenia danych pomidzy systemami e-GIODO i Rejestr Zbioru Danych Osobowych. Pod koniec 2010 r. opracowany zosta projekt kolejnej modyfikacji, ktrej celem jest uatwienie dla administratorw danych procesu wypeniania wniosku o rejestracj poprzez dodanie podpowiedzi w formie listy specyfikujcej najczciej wystpujce podstawy prawne. Zgodnie z zaplanowanym harmonogramem prac wdroenie tej ostatniej modyfikacji planowane jest na koniec stycznia 2011 r.

6.2.8 Inne informacje a) Porozumienie pomidzy GIODO a Zwizkiem Pracodawcw Brany Internetowej IAB Polska Ochronie prywatnoci i bezpieczestwu danych osobowych uytkownikw sieci suy miaa inicjatywa GIODO nawizania wsppracy z dostawcami usug internetowych. Zaowocowaa ona podpisaniem 28 stycznia 2010 r. porozumienia ze Zwizkiem Pracodawcw Brany Internetowej IAB Polska. Dostawcy usug zobowizali si w nim do zapewnienia waciwego stosowania przepisw o ochronie danych osobowych oraz podjcia wsplnych dziaa nad opracowaniem kodeksu dobrych praktyk. Poprzez podpisanie ww. porozumienia, firmy zrzeszone w IAB Polska, w tym wszystkie najwiksze media internetowe chciay pokaza, e przywizuj szczegln wag do zapewnienia bezpieczestwa danych osobowych swoich uytkownikw i zainteresowane s wypracowaniem wsplnie z GIODO kodeksu dobrych praktyk, ktry pozwoli jeszcze lepiej je chroni. 109

b) Porozumienie pomidzy GIODO a Uniwersytetem lskim w Katowicach W dniu 23 padziernika 2010 r. Generalny Inspektor Ochrony Danych Osobowych podpisa z Prorektorem ds. Nauki i Wsppracy z Gospodark Uniwersytetu lskiego Porozumienie zakresie wsppracy w zakresie ochrony danych osobowych. Porozumienie byo rezultatem wieloletniej wsppracy dr Wojciecha R. Wiewirowskiego, GIODO, z Instytutem Informatyki Wydziau Informatyki i Nauki o Materiaach Uniwersytetu lskiego, gdzie prowadzone s Studia podyplomowe z zakresu ochrony danych osobowych. Wsppraca obejmowa bdzie m. in. realizacj wsplnych projektw badawczych, opracowywanie publikacji oraz wymian materiaw naukowych i dydaktycznych, organizacj konferencji, seminariw, sympozjw, szkole i warsztatw, a take inne formy podejmowanych wsplnie dziaa i wzajemnego wiadczenia pomocy. Z okazji oficjalnego rozpoczcia kolejnej edycji Studiw podyplomowych Ochrona informacji niejawnych i administracja bezpieczestwa informacji, Generalny Inspektor Ochrony Danych Osobowych wygosi wykad inauguracyjny Przetwarzanie danych w chmurze (cloud computing) jako nowe wyzwanie dla prawa ochrony informacji.

c) Udzia w pracach Komitetu Technicznego nr 182 ds. Ochrony Informacji w Systemach Teleinformatycznych przy Polskim Komitecie Normalizacyjnym Podobnie, jak w latach poprzednich, rwnie w 2010 r. Generalny Inspektor Ochrony Danych Osobowych aktywnie uczestniczy w pracach Komitetu Technicznego nr 182 ds. Ochrony Informacji w Systemach Teleinformatycznych przy Polskim Komitecie Normalizacyjnym (PKN). Dziaalno GIODO bya zwrcona szczeglnie na prace podejmowane przez Komitet JTC/SC27 w ramach grupy roboczej WG 5 - Identity management and privacy Technologies. W roku 2010 w ramach ww. Komitetu Technologicznego KT-182 przygotowanych zostao 35 projektw norm.

d) Wsppraca GIODO z Nasz Klas W analizowanym roku 2010 kontynuowana bya - zainicjowana w 2009 r. - wsppraca Generalnego Inspektora Ochrony Danych Osobowych z portalem nk.pl, na ktrym w specjalnej zakadce pomaga jego uytkownikom bezpiecznie korzysta z Internetu i wyjania kwestie zwizane z ochron danych. W zakadce Bezpieczestwo znajduj si materiay powicone midzy innymi konsekwencjom nieprzemylanych dziaa w Internecie oraz prezentacja instytucji oferujcych pomoc dla ofiar cyberprzemocy.

110

e) Spotkanie dotyczce budowy europejskiego odpowiednika systemu ESTA w Unii Europejskiej W dniu 24 marca 2010 r. w siedzibie Generalnego Inspektora Ochrony Danych Osobowych, odbyo si spotkanie z ekspertami PricewaterhouseCoopers (PwC) dotyczce ewentualnej budowy europejskiego odpowiednika amerykaskiego/australijskiego systemu ESTA (Electronic System for Travel Authorization) w Unii Europejskiej. PricewaterhouseCoopers jest globaln organizacj wiadczc profesjonalne usugi doradcze we wszystkich sektorach gospodarki. Podczas spotkania eksperci PwC przedstawili oglny zarys ich zada oraz harmonogram prac. Przebadane zostay cztery pastwa UE Holandia, Francja, Grecja oraz Polska (ze wzgldu na najdusz granic zewntrzn w Unii) - pod katem spenienia warunkw budowy wspomnianego systemu. W opinii Generalnego Inspektora Ochrony Danych Osobowych na obecnym etapie wprowadzenie tego projektu w ycie nie znajduje uzasadnienia. Niezbdne jest wpierw uzasadnienie istnienia EU ESTA oraz szczegowa analiza obecnych rozwiza i systemw w ramach np. VIS, SIS i innych.

f) Newsletter Prywatno w wiecie. Przegld wydarze. W celu zagwarantowania systematycznego otrzymywania informacji dotyczcych ochrony prywatnoci i danych osobowych za granic, od wrzenia 2008 r. Departament Edukacji Spoecznej i Wsppracy Midzynarodowej cyklicznie rozsya pracownikom Biura GIODO tumaczenia artykuw z prasy zagranicznej w postaci Newslettera Prywatno w wiecie. Przegld wydarze. W 2010 r. dokona tumacze i przekaza 5 numerw Newslettera o cznej liczbie 27 artykuw.

7.

Uczestnictwo w pracach midzynarodowych organizacji i instytucji zajmujcych si problematyk ochrony danych osobowych
Jednym z zada Generalnego Inspektora jest uczestnictwo w pracach midzynarodowych

organizacji i instytucji zajmujcych si problematyk ochrony danych osobowych. Zadanie to realizowane jest przede wszystkim poprzez udzia Generalnego Inspektora oraz jego przedstawicieli w pracach grup roboczych, konferencjach, seminariach organizowanych zarwno w kraju jak i za granic, a take w rnych formach wsppracy z innymi organami ochrony danych osobowych na forum Unii Europejskiej. Do najwaniejszych zada GIODO w ramach wsppracy midzynarodowej naley udzia w pracach Grupy Roboczej Art. 29 ds. ochrony danych osobowych, w tym w pracach podgrup tematycznych, wsppraca z rzecznikami ochrony danych innych krajw - w szczeglnoci w ramach Grupy Rzecznikw Ochrony Danych Osobowych Pastw Europy rodkowej i Wschodniej i zwizany z tym udzia w organizowanych cyklicznie Midzynarodowych Konferencjach Rzecznikw Ochrony Danych Osobowych i Prywatnoci, Wiosennych Konferencjach Europejskich Organw 111

Ochrony Danych oraz w Warsztatach Rozpatrywania Spraw. Uczestniczy take w pracach Komitetu Konsultacyjnego ds. Konwencji Nr 108 o ochronie osb w zwizku z automatycznym przetwarzaniem danych osobowych (T-PD). Inne wane zadania stojce przed polskim organem ds. ochrony danych w ramach wsppracy midzynarodowej, zwizane s z jego udziaem w pracach Wsplnego Organu Nadzorczego zajmujcego si zagadnieniami ochrony danych osobowych w zwizku z utworzeniem Strefy Schengen (WON Schengen), Wsplnego Organu Nadzorczego nad Europolem (WON Europolu), a take Wsplnego Organu Nadzorczego waciwego w sprawach ochrony danych osobowych w Systemie Informacji Celnej (WON Ca). Ponadto bierze aktywny udzia w pracach grupy koordynacyjnej do spraw nadzoru nad systemem Eurodac oraz Systemem Informacji Celnej, a take Grupy roboczej ds. policji i wymiaru sprawiedliwoci oraz Grupy roboczej ds. ochrony danych osobowych w Telekomunikacji. W omawianym roku sprawozdawczym 2010, podobnie jak w latach poprzednich, na szczeglne podkrelenie zasuguje zwaszcza wsppraca Generalnego Inspektora z w ramach Grupy Roboczej Art. 29 ds. ochrony danych osobowych (GR Art. 29), ktra zostaa ustanowiona na podstawie art. 29 dyrektywy 95/46/WE. W skad Grupy Roboczej wchodz po jednym przedstawicielu z kadego pastwa czonkowskiego UE, Europejski Inspektor Ochrony Danych Osobowych oraz przedstawiciel Komisji Europejskiej. Spotkania GR Art. 29 odbywaj si cztery razy w roku, w Brukseli. Podczas pierwszego posiedzenia Grupy Roboczej Art. 29, ktre miao miejsce 15-16 lutego 2010 r., odbyy si wybory nowych wadz Grupy. Na stanowisko Przewodniczcego wybrany zosta Pan Jacob Kohnstamm, Dyrektor Holenderskiego Organu Ochrony Danych. Natomiast na funkcje

wiceprzewodniczcych Grupy Roboczej Art. 29 wybrani zostali Pan Micha Serzycki, Generalny Inspektor Ochrony Danych Osobowych III kadencji oraz Pan Artemi Rallo Lombarte, Dyrektor Hiszpaskiej Agencji Ochrony Danych. W trakcie posiedzenia Grupa Robocza Art. 29 przyja take Program prac na lata 2010-2011 (WP 170)101, w ktrym podkrelono, e celem Grupy bdzie przede wszystkim zapewnienie spjnego i prawidowego stosowania istniejcych ram prawnych w zakresie ochrony danych osobowych. Grupa w swoich pracach skoncentruje si rwnie na wyzwaniach zwizanych z rozwojem nowych technologii, globalizacj i zmianami instytucjonalnymi wynikajcymi z wejcia w ycie Traktatu Lizboskiego. W ramach prac dotyczcych zapewnienia prawidowego stosowania istniejcych ram prawnych i przygotowania przyszych dziaa, Grupa Robocza Art. 29 postanowia skoncentrowa si na interpretacji najwaniejszych przepisw dyrektywy 95/46/WE (administrator danych/przetwarzajcy, prawo waciwe, realizacja zasady zwizania celem, analiza podstaw prawnych przetwarzania danych osobowych), a take na kwestiach zwizanych z wdroeniem dyrektywy o prywatnoci i cznoci elektronicznej i ocen skutkw wejcia w ycie Traktatu
101

Dokumenty przyjte przez Grup Robocz Art. 29 w wersji elektronicznej dostpne s na stronie internetowej: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2010_en.htm

112

Lizboskiego. W odniesieniu do wyzwa zwizanych z procesem globalizacji, Grupa zaplanowaa dalsze dziaania majce na celu rozwj wicych regu korporacyjnych (BCR), udzia w pracach normalizacyjnych (np. w ramach ISO), rozwijanie midzynarodowych standardw w zakresie ochrony danych i udzia w przegldzie wytycznych OECD w sprawie ochrony danych osobowych. Natomiast w odniesieniu do wyzwa technologicznych, Grupa ma si skoncentrowa na analizie technologii cloud computingu, profilowaniu, a take na ocenie skutkw w odniesieniu do ochrony prywatnoci i danych w zakresie identyfikacji radiowej (RFID). Ponadto przedmiotem dziaa maj by kwestie zwizane z wyszukiwarkami, prawem do zapomnienia i portalami spoecznociowymi. Odrbnymi grupami spraw bdcych przedmiotem prac Grupy Roboczej art. 29 s: zwikszenie skutecznoci dziaa organw ochrony danych i samej Grupy Roboczej art. 29 oraz inne kwestie sektorowe (np. dane osobowe podrnych, przekazywanie danych w kontekcie transferw finansowych). W roku sprawozdawczym 2010 Generalny Inspektor Ochrony Danych Osobowych uczestniczy w Brukseli w czterech posiedzeniach wspomnianej Grupy. W trakcie kolejnych spotka przyjto opini 1/2010 w sprawie poj administrator danych i przetwarzajcy; opini 2/2010 w sprawie internetowej reklamy behawioralnej, jak rwnie opini 3/2010 w sprawie zasady odpowiedzialnoci. Grupa Robocza wypowiedziaa si rwnie na temat europejskiego kodeksu postpowania

Europejskiej Federacji Marketingu Bezporedniego (FEDMA) w sprawie ochrony danych osobowych wykorzystywanych w marketingu bezporednim (opinia 4/2010) oraz na temat propozycji sektora w sprawie ram oceny skutkw w zakresie ochrony danych i prywatnoci w zastosowaniach RFID (opinia 5/2010). Odrbne opinie zostay powiecone sprawie odpowiedzialnoci (nr 6/2010), Komunikatowi Komisji Europejskiej w sprawie globalnego podejcia do przekazywania danych dotyczcych przelotu pasaerw (PNR) pastwom trzecim (nr 7/2010), a take w sprawie prawa waciwego (nr 8/2010). Grupa Robocza Art. 29 przyja take Raport 1/2010 dotyczcy sposobu wdroenia dyrektywy 2006/24/WE w sprawie zatrzymywania danych transmisyjnych oraz dokument pt. Najczciej zadawane pytania zwizane z wejciem w ycie decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. dotyczcy standardowych klauzul umownych wykorzystywanych do przekazywania danych osobowych podmiotom przetwarzajcym dane majcym siedzib w krajach trzecich, zgodnie z dyrektyw 95/46/WE Parlamentu Europejskiego i Rady (WP 176). W 2010 r. Generalny Inspektor bra udzia w pracach Wsplnego Organu Nadzorczego nad Europolem. Organ ten zajmuje si nadzorem nad przetwarzaniem danych osobowych w ramach Europejskiego Urzdu Policji. Sprawy indywidualne z zakresu przetwarzania danych osobowych przez Europol rozpatrywane s przez Komitet Rewizyjny Wsplnego Organu Nadzorczego, ktrego Generalny Inspektor jest czonkiem. GIODO kontynuowa rwnie wspprac na forum Wsplnego Organu Nadzorczego Schengen oraz Wsplnego Organu Nadzorczego ds. systemu informacji celnej.

113

W 2010 r. Generalny Inspektor Ochrony Danych Osobowych uczestniczy w pracach grupy koordynujcej nadzr nad systemem Eurodac, w ramach ktrych przyjto rekomendacje dotyczce wykorzystywania systemu DubliNet, a take rozpoczto prace nad skoordynowan kontrol dotyczc zasad usuwania danych. Natomiast Grupa Robocza ds. Policji i Wymiaru Sprawiedliwoci koncentrowaa si w tym okresie na rnych kwestiach zwizanych z wejciem w ycie przepisw decyzji ramowej 2008/977/JHA o ochronie danych osobowych w trzecim filarze UE, Traktatu Lizboskiego. Jednoczenie zajmowano si rnymi aspektami wdroenia Konwencji z Prm, w tym przekazywaniem danych DNA do pastw trzecich, czy dialogiem prowadzonym ze Stanami Zjednoczonymi Ameryki w sprawie standardw ochrony danych osobowych. Innym wanym obszarem prac byo przygotowanie katalogu dotyczcego nadzoru i wsppracy. Jedn z form wsppracy GIODO z innymi organami ochrony danych osobowych by udzia w rnego rodzaju midzynarodowych projektach badawczych. W 2010 r. polski organ ds. ochrony danych osobowych uczestniczy w dwch takich projektach finansowanych przez Komisj Europejsk. Jeden z nich o nazwie European Privacy and Human Rights (EPHR) prowadzony by przez Electronic Privacy Information Center102 i Privacy International and Central European University. Rezultatem projektu byo sporzdzenie raportu na temat europejskiego ustawodawstwa oraz najnowszych zagadnie dotyczcych ochrony prywatnoci, opublikowanego w przegldzie EPICu pt. Prywatno i Prawa Czowieka. Drugi z kolei projekt dotyczy Badania w ramach oceny wpywu przyszych ram prawnych UE na ochron danych osobowych. Badanie prowadzone byo przez GHK Consulting w imieniu Dyrekcji Generalnej ds. Wolnoci, Bezpieczestwa i Sprawiedliwoci Komisji Europejskiej i miao na celu dostarczenie Komisji informacji m.in. o charakterze i skali obecnych problemw w obszarze ochrony danych i uatwi ocen istniejcego w tym zakresie ustawodawstwa. W szczeglnoci za o uzyskanie konkretnych informacji o przypadkach nielegalnego

przetwarzania/naruszeniach ochrony danych i o ich skutkach, a take o zadouczynieniu, karach i odszkodowaniach dla osb, ktrych dane dotycz. W dziaalnoci midzynarodowej Generalnego Inspektora naley rwnie wyrni udzielanie przez niego odpowiedzi na napywajce z zagranicy pytania dotyczce interpretacji i stosowania przepisw polskiego prawa o ochronie danych osobowych.

102

Wicej informacji na temat projektu mona znale na stronie: http://phr.privacyinternational.org/

114

7.1 Midzynarodowe spotkania i konferencje Generalny Inspektor Ochrony Danych Osobowych oraz przedstawiciele jego Biura uczestniczyli take w konferencjach i seminariach o charakterze midzynarodowym w kraju i za granic. Najwaniejsze z nich, to: 1. Wiosenna Konferencja Europejskich Rzecznikw Ochrony Danych i Prywatnoci (Praga, 2930 kwietnia 2010 r.) Organizatorem Wiosennej Konferencji by Przewodniczcy Urzdu Ochrony Danych Osobowych Republiki Czeskiej. Motto tegorocznego spotkania organw ochrony danych i prywatnoci brzmiao: Ocena przeszoci z myl o przyszoci. Jego gwnym celem byo przedyskutowanie kwestii dotyczcych mocnych i sabych stron europejskich przepisw dotyczcych ochrony danych w kontekcie postpujcej globalizacji, a take okrelenie ich skutkw dla obywateli, prawodawcw i administratorw danych. Na Konferencji tej przyjte zostay nastpujce rezolucje: o przyszoci rozwoju ochrony danych; w sprawie rozpoczcia wsplnych dziaa informacyjnych oraz edukacji dzieci i modziey na szczeblu europejskim i midzynarodowym; w sprawie planowanej umowy pomidzy Uni Europejsk a Stanami Zjednoczonymi w sprawie standardw ochrony danych w obszarze wsppracy policyjnej i sdowej w sprawach karnych, a take rezolucja dotyczca zasad uywania skanerw ciaa (urzdze przewietlajcych sylwetk) dla zapewnienia bezpieczestwa na lotniskach. 2. XII. Spotkanie Rzecznikw Ochrony Danych Osobowych Europy rodkowej i Wschodniej (Sopot, 17-20 maja 2010 r.) Temat XII Spotkania Rzecznikw Ochrony Danych Osobowych Europy rodkowej i Wschodniej (Central and Eastern European Data Protection Authorities CEEDPA) koncentrowa si wok zagadnie zwizanych z rozwojem nowoczesnych technologii wykorzystywanych w stosunkach pracy oraz ochron prywatnoci i danych osobowych w mediach elektronicznych. Omawiano kwestie odnoszce si do nowoczesnych metod identyfikacji i sprawowania nadzoru nad pracownikami oraz zagadnienia ochrony danych w kontekcie interesu publicznego w mediach elektronicznych. W Spotkaniu tym udzia wzio 20 przedstawicieli organw ochrony danych osobowych z 11 krajw, w tym po raz pierwszy z Modawii i Albanii. Naley podkreli, e rzecznicy biorcy udzia w Spotkaniu zaprosili rwnie do wsppracy te kraje, w ktrych prace nad przepisami prawa z dziedziny ochrony danych osobowych dopiero si rozpoczynaj. W trakcie obrad przyjto dwie deklaracje. Pierwsza z nich dotyczya rozwoju wsppracy i wspierania nowych czonkw CEEDPA Albanii i Modawii. Druga za odnosia si do trwajcych prac nad zmian dyrektywy 96/46/WE Rady i Parlamentu Europejskiego o ochronie osb w zwizku z przetwarzaniem danych osobowych oraz ich swobodnym przepywem.

115

3.

26. plenarne posiedzenie Komitetu Konsultacyjnego Konwencji o Ochronie Osb w zwizku z Automatycznym Przetwarzaniem Danych Osobowych T-PD (Strasburg, 1-4 czerwca 2010) Najwaniejsze decyzje podjte na posiedzeniu to przyjcie rekomendacji w sprawie profilowania

oraz wybory nowego Komisarza Ochrony Danych przy Radzie Europy. Ponownie wybrano na to stanowisko dotychczasowego komisarza Pana Karla Neuwirta. 4. 48. Spotkanie Grupy Roboczej ds. Ochrony Danych Osobowych w Telekomunikacji (Berlin, 6 - 7 wrzenia 2010 r.) Tematem debaty byy kwestie zwizane z ochron danych osobowych w zwizku z dynamicznym rozwojem nowych technologii w dziedzinie telekomunikacji i prba znalezienia rwnowagi miedzy prawnie uzasadnionymi potrzebami przedsibiorstw i pastwa wykorzystujcych rne informacje do wypeniania swoich zada a prawem obywateli do prywatnoci i ochrony danych osobowych. Podczas spotkania omawiane byy zagadnienia przetwarzania danych osobowych w samochodowych czarnych skrzynkach, mobilno a bezpieczestwo, ochrona danych osobowych w portalach spoecznociwych, dane geoprzestrzenne, ochrona prywatnoci i midzynarodowa standaryzacja oraz prezentacja usugi deleteme.on i jednej z aplikacji patnoci dla telefonw komrkowych. Ponadto Grupa obradowaa nad wsplnym stanowiskiem w sprawie ochrony prywatnoci i informacji o lokalizacji w usugach komunikacji bezprzewodowej. 5. Spotkanie ekspertw w zakresie dotyczcym kradziey dokumentw identyfikacyjnych oraz

zarzdzania identyfikacj (Bruksela, 4-5 padziernika 2010 r.) Gwnym punktem spotkania ekspertw w zakresie dotyczcym kradziey dokumentw identyfikacyjnych oraz zarzdzania identyfikacj, ktre odbyo si w Brukseli w dniach 4-5 padziernika 2010 r. byo przedstawienie raportu z bada Komisji Europejskiej, ktry informowa o zakresie przestpczoci w zakresie kradziey i faszowania dokumentw oraz prawno-

administracyjnych uwarunkowaniach walki z t przestpczoci w poszczeglnych krajach Comparative study on identity theft (national legislation and reporting mechanisms).

W podsumowaniu spotkania wskazano na rnorodno rodkw prawnych w rnych krajach do walki z t form przestpczoci i podkrelono konieczno opracowania specjalnych przepisw dotyczcych raportowania. Zaznaczono, e rwnie najwaniejszym elementem jest istnienie specjalnych linii zgosze oraz powinny by prowadzone publiczne kampanie edukacyjne w tym zakresie. 6. 32. Midzynarodowa Konferencja Rzecznikw Ochrony Danych i Prywatnoci (Jerozolima, 27 29 padziernika 2010 r.) W dniach 25 30 padziernika 2010 r. Generalny Inspektor Ochrony Danych Osobowych przebywa z wizyt w Jerozolimie, w zwizku z uczestnictwem w 32. Midzynarodowej Konferencji Rzecznikw Ochrony Danych Osobowych i Prywatnoci oraz w seminarium organizowanym przez

116

Organizacj Wsppracy Gospodarczej i Rozwoju z okazji 30-lecia OECD. W tym czasie spotka si z Ambasadorem RP w Izraelu, Pani Agnieszk Magdziak-Miszewsk. Odbywajce si corocznie midzynarodowe konferencje rzecznikw ochrony danych uwaane s za najwaniejsze spotkania przedstawicieli organw ochrony danych osobowych z przedstawicielami Rady Europy, Komisji Europejskiej oraz korporacji midzynarodowych i wiata nauki. Organizacja tegorocznej Konferencji zbiega si z trwajcymi na forum Unii Europejskiej pracami, majcymi na celu uznanie przez Komisj Europejsk obowizujcego w Izraelu ustawodawstwa za zapewniajce odpowiedni poziom ochrony danych osobowych. Podczas oglnodostpnych sesji otwartych prowadzone byy rozmowy m. in. na temat zagroe zwizanych z rozwojem nowych technologii, zapewnieniem bezpieczestwa uytkownikom Internetu oraz podjcia odpowiednich dziaa chronicych prawa obywateli. Zebrani zastanawiali si rwnie nad przyszoci ochrony danych oraz kierunkami prowadzenia polityki ochrony prywatnoci w zmieniajcym si wiecie. Podczas sesji zamknitej przyjte zostay nastpujce dokumenty: Rezolucja w sprawie grupy roboczej ds. organizacji konferencji, Rezolucja wzywajca do organizacji konferencji midzynarodowej majcej na celu opracowanie wicego instrumentu midzynarodowego w zakresie prywatnoci i ochrony danych osobowych oraz Rezolucja w sprawie prywatnoci w fazie projektowania. Natomiast na seminarium z okazji 30-lecia wydania przez OECD wytycznych dotyczcych midzynarodowych przepyww danych osobowych, dyskutowano o moliwych sposobach stosowania prawa o ochronie danych osobowych oraz o moliwych rozwizaniach, ktre mog zosta przyjte w przyszoci103. 7. Obrady wiatowej Sieci Egzekwowania Przepisw o Ochronie Prywatnoci (Jerozolima, 28 padziernika 2010 r.) W dniu 28 padziernika 2010 r. podczas pobytu w Jerozolimie w zwizku z odbywajc si 32. Midzynarodow Konferencj Rzecznikw Ochrony Danych Osobowych i Prywatnoci (ICDPPC), Generalny Inspektor Ochrony Danych Osobowych bra udzia w posiedzeniu forum o nazwie wiatowa Sie Egzekwowania Przepisw o Ochronie Prywatnoci (Global Privacy Enforcement Network - GPEN). Misj tej organizacji jest m. in. wymiana informacji i dowiadcze na arenie midzynarodowej, na temat problemw dotyczcych ochrony prywatnoci oraz wspieranie dialogu z podmiotami sektora prywatnego w tym zakresie. GPEN skupia obecnie 19 organw ochrony danych osobowych, w tym Midzynarodow Komisj Handlu USA. Od listopada 2010 r. wrd czonkw tej midzynarodowej sieci znajduje si Generalny Inspektor Ochrony Danych Osobowych.

103

Wicej informacji na stronie http://www.privacyconference2010.org/

117

8.

Europejski Kongres Ochrony Danych IAPP (Pary, 29-30 listopada 2010 r.) Inauguracyjny Europejski Kongres Ochrony Danych z udziaem przedstawiciela Biura GIODO,

ktry wzi udzia w panelu powieconym ochronie prywatnoci w stosunkach pracy, mia miejsce 2930 listopada 2010 r. w Paryu, zorganizowany by przez Midzynarodowe Stowarzyszenie Ekspertw ds. Prywatnoci (International Assiotation of Privacy Professional - IAPP). Jest to forum skupiajce ekspertw z dziedziny ochrony danych zaangaowanych w dziaania propagujce ide ochrony danych osobowych, poprzez organizacj spotka, debat, konferencji oraz dziaania edukacyjne.

7.2 Wizyty robocze W dziaalnoci Generalnego Inspektora tradycyjnie du rol odgrywa wsppraca dwustronna, ktra polega m.in. na wymianie informacji, pomocy przy prowadzeniu postpowa administracyjnych i wizytach roboczych. Uzyskana pomoc niejednokrotnie przyczyniaa si do zebrania materiau dowodowego niezbdnego do rozstrzygania rozpatrywanych spraw administracyjnych. Uzyskane za przez Generalnego Inspektora informacje o charakterze porwnawczym wykorzystywane byy w dalszej jego pracy. W dniach 16-18 czerwca 2010 r. przedstawiciele Generalnego Inspektora Ochrony Danych Osobowych zoyli wizyt w wgierskim organie ochrony danych osobowych. Spotkanie z Andrsem Jri, Rzecznikiem Ochrony Danych i Wolnoci Informacji Wgier, miao zwizek ze wspprac obu organw w ramach projektu partnerskiego Zwikszanie wiadomoci w zakresie ochrony danych wrd przedsibiorcw funkcjonujcych na rynkach Unii Europejskiej

finansowanego ze rodkw Unii Europejskiej w ramach Programu Leonardo da Vinci Uczenie si przez cae ycie. Jednym z efektw tej wsppracy miaoby by powstanie poradnika dla przedsibiorcw, w ktrym przedstawione zostan problemy ochrony danych w kontekcie prowadzenia dziaalnoci gospodarczej, przeprowadzony zostanie przegld praktyk stosowanych w poszczeglnych krajach partnerskich w zakresie stosowania przepisw prawa o ochronie danych osobowych, a take poruszone zostan zagadnienia zwizane m.in. z obowizkami i dziaaniami, ktre naley podj celem rejestracji i zabezpieczenia danych osobowych pracownikw oraz

dysponowaniem danymi na potrzeby dziaalnoci przedsibiorstwa.

7.3 Warsztaty Rozpatrywania Spraw Przedstawiciele Biura Generalnego Inspektora Ochrony Danych Osobowych systematycznie uczestnicz w organizowanych dwa razy w roku warsztatach rozpatrywania spraw, tzw. warsztatach skargowych (case handling workshop). W dniach 18-19 marca 2010 r. odbyy si w Brukseli XXI warsztaty rozpatrywania spraw, zorganizowane przez Rzecznika Ochrony Danych Osobowych

118

Belgii. Podczas warsztatw omawiane byy kwestie zwizane z odpowiedzialnoci dostawcw usug internetowych, okreleniem ram prawnych dla reklam behawioralnych w Internecie, znalezieniem rwnowagi pomidzy wolnoci bada naukowych a ochron danych osobowych, projekt Google Street View, sprawa opat drogowych oraz systemu pay-as-you-drive. Natomiast XXII warsztaty rozpatrywania spraw odbyy si w dniach 20-21 wrzenia 2010 r. w Manchesterze. Ich organizatorem by Rzecznik Informacji (ICO) w Wielkiej Brytanii. Organizatorzy spotkania przedstawili uczestnikom struktur organizacyjn i dziaalno Biur organw ochrony danych z kilku wybranych krajw: Wielkiej Brytanii, Holandii, Czech, Hiszpanii, Szwecji, Finlandii i Danii.

7.4 Warsztaty TAIEX W dniu 16 grudnia 2010 r. przedstawiciel Generalnego Inspektora Ochrony Danych Osobowych uczestniczy w Warsztatach TAIEX zorganizowanych w Kijowie przez Dyrekcj ds. Rozszerzenia Komisji Europejskiej w zwizku z przyjciem w ukraiskim porzdku prawnym ustawodawstwa o ochronie danych osobowych. Celem warsztatw powieconych kwestiom prawnych i instytucjonalnych ram ochrony danych osobowych byo przekazanie przedstawicielom ukraiskiej administracji publicznej, informacji i dowiadcze zwizanych ze stosowaniem europejskiego i krajowego prawa ochrony danych osobowych.

Cz III. Charakterystyka dziaalnoci Generalnego Inspektora Ochrony Danych Osobowych w 2010 roku
W odniesieniu do przeprowadzonych kontroli zgodnoci przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych naley stwierdzi, e podobnie jak w latach ubiegych znaczna cz kontrolowanych podmiotw nadal miaa problemy z zastosowaniem odpowiednich rodkw technicznych i organizacyjnych majcych na celu zabezpieczenie danych przed ich udostpnieniem bd zabraniem przez osob nieuprawnion, przetwarzaniem z naruszeniem ustawy oraz zmian, utrat, uszkodzeniem lub zniszczeniem, a take z prawidowym opracowaniem dokumentacji opisujcej sposb przetwarzania danych osobowych, w tym polityki bezpieczestwa oraz instrukcji zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych. W 2010 r. przeprowadzonych zostao 196 kontroli zgodnoci przetwarzania danych z przepisami o ochronie danych osobowych. W porwnaniu z poprzednim rokiem sprawozdawczym, w ktrym byo 220 kontroli, liczba ta nieznacznie spada (zob. Wykres 33), ale wci utrzymuje si na wyrwnanym poziomie.

119

250 200 150 100 50 0

201

220

196

2008

2009

2010

Wykres 33:

Porwnanie liczby kontroli przeprowadzonych w latach 20082010.

Z kolei Wykres 34 przedstawia procentowe zastawienie kontroli przeprowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych na terenie Warszawy oraz poza ni.

100% 80% 60% 40% 20% 0% 2008 2009 2010 42,80% 40,91% 33,16% 57,20% 59,09% 66,84% kontrole w Warszawie kontrole poza Warszaw

Wykres 34:

Porwnanie procentowe liczby kontroli przeprowadzonych w Warszawie i poza Warszaw w latach 20082010.

120

Najwicej kontroli przeprowadzonych zostao z urzdu (120). Ponisza tabela przedstawia liczbowe zestawienie kontroli ze wzgldu na podmiot inicjujcy:

Inicjatywa kontroli Z urzdu Departament Orzecznictwa, Legislacji i Skarg Departament Rejestracji Zbiorw Danych Osobowych Prokuratura W zwizku z inn kontrol RAZEM

Liczba kontroli 120 51 14 2 9 196

Czynnociom kontrolnym poddane zostay m.in. firmy inwestycyjne prowadzce dziaalno maklersk, szkoy wysze, urzdy kontroli skarbowej oraz dostawcy usug telekomunikacyjnych. Du grup jednostek kontrolowanych stanowiy rwnie podmioty zaliczone do sektora Inne, obejmujcego te podmioty, ktre ze wzgldu na charakter prowadzonej dziaalnoci nie mogy zosta zakwalifikowane do innej kategorii. W okresie sprawozdawczym szczeglny nacisk pooony zosta na przeprowadzenie tzw. kontroli sektorowych, ktrymi objto w 2010 r. szkoy wysze (26 kontroli), firmy inwestycyjne prowadzce dziaalno maklersk (16 kontroli), urzdy kontroli skarbowej (10 kontroli), dostawcw usug telekomunikacyjnych (14 kontroli), komunalne jednostki organizacyjne (16 kontroli) oraz towarzystwa ubezpieczeniowe (12 kontroli). Ich wyniki zobrazoway sposb podejcia do problematyki ochrony danych osobowych oraz pozwoliy na sformuowanie wnioskw, co do zasad i sposobu przetwarzania danych osobowych przez podmioty nalece do danego sektora. W okresie sprawozdawczym, w zwizku z obecnoci Polski w strefie Schengen, przeprowadzono kontrole majce na celu sprawdzenie, czy wykorzystywanie przez Szefa Urzdu do Spraw Cudzoziemcw danych osobowych przetwarzanych w Krajowym Systemie Informatycznym, nie narusza praw osb, ktrych dane dotycz, a w szczeglnoci, na jakiej podstawie dokonano wpisu tych danych do Systemu Informacyjnego Schengen. Sprawdzano ponadto, czy podmioty, wobec ktrych Generalny Inspektor wyda decyzje nakazujce usunicie uchybie w procesie przetwarzania danych osobowych, przywrciy stan zgodny z prawem. W tym celu upowanieni inspektorzy przeprowadzili 11 kontroli sprawdzajcych wykonanie decyzji administracyjnych, w toku ktrych stwierdzono, e 9 podmiotw poddanych w tym zakresie kontroli wykonao wydane wobec nich decyzje.

121

W 2010 r. Generalny Inspektor w zwizku z przeprowadzonymi kontrolami wyda cznie 137 decyzji administracyjnych.

200 160 120 80 40 0 2008 2009 2010 148 150 137

Wykres 35:

Porwnanie liczby decyzji wydanych w zwizku z kontrolami przeprowadzonymi w latach 20082010. wyniki przeprowadzonych kontroli naley stwierdzi, e spora grupa

Oceniajc

administratorw danych miaa problemy z prawidowym sformuowaniem treci owiadcze o wyraeniu zgody na przetwarzanie danych osobowych, tak aby wyraona w taki sposb zgoda nie bya domniemana lub dorozumiana z owiadczenia woli o innej treci. Analiza treci owiadcze zebranych w toku kontroli niejednokrotnie wskazywaa, e osobom skadajcym owiadczenie nie zostaa zapewniona swoboda wyboru przy skadaniu tych owiadcze. Do czstych uchybie w tym zakresie naleao rwnie czenie w jednym owiadczeniu zgd na rne cele przetwarzania danych i na rzecz kilku podmiotw. Jednostki kontrolowane miay rwnie problemy z prawidowym wykonaniem podstawowych obowizkw okrelonych w przepisach o ochronie danych osobowych. Nieprawidowoci w tym zakresie dotyczyy m.in. niedopenienia obowizku zgoszenia do rejestracji Generalnemu Inspektorowi prowadzonych zbiorw danych osobowych, niedopenienia obowizku dokonania aktualizacji zgoszonych zbiorw danych oraz zbierania w szerszym zakresie danych osobowych ni wynika to z przepisw prawa lub w zakresie nieadekwatnym do celu przetwarzania. Przeprowadzone kontrole wykazay rwnie, e kontrolowane jednostki nadal maj problemy z zastosowaniem odpowiednich rodkw technicznych i organizacyjnych w celu zabezpieczenia danych przed ich udostpnieniem osobom nieupowanionym, zabraniem przez osob nieuprawnion oraz zmian, utrat, uszkodzeniem lub zniszczeniem, a take z prawidowym opracowaniem dokumentacji opisujcej sposb przetwarzania danych osobowych oraz rodki techniczne i organizacyjne zapewniajce ochron przetwarzanych danych osobowych odpowiedni do zagroe i kategorii danych objtych ochron, tj. polityki bezpieczestwa i instrukcji zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych. Nieprawidowoci w tym zakresie

122

stwierdzono w szczeglnoci w toku kontroli szk wyszych. Liczne uchybienia wystpoway rwnie w procesie przetwarzania danych osobowych przy uyciu systemw informatycznych. Trudnoci z prawidowym wypenieniem obowizkw okrelonych w przepisach rozporzdzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych miay podmioty z wikszoci sektorw opisanych w sprawozdaniu. Szczegowa analiza ustale dokonanych w toku kontroli wskazuje, e ponad 12 % kontrolowanych jednostek nie opracowao dokumentacji stanowicej polityk bezpieczestwa i instrukcj zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych. Zdarzay si rwnie sytuacje, e opracowane dokumenty nie speniay wymogw okrelonych w 4 i 5 rozporzdzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych. Dotyczyo to zarwno polityki bezpieczestwa (30 % opracowanych dokumentw nie zawierao wszystkich elementw), jak i instrukcji zarzdzania systemem informatycznym, gdzie 19 % opracowanych dokumentw nie zawierao niezbdnych informacji. W porwnaniu z rokiem 2009 odnotowano rwnie tendencj spadkow w realizacji obowizkw odnoszcych si do wyznaczenia administratora bezpieczestwa informacji oraz prowadzenia ewidencji osb upowanionych do przetwarzania danych osobowych. Ponad 5 % kontrolowanych jednostek nie wyznaczyo administratora bezpieczestwa informacji. Okoo 8 % podmiotw nie prowadzio ewidencji lub ewidencja nie speniaa wymaga okrelonych w art. 39 ust. 1 ustawy o ochronie danych osobowych. Uzyskane wyniki dotyczce prowadzonej dokumentacji, jak i powoania administratora bezpieczestwa informacji, wskazuj na tendencj spadkow w porwnaniu z rokiem 2009. Jedn z przyczyn tego stanu byy liczne nieprawidowoci w tym zakresie stwierdzone w procesie przetwarzania danych w jednostkach nalecych do sektora komunalnych jednostek organizacyjnych oraz szk wyszych. W kontrolowanych w 2010 r. podmiotach stwierdzano uchybienia polegajce na braku wymaganych funkcjonalnoci systemw informatycznych sucych do przetwarzania danych osobowych. Uchybienia te dotyczyy najczciej braku odnotowania daty pierwszego wprowadzenia danych do systemu (ponad 10 %), braku odnotowywania identyfikatora uytkownika wprowadzajcego dane do systemu (ponad 10 %). Brak powyszych odnotowa by rwnie jednym z powodw tego, e systemy informatyczne nie umoliwiay wygenerowania i wydrukowania raportu, o ktrym mowa w 7 ust. 3 rozporzdzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych (ponad 15 % systemw).

123

W 2010 r. nadal napotykano rwnie na nieprawidowoci polegajce na niestosowaniu rodkw kryptograficznej ochrony danych w przypadkach ich teletransmisji z wykorzystaniem sieci publicznej, w tym sieci Internet. Uchybienia te dotyczyy braku bd niewaciwej implementacji protokou kryptograficznego. W porwnaniu z poprzednimi latami w 2010 r. poprawi si stopie wypenienia obowizkw w zakresie odnotowywania informacji o odbiorcach danych w systemach informatycznych sucych do przetwarzania danych osobowych. Ponad 98 % uytkowanych systemw informatycznych skontrolowanych w 2010 r. umoliwiaa odnotowanie ww. informacji w sytuacji, gdy udostpnienie takie miao miejsce. W 2010 r. poprawio si rwnie w porwnaniu z rokiem 2009, wdroenie mechanizmw autoryzacji dostpu do danych. W 99 % skontrolowanych w 2010 r. systemw informatycznych istniay odpowiednie mechanizmy uwierzytelnienia uytkownikw. Najczciej stosowan metod uwierzytelnienia byo nadal logowanie do systemu z wykorzystaniem kont uytkownikw (identyfikator oraz haso). W nielicznych przypadkach do autoryzacji uywano kart chipowych powizanych z numerem PIN. Nadal jednak pomimo tego, e skontrolowane systemy informatyczne dysponoway mechanizmem uwierzytelnienia, zdarzay si przypadki niewaciwego stosowania ww. mechanizmw. Jednym z uchybie napotkanych w procesie logowania byo wykorzystywanie jednego identyfikatora logowania przez wicej ni jedn osob. Stwierdzono rwnie wykorzystywanie wsplnego hasa logowania przez kilka osb lub te stosowanie nieodpowiednich parametrw hase do wymaganego poziomu bezpieczestwa, czy te zmiana hase rzadziej ni raz na 30 dni. Obowizki okrelone w przepisach o ochronie danych nie byy wykonywane przez jednostki kontrolowane najczciej z powodu bdnej interpretacji tych przepisw oraz ich niekonsekwentnego stosowania. Czst przyczyn by rwnie, jak wskazywali administratorzy danych, brak odpowiednich rodkw finansowych, niezbdnych do pokrycia kosztw zwizanych z wdroeniem rozwiza zapewniajcych prawidowe spenienie wymogw. W niektrych przypadkach przyczyny powyszego stanu rzeczy wynikay take z niewaciwego podejcia osb odpowiedzialnych za przetwarzanie danych osobowych do problematyki ochrony tych danych, a nawet lekcewaenia tych przepisw. wiadczy o tym, w szczeglnoci niewykonywanie tych obowizkw, ktre nie pocigaj za sob nadmiernych kosztw finansowych, na przykad brak ewidencji osb upowanionych do przetwarzania danych osobowych, czy te niewyznaczenie administratora bezpieczestwa informacji. Jednoczenie naley wskaza, e wrd jednostek poddanych w 2010 r. kontroli byy podmioty, dla ktrych ochrona przetwarzanych danych osobowych jest wanym zagadnieniem. Do podmiotw tych nale gwnie firmy inwestycyjne prowadzce dziaalno maklersk, ktre w zdecydowanej wikszoci zastosoway takie rodki techniczne i organizacyjne, ktre w sposb odpowiedni zabezpieczyy przetwarzane dane osobowe.

124

Na podkrelenie zasuguje fakt, e w wikszoci przypadkw stwierdzone w trakcie kontroli uchybienia byy usuwane przez jednostki kontrolowane w toku postpowania. Natomiast do nielicznych naleay sytuacje skadania przez te jednostki wnioskw o ponowne rozpatrzenie sprawy zakoczonej decyzj Generalnego Inspektora oraz zaskarania decyzji do Wojewdzkiego Sdu Administracyjnego w Warszawie i Naczelnego Sdu Administracyjnego. W roku 2010 do Wojewdzkiego Sdu Administracyjnego oraz Naczelnego Sdu Administracyjnego skierowanych zostao 8 skarg w zwizku z przeprowadzonymi kontrolami.

12 8 8 4 0 2008 2009 2010 3 8

Wykres 36: Zestawienie porwnawcze liczby skarg wniesionych do Wojewdzkiego Sdu Administracyjnego w Warszawie oraz Naczelnego Sdu Administracyjnego w zwizku z przeprowadzonymi kontrolami w latach 2008-2010. W 2010 r. przed sdami administracyjnymi zapado 5 orzecze dotyczcych decyzji wydanych na skutek przeprowadzonych kontroli oraz jedno postanowienie Wojewdzkiego Sdu Administracyjnego w Warszawie dotyczce odmowy udostpnienia informacji publicznej. Do wanych orzecze Naczelnego Sdu Administracyjnego nalea wyrok z dnia 5 stycznia 2010 r.104, w ktrym sd przychylajc si do stanowiska Generalnego Inspektora uzna, e dealer samochodowy ma obowizek uzyskania zgody na przetwarzanie danych osobowych w celach marketingowych od potencjalnych klientw, tj. osb, ktre s zainteresowane kupnem samochodu, ale nie bray udziau w jedzie testowej. Przetwarzanie danych na podstawie umowy dealerskiej nie mieci si bowiem w ramach marketingu wasnych produktw lub usug i w zwizku z tym nie moe odbywa si na podstawie art. 23 ust. 1 pkt 5 ustawy, tzn. jako usprawiedliwiony cel administratora danych. Wanym orzeczeniem byo postanowienie z dnia 12 maja 2010 r.105 Wojewdzkiego Sdu Administracyjnego w Warszawie, ktry uzna skarg na decyzj Generalnego Inspektora Ochrony Danych Osobowych w przedmiocie odmowy udostpnienia informacji publicznej w postaci protokou
104 105

I OSK 399/09 II SA /Wa 652/10

125

kontroli

przeprowadzonej

pastwowym

przedsibiorstwie

uytecznoci

publicznej,

za

niedopuszczaln i podlegajc odrzuceniu. Generalny Inspektor odmawiajc skarcemu udostpnienia informacji publicznej powoa si na tajemnic przedsibiorcy, ktrego dana informacja dotyczya. Na podstawie ustale z kontroli przeprowadzonych w 2010 r. naley stwierdzi, e w porwnaniu z latami ubiegymi osoby odpowiedzialne za przetwarzanie danych osobowych wykazay wiksz wiadomo zagroe zwizanych z przetwarzaniem danych osobowych, a tym samym wiadomo koniecznoci zapewnienia odpowiednich rodkw organizacyjnych i technicznych zapewniajcych ochron tych danych. Konsekwencj byo wiksze wyczulenie na prawidowe dopenienie obowizkw wynikajcych z przepisw o ochronie danych osobowych. Niestety, powysze spostrzeenia nie dotycz wszystkich podmiotw, w ktrych przeprowadzono kontrole. Zdarzay si bowiem kontrole, ktre wykazyway, e jednostki kontrolowane nie wykonyway wikszoci obowizkw wynikajcych z przepisw o ochronie danych osobowych. Innym negatywnym zjawiskiem zaobserwowanym w 2010 r. by brak wsppracy podmiotu kontrolowanego z inspektorami dokonujcymi czynnoci kontrolnych. Ten brak wsppracy przejawia si w szczeglnoci trudnociami w umwieniu spotkania z osobami reprezentujcymi jednostk kontrolowan celem okazania imiennych upowanie i legitymacji subowych uprawniajcych do przeprowadzenia kontroli oraz w dugim czasie oczekiwania na osoby dysponujce wiedz o procesie przetwarzania danych osobowych w celu przyjcia od nich do protokou ustnych wyjanie i na dokumenty majce bezporedni zwizek z przedmiotem kontroli. Powyszy stan rzeczy powinien jednak ulec zmianie z chwil wejcia w ycie znowelizowanych przepisw ustawy o ochronie danych osobowych, ktre przewiduj sankcje karne za udaremnianie lub utrudnianie inspektorowi wykonania czynnoci kontrolnych. W porwnaniu z poprzednimi latami, w 2010 r. daje si ju zauway niewielki wzrost liczby skarg, ktre wpyny do Biura GIODO. W roku 2008 wpyno 986 skarg, w 2009 1049, za w 2010 1114. Naley podkreli, e przyczyn wzrostu liczby skarg, ktre wpyny do GIODO w analizowanym okresie 2010 r. naley upatrywa przede wszystkim we wzrocie wiadomoci spoeczestwa co do zasad ochrony danych osobowych i jego aktywnoci w dochodzeniu przysugujcych mu praw. Zauway jednake naley, e dania zawarte w skargach byy coraz precyzyjniej formuowane, za same podania zawieray mniej brakw formalnych, ktrych nastpstwem byoby pozostawienie ich bez rozpoznania albo zwrot. Do takiego wniosku prowadzi m.in. analiza zastawienia porwnawczego liczby postanowie Generalnego Inspektora Ochrony Danych Osobowych o zwrocie skarg z powodu nieuiszczenia opaty skarbowej w stosunku do cakowitej liczby skarg.

126

20% 15% 10% 5% 0%

19% 12% 8% 9%

2007

2008

2009

2010

Wykres 37: Zestawienie porwnawcze liczby postanowie GIODO o zwrocie skarg z powodu nieuiszczenia opaty skarbowej w stosunku do cakowitej liczby skarg w latach 20072010. Decyzje Generalnego Inspektora Ochrony Danych Osobowych zawierajce nakaz, byy najczciej wydawane w zwizku z niedopenieniem przez administratorw danych obowizku informacyjnego z art. 33 ustawy o ochronie danych osobowych albo nieudostpnieniem danych osobowych danych na podstawie art. 29 ust. 2 ustawy o ochronie danych osobowych przez osob zainteresowan. Podobnie jak wystpienia organu dotyczce obowizku informacyjnego z art. 33 ustawy o ochronie danych osobowych, decyzje nakazujce jego dopenienie kierowane byy przede wszystkim do bankw i innych instytucji finansowych oraz operatorw telekomunikacyjnych. Gwnym za powodem wystpowania do administratorw danych z wnioskami z art. 29 ust. 2 ustawy o ochronie danych osobowych, bya potrzeba posiadania przez osoby zainteresowane danych osobowych koniecznych do wytoczenia powdztwa o ochron dbr osobistych. W sprawach zainicjowanych skargami warte odnotowania byy rozstrzygnicia sdw administracyjnych dotyczce przetwarzania danych osobowych w celach marketingowych. Naczelny Sd Administracyjny podzieli stanowisko organu stwierdzajce, e podmioty prowadzce sprzeda cudzych produktw i usug w przypadku reklamowania tych produktw i usug nie przetwarzaj danych osobowych w celach marketingowych na podstawie art. 23 ust. 1 pkt 5 w zwizku z art. 23 ust. 4 pkt 1 ustawy o ochronie danych osobowych106. W innej za sprawie, Wojewdzki Sd Administracyjny w Warszawie przychyli si do stanowiska organu, e od momentu zalogowania si osoby fizycznej do jej konta na stronie internetowej, na skutek jej spersonifikowania, administrator danych powinien uwzgldni wniesiony przez ni sprzeciw wobec przetwarzania danych osobowych w celach marketingowych, tj. zaprzesta wywietlania reklam107. Analizujc z kolei dziaalno opiniotwrcz Generalnego Inspektora Ochrony Danych Osobowych, mona byo dostrzec szczeglne zaniepokojenie organu tendencj do tworzenia przez
106 107

Wyrok NSA z dnia 5 stycznia 2010 r. sygn. akt I OSK 399/09. Wyrok WSA w Warszawie z dnia 15 czerwca 2010 r. sygn. akt II SA/WA 556/10.

127

rne podmioty tzw. megabaz danych osobowych, zawierajcych informacje o milionach osb fizycznych. W 2010 roku GIODO opiniowa akty prawne, moc ktrych planowane jest wprowadzenie Systemu Informacji w Ochronie Zdrowia108 zwanego obecnie Systemem Informacji Medycznej (SIM), Systemu Informacji Owiatowej (SIO)109, ktry ze zbioru o charakterze statystycznym sta si ma zbiorem obejmujcym dane osobowe, w tym dane szczeglnie chronione dotyczce przedszkolakw, uczniw, studentw, nauczycieli czy Centralnego Rejestru Podmiotw Krajowej Ewidencji Podatnikw polegajcego na czciowym zduplikowaniu i szerszemu udostpnieniu bazy PESEL, celem wykorzystania jej jako numeru referencyjnego take w kontaktach z organami podatkowymi110. Projektowanie megazbiorw zawierajcych dane osobowe, take szczeglnie chronione, jest przedsiwziciem budzcym wiele wtpliwoci organu ds. ochrony danych. Dostp do takiego zbioru z zaoenia przysuguje olbrzymiej grupie podmiotw, co naraa zawarte w nich dane osobowe na ryzyko bezprawnej ingerencji, w tym w szczeglnoci ryzyko ich ujawnienia. Istnieje rwnie problem prawidowego i odpowiedniego do zagroe zabezpieczenia zawartych w nich danych osobowych, zwaszcza, gdy ich przekazywanie odbywa si poprzez sie publiczn, a take zapewnienia dostpu do danych osobowych wycznie tym podmiotom, ktre w zwizku z wykonywaniem swoich ustawowych obowizkw dysponowa nimi musz. GIODO poinformowa projektodawcw, e w wietle utrwalonego stanowiska organu do spraw ochrony danych osobowych tworzenie megabazy zawierajcej olbrzymi ilo informacji bdcych danymi osobowymi nie moe by swoist recept na istniejce niedoskonaoci wykorzystywanych w danej dziedzinie systemw informatycznych. Przetwarzanie danych osobowych zgromadzonych w megabazach stanowi bowiem form ingerencji w prawa i wolnoci jednostki. Dlatego ingerencja ta musi spenia kryterium koniecznoci w demokratycznym pastwie dla jego bezpieczestwa lub porzdku publicznego, bd dla ochrony rodowiska, zdrowia i moralnoci publicznej, albo wolnoci i praw innych osb. Oznacza to, e ustawodawca nie ma cakowitej swobody w doborze rodkw sucych mu do osignicia zamierzonych celw. Musi uwzgldni, i konieczno w demokratycznym pastwie prawnym to zastosowanie rodkw niezbdnych w tym sensie, e bd one chroni okrelone wartoci w sposb lub stopniu, ktry nie mgby by osignity przy zastosowaniu innych rodkw, a jednoczenie winny to by rodki jak najmniej uciliwe dla podmiotw, ktrych prawo lub wolno ograniczaj111. Dlatego Generalny Inspektor Ochrony Danych Osobowych dba, aby projektodawcy w taki sposb konstruowali proponowane przepisy, aby pozwoliy na respektowanie praw przysugujcych osobom, ktrych dane dotycz.
108 109

DOLiS-033-338/10 DOLiS-035-414/09 i DOLiS-033-103/10. 110 DOLiS-033-447/10 Zaoenia do projektu ustawy o zmianie ustawy o zasadach ewidencji i identyfikacji podatnikw i patnikw oraz o zmianie niektrych innych ustaw. 111 Wyrok Trybunau Konstytucyjnego z dnia 12 grudnia 2005 r. w sprawie o sygn. K. 32/2004.

128

projektach

aktw

normatywnych

przesyanych

Generalnemu

Inspektorowi

do

zaopiniowania w 2010 r. mona te byo zaobserwowa brak precyzyjnego, wyczerpujcego okrelenia zakresu przetwarzanych danych osobowych w odniesieniu do konkretnej sytuacji. Projektodawcy wychodzili bowiem z zaoenia, e sformuowania, takie jak np. w szczeglnoci czy midzy innymi s wystarczajce dla uznania prawidowoci brzmienia przepisu z punktu widzenia zasad ochrony danych osobowych. Tymczasem takie sformuowania nie okrelaj w sposb jednoznaczny zakresu danych osobowych ani podmiotw, ktre s uprawnione do przetwarzania danych. W konsekwencji pojawi si powany problem interpretacyjny dla podmiotw stosujcych tak ustanowione normy prawa. W takich sytuacjach Generalny Inspektor podkrela, i kadorazowo przepis prawa odnoszcy si do przetwarzania danych osobowych powinien wprost wskazywa zakres informacji, jakie na jego podstawie maj by przetwarzane oraz podmiot, bd krg podmiotw uprawnionych do ich przetwarzania. W przeciwnym razie przy tak bdnie sformuowanych przepisach prawa zachodzi ryzyko np. przedkadania przez osoby, ktrych dane dotycz, czy dania przez administratorw danych, informacji nieadekwatnych do rzeczywistego celu przetwarzania danych. Analizujc tak skonstruowane przepisy, Generalny Inspektor Ochrony Danych Osobowych wielokrotnie wskazywa, e w ten sposb dochodzi bdzie do naruszenia jednej z naczelnych zasad wynikajcych z przepisw o ochronie danych osobowych, a mianowicie zasady adekwatnoci danych w stosunku do celw ich przetwarzania112. Innym problemem, na jaki Generalny Inspektor wielokrotnie wskazywa analizujc projekty aktw prawnych, byo rozszerzanie zakresu danych osobowych wskazanego w przepisach aktu prawa o randze ustawy, przepisami aktw wykonawczych, a take brak okrelenia przez projektodawcw terminu przetwarzania danych osobowych lub wskazywania przez nich okresu nieproporcjonalnie dugiego. Stosowanie tego rodzaju praktyk uzna za rozwizania niedopuszczalne. Dokonujc analizy aktywnoci opiniodawczej GIODO nasuwa si te wniosek, i wci istnieje wiele regulacji prawnych wymagajcych zmiany, celem zapewnienia prawidowego przetwarzania danych osobowych w sektorze publicznym jak i prywatnym. Pilnym zadaniem jest zwikszenie wiadomoci podmiotw przetwarzajcych dane osobowe w sieci Internet oraz osb prywatnych korzystajcych z tego rodzaju udogodnienia. Naley rwnie zauway, e administratorzy danych wielokrotnie przetwarzaj dane osobowe w zakresie szerszym ni maj do tego prawo, a postpujcy rozwj technologiczny prowadzi do niebezpiecznego pogbiania tego zjawiska. Nagminnym zaniedbaniem ze strony administratorw danych jest przede wszystkim brak wypeniania obowizku informacyjnego wynikajcego z art. 24 i 25 ustawy o ochronie danych osobowych, a take bdne formuowanie treci klauzul zgody na przetwarzanie danych osobowych. S one bowiem czsto
112

Art. 26 ustawy o ochronie danych osobowych.

129

czone z wypenianiem obowizku informacyjnego i/lub z klauzul zgody na przetwarzanie danych osobowych dla celw przesyania informacji handlowej (ktra, zgodnie z przepisami ustawy z dnia 18 lipca 2002 r. o wiadczeniu usug drog elektroniczn113 powinna by pozyskiwana moc odrbnego owiadczenia woli). Niezadowalajca jest rwnie wiedza osb, ktrych dane osobowe s przetwarzane w zbiorach danych, w zakresie praw kontrolnych okrelonych w rozdziale czwartym ustawy o ochronie danych osobowych, na tym polu czsto konieczne jest informowanie podmiotw danych o przysugujcych im prawach. Podsumowujc uchybienia najczciej popeniane przez projektodawcw w procesie tworzenia prawa naley zaznaczy, i maj one charakter bardzo rnorodny. Niektre z nich w niewielkim stopniu naruszaj przepisy ustawy o ochronie danych osobowych, inne za burz wrcz porzdek konstytucyjny, a nawet obowizujce przepisy Unii Europejskiej. Powysze umacnia i potwierdza jednoczenie funkcj Generalnego Inspektora, jak organ ten spenia w procesie tworzenia prawa. Po prawie trzech latach intensywnych prac parlamentarnych znowelizowane zostay przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Na mocy ustawy z dnia 29 padziernika 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektrych innych ustaw wprowadzone zostay nowe regulacje, ktre obowizuj od dnia 7 marca 2011 r. Umoliwi one skuteczniejsze oddziaywanie organu ds. ochrony danych osobowych na poziom przestrzegania prawa do prywatnoci i ochrony danych osobowych w Polsce. Dowiadczenia wynikajce z okresu obowizywania ustawy o ochronie danych osobowych z jej dotychczasowymi unormowaniami wskazuj, i ze wzgldu na rzadkie przypadki stosowania i nisk skuteczno sankcji zawartych w przepisach karnych teje ustawy w peni zasadnym byo wyposaenie Generalnego Inspektora Ochrony Danych Osobowych w moliwo nakadania kar finansowych na podmioty niestosujce si do jego decyzji. Wpynie to korzystnie zarwno na aktualny poziom przestrzegania regulacji dotyczcych ochrony danych osobowych (a co za tym idzie oglny stopie ochrony konstytucyjnych praw obywateli), jak i moe mie istotne oddziaywanie prewencyjne w przyszoci. Jednoczenie za obok upowanienia do stosowania rodkw o charakterze dyscyplinujcopenalnym przedmiotowy projekt ustawy w sposb jednoznaczny sankcjonuje wykorzystywane ju przez organ do spraw ochrony danych osobowych w sposb niesformalizowany rodki suce doskonaleniu ochrony danych osobowych w postaci wystpienia do podmiotw publicznych i prywatnych oraz dania zmiany aktualnie obowizujcych przepisw w sprawach dotyczcych ochrony danych osobowych. Uregulowanie przez ustawodawc sposobu podejmowania przez Generalnego Inspektora Ochrony Danych Osobowych powyszych dziaa i zobligowanie adresatw
113

Dz. U. z 2002 r. Nr 144, poz.1204 z pn. zm.

130

wystpie do ustosunkowania si do ich treci w okrelonym trzydziesto dniowym terminie, pozwoli na szybkie i skuteczne usuwanie istniejcych niejasnoci dotyczcych zasad ochrony danych osobowych w poszczeglnych dziedzinach ycia, a tym samym intensyfikacj tej ochrony. Natomiast w kwestii charakterystyki pyta prawnych kierowanych do Generalnego Inspektora Ochrony Danych Osobowych w 2010 r., w wikszoci dotyczyy one wykadni przepisw regulujcych przetwarzanie danych osobowych. Naley bowiem pamita, e problematyka ochrony danych osobowych obejmuje niemale wszelkie sfery ycia, a zatem jest uregulowana w przepisach wielu dziedzin prawa. W zwizku z tym udzielanie odpowiedzi na zadawane pytania w znacznej wikszoci wizao si z analiz przepisw szczeglnych wobec przepisw ustawy o ochronie danych osobowych. Pytania osb fizycznych zazwyczaj dotyczyy podstaw prawnych do przetwarzania dotyczcych ich danych osobowych, adekwatnoci przetwarzanych danych w stosunku do celu przetwarzania oraz moliwoci skontrolowania procesu przetwarzania danych osobowych

zarwno administratora danych zarwno na wniosek osoby zainteresowanej, jak i za porednictwem organu ds. ochrony danych osobowych. Pytania pochodzce od instytucji bd podmiotw gospodarczych (od administratorw danych lub administratora bezpieczestwa informacji), wizay si z szeroko rozumian legalnoci procesu przetwarzania danych osobowych, w tym podstaw prawnych do przekazywania danych osobowych innym podmiotom w ramach realizacji okrelonego zadania oraz zabezpieczania danych osobowych. Wiele z nich dotyczyo przetwarzania danych osobowych w zwizku z prowadzeniem serwisw spoecznociowych. Analiza pyta, ktre w 2010 r. napyway do Biura Generalnego Inspektora Ochrony Danych Osobowych prowadzia do wniosku, e wci istnieje wiele regulacji prawnych niejasnych z punktu widzenia ochrony danych osobowych, ktrych interpretacja sprawia trudnoci osobom, ktrych dane s przetwarzane, jak te i podmiotom, ktre te dane przetwarzaj. Sprawcami nieprawidowoci w stosowaniu zasad przetwarzania danych osobowych byy w rwnym stopniu podmioty prywatne, jak instytucje pastwowe i samorzdowe. Z brzmienia art. 19 ustawy o ochronie danych osobowych wynika uprawnienie Generalnego Inspektora Ochrony Danych Osobowych do kierowania do organu powoanego do cigania przestpstw (w przypadku uzasadnionego podejrzenia popenienia przestpstwa) zawiadomienia o podejrzeniu popenienia przestpstwa. W 2010 roku Generalny Inspektor 23 razy skorzysta z tego uprawnienia. Najwicej zawiadomie dotyczyo stwierdzonego przez organ w toku postpowania administracyjnego spenalizowanego w art. 49 ust. 1 ustawy o ochronie danych osobowych, przetwarzania danych przez podmioty nieuprawnione, art. 51 ust. 1 ustawy - udostpnienia danych osobowych podmiotom nieuprawnionym oraz art. 52 naruszenia obowizku zabezpieczenia danych przed zabraniem przez osob nieuprawnion, uszkodzeniem lub zniszczeniem. Przewaajca cz zawiadomie dotyczya 131

spraw o naruszenie ochrony danych osobowych na stronach internetowych oraz podobnie jak w latach ubiegych w zwizku z prowadzon przez dane podmioty dziaalnoci marketingow. Dane pozyskane i przetwarzane za porednictwem systemw komputerowych, w sieciach publicznych, czy te z udziaem zaawansowanej technologii - z uwagi na wysok sprawno przeprowadzanych na nich operacji coraz czciej staj si przedmiotem nielegalnego procesu przetwarzania danych osobowych. Zdaniem organu ds. ochrony danych osobowych prywatno w Internecie powinna by traktowana w sposb szczeglny, gdy to wanie w wirtualnej rzeczywistoci najatwiej j naruszy, a walka ze skutkami takiego naruszenia bywa niezwykle trudna. W porwnaniu do poprzednich okresw sprawozdawczych niezmiennie maleje liczba spraw, w ktrych organ skierowa zawiadomienia o podejrzeniu popenienia przestpstwa. W roku 2008 byo 31 zawiadomie, w 2009 27, za w 2010 23. Wynika to niewtpliwie z podjtych przez Generalnego Inspektora intensywnych dziaa w zakresie propagowania idei ochrony danych osobowych oraz bardziej stanowcze i skrupulatne egzekwowanie od rnych podmiotw przestrzegania przepisw ustawy o ochronie danych osobowych. Analiza przypadkw zawiadomie o podejrzeniu popenienia przestpstwa prowadzi do wniosku, e w dalszym cigu utrzymuje si dua liczba przypadkw koczenia postpowa przygotowawczych bez sformuowania aktu oskarenia. Podobnie jak w latach ubiegych, najczciej odmawiano wszczcia postpowania przygotowawczego bd wszczte umarzano argumentujc, e czyn, o ktrym zawiadamia GIODO, nie zawiera znamion czynu zabronionego albo jego spoeczna szkodliwo bya znikoma. Z analizy treci uzasadnie takich postanowie niezmiennie od wielu lat nasuwa si identyczny wniosek, e organy cigania wci wykazuj si bezzasadn ocen przypadkw zamania tej ustawy, jako czynw o znikomej spoecznej szkodliwoci, co zawsze budzio zaniepokojenie organu ds. ochrony danych osobowych. Dlatego znowelizowana ustawa o ochronie danych osobowych, ktra wejdzie w ycie z dniem 7 marca 2011 r. wyposay organ ds. ochrony danych osobowych w bardziej skuteczne instrumenty egzekwowania prawa. W 2010 r. do Generalnego Inspektora Ochrony Danych Osobowych wpyno 37 wnioskw o wydanie zgody na przekazanie danych do pastw trzecich, czyli o 17 wnioskw mniej ni w 2009 r. W stosunku do poprzedniego okresu sprawozdawczego114 nastpi rwnie spadek wydanych przez Generalnego Inspektora decyzji administracyjnych gdy wydano ich 37. Spadek liczby rozpatrywanych wnioskw by najprawdopodobniej spowodowany tym, e w roku 2009 w wikszym zakresie rozpatrywano w zasadzie jednolite wnioski skadane przez rnych administratorw danych nalecych do tych samych grup kapitaowych, ktre ze wzgldw formalnych byy rozpatrywane oddzielnie.
114

W 2009 r. Generalny Inspektor wyda 63 decyzje w sprawie wyraenia zgody na przekazanie danych do pastwa trzeciego.

132

90 63 60 30 0 2008 2009 2010 37 12

Wykres 38: Zestawienie porwnawcze liczby decyzji dotyczcych wyraenia zgody na przekazanie danych osobowych do pastwa trzeciego wydanych przez Generalnego Inspektora Ochrony Danych Osobowych w latach 2008-2010. W 36 sprawach Generalny Inspektor zezwoli na przekazanie danych, w tym w 11 sprawach czciowo umorzy postpowanie ze wzgldu na przekazanie danych: w ramach Europejskiego Obszaru Gospodarczego, do pastw trzecich na podstawie zgody osb, ktrych dane dotycz w rozumieniu art. 47 ust. 3 pkt 1 ustawy, do krajw lub terytoriw zamorskich pastw czonkowskich UE, ktre naley uzna za zapewniajce odpowiedni ochron danych osobowych w rozumieniu art. 25 ust. 1 dyrektywy 95/45/WE (np. Gibraltar, Nowa Kaledonia czy Polinezja Francuska), oraz do odbiorcy, wzgldem ktrego Generalny Inspektor wyda wczeniej decyzj. Podobnie jak w roku poprzednim, rwnie w 2010 r. znaczna cz wnioskw dotyczya przekazywania danych osobowych pracownikw, kandydatw do pracy, klientw lub dostawcw w ramach midzynarodowych grup kapitaowych, w celu ujednolicania procesw zarzdzania zasobami ludzkimi, prowadzenia rachunkowoci lub zwikszania bezpieczestwa danych poprzez zastosowanie jednolitych praktyk oraz procedur. Popularne s take transfery w ramach tzw. outsourcingu. Znaczco zmienia si te liczba pastw, do ktrych administratorzy danych zamierzali przekazywa dane. W omawianym okresie sprawozdawczym wnioskodawcy, w celu zagwarantowania praw i wolnoci osb, ktrych dane dotycz, w wikszoci deklarowali zastosowanie standartowych klauzul umownych, aczkolwiek po raz pierwszy pojawiy si te wnioski o wyraenie zgody na przekazanie danych osobowych do pastwa trzeciego, w ktrych powoano si na zastosowanie wicych regu korporacyjnych. Podkrelenia wymaga, e nadal do najczciej pojawiajcych si bdw w skadanych wnioskach o wyraenie zgody na przekazanie danych osobowych do pastwa trzeciego nale rnego rodzaju braki formalne, w tym zwizane z niedopenieniem obowizkw wynikajcych z przepisw ustawy z dnia 7 padziernika 1999 r. o jzyku polskim (Dz. U. 1999 r. Nr 90, poz. 999 z pn. zm.), a take braki w zakresie informacji dotyczcych planowanych transferw danych oraz zastosowania odpowiednich rodkw organizacyjno-technicznych przez importerw danych. 133

W 2010 roku wrd zgosze zbiorw danych osobowych do rejestracji pochodzcych od podmiotw publicznych stosunkowo du liczb, w porwnaniu z ubiegymi latami, stanowiy zbiory danych osobowych prowadzone na podstawie ustawy z dnia 17 grudnia 2004 r. o odpowiedzialnoci za naruszenie dyscypliny finansw publicznych (Dz. U. z 2005 r. Nr 14, poz. 114 z pn. zm.). W myl art. 72 ustawy z dnia 17 grudnia 2004 r. o odpowiedzialnoci za naruszenie dyscypliny finansw publicznych (Dz. U. z 2005 r. Nr 14, poz. 114 z pn. zm.), postpowania w sprawach o naruszenie dyscypliny finansowej prowadzone s przez rzecznikw dyscypliny finansw publicznych (postpowanie wyjaniajce), komisje orzekajce oraz Gwn Komisj Orzekajc (postpowanie odwoawcze). W zwizku z prowadzeniem wyej wymienionych postpowa w podmiotach, przy ktrych dziaaj komisje orzekajce i rzecznicy dyscypliny finansw publicznych, np. u ministrw i w regionalnych izbach obrachunkowych, tworzone s zbiory danych osobowych. Jednoczenie naley uzna, e zbiory te podlegaj obowizkowi zgoszenia do rejestracji, gdy nie zachodzi adna z przesanek okrelonych w art. 43 ustawy o ochronie danych osobowych, zwalniajca administratorw danych z ww. obowizku. Reasumujc, do rejestracji zgaszane byy midzy innymi: rejestry zawiadomie o naruszeniu dyscypliny finansw publicznych, zbiory danych osb w stosunku do ktrych rzecznik dyscypliny finansw publicznych wystpi do komisji orzekajcej z wnioskiem o ukaranie oraz zbiory danych osb wystpujcych w postpowaniu przed komisj orzekajc. Ponadto w przypadku podmiotw publicznych w 2010 roku wystpi znaczny wzrost, w porwnaniu do lat poprzednich, liczby zgosze dokonywanych w zwizku z realizacj przez te podmioty zada wynikajcych z ustawy z dnia 7 wrzenia 1991 r. o systemie owiaty (Dz. U. z 2004 r. Nr 256, poz. 2572 z pn. zm.). Zgoszenia te podzieli mona na trzy grupy. Pierwsza grupa to zbiory danych prowadzone przez szkoy podstawowe oraz gimnazja w celu realizacji obowizku wynikajcego z rozporzdzenia wykonawczego do powyszej ustawy, wydanego przez Ministra Edukacji Narodowej i Sportu w dniu 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoy i placwki dokumentacji przebiegu nauczania, dziaalnoci wychowawczej i opiekuczej oraz rodzajw tej dokumentacji (Dz. U. Nr 23, poz. 225 z pn. zm.). Zadaniem tych placwek jest prowadzenie ksig ewidencji dzieci i modziey podlegajcych obowizkowi rocznego przygotowania przedszkolnego i obowizkowi szkolnemu, zamieszkaych w obwodzie szkoy i gimnazjum. Drug grup stanowi zgaszane przez przedszkola i szkoy podstawowe zbiory danych osb upowanionych przez rodzicw i opiekunw prawnych do odbioru dzieci odpowiednio ze szkoy lub przedszkola. Za trzecia grupa to zbiory danych prowadzone w celu ewidencji korespondencji przychodzcej i wychodzcej.

134

W 2010 roku, podobnie jak w latach poprzednich, odnotowano wzrost w zakresie liczby zgosze zbiorw danych, ktre utworzone zostay w zwizku ze stosowaniem przez administratorw danych nowoczesnych technologii. Chodzi tu gwnie o wykorzystywanie moliwoci Internetu. Zgoszenia takie dokonywane byy gwnie przez podmioty prywatne. Jednake naley zwrci uwag na wzrost liczby tego rodzaju zgosze dokonanych przez podmioty publiczne w zwizku z rozwojem informatyzacji w administracji publicznej. Przykadem mog by zgaszane przez te podmioty zbiory danych osb korzystajcych z moliwoci przesania dokumentw elektronicznych pomidzy systemami teleinformatycznymi podmiotw publicznych a systemami podmiotw niebdcymi podmiotami publicznymi, tzw. elektroniczne skrzynki podawcze. Innym przykadem wykorzystania sieci Internet przez podmiot publiczny moe by zbir danych osb korzystajcych z portalu informacyjnego uruchomionego przez jeden z sdw okrgowych dla stron postpowania. Zaoenie konta na tym portalu umoliwia stronom (powodowi, pozwanemu, wnioskodawcy, wierzycielowi, dunikowi) oraz ich penomocnikom, zdalny dostp do informacji o stanie sprawy, o wyznaczonych rozprawach i wgld do dokumentw wytworzonych przez sd. Kolejnym przykadem zbiorw danych utworzonych na skutek wykorzystywania nowych technologii do realizacji zada publicznych mog by zbiory danych tworzone w zwizku z wprowadzeniem spersonalizowanych elektronicznych kart miejskich. Uprawniaj one nie tylko do korzystania z komunikacji miejskiej, ale take umoliwiaj korzystanie z innych usug, np. dokonywania opat za korzystanie z miejsc postojowych w strefach patnego parkowania. W przypadku takich zbiorw Generalny Inspektor Ochrony Danych Osobowych zwraca uwag na zbyt szeroki zakres danych osobowych pasaerw przetwarzanych w celu wydania i obsugi spersonalizowanych kart miejskich, w szczeglnoci kwestionowa kodowanie na kartach numeru ewidencyjnego PESEL oraz przetwarzanie danych o ruchu pasaerw komunikacji miejskiej (tzw. danych

geolokalizacyjnych), jako nieadekwatnych do celu ich przetwarzania.

Cz IV. Wnioski i planowane kierunki dziaa Generalnego Inspektora Ochrony Danych Osobowych
Generalny Inspektor Ochrony Danych Osobowych, jako konstytucyjny organ

demokratycznego pastwa prawa, stoi na stray przestrzegania prawa o ochronie danych osobowych w Polsce. Do jego ustawowych obowizkw naley coroczne skadanie Sejmowi sprawozdania ze swej dziaalnoci, w ktrym dokonywana jest analiza spraw dotyczcych narusze ochrony danych, wynikw przeprowadzonych kontroli, wydanych opinii, przedsiwzi legislacyjnych, orzecznictwa sdw administracyjnych i innych dziaa ujtych w art. 12 ustawy o ochronie danych osobowych. Na

135

ich podstawie formuowane s wnioski i wytyczne co do kierunkw dziaa organu na przyszo. Generalny Inspektor wsppracuje cile ze wszystkimi organami, ktre maj wpyw na tworzenie prawa i jego egzekwowanie, a take z podmiotami takimi, jak stowarzyszenia, orodki naukowe czy organizacje branowe zajmujce si ochron danych osobowych i prawami obywateli oraz ze rodkami masowego przekazu. Wszystkie te elementy aktywnoci GIODO skadaj si na sum jego dowiadcze w kwestii usprawnienia pracy organu i zapewnienia skutecznej ochrony prywatnoci i danych osobowych. Dane osobowe stanowi podstaw zarzdzania przedsibiorstwami i administracj publiczn. Rol organu ds. ochrony danych jest znalezienie odpowiedniej rwnowagi midzy prawnie uzasadnionymi potrzebami przedsibiorstw i Pastwa, wykorzystujcych informacje osobowe do wypeniania swojej roli w spoeczestwie oraz midzy prawem obywateli do tego, aby dotyczce ich dane osobowe wykorzystywane byy wycznie w ich interesie. Polityka dotyczca ochrony danych osobowych powinna opiera si zarwno na dobrej legislacji i waciwie pojmowanych zadaniach administratorw baz danych, jak i wzrocie wiadomoci obywateli, co do przysugujcych im praw. Realizacja tych zamierze wymaga wielokierunkowego i wielopaszczyznowego podejcia w celu wypracowania optymalnej strategii ukierunkowanej na popraw skutecznoci organu, jak i zapewnieniu spjnoci przepisw krajowych i unijnych dotyczcych ochrony danych osobowych. Dyskusja dotyczca zakresu koniecznych zmian ju si rozpocza, a jednym z pierwszych jej efektw byo ogoszenie 4 listopada 2010 r. komunikatu Komisji Europejskiej pt. Caociowe podejcie do kwestii ochrony danych osobowych w Unii Europejskiej, dotyczcego zmiany dyrektywy 95/46/WE w kierunku zwikszenia spjnoci ram prawnych w zakresie ochrony danych oraz zapewnienia takich rozwiza instytucjonalnych, aby zapewni skuteczniejsze egzekwowanie przepisw o ochronie danych osobowych. Ponadto zapowiedziane zostay take dziaania pozalegislacyjne, majce na celu wzmocnienie ochrony danych osobowych w Unii Europejskiej. GIODO czuwa nad tym, aby proces zmian w prawie o ochronie danych osobowych by jak najbardziej odpowiadajcy potrzebom wynikajcym ze stanu ustawodawstwa polskiego i europejskiego oraz praktyki jego stosowania. Dokada te stara, aby efekty jego dziaalnoci w peni przenikny do wiadomoci spoecznej, przyczyniajc si do wzrostu kultury prawnej. Pierwszym krokiem w kierunku skutecznej realizacji ochrony danych w Polsce powinien sta si przegld ustawodawstwa pod ktem zarwno spjnoci przepisw prawa o ochronie danych osobowych, jak i przeanalizowanie ich i by moe znowelizowanie, w zwizku z potrzeb dostosowania ich do nowych technologii informacyjno-komunikacyjnych. W szczeglnoci w kwestii zwikszenia wiadomoci podmiotw przetwarzajcych dane osobowe w Internecie oraz osb prywatnych korzystajcych z sieci. Istnieje bowiem wci wiele regulacji prawnych wymagajcych zmiany, celem zapewnienia prawidowego przetwarzania danych osobowych w sektorze publicznym 136

jak i prywatnym. Podkrelenia wymaga, e ustawa o ochronie danych osobowych powstaa 13 lat temu i odpowiada stanowi techniki z pocztku lat 90-tych. Nie przewidywaa powszechnoci Internetu, ani istnienia, np. portali spoecznociowych. Przed GIODO stoi wic zadanie wprowadzenia kolejnych zmian w znowelizowanej w 2010 r. ustawie o ochronie danych osobowych, tak, aby zrealizowane zostay potrzeby i oczekiwania spoeczne w tym zakresie, oraz dokonana zostaa implementacja zapowiadanych zmian w przepisach dyrektywy 95/46/WE. Wanym etapem tych prac bdzie okrelenie grup zagadnie, ktre wymagaj przedyskutowania i przeanalizowania pod katem ewentualnej zmiany dotyczcych ich przepisw. Konferencj Reforma ochrony prywatnoci, ktra odbya si w 6 grudniu 2010 r. zainaugurowana ju zostaa publiczna dyskusja na ten temat. Kolejn istotn kwesti, ktra wymaga uregulowania przez organ ds. ochrony danych osobowych, jest usprawnienie pracy inspektorw GIODO poprzez moliwo uzyskiwania przez nich certyfikatw dostpu do informacji niejawnych, co stwarzaoby moliwo kontrolowania sub specjalnych. Z mocy prawa GIODO pozbawiony jest dostpu do informacji niejawnych gromadzonych przez suby specjalne. Mamy w tym wzgldzie jedno z najbardziej restrykcyjnych praw w Europie. W innych krajach te s pewne wyczenia, ale nie jest tak, eby wyczono spod kontroli organw ochrony danych osobowych wszystkie dane zbierane przez suby specjalne. Zwrci na to uwag rwnie Naczelny Sd Administracyjny stwierdzajc, e GIODO nie moe z gry przyjmowa, e wszystko, co suby gromadz o obywatelach jest tajne, wic nie podlega jego kontroli. Konsekwencje tego wyroku s takie, e GIODO ma prawo i obowizek zajmowa si gromadzeniem danych przez suby specjalne tam, gdzie nie s one tajne. Ale mona te pj w innym kierunku i w zapowiadanej kolejnej nowelizacji ustawy o ochronie danych osobowych ustawowo upowani inspektorw GIODO do przeprowadzania kontroli tych sub przyznajc im wspomniane certyfikaty. Pocignie to za sob pewne skutki finansowe i organizacyjne. Dla GIODO oznacza to konieczno stworzenia odrbnej jednostki organizacyjnej Biura, skadajcej si z pracownikw, ktrzy maj dostp do informacji niejawnych i tym samym bd mogli przeprowadza kontrole w subach specjalnych. We wszystkich swoich wystpieniach Generalny Inspektor Ochrony Danych Osobowych zwraca szczegln uwag przedstawicieli wadz i spoeczestwa na problemy zwizane z praktyk stosowania prawa o ochronie danych osobowych oraz wystpujcy dualizm przepisw krajowych, co nie sprzyja przejrzystoci prawa. Wskazuje na potrzeb penej implementacji tych przepisw unijnych, ktre mog przyczyni si do sprawniejszego wykonywania ustawowych obowizkw przez inne podmioty, np. organw cigania zwaszcza w odniesieniu do przestpstw dokonywanych z wykorzystaniem nowoczesnych technologii internetowych. Ale z drugiej strony uczula na inne kwestie, jak nieuregulowana ustawowo problematyka wideonadzoru, danych geolokalizacyjnych, czy zakres retencji danych telekomunikacyjnych, ktry sta si powodem niepokoju wszystkich rzecznikw ochrony prywatnoci. W odniesieniu do retencji danych spraw podstawow jest tu 137

kwestia interpretacji zapisw dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania przetwarzanych danych w zwizku ze wiadczeniem publicznych usug cznoci elektronicznej. Dyrektywa ta nakada obowizek retencji danych teleinformatycznych, ktra jest trudna do wdroenia bez amania konstytucyjnego prawa do prywatnoci. W chwili obecnej wrd pastw czonkowskich brak jest harmonii w implementacji dyrektywy. Poszczeglne pastwa przyjy rozbiene reguy w kadym waciwie aspekcie od czasu przechowywania danych, poprzez zakres i cele retencji, a po reguy dostpu do zebranych danych. Dla przykadu, Polska na tle innych krajw ma jeden z najduszych okresw przechowywania danych 2 lata i bardzo liberalne zasady dostpu do nich. W opinii Generalnego Inspektora Ochrony Danych Osobowych trzeba zrewidowa wdroenie dyrektywy retencyjnej do polskiego prawa w takim kierunku, e tylko popenienie najciszych przestpstw powinno uzasadnia wykorzystanie danych na temat ruchu w sieci przez suby specjalne i doprowadzi do tego, aby we wszystkich krajach unijnych obowizyway zblione przepisy w tej kwestii. Natomiast gwny problem z monitoringiem wizyjnym to brak kompleksowej regulacji prawnej w formie ustawy. Istniej jedynie uregulowania czstkowe, m.in. o wykorzystaniu monitoringu w wizieniach czy podczas imprez masowych. Brakuje ich tam, gdzie monitoring rozwija si dynamicznie w sektorze prywatnym. Ustawa o ochronie danych osobowych z wielu wzgldw nie moe peni takiej funkcji. Po pierwsze jest problem z ustaleniem, w jakich okolicznociach informacje z kamer stanowi dane osobowe, czyli pozwalaj na zidentyfikowanie osoby bez nadmiernego wysiku. Po drugie, s rne technologie monitoringu i nie zawsze dochodzi do rejestracji obrazu, co jeszcze utrudnia ustalenie, na ile mamy do czynienia z przetwarzaniem danych. Wreszcie ustawa nie ma w ogle zastosowania do osb fizycznych w zakresie, w jakim przetwarzane s dane wycznie w celach osobistych lub domowych. Podobnie jest z danymi geolokalizacyjnymi. Polskie przepisy nie s wystarczajco precyzyjne i umoliwiaj rnorodn ich interpretacj, ktra najczciej idzie drog wskazywan przez Policj i suby specjalne. Budzi to niepokj organu ds. ochrony danych. Informacje o tym, co o nas gromadzi Policja i suby specjalne korzystajce z GPS, monitoringu wizyjnego, mikrofonw kierunkowych, programw komputerowych kojarzcych dane z rnych rde, itp. s poza kontrol Generalnego Inspektora Ochrony Danych Osobowych. Dyskusj na ten temat zainteresowana jest rwnie Rzecznik Praw Obywatelskich. Dlatego konieczny jest przegld stanu prawnego pod ktem m.in. tych analizowanych zagadnie. Ich uregulowanie to kolejne wane zadanie stojce przed Generalnym Inspektorem Ochrony Danych Osobowych. Priorytetem wrd zada GIODO na 2011 rok bdzie take konieczno uregulowania zasad funkcjonowania serwisw spoecznociowych, usug typu cloud computing, sieci semantycznych, tzw. Internetu przedmiotw, wyszukiwarek i domylnych ustawie przegldarek tak, aby chroniy dane osobowe i prawo do prywatnoci. Wane jest te, by polskie regulacje o ochronie danych wprowadziy 138

prawo do bycia zapomnianym. W tym miejscu GIODO wskazuje na piln potrzeb zdefiniowania na nowo pojcia prawa do prywatnoci, ktre w dobie nowoczesnych technologii powinno by ujmowane bardziej dynamicznie, jako pewien proces, zmienny w czasie i przestrzeni oraz zaleny od otoczenia spoecznego jednostki. I cho w tradycyjnym ujciu prywatno okrela si jako obszar, ktry jednostka rezerwuje wycznie dla siebie, to dyskusja o prywatnoci w usugach zbudowanym dziki nowym technologiom powinna pj w zupenie innym kierunku. Prywatno jest dwustronnym procesem zakrelania granic, sterowanym zarwno przez jednostk, jak i przez osoby, z ktrymi ona wchodzi w relacje. Prywatno podlega nieustannym negocjacjom, ktrej granice przesuwaj si zalenie od okolicznoci, intencji i oczekiwa uczestnikw relacji oraz celu, jaki chc osign. W zwizku z tym w rozwaaniach nad konkretnymi produktami i usugami IT naley umiejtnie wyway - z jednej strony ich cele, przydatno, atrakcyjno dla uytkownika, a z drugiej - zagroenia dla prawa do prywatnoci i ochrony danych osobowych, jakie mog z tego wynika. Std pilna potrzeba nieustannego edukowania spoeczestwa i uwiadamiania, aby ta wymiana bya zarwno poyteczna, jak i sprawiedliwa. Opracowanie nowego modelu ochrony prywatnoci to zadanie wszystkich organw odpowiedzialnych za ochron danych osobowych w Unii Europejskiej, a take poza jej granicami. Podejmowane w tym obszarze inicjatywy Midzynarodowej Konferencji Rzecznikw Ochrony Danych Osobowych i Prywatnoci (ICDPPC), ktra od 32 lat stanowi najwaniejsze europejskie forum dla midzynarodowego rodowiska ochrony danych, sprawio, e 10 marca 2010 r. trzynacie organw odpowiedzialnych za egzekwowanie przepisw regulujcych ochron prywatnoci utworzyo wiatow Sie Egzekwowania Przepisw o Ochronie Prywatnoci (GPEN). Podstawowym zadaniem tej midzynarodowej sieci jest podejmowanie dziaa w celu wzmocnienia ochrony danych i prawa do prywatnoci w wymiarze globalnym. Polski organ ds. ochrony danych od listopada 2010 r. sta si oficjalnym czonkiem GPEN. To tylko kilka wybranych przykadw problemw, ktre pojawiy si wraz z rozwojem nowoczesnych technologii. Znalezienie sposobw na ich rozwizanie bdzie naleao do najwaniejszych zada Generalnego Inspektora na 2011 r. Generalny Inspektor Ochrony Danych Osobowych prowadzi szeroko zakrojon wspprac nie tylko z organami ochrony danych w innych krajach, ale rwnie z tymi pastwami, ktre takiej ochrony nie gwarantuj. GIODO wychodzi bowiem z zaoenia, e ochrona danych osobowych ma charakter niepodzielny, a amanie zasad ochrony danych osobowych w innych krajach moe stanowi zagroenie dla ich realizacji rwnie w naszym kraju. Std tak due zaangaowanie polskiego organu w dziaania upowszechniajce idee ochrony danych osobowych oraz w opracowywanie optymalnych strategii wsppracy z pastwami spoza Europejskiego Obszaru Gospodarczego. Przykadem jest wypracowany w porozumieniu z Komisj Europejsk program Safe Harbour umoliwiajcy

139

amerykaskim podmiotom gospodarczym sprostanie wymaganiom dyrektywy 95/46/WE i tym samym prowadzenie wymiany handlowej pomidzy pastwami Unii Europejskiej a Stanami Zjednoczonymi. Przed Generalnym Inspektorem Ochrony Danych Osobowych stoj take inne zadania. W zwizku z przygotowaniami do objcia przez Polsk z dniem 1 lipca 2011 r. Przewodnictwa w Radzie Unii Europejskiej (tzw. Prezydencja), rwnie organ ds. ochrony danych osobowych zobowizany zosta do podjcia pewnych dziaa w zwizku z organizacj tego procesu. Przede wszystkim wzmocni wspprac z organami administracji rzdowej, zwaszcza z Ministerstwem Spraw Wewntrznych i Administracji, ktre jest m. in. resortem wiodcym w odniesieniu do Grupy Roboczej Rady UE ds. Wymiany Informacji i Ochrony Danych (Working Party on Information Exchange and Data Protection DAPIX). W zwizku z rozpoczciem przez Komisj Europejsk prac nad przyszymi ramami ochrony danych osobowych w UE, w posiedzeniach ww. Grupy Roboczej bdzie bra udzia przedstawiciel Biura GIODO, udzielajc polskiej delegacji merytorycznego wsparcia. Podczas Prezydencji Polska stanie si gospodarzem wikszoci unijnych wydarze. Kalendarz przygotowa do Prezydencji polskiej w Radzie UE przewiduje aktywny udzia Generalnego Inspektora Ochrony Danych Osobowych w spotkaniach na najwyszym szczeblu z przedstawicielami istotnych z punktu widzenia ochrony praw podstawowych resortw i instytucji. Tematyka uzgodnie odnosi si bdzie do dziedziny szeroko rozumianej problematyki spoeczestwa informacyjnego,

a w szczeglnoci poszanowania prawa do ycia prywatnego oraz ochrony danych osobowych. Wrd nich jako jedno z pierwszych dziaa Prezydencji polskiej bdzie aktywne uczestnictwo w pracach nad nowym europejskim aktem legislacyjnym dotyczcym ochrony danych osobowych.

140

ZACZNIKI: Zacznik nr 1 Wykaz najwaniejszych wystpie Generalnego Inspektora Ochrony Danych Osobowych w roku 2010 o charakterze generalnym do centralnych organw pastwa i do innych podmiotw z sektora publicznego
Lp. Nazwa podmiotu, do ktrego skierowano wystpienie Data wystpienia/ Sygnatura sprawy Przedmiot wystpienia Wystpienie o podjcie dziaa legislacyjnych majcych na celu zmian obowizujcego wzoru wniosku o wydanie prawa jazdy, stanowicego zacznik nr 1 do rozporzdzenia Ministra Infrastruktury z dnia 21 stycznia 2004 r. w sprawie wydawania uprawnie do kierowania pojazdami (Dz.U. z 2004 r. Nr 24 poz. 215 z pn. zm.), by ten by zgodny z przepisami ustawy o ochronie danych osobowych. Wystpienie o zachowanie szczeglnej starannoci w procesie zabezpieczenia danych osobowych uczniw, stosownie do przepisw ustawy o ochronie danych osobowych w zwizku z powzit przez GIODO informacj, e w dn. 13.11.2009 r. na terenie szkoy przedstawiciel Akademii Szybkiego Czytania Sokrates z Krakowa pozyska za pomoc ulotek i doczonych do nich kuponw dane osobowe uczniw i ich rodzicw. Wystpienie o podjcie odpowiednich dziaa majcych na celu wyeliminowanie w przyszoci praktyk nie znajdujcych uzasadnienia w przepisach ustawy o ochronie danych osobowych w zwizku z upublicznieniem na stronie internetowej Gminy Koo w BIP owiadcze majtkowych Wjta Gminy Koo, Zastpcy Wjta oraz Skarbnika. Wystpienie o uwzgldnienie w dziaalnoci Starostwa Powiatowego w Chemie przepisw ustawy o ochronie danych osobowych, zwaszcza jej art. 26 ust. 1 pkt 1 stanowicego o cicym na administratorze obowizku przetwarzania danych zgodnie z prawem. Wystpienie w zwizku z informacj, e w Miejskim Orodku Sportu i Rekreacji w Ostrowcu witokrzyskim stosowana jest praktyka polegajca na umieszczeniu kamer w przebieralni mskiej. Zwrcona zostaa uwaga, i praktyka powysza moe prowadzi do postawienia zarzutu naruszenia prawa do prywatnoci. Wystpienie o podjcie dziaa zapewniajcych lepsz jako danych osobowych przetwarzanych w centralnej ewidencji pojazdw, a zwaszcza ich merytoryczn poprawno, o ktrej stanowi art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych oraz art. 6 ust. 1 lit. d Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dn. 24.10.1995r. w sprawie ochrony osb fizycznych w zakresie przetwarzania danych osobowych i przepywu tych danych (Dz. Urz. WE L 281 z 23.11.1995).

1.

Ministerstwo Infrastruktury

7.01.2010 DOLiS-035-4/10/555

2.

Szkoa Podstawowa Nr 9 im. Ordownikw Pokoju w Owicimiu

13.01.2010 DOLiS-035-62/10/1459

3.

Wjt Gminy Koo

18.01.2010 440-938/09/1996/10

4.

Starosta Chemski

25.01.2010 DOLiS-440-805/09/3178/10

5.

Dyrektor Naczelny Miejskiego Orodka Sportu i Rekreacji w Ostrowcu witokrzyskim

25.01.2010 DOLiS-035-137/10/3163

6.

Minister Spraw Wewntrznych i Administracji

27.01.2010 DOLiS-440-373/09/3742/10

141

7.

Minister Finansw

8.

Minister Sprawiedliwoci Prokurator Generalny RP

9.

Prezes Narodowego Funduszu Zdrowia

10.

Minister Infrastruktury

11.

Burmistrz Miasta Bigoraj

12.

Minister Infrastruktury

13.

Burmistrz Miasta ask

14.

Przedszkole Miejskie w Radzyniu Podlaskim

Wystpienie z prob o opini w przedmiocie koniecznoci przechowywania informacji/danych 28.01.2010 osobowych o osobie fizycznej, ktra odstpia od DOLiS-072-3/10/3990 podpisania umowy w zwizku z prowadzonym przez GIODO postpowaniem administracyjnym dotyczcym ewentualnych nieprawidowoci w procesie przetwarzania danych osobowych przez jeden z bankw. Wystpienie z prob o podjcie dziaa majcych na celu wyeliminowanie stosowanej przez prokuratury 1.02.2010 praktyki polegajcej na nieuwzgldnianiu DOLiS-035-183/10/4274 obowizujcych przepisw ustawy o ochronie danych osobowych, ktra przejawia si przy merytorycznym rozstrzyganiu prowadzonych przez te prokuratury postpowa karnych. Wystpienie z prob o podjcie stosownych dziaa celem zapobieenia udostpnianiu danych osobowych kandydatw na pracownikw NIZ w ogoszeniach o 1.02.2010 naborze i zatrudnieniu umieszczanych w BIP DOLiS-440-964/09/4282/10 publikowanym na stronie internetowej NFZ przez okres duszy ni jest to niezbdne, stosownie do przepisu art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych. Wystpienie z prob o rozwaenie zmiany rozporzdzenia Ministra Transportu z dn. 25.09.2007 11.02.2010 r. w sprawie warunkw i trybu rejestracji odbiornikw DOLiS-035-287/10/5937 radiofonicznych i telewizyjnych (Dz. U. 2007 r. Nr 187, poz. 1342) w toku ewentualnych prac legislacyjnych, poprzez usunicie klauzuli zgody na przetwarzanie danych osobowych z zacznikw powyszego rozporzdzenia. Wystpienie o wyjanienia w zwizku z pozyskaniem przez GIODO informacji wskazujcej, i dane osobowe dzieci i ich rodzicw przekazywane 11.02.2010 DOLiS-035-286/10/5938 przez placwki owiatowe do Urzdu Miasta Bigoraj w celu obliczenia wysokoci dotacji, wykorzystywane s rwnie do nakaniania tych rodzicw do zmiany przedszkoli. Wystpienie z prob o rozwaenie zmiany rozporzdzenia Ministra Transportu z dn. 25.09.2007r. 11.02.2010 w sprawie warunkw i trybu rejestracji odbiornikw DOLiS-035-287/10/5937 radiofonicznych i telewizyjnych (Dz U. 2007 r. Nr 187, poz. 1342) w toku ewentualnych prac legislacyjnych, poprzez usunicie klauzuli zgody na przetwarzanie danych osobowych z zacznikw do powyszego rozporzdzenia. Wystpienie o podjcie stosownych dziaa majcych na celu wyeliminowanie nieprawidowoci w zwizku 24.02.2010 z uzyskaniem przez GIODO informacji, z ktrej DOLiS-440-967/09/7922/10 wynika, i na stronie internetowej Urzdu Miejskiego w asku udostpniono dane osoby fizycznej zawarte w uchwale nr VI/45/07 Rady Miejskiej w asku z dn. 07.03.2007 r. Wystpienie o zmian stosowanej praktyki w zwizku z upublicznieniem na drzwiach zewntrznych 5.03.2010 przedszkola, danych osobowych rodzicw dzieci DOLiS-035-25/10/9401/9404 uczszczajcych do tego przedszkola w zakresie imienia, nazwiska, adresu zamieszkania, poniewa prowadzi ona do naruszenia zasady ochrony danych osobowych.

142

15.

Szef Kancelarii Prezydenta RP

24.03.2010 DOLiS-440-983/12603/10

16.

Minister Spraw Wewntrznych i Administracji

24.03.2010 DOLiS-0352114/09/12599/10

Wystpienie z prob o podjcie dziaa w celu dostosowania procesu pozyskiwania danych osobowych dziennikarzy przez Kancelari Prezydenta RP podczas rejestracji w przeznaczonym dla mediw dziale serwisu prezydent.pl do wymogw ustawy o ochronie danych osobowych. Wystpienie z prob o rozwaenie moliwoci zainicjowania przez MSWiA prac legislacyjnych majcych na celu unormowanie w przepisach rangi ustawowej oglnych zasad dotyczcych wideonadzoru. Wystpienie w celu zasygnalizowania zastrzee do prowadzenia przez podlege Prokuratorowi Generalnemu prokuratury, postpowa przygotowawczych wszcztych na podstawie zawiadomie kierowanych przez GIODO, a polegajcych na nieuzasadnionym umarzaniu przedmiotowych postpowa lub odmowie ich wszczcia, co nasuwa wtpliwoci odnonie poprawnoci interpretacji przepisw ustawy o ochronie danych osobowych, a w konsekwencji prowadzi do lekcewaenia praw osb, ktrych dane s przetwarzane. Wystpienie (ponowne) o uwzgldnienie przepisw powszechnie obowizujcego prawa i odstpienie od wprowadzenia w Zespole Szk elektronicznego systemu kontroli dostpu na teren placwki, ktry odczytuje/skanuje obraz linii papilarnych nauczycieli, pracownikw i uczniw. Wystpienie z prob o podjcie dziaa majcych na celu zapobieenie praktyce udostpniania przez komornika sdowego danych osobowych zwizanych z osob dunika na rzecz osb nieupowanionych jako niezgodnej z przepisami ustawy o ochronie danych osobowych. Wystpienie z prob o dostosowanie procesu przetwarzania danych osobowych do zasad wynikajcych z przepisw ustawy o ochronie danych osobowych, w zwizku z informacjami w odniesieniu do zakresu danych osobowych pozyskiwanych na potrzeby przeprowadzenia konkursu na funkcj dyrektora jednostki badawczo-rozwojowej o nazwie Instytut Mechaniki Precyzyjnej w Warszawie. Wystpienie o zmian stosowanej praktyki w zwizku z udostpnianiem na drzwiach cel znajdujcych si w oddziale szpitalnym Aresztu, danych osobowych winiw tam przebywajcych, w zakresie informacji o terminach planowanych wobec nich zabiegw oraz dietach. Wystpienie o zmian praktyki i dostosowanie jej do obowizujcych przepisw prawa, w zwizku z zaczaniem do pism z prowadzonego postpowania administracyjnego przez Wjta Gminy Dobryszyce wykazu zawierajcego dane osobowe stron postpowania. Wystpienie o przedsiwzicie stosownych dziaa zapewniajcych pene poszanowanie przepisw ustawy o ochronie danych osobowych w zwizku z realizowanymi przez organy gminy obowizkami okrelonymi w ustawie z dn. 6.09.2001 r. o dostpie do informacji publicznej.

17.

Prokurator Generalny

1.04.2010 DOLiS-035-800/10/13757

18.

Dyrektor Zespou Szk Muzycznych im. Feliksa Nowowiejskiego w Szczecinie

19.04.2010 DOLiS-035-115/10/16392

19.

Prezes Sdu Rejonowego dla Warszawy Mokotowa

25.05.2010 DOLiS-440-94/09/21542/10

20.

Minister Gospodarki

31.05.2010 DOLiS-035-1332/10/22227

21.

Areszt ledczy Warszawa-Mokotw

11.06.2010 DOLiS-440-241/10/23761

22.

Wjt Gminy Dobryszyce

14.06.2010 DOLiS-440-164/10/24013

23.

Burmistrz Miasta Giycko

15.06.2010 DOLiS-440-138/10/24223

143

24.

25.

26.

Wystpienie z prob o rozwaenie zasadnoci podjcia dziaa legislacyjnych majcych na celu nowelizacj przepisw regulujcych przetwarzanie Minister Spraw Wewntrznych 25.06.2010 danych osobowych w Krajowym Systemie Informacji i Administracji DOLiS-440-20/10/25634 Policji (KSIP), poprzez wprowadzenie do nich regulacji precyzyjnie okrelajcych okresy, w ktrych Policja moe przetwarza w KSIP pozyskane dane osobowe. Wystpienie o dostosowanie procesu przetwarzania przez Stra Miejsk w Zabrzu danych osobowych gromadzonych poprzez system monitoringu 01.07.2010 wizyjnego miasta Zabrze, w zwizku z zawartym Komendant Stray Miejskiej DOLiS-440z Prezydentem Miasta porozumieniem, co do w Zabrzu 93/10/26459,26465 wymogw ustawy o ochronie danych osobowych poprzez jednoznaczne wskazanie w treci ww. umowy zakresu danych osobowych powierzonych na jej mocy do przetwarzania przez Komendanta Stray Miejskiej na rzecz Prezydenta Miasta. Wystpienie o zmian praktyki prowadzcej do Dyrektor Radomskiego 12.07.2010r. naruszenia przepisw ustawy o ochronie danych Szpitala Specjalistycznego DOLiS-440-567/09/27919/10 osobowych w zwizku z udostpnieniem przez Szpital im. dr T. Chaubiskiego osobom nieupowanionym danych osobowych pracownikw. Minister Edukacji Narodowej 23.07.2010 DIS-K-421/56/10 Podjcie dziaa majcych na celu zapewnienie, aby placwki owiatowe prowadziy dzienniki zgodnie z przepisami o ochronie danych osobowych. Wystpienie o rozwaenie zasadnoci podjcia stosownych dziaa majcych na celu zbadanie prawidowoci dziaa egzekucyjnych podejmowanych przez komornika sdowego w zwizku z pozyskaniem przez GIODO informacji o podjciu przez niego dziaania niezgodnego z przepisami ustawy o ochronie danych osobowych. Wystpienie z prob o podjcie prac legislacyjnych majcych na celu zawenie zakresu publikacji danych okrelonych w art. 76g ust. 1 ustawy z dn. 29.09.1994 r. o rachunkowoci (Dz. U. z 2009 r. Nr 152, poz. 1223). Wystpienie o rozwaenie podjcia stosownych czynnoci wynikajcych z ustawy z dn. 29.08.1997r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 1119 z pn. zm), celem zbadania skali zjawiska i wyeliminowania ew. nieprawidowoci w zwizku z docierajcymi do GIODO sygnaami dot. praktyki bankw w zakresie prowadzenia akcji marketingowych, polegajcych na przesyaniu swoim klientom spersonalizowanych, nieaktywnych kart kredytowych. Wystpienie o dostosowanie procesu przetwarzania danych osobowych do zasad wynikajcych z przepisw ustawy o ochronie danych osobowych w zwizku z pozyskaniem przez GIODO informacji w odniesieniu do zakresu danych osobowych pozyskiwanych na potrzeby przeprowadzania konkursu na stanowisko specjalisty/starszego specjalisty. Wystpienia o rozwaenie moliwoci zainicjowania przez Ministerstwo Edukacji Narodowej prac legislacyjnych, majcych na celu unormowanie w przepisach rangi ustawowej zasad pozyskiwania oraz okrelenie zakresu danych osobowych

27.

28.

Prezes Sdu Rejonowego w Opolu

27.07.2010 DOLiS-440-401/10/29849

29.

Minister Finansw

3.08.2010 DOLiS-035-1858/10/30789

30.

Przewodniczcy Komisji Nadzoru Finansowego

16.08.2010 DOLiS-074-4/10/32310

31.

Prezes Agencji Rynku Rolnego

26.08.2010 DOLiS-035-2059/10/33730

Minister Edukacji Narodowej 32. Minister Spraw Wewntrznych i Administracji

25.08.2010 DOLiS-035-2099/10/34028, DOLiS-035-2100/10/34034

144

przetwarzanych przy rekrutacji do publicznych szk i przedszkoli. Wystpienie o podjcie dziaa majcych na celu okrelenie ustawowych kryteriw weryfikacji danych osobowych zawartych w zasobach Krajowego Systemu Informacyjnego Policji (KSIP) w zwizku z kierowanymi do GIODO skargami na przetwarzanie danych osobowych w KSIP. Wystpienie sygnalizujce konieczno rozwaenia zasadnoci podjcia dziaa legislacyjnych, majcych na celu nowelizacj przepisw regulujcych przetwarzanie przez Policj danych osobowych w KSIP, poprzez wprowadzenie do nich regulacji precyzyjnie okrelajcych okresy, w ktrych Policja moe przetwarza w KSIP pozyskane dane osobowe. Wystpienie o podjcie dziaa majcych na celu dostosowanie procesu przetwarzania danych do wymogw okrelonych w ustawie o ochronie danych osobowych w zwizku z powziciem przez GIODO informacji o sposobie przetwarzania danych osobowych zawartych w ankietach zgoszeniowych wypenianych przez bez-robotnych wraz z wnioskiem o skierowanie na szkolenie w trybie indywidualnym przez Centrum Aktywizacji Zawodowej w Powiatowym Urzdzie Pracy w Bydgoszczy. Podjcie dziaa majcych na celu zalegalizowanie przetwarzania danych osobowych w Krajowym Rejestrze Nowotworw oraz w wojewdzkich rejestrach nowotworw. Podjcie dziaa zmierzajcych do dostosowania systemu informatycznego funkcjonujcego w urzdach kontroli skarbowej, do wymogw okrelonych w 7 ust. 1 pkt 1 i pkt 2 oraz w 7 ust. 3 rozporzdzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych.

33.

Minister Spraw Wewntrznych i Administracji

01.09.2010 DOLiS-440-696/10/34865

34.

Komendant Gwny Policji

22.09.2010 DOLiS-440-696/10/37853

35.

Dyrektor Powiatowego Urzdu Pracy w Bydgoszczy

9.10.2010 DOLiS-035-2809/10/44465

36.

Minister Zdrowia

11.10.2010 DIS-K-421/127/10 11.10.2010 DIS-K-421/97/10, DIS-K-421/100/10, DIS-K-421/102/10, DIS-K-421/103/10, DIS-K-421/117/10, DIS-K-421/119/10, DIS-K-421/120/10, DIS-K-421/122/10, DIS-K-421/124/10, DIS-K-421/125/10 14.10.2010 DIS-K-421/115/10

37.

Minister Finansw

38.

Minister Zdrowia

39.

Powiatowy Inspektor Nadzoru Budowlanego w Kraniku

Zwrcenie uwagi na praktyk stosowan przez podmioty wiadczce usugi optyczne (prowadzce salony optyczne) przy przetwarzaniu danych osobowych. Wystpienie o podjcie stosownych dziaa celem 01.12.2010 wyeliminowania wypadkw udostpniania danych DOLiS-440-977/09/47633/10 osobowych utrwalonych w aktach postpowa administracyjnych prowadzonych przez PINB w Kraniku, w sytuacji braku okrelonych przepisami ustawy o ochronie danych osobowych podstaw prawnych dla takiego udostpnienia.

145

Zacznik nr 2 Wykaz najwaniejszych wystpie Generalnego Inspektora Ochrony Danych Osobowych w roku 2010 do podmiotw prywatnych

Lp. 1.

2.

3.

4.

5.

6.

7.

8.

Wystpienie o zmian formularza zamieszczonego na stronie internetowej http://n.pl/nskleo/promocja_full.html sucego do dokonania zamwienia usugi i sprztu w sklepie internetowym celem dostosowania do przepisw ustawy ochronie danych osobowych. Zarzd Wsplnoty 08.01.2010 Wystpienie o przestrzeganie przepisw ustawy Mieszkaniowej Stryjeskich 6 DOLiS-440-72/09/864/10 o ochronie danych osobowych w zwizku z faktem zamieszczenia przez zarzd Wsplnoty na klatkach schodowych, danych osobowych jej czonkw. Prezes Zarzdu Zakadu 19.01.2010 Wystpienie z prob o dooenie w trakcie Przewozw i Spedycji DOLiS-440-262/09/ udostpniania danych osobowych szczeglnej SPEDOKS Sp. z o.o. 2327/10 starannoci w celu ochrony interesw osb, ktrych dane dotycz, w zwizku z uzyskaniem przez GIODO informacji o udostpnianiu przez Zakad danych osobowych pracownikw na rzecz Midzyzakadowej Organizacji Zwizkowej NSZZ SOLIDARNO Koksowni Przyja. Prezes Zarzdu Polkomtel S.A. 21.01.2010 Wystpienie o podjcie stosownych dziaa celem DOLiS-440wyeliminowania nieprawidowoci, w zwizku z uzyskaniem przez GIODO informacji, i 939/09/2671/10 Polkomtel S.A. przetwarza dane osobowe w celach marketingowych, pomimo wniesienia sprzeciwu w tym zakresie. Prezes Zarzdu Banku 25.01.2010 Wystpienie z wnioskiem o wszczcie stosownego Pekao S.A. DOLiS-440postpowania dyscyplinujcego wobec osoby, 193/09/3177/10 ktra swoim zachowaniem doprowadzia do powstania uchybie w procesie przetwarzania przez Bank danych osobowych Pani M.G. Prezes Zarzdu PGE Zakad 26.01.2010 Wystpienie o zastosowanie odpowiednich Energetyczny Biaystok S.A. DOLiS-440rodkw technicznych i organizacyjnych, ktre 793/09/3587/10 zapewni odpowiedni ochron przetwarzanych danych osobowych, w zwizku z uzyskaniem przez GIODO informacji, i dane osobowe przetwarzane przez PGE Zakad Energetyczny BIAYSTOK S.A. nie s naleycie chronione przed dostpem osb nieupowanionych. Kierownik Programu 11.02.2010 Wystpienie o podjcie dziaa majcych na celu Psychologiczne przyczyny DOLiS-035-285/10/5903 dostosowanie procesu przetwarzania danych i nastpstwa wypadkw osobowych do wymogw okrelonych w ustawie drogowych TRAKT o ochronie danych osobowych, w zwizku Interdyscyplinarne Centrum z powziciem przez GIODO informacji Genetyki Zachowania o przetwarzaniu danych osobowych osb Uniwersytet Warszawski poszkodowanych w wypadkach drogowych. Prezes Zarzdu 09.03.2010 Wystpienie o podjcie dziaa majcych na celu Gold Finance Sp. z o.o. DOLiS-440dostosowanie procesu przetwarzania przez Spk 880/08/9888/10 danych osobowych gromadzonych przy pomocy elektronicznego formularza umoliwiajcego kontakt z doradc dostpnego za porednictwem

Nazwa podmiotu, do ktrego skierowano wystpienie ITI Neovision Sp. z o.o.

Data wystpienia/ Sygnatura sprawy 05.01.2010 DOLiS-035-1/10/252

Przedmiot wystpienia

146

9.

10.

11.

12.

13.

14.

15.

16.

17.

18.

19.

20.

strony internetowej www.bankier.pl/cf/goldfinance Prezes Zarzdu Nordea 09.03.2010 Wystpienie o uwzgldnienie w dziaalnoci Powszechne Towarzystwo DOLiS-440-422/09 Nordea Otwartego Funduszu Emerytalnego zasad Emerytalne S.A. DOLiS-440-428/09/ wynikajcych z ustawy o ochronie danych 9913/10 osobowych w odniesieniu do przetwarzania danych osobowych w zwizku z prowadzon przez Fundusz dziaalnoci akwizycyjn. Prezes Zarzdu Polskiego 10.03.2010 Wystpienie o podjcie dziaa w celu Grnictwa Naftowego i DOLiS-440dostosowania treci stosowanych przez PGNiG Gazownictwa S.A. 269/09/10152/10 wzorcw formularzy Umowy kompleksowej dostarczania paliwa gazowego sucych do aktualizacji umw sprzeday paliwa zawartych przed 1 lipca 2007 r. oraz stosowanych w procesie obsugi klientw formularzy Wniosku o zawarcie umowy o przyczenie do sieci gazowej oraz Owiadczenia dotyczcego tytuu prawnego do korzystania z lokalu/obiektu/nieruchomoci... do wymogw ustawy o ochronie danych osobowych. Kierownik Filii Centrum 11.03.2010 Wystpienie z prob o zastosowanie Likwidacji Szkd PZU S.A. DOLiS-035-10/10/10425 odpowiednich rodkw technicznych w Warszawie i organizacyjnych, w zwizku ze zgaszaniem szkd komunikacyjnych przez klientw. 11.03.2010 Wystpienie o uwzgldnienie zasad ochrony KOKSZTYS Kancelaria Prawa DOLiS-035-09/10/10423 danych osobowych w dziaalnoci Spki Gospodarczego Sp. k. i zaprzestanie udostpniania danych osobowych osobom nieupowanionym. Kierownik Administracji 22.03.2010 Wystpienie, w nawizaniu do materiaw Osiedla Jana III Sobieskiego DOLiS-035-92/10/11856 prasowych Ssiedzkie oko obserwuje oraz Poznaskiej Spdzielni Przeduenie oka, ktre ukazay si w Gosie Mieszkaniowej Wielkopolski w dn. 17.02.2010 r. dotyczcych umieszczenia na osiedlu kamer, celem zwrcenia uwagi, i naruszane moe by konstytucyjne prawo do prywatnoci. Prezes Maej Spdzielni 16.04.2010 Wystpienie w sprawie odstpienia od praktyki Mieszkaniowej Eliza DOLiS-035umieszczaniu przez Spdzielni na tablicy we Wrocawiu 2316/09/15967 informacyjnej listy jej czonkw. Wystpienie o przedsiwzicie stosownych dziaa Prezes Spdzielczej Kasy 19.04.2010 zapewniajcych niezwoczne respektowanie przez Oszczdnociowo Kredytowej DOLiS-440SKOK im. F. Stefczyka zoonych przez jej im. F. Stefczyka 734/09/16294/10 klientw owiadcze o sprzeciwie wobec przetwarzania ich danych osobowych dla realizowanych przez SKOK celw marketingowych. Prezes Zarzdu Niepublicznego 21.04.2010 Wystpienie w sprawie zastosowania Zakadu Opieki Zdrowotnej DOLiS-035odpowiednich rodkw technicznych i MEDICUS Sp. z o.o. 948/10/16762 organizacyjnych przy rejestracji pacjentw. z Naka nad Noteci Wystpienie o podjcie stosownych dziaa Prezes Zarzdu Wydawnictwa 24.05.2010 majcych na celu wyeliminowanie C.H. Beck Sp. z o.o. DOLiS-440nieprawidowoci w zwizku z przetwarzaniem 473/09/21247/10 danych osobowe w celach marketingowych, pomimo wniesienia sprzeciwu w tym zakresie. Pierwszy Wiceprezes Zarzdu 27.05.2010 Wystpienie o respektowanie przepisw prawa, Banku PEKAO S.A. DOLiS-440-23/10/21879 w zwizku z nieprawidowociami w realizacji obowizku informacyjnego, wynikajcego z art. 33 ustawy o ochronie danych osobowych. Prezes Zarzdu Klubu 23.06.2010 Wystpienie w sprawie dostosowania formularza Pikarskiego Legia Warszawa DOLiS-440-86/10/25251 karty kibica do wymogw okrelonych w ustawie S.S.A. o ochronie danych osobowych. Prezes Zarzdu Castorama 07.07.2010 Wystpienie z prob marketingowych Polska Sp. z o.o. DOLiS-035zastosowanie odpowiednich rodkw technicznych

147

1613/10/27333

21.

Prezes Zarzdu World Class Health Academy Polska Sp. z o.o. Prezes Zarzdu Spdzielni Mieszkaniowej Batory Wschd w Warszawie

11.08.2010 DOLiS-0351956/10/31825 14.09.2010 DOLiS-440472/10/36710

22.

23.

Prezes Zarzdu UPC Polska Sp. z o.o.

29.09.2010 DOLiS-440561/10/38500

24.

Hotel Czarny Potok w Zakopanem

02.11.2010 DOLiS-0352709/10/43197

i organizacyjnych, w zwizku z pozyskiwaniem danych osobowych od klientw w procesie wystawiania faktur. Wystpienie o dostosowanie formularza Zgoszenie uczestnictwa do zasad wynikajcych z przepisw ustawy o ochronie danych osobowych w zakresie obowizku informacyjnego. Wystpienie o przestrzeganie przepisw ustawy o ochronie danych osobowych, w zwizku z uzyskaniem przez GIODO informacji, i Spdzielnia wywiesia w miejscu powszechnie dostpnym wykaz zawierajcy informacje o numerach lokali, ktrych lokatorzy zalegaj z nalenociami z tytuu opat eksploatacyjnych. Wystpienie o przedsiwzicie stosownych dziaa zapewniajcych niezwoczne respektowanie zoonych Spce przez jej klientw owiadcze o sprzeciwie wobec przetwarzania ich danych osobowych w celach marketingowych. Wystpienie o podjcie dziaa prowadzcych do zapewnienia zgodnoci procesu przetwarzania danych osobowych do wymogw okrelonych przepisami ustawy o ochronie danych osobowych oraz w ustawie z dn. 10.04.1974 r. o ewidencji ludnoci i dowodach osobistych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z pn. zm.), w zwizku ze stosowana w Hotelu praktyk zatrzymywania dowodw osobistych goci przez personel. Wystpienie w sprawie respektowanie przepisw ustawy o ochronie danych osobowych, w zwizku z uzyskaniem przez GIODO informacji, i Bank nie wypeni obowizku informacyjnego wynikajcego z art. 33 ustawy w przewidzianym w tym przepisie zakresie i terminie. Wystpienie o dostosowanie procesu przetwarzania danych osobowych do wymogw ustawy o ochronie danych osobowych, w zwizku ze skarg dot. dziaania w przedmiocie przetwarzania danych osobowych zgromadzonych na komputerze subowym udostpnionym firmie serwisowej.

25.

Prezes Zarzdu Deutsche Bank PBC S.A.

02.11.2010 DOLiS-440596/10/43256`

26.

Prezes Zarzdu Dolnolskiej Organizacji Turystycznej

20.12.2010 DOLiS-440-548/50328

148

Zacznik nr 3 Wykaz kontroli przeprowadzonych w 2010 r.


Data / Sygnatura kontroli 13-15.01.2010 DIS-K-421/1/10 13-15.01.2010 18-19.01.2010 DIS-K-421/2/10 13-15.01.2010 DIS-K-421/3/10 13-15.01.2010 19.01.2010 DIS-K-421/4/10 18-20.01.2010 DIS-K-421/5/10 18-20.01.2010 DIS-K-421/6/10 Nazwa i miejsce podmiotu kontrolowanego Wysza Szkoa Ekologii i Zarzdzania w Warszawie, Warszawa, ul. Wawelska 14 Szkoa Gwna Gospodarstwa Wiejskiego w Warszawie, Warszawa, ul. Nowoursynowska 166 Wysza Szkoa Turystyki i Rekreacji im. M. Orowicza, Warszawa, ul. Marymoncka 34 Szkoa Wysza Psychologii Spoecznej, Warszawa, ul. Chodakowska 19/31 Wysza Szkoa Pedagogiczna Zwizku Nauczycielstwa Polskiego, Warszawa, ul. Smulikowskiego 6/8 Burmistrz Miasta Halinw - Urzd Miejski w Halinowie, Halinw, ul. Spdzielcza 1 Polski Zwizek Felinologiczny, Warszawa, ul. Potocka 116/36 Hays Poland Sp. z o. o, Warszawa, ul. Zota 59 Urzd Celny I w Warszawie, Warszawa, ul. 17 Stycznia 49 Duda - Watin S.A. Pozna, ul. Ptasia 4 Prezydent Miasta Kalisza, Kalisz, ul. Gwny Rynek 20 Zesp Szk w Szamocinie, Szamocin, ul. 19 Stycznia 29 Inicjatywa kontroli z urzdu Rozstrzygnicie oraz/lub data i sygnatura decyzji nie stwierdzono uchybie

L.p.

1.

2.

z urzdu

nie stwierdzono uchybie 17.05.2010 decyzja DIS/DEC-587/20305/10 27.05.2010 decyzja DIS/DEC-655/21899/10 2010-04-27, decyzja DIS/DEC-512/17644/10 wnioski przekazano do Departamentu Rejestracji Zbiorw Danych Osobowych przywrcono stan zgodny z prawem 27.04.2010 decyzja DIS/DEC-514/17649/10 23.07.2010 decyzja DIS/DEC-961/29613/10 nie stwierdzono uchybie 14.04.2010 decyzja DIS/DEC-423/15625/10 nie stwierdzono uchybie

3.

z urzdu

4.

z urzdu

5.

z urzdu

6. 7.

DRZDO DOLiS DOLiS z urzdu DRZDO DRZDO Prokuratura Rejonowa w rodzie Wlkp. DOLiS

19-21.01.2010 DIS-K-421/7/10 20-22.01.2010 8. DIS-K-421/8/10 23.01.2010 9. DIS-K-421/15/10 25-28.01.2010 10. DIS-K-421/9/10 25-28.01.2010 11. DIS-K-421/13/10 12. 25-28.01.2010 DIS-K-421/14/10

Alicja Kaszuba prowadzca 25-29.01.2010 dziaalno gospodarcz pod nazw 13. DIS-K-421/11/10 Salon Gier ALA, Krakw, ul. Strzelcw 23/21 25-29.01.2010 Sky Club Sp. z o. o. 14. DIS-K-421/10/10 Krakw, ul. Dukatw 10 Przedsibiorstwo Handlowo 26-29.01.2010 Usugowe HETMAN 15. DIS-K-421/12/10 Sp. z o. o., Katowice, Al. W. Korfantego 51/9a 03-05.02.2010 Izba Celna w Warszawie, 16. DIS-K-421/16/10 Warszawa, ul. Erazma Cioka 14 A Uniwersytet Warszawski, 08-12.02.2010 17. Warszawa, ul. Krakowskie DIS-K-421/17/10 Przedmiecie 26/28 08-12.02.2010 Warszawski Uniwersytet Medyczny, 18. DIS-K-421/18/10 Warszawa, ul. wirki i Wigury 61 Wojskowa Akademia Techniczna 08-12.02.2010 19. im. J. Dbrowskiego, Warszawa, DIS-K-421/19/10 ul. Gen. Sylwestra Kaliskiego 2 08-12.02.2010 Akademia Wychowania Fizycznego 20. DIS-K-421/20/10 im. Jzefa Pisudskiego, Warszawa,

27.05.2010 decyzja DIS/DEC-651/21887/10 nie stwierdzono uchybie 18.03.2010 zawiadomienie o przestpstwie 16.06.2010 decyzja DIS/DEC-727/24348/10 nie stwierdzono uchybie 27.05.2010 decyzja DIS/DEC-654/21894/10 27.05.2010 decyzja DIS/DEC-653/21892/10 29.06.2010 decyzja DIS/DEC-831/26029/10

DOLiS

DOLiS

DOLiS z urzdu z urzdu z urzdu z urzdu

149

21.

15-19.02.2010 DIS-K-421/21/10 15-19.02.2010 DIS-K-421/22/10 17-19 i 22.02.2010 DIS-K-421/23/10 17-19.02.2010 DIS-K-421/24/10 22-26.02.2010 DIS-K-421/25/10 22-26.02.2010 DIS-K-421/26/10

22.

23.

24.

25.

26. 27.

22-26.02.2010 DIS-K-421/27/10 22-26.02.2010 28. DIS-K-421/28/10 29. 22-26.02.2010 DIS-K-421/29/10 23-26.02.2010 DIS-K-421/30/10 02-05.03.2010 DIS-K-421/31/10 03-05.03.2010 DIS-K-421/32/10 08-11.03.2010 DIS-K-421/36/10 08-12.03.2010 DIS-K-421/33/10 08-12.03.2010 DIS-K-421/34/10

30.

31.

32.

33. 34.

35. 36.

08-12.03.2010 DIS-K-421/35/10 12 i 15-18.03.2010 37. DIS-K-421/37/10 38.

ul. Marymoncka 34 Szkoa Gwna Handlowa w Warszawie, Warszawa, Al. Niepodlegoci 162 Akademia Teatralna im. Aleksandra Zelwerowicza, w Warszawie, ul. Miodowa 22/24 Dom Maklerski Banku Ochrony rodowiska S.A., Warszawa, ul. Marszakowska 78/80 Wysza Szkoa Stosunkw Midzynarodowych i Amerykanistyki, Warszawa, ul. Rozogi 10 Dom Maklerski TMS Brokers S.A., Warszawa, Al. Jerozolimskie 123 A Dom Maklerski Banku Handlowego S.A. w Warszawie, ul. Chabiskiego 8 Alior Bank S.A., Warszawa, Al. Jerozolimskie 94 Bank Gospodarki ywnociowej S.A., Warszawa, ul. Kasprzaka 10/16 Akademia Sztuk Piknych w Warszawie, Warszawa, ul. Krakowskie Przedmiecie 5 Wysza Szkoa Handlu i Prawa im. Ryszarda azarskiego, Warszawa, ul. wieradowska 43 Wysza Szkoa Spoeczno Ekonomiczna w Warszawie, Warszawa, ul. Kasprzaka 29/31 Andrzej Kollwitz prowadzcy dziaalno gospodarcz pod nazw Andrzej Kollwitz LENDER, Warszawa, ul. Targowa 66 paw. 31 Fundacja Kupfranki.org , Pozna, ul. Rubie 46 lok. C4/66 Wysza Szkoa Przedsibiorczoci i Administracji w Lublinie, Lublin, ul. Bursaki 12 Burmistrz Miasta Zotowa Urzd Miasta Zotowa, Zotw, Aleja Piasta 1 Wysza Szkoa Informatyki w odzi, d, ul. Rzgowska 17 A Collegium Civitas, Warszawa, Plac Defilad 1

z urzdu

01.07.2010 decyzja DIS/DEC-856/26446/10 14.05.2010 decyzja DIS/DEC-585/20169/10 nie stwierdzono uchybie

z urzdu

z urzdu

z urzdu

23.07.2010 decyzja DIS/DEC-960/29609/10 27.05.2010 decyzja DIS/DEC-513/17646/10 nie stwierdzono uchybie nie stwierdzono uchybie 01.07.2010 decyzja DIS/DEC-857/26450/10 27.05.2010 decyzja DIS/DEC-652/21890/10 30.06.2010 decyzja DIS/DEC-840/26161/10 10.05.2010 decyzja DIS/DEC-560/19221/10 29.07.2010 decyzja DIS/DEC-978/30221/10 brak przetwarzania danych osobowych 10.06.2010 decyzja DIS/DEC-703/23707/10 nie stwierdzono uchybie 11.06.2010 decyzja DIS/DEC-706/23841/10 08.06.2010 decyzja DIS/DEC-692/23433/10 03.09.2010 decyzja DIS/DEC1053/35065,35070/10 nie stwierdzono uchybie 30.06.2010 decyzja DIS/DEC-842/26168/10 nie stwierdzono uchybie

z urzdu

z urzdu z urzdu z urzdu z urzdu

z urzdu

z urzdu

DOLiS

DOLiS z urzdu

z urzdu z urzdu z urzdu

Zarzd Transportu Zbiorowego w w zwizku z 15-19.03.2010 Rybniku, Rybnik, ul. Budowlanych 6 kontrol DIS-KDIS-K-421/38/10 421/154/09 Miejski Orodek Sportu w zwizku z 15-19.03.2010 39. i Rekreacji, Rybnik, kontrol DIS-KDIS-K-421/39/10 ul. Gliwicka 72 421/154/09 Wysza Szkoa Umiejtnoci im. St. 15-19.03.2010 40. Staszica w Kielcach, Kielce, z urzdu DIS-K-421/40/10 ul. Wesoa 52 Centrum Rekreacji i Rehabilitacji w zwizku z 15-19.03.2010 41. Bushido, Rybnik, ul. Floriaska 1 kontrol DIS-KDIS-K-421/41/10 421/154/09

150

42. 43. 44.

15-19.03.2010 DIS-K-421/42/10 22-26.03.2010 DIS-K-421/43/10 22-26.03.2010 DIS-K-421/44/10 22-26.03.2010 DIS-K-421/45/10 22-26.03.2010 DIS-K-421/46/10 29-31.03.2010 DIS-K-421/47/10 29.03-01.04.2010 DIS-K-421/48/10 29.03-01.04.2010 DIS-K-421/49/10 29.03-01.04.2010 DIS-K-421/50/10 30.03-02.04.2010 DIS-K-421/51/10 06-09.04.2010 DIS-K-421/52/10 06-09.04.2010 DIS-K-421/53/10 07-09.04.2010 DIS-K-421/54/10 12-15.04.2010 DIS-K-421/57/10 12-16.04.2010 DIS-K-421/55/10

Rybnickie Suby Komunalne, Rybnik, ul. Jankowicka 41 b BRE Wealth Management S.A., Warszawa, ul. Krlewska 14 Akademia Muzyczna im. Grayny i Kiejstuta Bacewiczw w odzi, d, ul. Gdaska 32 Skandia ycie Towarzystwo Ubezpiecze S.A., Warszawa, ul. Cybernetyki 7 Specjalistyczny Szpital im. dr Alfreda Sokoowskiego, Wabrzych, ul. Sokoowskiego 4 Dom Maklerski Amerbrokers S.A., Warszawa, Al. Jerozolimskie 123 A Dom Inwestycyjny BRE Banku S.A., Warszawa, ul. Wsplna 47/49 Copernicus Securities S.A., Warszawa, ul. Grjecka 5 DB Securities S.A., Warszawa, Al. Armii Ludowej 26 Cargoforte Sp. z o.o., Warszawa, ul. Modularna 17 Centralny Dom Maklerski Pekao S.A., Warszawa, ul. Wooska 18 Erste Securities Polska S.A., Warszawa, ul. Krlewska 16 AXA ycie Towarzystwo Ubezpiecze S.A., Warszawa, ul. Chodna 51 Real, - Sp. z o.o. i Spka Spka Komandytowa, Warszawa, Al. Krakowska 61 Uniwersytet Rolniczy im. Hugona Kotaja w Krakowie, Krakw, Al. Mickiewicza 21 ProgMan S.A., Gdynia, Al. Zwycistwa 96/98

w zwizku z kontrol DIS-K421/154/09 z urzdu z urzdu

29.07.2010 decyzja DIS/DEC-977/30220/10 25.06.2010 decyzja DIS/DEC-800/25660/10 nie stwierdzono uchybie wnioski przekazano do Departamentu Rejestracji Zbiorw Danych Osobowych 24.09.2010 decyzja DIS/DEC-1133/37986/10 nie stwierdzono uchybie nie stwierdzono uchybie 17.05.2010 decyzja DIS/DEC-588/20308/10 08.06.2010 decyzja DIS/DEC-693/23436/10 20.07.2010 decyzja DIS/DEC-943/29154/10 21.06.2010 decyzja DIS/DEC-754/24870/10 30.06.2010 decyzja DIS/DEC-838/26157/10 07.06.2010 decyzja DIS/DEC-689/23129/10 15.10.2010 decyzja DIS/DEC-1206/40994/10 27.08.2010 decyzja DIS/DEC-1034/34110/10 23.07.2010 decyzja DIS/DEC-959/29604/10, wystpienie do Ministra Edukacji Narodowej 13.09.2010 decyzja DIS/DEC-1099/36435/10

45.

DRZDO

46. 47. 48. 49. 50. 51. 52. 53. 54.

DOLIS z urzdu z urzdu z urzdu z urzdu DRZDO z urzdu z urzdu z urzdu

55.

DOLiS

56.

z urzdu

12-16.04.2010 57. DIS-K-421/56/10

DRZDO

Polskie Towarzystwo Walki 12-16.04.2010 z Mukowiscydoz w Rabce Zdroju, 58. DIS-K-421/58/10 Rabka - Zdrj ul. Prof. Jana Rudnika 3 B Dom Maklerski UniCredit CA IB 12-15.04.2010 59. Poland S.A. Warszawa, DIS-K-421/59/10 ul. E. Plater 53 Polskie Grnictwo Naftowe 14-16.04.2010 60. i Gazownictwo S.A. DIS-K-421/60/10 Warszawa, ul. Kasprzaka 25 Towarzystwo Ubezpiecze 19-22.04.2010 61. Compensa S.A., Warszawa, DIS-K-421/63/10 Al. Jerozolimskie 162 19-22.04.2010 Generali Towarzystwo Ubezpiecze 62. DIS-K-421/64/10 S.A. Warszawa, ul. Postpu 15 B 4 Fun Tour Wojciech Baluch, 19-23.04.2010 Sawomir Krliczek, Grzegorz 63. DIS-K-421/61/10 Pietraszewski s.c., Krakw, ul. Czarnowiejska 41/50 19-23.04.2010 Grzegorz Baewicz prowadzcy 64. DIS-K-421/62/10 dziaalno gospodarcz pod nazw

z urzdu

z urzdu

nie stwierdzono uchybie wnioski przekazano do Departamentu Orzecznictwa Legislacji i Skarg nie stwierdzono uchybie 22.07.2010 decyzja DIS/DEC-958/29559/10 zaprzestano przetwarzania danych osobowych nie stwierdzono uchybie

DOLiS

z urzdu z urzdu

DRZDO

DRZDO

151

19-23.04.2010 DIS-K-421/65/10 19-23.04.2010 66. DIS-K-421/66/10 65. 67. 26-29.04.2010 DIS-K-421/72/10 26-29.04.2010 DIS-K-421/73/10 26-29.04.2010 DIS-K-421/67/10 26-30.04.2010 DIS-K-421/68/10

68. 69. 70.

71.

26-30.04.2010 DIS-K-421/69/10

72.

26-30.04.2010 DIS-K-421/70/10 28-30.04.2010 DIS-K-421/71/10 05-06.05.2010 DIS-K-421/74/10 05-07.05.2010 DIS-K-421/75/10 05-07.05.2010 DIS-K-421/76/10 10-13.05.2010 DIS-K-421/80/10 10-13.05.2010 DIS-K-421/82/10 10-13.05.2010 DIS-K-421/77/10 10-14.05.2010 DIS-K-421/79/10 11-12.05.2010 DIS-K-421/78/10 17-19.05.2010 DIS-K-421/81/10 17-19.05.2010 DIS-K-421/85/10

73.

74. 75.

76. 77. 78. 79. 80.

81.

82.

83.

17-20.05.2010 DIS-K-421/83/10 17-21.05.2010 85. DIS-K-421/84/10 84.

Benhauer, Krakw, ul. Pisudskiego 28 A Politechnika Biaostocka, Biaystok, ul. Wiejska 45 A Comp S.A., Warszawa, ul. Jutrzenki 116 Towarzystwo Ubezpiecze Allianz Polska S.A., Warszawa, ul. Rodziny Hiszpaskich 1 Chartis Europe S.A. Oddzia w Polsce, Warszawa, ul. Marszakowska 111 Millennium Dom Maklerski S.A., Warszawa, ul. St. aryna 2 A Jednostka Obsugi Finansowej Gospodarki Nieruchomociami, Zabrze, ul. Targowa 2 Bohdan Tomaszewski prowadzcy dziaalno gospodarcz pod nazw "Dziecice Centrum Edukacyjno Sportowe Tomaszewski Bohdan", Wrocaw, ul. Przyjani 38 a lok. 3 Wysza Szkoa Europejska im. ks. Jzefa Tischnera, Krakw, ul. Westerplatte 11 Beata Drd prowadzca dziaalno gospodarcz pod nazw "Akademia Smart - Start", Radomierzyce, ul. Sadowa 8 Fundacja "Azyl", d, ul. Polna 21 a Towarzystwo Ubezpiecze na ycie Cardif Polska S.A., Warszawa, ul. Nowogrodzka 11 Powszechny Zakad Ubezpiecze na ycie S.A., Warszawa, Al. Jana Pawa II 24 Przedsibiorstwo Handlowe A-T S.A., Krotoszyn, ul. Zacisze 2 Fundacja Instytut Edukacji Spoecznej i Religijnej im. Ks. Piotra Skargi, Krakw, ul. Augustiaska 28 X - Trade Brokers Dom Maklerski S.A. Warszawa, ul. Ogrodowa 58 Wysza Szkoa Menederska w Warszawie, Warszawa, ul. Kawczyska 36 Okrgowy Zarzd Polskiego Zwizku Dziakowcw w Czstochowie, Czstochowa, ul. Br 201 Polska Telefonia Komrkowa Centertel Sp. z o. o., Warszawa, ul. Skierniewicka 10 a BENEFIA Towarzystwo Ubezpiecze na ycie Vienna Insurance Group, Warszawa, ul. Rydygiera 21 Media Regionalne Sp. z o.o., Warszawa, ul. Prosta 51 Uniwersytet Muzyczny Fryderyka Chopina, Warszawa, ul. Oklnik 2

z urzdu DOLiS z urzdu

30.06.2010 decyzja DIS/DEC-839/26159/10 ustalenia wykorzystane w postpowaniu DIS-K-421/114/10 17.08.2010 decyzja DIS/DEC-1021/32677/10 nie stwierdzono uchybie nie stwierdzono uchybie 26.10.2010 decyzja DIS/DEC-1222/42400/10

z urzdu z urzdu z urzdu

z urzdu

21.09.2010 decyzja DIS/DEC-1123/37610/10

z urzdu

10.11.2010 decyzja DIS/DEC-1258/44627/10 08.11.2010 decyzja DIS/DEC-1253/44154/10 16.09.2010 decyzja DIS/DEC-1116/37005/10 15.09.2010 decyzja DIS/DEC-1114/36862/10 17.08.2010 decyzja DIS/DEC-1021/32677/10 30.06.2010 decyzja DIS/DEC-843/26172/10 nie stwierdzono uchybie 30.06.2010 decyzja DIS/DEC-841/26163/10 nie stwierdzono uchybie

z urzdu

DOLiS z urzdu

z urzdu z urzdu DOLiS z urzdu z urzdu

DOLiS

przywrcono stan zgodny z prawem

z urzdu

19.10.2010 decyzja DIS/DEC-1212/41382/10 16.09.2010 decyzja DIS/DEC-1115/36951/10 03.02.2011 DIS/DEC-63/4537/11 29.07.2010 decyzja DIS/DEC-979/30224/10

z urzdu

DOLiS z urzdu

152

86. 87.

17-21.05.2010 DIS-K-421/86/10

17-21.05.2010 DIS-K-421/87/10 24-27.05.2010 88. DIS-K-421/88/10 89. 90. 91. 92. 93. 24-28.05.2010 DIS-K-421/89/10 24-28.05.2010 DIS-K-421/90/10 26-28.05.2010 DIS-K-421/91/10 26-28.05.2010 DIS-K-421/92/10 26-28.05.2010 DIS-K-421/94/10 07-09.06.2010 DIS-K-421/95/10 07-10.06.2010 DIS-K-421/97/10 08 i 11.06.2010 DIS-K-421/96/10 09-11.06.2010 DIS-K-421/98/10 10-11.06.2010 DIS-K-421/99/10 14-16.06.2010 DIS-K-421/101/10 14-17.06.2010 DIS-K-421/102/10 14-17.06.2010 DIS-K-421/103/10 14-18.06.2010 DIS-K-421/100/10 16-18.06.2010 DIS-K-421/104/10 21-24.06.2010 DIS-K-421/106/10 21-25.06.2010 DIS-K-421/105/10

Akademia Grniczo - Hutnicza im. St. Staszica w Krakowie, Krakw, Al. Mickiewicza 30 Dolsat Sp. z o.o., Bechatw, ul. Wojska Polskiego 23 C Dotpay S.A., Krakw, ul. Wielicka 72 Europejska Wysza Szkoa Prawa i Administracji, Warszawa, ul. Grodzieska 21/29 PKO Bank Polski S.A., Warszawa, ul. Puawska 15 MetLife Towarzystwo Ubezpiecze na ycie S.A., Warszawa, ul. Puawska 17 Polska Telefonia Cyfrowa Sp. z o.o., Warszawa, Al. Jerozolimskie 181 Google Poland Sp. z o.o., Warszawa, ul. E. Plater 53 AVIVA Towarzystwo Ubezpiecze na ycie S.A., Warszawa, ul. Prosta 70 Dyrektor Urzdu Kontroli Skarbowej w odzi, d, ul. Ks. Brzski 24 Tomasz Bieniek prowadzcy dziaalno gospodarcz pod nazw "Tomasz Bieniek", Warszawa, ul. Fletniowa 24 D Polkomtel S.A., Warszawa, ul. Postpu 3 Szef Urzdu do Spraw Cudzoziemcw, Warszawa, ul. Koszykowa 16 Nordea Polska Towarzystwo Ubezpiecze na ycie S.A., Warszawa, Al. Jana Pawa II 2 Dyrektor Urzdu Kontroli Skarbowej w Bydgoszczy, Bydgoszcz, ul. Dr K. Marcinkowskiego 7 Dyrektor Urzdu Kontroli Skarbowej w Kielcach, Kielce, ul. Sandomierska 105 Dyrektor Urzdu Kontroli Skarbowej w Warszawa, Warszawa, ul Cybernetyki 19 B PRAMERICA ycie Towarzystwo Ubezpiecze i Reasekuracji S.A., Warszawa, Al. Jana Pawa II 23 Loyalty Partner Polska Sp. z o.o., Warszawa, Al. Jerozolimskie 148 Grupa Onet.pl S.A., Krakw, ul. G. Zapolskiej 44 StarGraphics Sp. z o.o. Warszawa, ul. Sarmacka 7b/2 P4 Sp. z o.o., Warszawa, ul. Tamowa 7 K2 Doradcy Finansowi

DOLiS z urzdu DOLiS z urzdu z urzdu z urzdu z urzdu DOLiS

17.08.2010 decyzja DIS/DEC-1018/32575/10 13.01.2011 decyzja DIS/DEC-13/1114/11 20.07.2010 decyzja DIS/DEC-945/29158/10 01.10.2010 decyzja DIS/DEC-1149/38892/10 nie stwierdzono uchybie nie stwierdzono uchybie nie stwierdzono uchybie wnioski przekazano do Departamentu Orzecznictwa Legislacji i Skarg nie stwierdzono uchybie 01.12.2010 decyzja DIS/DEC-1324/47593/10 wnioski przekazano do Departamentu Rejestracji Zbiorw Danych Osobowych 04.11.2010 decyzja DIS/DEC-1244/43775/10 wnioski przekazano do Departamentu Orzecznictwa Legislacji i Skarg nie stwierdzono uchybie

94.

z urzdu

95.

z urzdu

96.

DRZDO

97. 98.

z urzdu DOLiS

99.

z urzdu

100.

z urzdu

01.12.2010 decyzja DIS/DEC-1325/47595/10 03.12.2010 decyzja DIS/DEC-1330/47863/10 przywrcono stan zgodny z prawem

101.

z urzdu

102.

z urzdu

103.

z urzdu

nie stwierdzono uchybie 10.09.2010 decyzja DIS/DEC-1098/36246/10 18.01.2011 decyzja DIS/DEC27/2040,2042,2046/11 17.08.2010 decyzja DIS/DEC-1022/32681/10 15.12.2010 decyzja DIS/DEC-1375/49785/10 przywrcono stan zgodny z prawem

104.

z urzdu

105. 106.

DOLiS DOLiS z urzdu DOLiS

28-29.06.2010 DIS-K-421/107/10 28-30.06.2010 107. DIS-K-421/108/10 108. 05-08.07.2010

153

DIS-K-421/111/10 109. 110. 111. 05-09.07.2010 DIS-K-421/109/10

Sp. z o.o., Warszawa, ul. Domaniewska 41 Nasza Klasa Sp. z o.o., Wrocaw, ul. Gen. J. Bema 2

DOLiS w zwizku z kontrol DIS-K421/113/09 DOLiS DOLiS w zwizku z kontrol DIS-K421/66/10 DOLiS

w toku 21.08.2010 decyzja DIS/DEC-1126/37825/10 06.10.2010 decyzja DIS/DEC-1158/39560/10 04.10.2010 decyzja DIS/DEC-1152/39023/10 29.10.2010 decyzja DIS/DEC1232/42977,42983/10 30.09.2010 decyzja DIS/DEC-1144/38747/10; 14.10.2010 wystpienie do Ministra Zdrowia nie stwierdzono uchybie

05-09.07.2010 Zarzd Transportu Miejskiego w DIS-K-421/110/10 Lublinie, Lublin, Al. Kranicka 25

06-08.07.2010 Finlop Rohr Sp. z o.o., DIS-K-421/112/10 Warszawa, ul. Nocznickiego 33 06-08.07.2010 Makro Cash and Carry Polska S.A., 112. DIS-K-421/113/10 Warszawa, Al. Krakowska 61 113. 07-09.07.2010 DIS-K-421/114/10 07-09.07.2010 DIS-K-421/115/10 Ministerstwo Sprawiedliwoci, Warszawa, Al. Ujazdowskie 11 Vision Express SP Sp. z o.o., Warszawa, Al. Jerozolimskie 200

114.

115.

116.

117.

118.

119. 120. 121. 122. 123.

124.

Zakad Ubezpiecze Spoecznych III 16-20.08.2010 Oddzia w Warszawie, Warszawa, DIS-K-421/116/10 ul. Senatorska 6/8 Dyrektor Urzdu Kontroli 17-20.08.2010 Skarbowej w Biaymstoku, DIS-K-421/117/10 Biaystok, Al. 1000-lecia Pastwa Polskiego 8 Piotr Dulowski prowadzcy dziaalno gospodarcz pod nazw 17-20.08.2010 "Kinesis - Rehabilitacja Piotr DIS-K-421/118/10 Dulowski", Warszawa, ul. Rokosowska 10 Dyrektor Urzdu Kontroli 17-20.08.2010 Skarbowej w Gdasku, DIS-K-421/119/10 Gdask, ul. Chopska 3 Dyrektor Urzdu Kontroli 17-20.08.2010 Skarbowej w Katowicach, DIS-K-421/120/10 Katowice, ul. I. Paderewskiego 32 b 18-20.08.2010 Orbis Casino Sp. z o.o., DIS-K-421/121/10 Warszawa, ul. Jubilerska 10 Dyrektor Urzdu Kontroli 23-27.08.2010 Skarbowej w Olsztynie, Olsztyn, DIS-K-421/122/10 ul. Lubelska 37 23-27.08.2010 Gmina Stara Kiszewa, DIS-K-421/123/10 Stara Kiszewa, ul. Ogrodowa 1 Dyrektor Urzdu Kontroli 23-27.08.2010 Skarbowej w Lublinie, Lublin, DIS-K-421/124/10 ul. Lubomelska 1-3 Dyrektor Urzdu Kontroli 23-27.08.2010 Skarbowej w Poznaniu, Pozna, DIS-K-421/125/10 ul. Strzelecka 2/6 24-26.08.2010 Bank Polskiej Spdzielczoci S.A., DIS-K-421/126/10 Warszawa, ul. Pocka 9/11B Centrum Onkologii - Instytut im. M. 24-27.08.2010 Skodowskiej Curie w Warszawie, DIS-K-421/127/10 Warszawa, ul. W. K. Roentgena 5 06-07.09.2010 GTS Energis Sp. z o.o., Warszawa, DIS-K-421/129/10 Al. Niepodlegoci 69 06-08.09.2010 Polkomtel S.A., Warszawa, DIS-K-421/128/10 ul. Postpu 3 07-10.09.2010 Aster Sp. z o.o., Warszawa, DIS-K-421/130/10 ul. Domaniewska 50 07-10.09.2010 Zakad Gospodarki Komunalnej w

DOLiS

z urzdu

201.12.010 decyzja DIS/DEC-1323/47590/10

DOLiS

15.10.2010 decyzja DIS/DEC-1207/40996/10

z urzdu

01.12.2010 decyzja DIS/DEC-1321/47592/10 01.12.2010 decyzja DIS/DEC-1322/47589/10 07.10.2010 decyzja DIS/DEC-1160/39738/10 03.12.2010 decyzja DIS/DEC-1329/47846/10 w toku 03.12.2010 decyzja DIS/DEC-1331/47871/10 01.12.2010 decyzja DIS/DEC-1320/47585/10 wnioski przekazano do Departamentu Orzecznictwa Legislacji i Skarg 11.10.2010 wystpienie do Ministra Zdrowia i Gwnego Urzdu Statystycznego nie stwierdzono uchybie nie stwierdzono uchybie nie stwierdzono uchybie nie stwierdzono uchybie

z urzdu DRZDO z urzdu DOLiS z urzdu

z urzdu

125.

DOLiS

126. 127. 128. 129. 130.

DOLiS z urzdu DOLiS z urzdu z urzdu

154

DIS-K-421/131/10 Konstancinie Jeziornie, Konstancin Jeziorna, ul. Warecka 22 131. 132. 133. 134. 135. 136. 137. 09.09.2010 DIS-K-421/132/10 13-16.09.2010 DIS-K-421/133/10 13-17.09.2010 DIS-K-421/134/10 14-17.09.2010 DIS-K-421/135/10 15-17.09.2010 DIS-K-421/136/10 15-17.09.2010 DIS-K-421/137/10 20-21.09.2010 DIS-K-421/141/10 Google Poland Sp. z o.o., Warszawa, ul. E. Plater 53 Cyfrowy Polsat S.A., Warszawa, ul. ubinowa 4 a InPost Sp. z o.o., Krakw, ul. Malborska 130 COBICO Sp. z o.o., Krakw ul. Grzegrzecka 77 Omnigence Sp. z o.o., Warszawa, ul. Bukowiska 22 B Sferia S.A., Warszawa, ul. Pawia 55 Artegence Sp. z o.o., Warszawa, ul. Bukowiska 22 B DOLiS z urzdu DOLiS DRZDO z urzdu z urzdu w zwizku z kontrol DIS-K421/136/10 wnioski przekazano do Departamentu Orzecznictwa Legislacji i Skarg nie stwierdzono uchybie nie stwierdzono uchybie 15.12.2010 decyzja DIS/DEC-1376/49787/10 15.12.2010 decyzja DIS/DEC-1377/49788/10 nie stwierdzono uchybie 15.12.2010 decyzja DIS/DEC-1377/49788/10

Zesp Szk Rolniczych Centrum Ksztacenia Praktycznego i Centrum 20-23.09.2010 138. Ksztacenia Ustawicznego im. St. DIS-K-421/138/10 Staszica w Mitnem, Mitne, ul. Gwna 49 20-23.09.2010 UPC Polska Sp. z o.o., Warszawa, 139. DIS-K-421/139/10 Al. Jana Pawa II 27 20-23.09.2010 Zarzd Gospodarki Mieszkaniowej 140. DIS-K-421/140/10 w Otwocku, Otwock, ul. Wawerska 8 141. 142. 143. 144. 145. 146. 147. 148. 27.09.2010 Media Regionalne DIS-K-421/143/10 Sp. z o.o., Warszawa, ul. Prosta 51 27-29.09.2010 DIS-K-421/146/10 27-29.09.2010 DIS-K-421/144/10 27-30.09.2010 DIS-K-421/142/10 28-30.09.2010 DIS-K-421/145/10 04-06.10.2010 DIS-K-421/147/10 05-06.10.2010 DIS-K-421/148/10 05-07.10.2010 DIS-K-421/150/10 05-08.10.2010 DIS-K-421/149/10 11.10.2010 DIS-K-421/153/10 11-14.10.2010 DIS-K-421/151/10 11-14.10.2010 DIS-K-421/152/10 11-15.10.2010 DIS-K-421/154/10 18-21.10.2010 DIS-K-421/155/10 Hydrosfera Jzefw Sp. z o.o., Jzefw, ul. Drogowcw 20 Miejski Zakad Oczyszczania w Woominie, Woomin, ul. ukasiewicza 4 TelePolska Sp. z o.o., Warszawa, Al. Jerozolimskie 123 a Zwizek Bankw Polskich, Warszawa, ul. Kruczkowskiego 8 INFOR Biznes Sp. z o.o., Warszawa, ul. Okopowa 58/72 Mobyland Sp. z o.o., Warszawa, ul. Lwowska 19 Plagiat.pl Sp. z o.o., Warszawa, ul. Przanowskiego 32 lok.53 Zakad Wodocigw i Kanalizacji Sp. z o.o., Nowy Dwr Mazowiecki, ul. Gen. Berlinga 100 Carrefour Polska Sp. z o.o., Warszawa, ul. Targowa 72 Zakad Gospodarki Komunalnej w Grodzisku Mazowieckim, Grodzisk Mazowiecki, ul. Sportowa 29 GG Networks S.A., Warszawa, ul. Kamionkowska 45 Radarsystem Sp. z o.o., Gdask, ul. Diamentowa 11 Polskie Technologie Internetowe Sp. z o.o., Sopot, Al. Niepodlegoci 705/5

DOLiS

21.02.2011 DIS-DEC-119/7194/11 07.04.2011 DIS/DEC-289/15964/11 w toku 02.03.2011 DIS/DEC-63/4537/11 20.12.2010 decyzja DIS/DEC-1382/50257/10 26.11.2010 decyzja DIS/DEC-1309/46925/10 08.12.2010 decyzja DIS/DEC-1350/48487/10 nie stwierdzono uchybie 20.12.2010 decyzja DIS/DEC-1381/50253/10 nie stwierdzono uchybie w toku 10.03.2011 DIS/DEC-194/10396/11 brak przetwarzania danych osobowych 21.02.2011 DIS-DEC-118/7190/11 11.01.2011 decyzja DIS/DEC-14/1117/11

z urzdu z urzdu w zwizku z kontrol DIS-K421/83/10 z urzdu z urzdu z urzdu DOLiS DOLiS z urzdu DOLiS

149.

z urzdu

150. 151. 152. 153.

z urzdu z urzdu z urzdu

w zwizku z kontrol DIS-K- w toku 421/123/10 DOLiS nie stwierdzono uchybie

154.

155

155. 156.

157.

158.

159. 160. 161. 162. 163.

164.

165.

Blue Media S.A., Sopot,ul. Haffnera 6 Zakad Gospodarki Komunalnej i 19-22.10.2010 Mieszkaniowej w Milanwku, DIS-K-421/158/10 Milanwek, ul. Fiderkiewicza 41 Zakad Gospodarowania 20-22.10.2010 Nieruchomociami Dzielnicy DIS-K-421/157/10 Biaoka m. st. Warszawy, Warszawa, ul. Marywilska 44 Gminna Gospodarka Komunalna 25-28.10.2010 Ochota Sp. z o. o., DIS-K-421/160/10 Warszawa, ul. Grjecka 184 Miejski Zakad Wodocigw i 26-29.10.2010 Kanalizacji w Sulejwku, DIS-K-421/159/10 Sulejwek,ul. Wodocigowa 10 26-29.10.2010 NetPartner Polska DIS-K-421/161/10 Sp. z o. o., Warszawa, ul. Wilcza 31/1 Przedsibiorstwo Gospodarki 26-29.10.2010 Komunalnej w Zielonce Sp. z o.o., DIS-K-421/162/10 Zielonka, ul. Krzywa 18 27-28.10.2010 Telekomunikacja Polska S.A., DIS-K-421/163/10 Warszawa, ul. Twarda 18 Zakad Unieszkodliwiania Staych 02.11.2010 Odpadw Komunalnych, Warszawa, DIS-K-421/166/10 ul. Gwarkw 9 Okrgowy Zarzd Podkarpacki 02-05.11.2010 Polskiego Zwizku Dziakowcw, DIS-K-421/164/10 Rzeszw, ul. Hanasiewicza 6 a Rodzinny Ogrd Dziakowy "Nasz 02-05.11.2010 Gaj", Rzeszw, DIS-K-421/165/10 Al. Powstacw Warszawy 03-04.11.2010 DIS-K-421/167/10 Zarzd Transportu Miejskiego, Warszawa, ul. Senatorska 37

18-22.10.2010 DIS-K-421/156/10

DOLiS z urzdu

nie stwierdzono uchybie 31.03.2011 DIS/DEC-265/14679/11 11.04.2011 DIS/DEC-292/16555,16557/11

z urzdu

z urzdu

nie stwierdzono uchybie 29.03.2011 DIS/DEC-250/14068/11 nie stwierdzono uchybie nie stwierdzono uchybie 15.12.2010 decyzja DIS/DEC-1374/49782/10 nie stwierdzono uchybie wnioski przekazano do Departamentu Orzecznictwa Legislacji i Skarg wnioski przekazano do Departamentu Orzecznictwa Legislacji i Skarg wnioski przekazano do Departamentu Orzecznictwa Legislacji i Skarg 11.04.2011 DIS/DEC-293/16559/11 nie stwierdzono uchybie przywrcono stan zgodny z prawem 29.03.2011 DIS/DEC-249/14067/11 nie stwierdzono uchybie

z urzdu z urzdu z urzdu z urzdu z urzdu

DOLiS

DOLiS

166. 167.

DOLiS z urzdu DOLiS DOLiS DRZDO

03-05.11.2010 DIS-K-421/168/10 08-09.11.2010 168. DIS-K-421/171/10 08-09.11.2010 169. DIS-K-421/169/10 170.

171.

172.

173.

174. 175.

176.

CP Telecom Sp. z o.o., Warszawa, ul. Bytomska 3 Castorama Polska Sp. z o.o., Warszawa, ul. Krakowiakw 78 BRE Bank S.A., Warszawa, ul. Senatorska 18 HSBC Bank Polska S.A., 08-10.11.2010 Warszawa, DIS-K-421/170/10 ul. Marszakowska 89 Pastwowy Fundusz Rehabilitacji 08-10.11.2010 Osb Niepenosprawnych, Warszawa, DIS-K-421/172/10 Al. Jana Pawa II 13 Zakad Gospodarowania 15-18.11.2010 Nieruchomociami w Dzielnicy DIS-K-421/174/10 Wawer m. st. Warszawy, Warszawa, ul. Trakt Lubelski 353 Zakad Gospodarowania 15-18.11.2010 Nieruchomociami w Dzielnicy DIS-K-421/175/10 Targwek m. st. Warszawy, Warszawa, ul. Gocieradowska 5 15-19.11.2010 Gwny Urzd Statystyczny, DIS-K-421/173/10 Warszawa, Al. Niepodlegoci 208 Miejskie Przedsibiorstwo Usug 22-25.11.2010 Komunalnych Sp. z o.o., DIS-K-421/176/10 Warszawa, ul. Redutowa 25 Przedsibiorstwo Usug 23-26.11.2010 Komunalnych Sp. z o.o., DIS-K-421/177/10 Misk Mazowiecki ul. Tuwima 1

DOLiS

z urzdu

10.03.2011 DIS/DEC-192/10392/11

z urzdu

31.03.2011 DIS/DEC-258/14575/11 29.03.2011 DIS/DEC-252/14105/11 przywrcono stan zgodny z prawem 29.03.2011 DIS/DEC-251/14090/11

z urzdu z urzdu

z urzdu

156

Micha Skrzyski prowadzcy 24-26.11.2010 dziaalno gospodarcz pod nazw 177. DIS-K-421/178/10 "Impessa Micha Skrzyski", Warszawa, ul. Cybernetyki 13 m 66 Akademia Sztuk Piknych 03.12.2010 178. w Warszawie, Warszawa, DIS-K-421/179/10 ul. Krakowskie Przedmiecie 5 Andrzej Kollwitz prowadzcy dziaalno gospodarcz pod firm 03.12.2010 Andrzej Kollwitz "LENDER", 179. DIS-K-421/180/10 Warszawa, ul. Targowa 66 paw. 31 Piotr Tyc Komornik Sdowy przy 03.12.2010 Sdzie Rejonowym dla Warszawy 180. DIS-K-421/181/10 rdmiecia, Kancelaria Komornicza, Warszawa, ul. niadeckich 17 Szkoa Wysza Psychologii 06-07.12.2010 Spoecznej, Warszawa, 181. DIS-K-421/182/10 ul. Chodakowska 19/31 182. 183. 184. 185. 06-08.12.2010 DIS-K-421/183/10 08-09.12.2010 DIS-K-421/184/10 08-09.12.2010 DIS-K-421/186/10 Komendant Gwny Policji, Warszawa, ul. Puawska 148/150 Johnnson & Johnson Poland Sp. z o.o., Warszawa, ul. Iecka 24 Holiday Travel Center Sp. z o.o., Warszawa, ul. Klarysewska 49 a ITI Neovision Sp. z o.o., Warszawa, ul. Kobucka 23 Janssen-Cilag Polska Sp. z o.o., Warszawa, ul. Iecka 24 Szef Urzdu do Spraw Cudzoziemcw, Warszawa, ul. Koszykowa 16 Anmark B. Kryska i Wsplnicy sp.j., Warszawa, ul. Fasolowa 1 Kontrola sprawdzajaca DIS/DEC1089/39969/10 Fundacja Faktu "Od Serca", Warszawa, ul. Domaniewska 52 Instytut Kardiologii im. Prymasa Tysiclecia Stefana Kardynaa Wyszyskiego, Warszawa, ul. Alpejska 42 Multikino S.A., Warszawa, ul. Wiertnicza 166 BRE Bank S.A., Warszawa, ul. Senatorska 18 Akademia Teatralna im. Aleksandra Zelwerowicza, Warszawa, ul. Miodowa 22/24 Centralny Dom Maklerski Pekao S.A., Warszawa, ul. Wooska 18 Biuro Maklerskie Banku Gospodarki ywnociowej S.A., Warszawa, ul. urawia 6/12 Akademia Wychowania Fizycznego im. Jzefa Pisudskiego, Warszawa, ul. Marymoncka 34 Kontrola sprawdzajca - DIS/DEC831/26029/10

z urzdu

w toku

z urzdu

wykonano decyzj DIS/DEC652/21890/10

z urzdu

wykonano decyzj DIS/DEC978/30221/10

z urzdu

wykonano decyzj DIS/DEC276/11299/10 wykonano decyzj DIS/DEC655/21899/10 wnioski przekazano do Departamentu Orzecznictwa Legislacji i Skarg nie stwierdzono uchybie 11.04.2011 DIS/DEC-291/16553/11 w toku nie stwierdzono uchybie wnioski przekazano do Departamentu Orzecznictwa Legislacji i Skarg nie stwierdzono uchybie

z urzdu

DOLiS DRZDO DOLiS DOLiS ORZDO DOLiS

08-10.12.2010 DIS-K-421/185/10 13.12.2010 186. DIS-K-421/190/10 187. 13-14.12.2010 DIS-K-421/187/10 13-14.12.2010 DIS-K-421/189/10 15-17.12.2010 DIS-K-421/194/10 15-20.12.2010 DIS-K-421/188/10

188.

z urzdu

189.

DRZDO

w toku

190.

DOLiS

nie stwierdzono uchybie wykonano decyzj DIS/DEC1002/37026/10 wykonano decyzj DOLiS/DEC1220/10/42383, 42388, 42391 wykonano decyzj DIS/DEC585/20169/10 wykonano decyzj DIS/DEC754/24870/10 wykonano decyzj 857/26450/10 DIS/DEC-

16.12.2010 DIS-K-421/191/10 16.12.2010 192. DIS-K-421/192/10 191. 193. 194. 195. 17.12.2010 DIS-K-421/193/10 20.12.2010 DIS-K-421/195/10 20.12.2010 DIS-K-421/196/10

z urzdu z urzdu z urzdu z urzdu z urzdu

196.

20.12.2010 DIS-K-421/197/10

z urzdu

w toku

157

Zacznik nr 4 Wykaz orzecze Wojewdzkiego Sdu Administracyjnego w Warszawie i Naczelnego Sdu Administracyjnego wydanych w 2010 r. w sprawach prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych
Data/ sygnatura orzeczenia WSA w Warszawie lub NSA 05.01.2010 I OSK 399/09 2. 08.01.2010 II S.A./Wa 069/09 18.01.2010 II S.A./Wa 613/09 19.01.2010 I OSK 491/09 5. 26.01.2010 II SA/Wa1686/09 27.01.2010 II SA/Wa 1671/09 27.01.2010 II SA/Wa 1672/09 27.01.2010 II SA/Wa 1104/09 10.02.2010 II SA/Wa 1783/09 Sygnatura rozstrzygnicia GIODO Rozstrzygnicie WSA w Warszawie lub NSA oddalenie skargi kasacyjnej

L.p.

Przedmiot sprawy

1. DIS/DEC353/14514/08 DOLiS/DEC-63/09/ 16256,16261,16264 DOLiS/DEC-61/09/ 28396,28395 DOLiS/DEC-60/08/ 19685,19691 DOLiS/DEC-53/09/ 28118,28121, 28123,28127 DOLiS/DEC-59/09/ 28307,28308 DOLiS/DEC-69/09/ 28681,28684 DOLiS/DEC-18/09/ 14465,14471 DOLiS/DEC-02/09/ 29178,29180, 29181,19185

Pozyskiwanie do zbioru danych w celach marketingowych danych osobowych potencjalnych klientw bez ich zgody Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie odmowy udostpnienia danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie skargi na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie odmowy udostpnienia danych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie uchylenia decyzji dotyczcej umorzenia postpowania w sprawie przetwarzania danych osobowych Skarga na decyzj w przedmiocie odmowy uwzgldnienia wniosku w sprawie przetwarzania danych Zaprzestanie pozyskiwania danych osobowych na Formularzach wizyty serwisowej przetwarzanych w celach marketingowych, bez zgody osb, ktrych dane dotycz i usunicie danych osobowych pozyskanych na tych formularzach w celach marketingowych, bez zgody osb, ktrych dane dotycz Skarga na decyzj w przedmiocie umorzenia postpowania w sprawie ochrony danych osobowych Skarga na postanowienie w przedmiocie ochrony danych osobowych

oddalenie skargi

3.

odrzucenie skargi

4.

oddalenie skargi kasacyjnej uchylenie zaskaronej decyzji oddalenie skargi

6.

7.

oddalenie skargi

8.

odrzucenie skargi

9.

oddalenie skargi wstrzymanie wykonania decyzji w czci dotyczcej nakazu usunicia danych osobowych pozyskanych na Formularzach wizyty serwisowej i oddalenie wnioski w pozostaej czci uchylenie zaskaronej decyzji uchylenie zaskaronego postanowienia

10.

25.02.2010 II S.A./Wa 150/10

DIS/DEC1092/39983, 39986/09

11.

12.

03.03.2010 II SA/Wa 1349/08 10.03.2010 II S.A./Wa 110/10

DOLiS/DEC-79/08/ 20756,20759 GI-DOLiS-30/4/07/ 4297,4298,4299

158

13.

14.

10.03.2010 II SA/Wa 1857/09 11.03.2010 II S.A./Wa 953/09 15.03.2010 I OSK 756/09

DOLiS/DEC-58/09/ 34487,3488 GI-DEC-DOLiS131/07/ 2904,2905,2906 DOLiS/DEC-479/08/ 20756,20759

Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie ze skargi na decyzj w przedmiocie umorzenia postpowania w sprawie ochrony danych osobowych Skarga na postanowienie z przedmiocie stwierdzenia niedopuszczalnoci wniosku o ponowne rozpatrzenie sprawy Skarga na decyzj w przedmiocie odmowy uwzgldnienia wniosku o nakazie sprostowania danych o stanie zdrowia Skarga na decyzj w przedmiocie nakazu udostpnienia danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie ze skargi na decyzj w przedmiocie ochrony danych osobowych Sprawa ze skargi w przedmiocie postpowania na decyzj umorzenia

oddalenie skargi

oddalenie skargi

15.

oddalenie skargi kasacyjnej

16. 24.03.2010 II S.A./Wa 86/09 17. 31.03.2010 II SA/Wa 330/09 18.

DOLiS/POST351/08/ 32706,32709 GI-DEC-DOLiS254/07/ 6562,6563,6564 DOLiS/DEC1137/09/ 41674,41675,41676 DOLiS/DEC-903/08/ 35920,35923

uchylenie zaskaronego postanowienia podjcie zawieszonego postpowania przez WSA Warszawie

01.04.2010 II SA/Wa 23/10

odrzucenie skargi

19. 13.04.2010 I OSK 1156/09 20.

oddalenie skargi kasacyjnej

14.04.2010 II SA/Wa 2130/09 16.04.2010 I OSK 572/10 19.04.2010 II SA/Wa 251/10 21.04.2010 II SA/Wa 80/10 22.04.2010 I OSK 623/10

DOLiS/DEC1103/09/ 40498,40499,40502 DOLiS/DEC-761/09/ 28396,28395 DOLiS/DEC1249/09/ 46504,46508,46510 DIS/DEC-1069/ 39458/09 DOLiS/DEC-285/09/ 12865,12867

uchylenie zaskaronej decyzji oddalenie skargi kasacyjnej odrzucenie skargi uchylenie zaskaronej decyzji wstrzymanie wykonania zaskaronej decyzji uchylenie zaskaronego postanowienia uchylenie zaskaronej decyzji odmowa przywrcenia terminu do wniesienia skargi uchylenie zaskaronego wyroku

21.

22.

23.

Skarga na decyzj w przedmiocie odmowy udostpnienia danych osobowych Skarga na postanowienie w przedmiocie ochrony danych osobowych Usunicie z urzdzenia sensytometrycznego danych osobowych skarcego Wniosek o wstrzymanie wykonania decyzji Skarga na postanowienie w przedmiocie odmowy przywrcenia terminu do zoenia wniosku o ponowne rozpatrzenie sprawy Skarga na decyzj w przedmiocie nakazu usunicia uchybie przy przetwarzaniu danych osobowych Skarga na decyzj z przedmiocie odmowy stwierdzenia niewanoci decyzji nakazujcej udostpnienie danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie ze skargi na postanowienie w przedmiocie uwzgldnienia wniosku

24.

25. 27.04.2010 II SA/Wa 316/09 26. 29.04.2010 II SA/Wa 219/10 27. 11.05.2010 II SA/Wa 292/10 28. 11.05.2010 I OSK 693/10 GI-DS-430/867/05/ 3397/07/DOLiS DOLiS/DEC1182/09/ 43667,43669 DOLiS/DEC1240/09/ 46218,46221, 46224,46226 DOLiS/POST-42/09/ 4677,4680,4683, 4687

159

29. 11.05.2010 I OSK 963/09 30. 31. 12.05.2010 II SA/Wa 652/10 13.05.2010 II SAB/Wa 3/10 13.05.2010 II SA/Wa 1016/09 DOLiS/DEC-531/08/ 23734,23735 DIS/DEC229/8625/10 DOLiS-440-714/09 DOLiS/DEC-347/09/ 15420,15421

Skarga kasacyjna od wyroku WSA

w Warszawie w sprawie ze skargi na


decyzj w przedmiocie udostpnienia danych Skarga na odmow udostpnienia informacji publicznej Skarga na bezczynno w przedmiocie rozpatrzenia wniosku dotyczcego przetwarzania danych osobowych Skarga na decyzj w przedmiocie udostpnienia danych osobowych Zaprzestanie pozyskiwania danych osobowych na Formularzach wizyty serwisowej przetwarzanych w celach marketingowych, bez zgody osb, ktrych dane dotycz i usunicie danych osobowych pozyskanych na Formularzach wizyty serwisowej przetwarzanych w celach marketingowych, bez zgody osb, ktrych dane dotycz Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie odmowy uwzgldnienia wniosku Skarga kasacyjna od wyroku WSA w Warszawie w sprawie ze skargi na decyzj w przedmiocie umorzenia postpowania Wniosek o przywrcenie terminu do uiszczenia wpisu od skargi na decyzj w przedmiocie nakazu udostpnienia danych

oddalenie skargi kasacyjnej odrzucenie skargi oddalenie skargi

32.

oddalenie skargi

33.

14.05.2010 II SA/Wa 150/10

DIS/DEC-1092/ 39983,39986/09

stwierdzenie niewanoci zaskaronej decyzji

34.

21.05.2010 II SA/Wa 331/10 25.05.2010 II SA/Wa 365/10 27.05.2010 II SA/Wa 358/10 28.05.2010 I OSK 1058/09

35.

36.

DOLiS/DEC1276/09/ 47685,47691 DOLiS/DEC1324/09/ 48315,48317 DOLiS/DEC1265/09/ 47082,47084 DOLiS/DEC-488/08/ 21517,21518, 21519,21520 DOLiS/DEC1137/09/41674, 41675,41676 DOLiS/DEC-217/09/ 9959,9960,9962, 9964,9966,9967, 9970,9973,9978, 9981,9984,9987, 9993 GI-DEC-DOLiS113/07/2904,2905, 2906 DOLiS/POST101/09/ 14892,14893 DOLiS/DEC-110/10/ 3760,3762 DOLiS/DEC-494/08/ 21626,21628 DOLiS/DEC-750/09/ 27846,27854, 27859,27862

uchylenie zaskaronej decyzji oddalenie skargi

oddalenie skargi uchylenie zaskaronego wyroku odmowa przywrcenia terminu do uiszczenia wpisu

37.

38. 11.06.2010 II SA/Wa 23/10 39. 11.06.2010 II SA/Wa 784/09

Skarga na decyzj w przedmiocie przetwarzania danych osobowych

oddalenie skargi

40. 14.06.2010 II SA/Wa 953/09 41. 15.06.2010 II SA/Wa 1130/09 15.06.2010 r. II SA/Wa 556/10 15.06.2010 II SA/Wa 1494/08 21.06.2010 II SA/Wa 1771/09

42. 43.

Wniosek o wykadni wyroku WSA w Warszawie w sprawie ze skargi na decyzj w przedmiocie przetwarzania danych Wniosek o przywrcenie terminu w sprawie ze skargi na postanowienie w przedmiocie odmowy uwzgldnienia wniosku Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarg na decyzj z przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych

odmowa wykadni wyroku przywrcenie terminu do wniesienia skargi oddalenie skargi oddalenie skargi

44.

oddalenie skargi

160

45.

22.06.2010 II SAB/Wa 64/10 23.06.2010 II SA/Wa 872/10 24.06.2010 II SA/Wa 790/10 28.06.2010 II SA/Wa 769/10 01.07.2010 II SA/Wa 744/20 08.07.2010 II SA/Wa 304/09

DOLiS-440-504/09 DOLiS/DEC-309/10/ 12985,12994 DOLiS/DEC249/10/9573 DOLiS/POST-42/09/ 4677,4680,4683, 4687 DOLiS-440-711/08/ 10775/10 DOLiS/DEC-64/09/ 2530,2532

Skarga na bezczynno w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie nakazu usunicia uchybie w procesie przetwarzania danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na postanowienie w przedmiocie odmowy uwzgldnienia wniosku Skarga na pismo Skarga na decyzj w przedmiocie przetwarzania danych osobowych Przetwarzanie danych osobowych kandydatw do pracy na stanowisko magazyniera lub kuriera, pozyskanych za pomoc testw przeprowadzanych w systemach informatycznych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie ze skargi na decyzj w przedmiocie ochrony danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie ze skargi na postanowienie w przedmiocie odmowy przywrcenia terminu do zoenia wniosku o ponowne rozpatrzenie sprawy Skarga kasacyjna od wyroku WSA w Warszawie w sprawie ze skargi na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Wniosek o wstrzymanie wykonania decyzji Skarga na postanowienie w przedmiocie odmowy uwzgldnienia wniosku Skarga na bezczynno w przedmiocie umorzenia postpowania Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie odmowy uwzgldnienia wniosku Skarga na decyzj w przedmiocie odmowy uchylenia decyzji odmawiajcej uwzgldnienia wniosku w sprawie przetwarzania danych osobowych Wniosek o zawieszenie postpowania

umorzenie postpowania w sprawie odrzucenie skargi odrzucenie skargi odrzucenie skargi odrzucenie skargi uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji uchylenie zaskaronego wyroku

46.

47. 48.

49. 50.

51. 08.07.2010 II SA/Wa 247/10 52. 13.07.2010 I OSK 1224/09 53. 13.07.2010 I OSK 1260/09 GI-DS-430/867/05/ 3397/07/DOLiS DIS/DEC1206/44991/09

GI-DEC-DOLiS148/07/ 3926,3927

oddalenie skargi kasacyjnej

54. 13.07.2010 I OSK 1395/09 55. 14.07.2010 II SA/Wa 329/10 15.07.2010 I OSK 1079/10 21.07.2010 I OZ 545/10 28.07.2010 II SAB/Wa 191/10 29.07.2010 II SA/WA 539/10 04.08.2010 II SA/Wa 2041/09 10.08.2010 II SA/Wa 2122/09 62. 17.08.2010 II SA/Wa 796/10 DOLiS/DEC-494/08/ 21626,21628 DOLiS/DEC1293/09/ 48041,48042,48046 DOLiS/DEC-109/09/ 4751,4752 DOLiS/POST101/09/ 14892,14893 DOLiS-440-835/09 DOLiS/DEC-27/10/ 1591,1598,1602 DOLiS/DEC-987/09/ 36100,36102,36104 DOLiS/DEC1052/09/ 38669,38673 DOLiS/DEC-258/10/ 1097,10202,10205

oddalenie skargi kasacyjnej uchylenie zaskaronej decyzji wstrzymanie wykonania zaskarenia decyzji oddalenie zaalenia umorzenie postpowania uchylenie zaskaronej decyzji oddalenie skargi

56.

57.

58.

59.

60.

61.

oddalenie skargi

odmowa zawieszenia postpowania

161

63. 17.08.2010 I OSK 1426/09 DOLiS/DEC-731/08/ 31085,31088

64.

18.08.2010 II SAB/Wa 83/10 19.08.2010 II SA/Wa 386/10 09.09.2010 II SA/Wa 790/10

DOLiS-440-714/09

Skarga kasacyjna od wyroku WSA w Warszawie w sprawie ze skargi na decyzj w przedmiocie umorzenia postpowania w sprawie wniosku o podjcie dziaa przewidzianych ustaw o ochronie danych osobowych Zwrot wpisu od skargi na bezczynno w przedmiocie rozpatrzenia wniosku dotyczcego przetwarzania danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga kasacyjna od postanowienia WSA w Warszawie w sprawie ze skargi na decyzj w przedmiocie przetwarzania danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie ze skargi na postanowienie w przedmiocie stwierdzenia niedopuszczalnoci wniosku o ponowne rozpatrzenie sprawy Skarga kasacyjna od wyroku WSA w Warszawie w sprawie ze skargi na decyzj w przedmiocie ochrony danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie ze skargi na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie odmowy uwzgldnienia wniosku na nieprawidowoci w procesie przetwarzania danych osobowych Skarga o wznowienie postpowania zakoczonego wyrokiem WSA w Warszawie oddalajcym skarg na decyzj w przedmiocie przetwarzania danych osobowych Skarga na postanowienie w przedmiocie wyczenia z akt postpowania pisma Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga o wznowienie postpowania w sprawie zakoczonej postanowieniem WSA w Warszawie odrzucajcym skarg na decyzj w przedmiocie ochrony danych osobowych Odmowa przywrcenia terminu do uzupenienia zgoszenia zbioru danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie

uchylenie zaskaronego wyroku

zwrot uiszczonego wpisu od skargi uchylenie zaskaronej decyzji odrzucenie skargi kasacyjnej

65.

DOLiS/DEC-94/10/ 3315,3319 DOLiS/DEC-249/10/ 9573

66.

67. 14.09.2010 I OSK 1491/09 DOLiS/POST351/08/ 32706,32709

oddalenie skargi kasacyjnej

68. 14.09.2010 I OSK 1529/09 69. 14.09.2010 I OSK 1479/09 70. 14.09.2010 I OSK 1464/09 71. 15.09.2010 II SA/Wa 1408/10 72. DOLiS/DEC-900/08/ 35916,35912 DOLiS/DEC-217/09/ 9959,9960,9962, 9964,9966,9967, 9970,9973,9978, 9981,9984,9987, 9993 DOLiS/POST-34/10/ 7590,7593,7595 DOLiS/DEC-231/10/ 8744,8748,8757 DOLiS/DEC-135/10/ 5028,5029 DOLiS/DEC-64/09/ 2530,2532 DOLiS/DEC-10/09/ 372,376,379,381

oddalenie skargi kasacyjnej

oddalenie skargi kasacyjnej uchylenie zaskaronego wyroku

odrzucenie skargi o wznowienie postpowania uchylenie zaskaronego postanowienia uchylenie zaskaronej decyzji oddalenie skargi

15.09.2010 II SA/Wa 687/10 23.09.2010 II SA/Wa 666/10 23.09.2010 II SA/Wa 543/10

73.

74. 75.

06.10.2010 II SA/Wa 446/10

GI-DEC-DS-117/05/ 330,331,332

odrzucenie skargi o wznowienie postpowania

76.

08.10.2010 II SA/Wa 1378/10 12.10.2010 II SA/Wa 857/10 20.10.2010

77. 78.

DRZDOPOST/114/10/ 25973 dot. DRZDO401/004287/06 DOLiS/DEC-277/10/ 11458,11462,11466 DOLiS/DEC-459/10/

odrzucenie skargi

oddalenie skargi odrzucenie skargi

162

II SA/Wa 937/10 79. 28.10.2010 II SA/Wa 786/10 80. 29.10.2010 II SA/Wa 754/10 81. 29.10.2010 II SA/Wa 1092/10 29.10.2010 II SA/Wa 1562/10 29.10.2010 II SA/Wa 1612/10 02.11.2010 II SA/Wa 1019/10 03.11.2010 II SA/Wa 1118/10 05.11.2010 II SA/Wa 964/10 05.11.2010 II SA/Wa 965/10 88. 10.11.2010 II SA/Wa 786/10 89.

16901,16092,16906 DOLiS/DEC-515/08/ 22854,22857 DOLiS/POST-41/10/ 8991,8992,8994, 8995,8996. DOLiS/DEC-531/10/ 17993,17996,18002, 18008,18015 DOLiS/DEC1008/10/31665 DOLiS/DEC1019/10/32609, 32620,32622 DOLiS/DEC-571/10/ 199486,19489,19493 DOLiS/DEC-553/10/ 18885,18894,18906 DOLiS/DEC-424/10/ 15798,15801,15805 DOLiS/POST-63/10/ 15823,15826,15829

udostpnienia danych osobowych Skarga na niewykonanie wyroku WSA w Warszawie wydanego w sprawie ze skargi na decyzj w przedmiocie ochrony danych osobowych Skarga na postanowienie w przedmiocie odmowy sporzdzenia i przesania uwierzytelnionych kserokopii dokumentw z akt sprawy Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie dostpu do informacji publicznej Skarga na decyzj w przedmiocie ochrony danych osobowych Wniosek o sporzdzenie uzasadnienia wyroku WSA w Warszawie Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na postanowienie w przedmiocie odmowy wydania dokumentw z akt postpowania dotyczcego ochrony danych Skarga na niewykonanie wyroku WSA w Warszawie wydanego w sprawie ze skargi na decyzj w przedmiocie ochrony danych osobowych Skarga na pismo w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie umorzenia postpowania w sprawie wniosku o podjcie dziaa przewidzianych ustaw o ochronie danych osobowych Skarga na bezczynno w przedmiocie rozpoznania skargi w sprawie przetwarzania danych osobowych Skarga na decyzj w przedmiocie odmowy uwzgldnienia wniosku w sprawie udostpnienia danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na bezczynno w przedmiocie rozpoznania skargi dotyczcej ochrony danych osobowych Skarga na bezczynno w przedmiocie rozpoznania wniosku o udostpnienie informacji publicznej dotyczcej funkcjonowania organu umorzenie postpowania uchylenie zaskaronego postanowienia uchylenie zaskaronej decyzji odrzucenie skargi

82.

83.

odrzucenie skargi odmowa sporzdzenia uzasadnienia wyroku uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji Uchylenie zaskaronego postanowienia uchylenie punktu drugiego sentencji postanowienia przekazanie sprawy wedug waciwoci uchylenie zaskaronej decyzji zobowizanie do rozpoznania skargi uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji zobowizanie do rozpoznania skargi

84.

85.

86.

87.

DOLiS/DEC-515/08/ 22854,22857

15.11.2010 II SA/Op 515/10 15.11.2010 II SA/Wa 1477/10

DOLiS-035-1479/10/ 28746

90. DOLiS/DEC-731/08/ 31085,31088

91.

19.11.2010 II SAB/Wa 220/10 23.11.2010 II SA/Wa 1307/10 01.12.2010 II SA/Wa 1212/10 14.12.2010 II SAB/Wa 228/10 29.12.2010 II SAB/Wa 281/10

DOLiS-440-152/10 DOLiS/DEC-695/10/ 23507,23509,23510, 23511,23512 DOLiS/DEC-835/10/ 26031,26035 DOLiS-440-185/10

92.

93.

94.

95.

DOLiS-440-06709/10

odrzucenie skargi

163

Zacznik nr 5

Informacje przekazane przez organy cigania w sprawach skierowanych w 2010 r. przez Generalnego Inspektora Ochrony Danych Osobowych zawiadomie o popenieniu przestpstwa

Informacja Umorzenie dochodzenia Umorzenie dochodzenia w czci Umorzenie dochodzenia i podjcie go na nowo na skutek interwencji Generalnego Inspektora Umorzenie dochodzenia i odmowa podjcia go na nowo Wszczcie dochodzenia Odmowa wszczcia dochodzenia Wszczcie ledztwa i jego umorzenie Zawieszenie dochodzenia Skierowanie sprawy do sdu Skazania oraz postanowienia o warunkowym umorzeniu postpowania Brak informacji

Rok 2008 18 8 5

Rok 2009 11 1 2 3 3 -

Rok 2010 14 1 10 3 1 1 1 1

164

Zacznik nr 6 Wykaz szkole przeprowadzonych przez GIODO w 2010 r.

L.p. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32.

Data szkolenia 11.01.2010 12.01.2010 18.01.2010 18.01.2010 19.01.2010 08.02.2010 05.03.2010 06.03.2010 09.03. 2010 12.03.2010 16.03.2010 18.03.2010 19.03.2010 23.03.2010 29.03.2010 01.04.2010 09.04.2010 09.04.2010 13.04.2010 16.04.2010 19.04.2010 22.04.2010 23.04.2010 10.05.2010 10.05.2010 13.05.2010 17.05.2010 18.05.2010 20.05.2010 20.05.2010 20.05.2010 24.05.2010

Miejscowo Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Gliwice Warszawa Warszawa Warszawa Warszawa Kielce Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Gdask Gdynia Warszawa Warszawa Kancelaria Sejmu RP

Podmiot szkolony

Dyrektorzy warszawskich placwek owiatowych Dyrektorzy warszawskich placwek owiatowych Ministerstwo Spraw Zagranicznych Dyrektorzy warszawskich placwek owiatowych Kancelaria Sejmu Kancelaria Prezesa Rady Ministrw Gliwicki Orodek Metodyczny Kancelaria Sejmu RP Prokuratura Okrgowa w Warszawie Urzd ds. Cudzoziemcw Urzd Komunikacji Elektronicznej Samorzdowy Orodek Doradztwa Metodycznego i Doskonalenia Nauczycieli Urzd ds. Cudzoziemcw Prokuratura Okrgowa w Warszawie Kancelaria Prezesa Rady Ministrw Prokuratura Okrgowa w Warszawie Wojewdzki Urzd Pracy w Warszawie Ministerstwo Finansw Kancelaria Sejmu RP Ministerstwo Spraw Zagranicznych Prokuratura Okrgowa w Warszawie Wojewdzki Urzd Pracy w Warszawie Kancelaria Sejmu RP Ministerstwo Spraw Wewntrznych i Administracji Ministerstwo Finansw, Departament Suby Celnej Biuro Edukacji m. st. Warszawy Narodowy Bank Polski Izba Skarbowa w Gdasku Izba Celna w Gdyni Ministerstwo Finansw, Departament Izby Celnej Kancelaria Sejmu RP

165

33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55.

25.05.2010 26.05.2010 28.05.2010 07.06.2010 07.06.2010 10.06.2010 11.06.2010 22.06.2010 30.06.2010 06.07.2010 27.07.2010 31.08.2010 06.09.2010 07.09.2010 08.09.2010 15.09.2010 22.09.2010 28-29.10.2010 28-29.10.2010 03.11.2010 15.11.2010 22.11.2010 13.12.2010

Warszawa Warszawa Zgierz Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa d Warszawa Warszawa Warszawa Warszawa Warszawa Popowo Warszawa Przemyl Warszawa Warszawa Warszawa Warszawa

Kancelaria Sejmu RP Ministerstwo Finansw, Departament Suby Celnej Urzd Miasta Zgierz Kuratorium Owiaty w Warszawie Kancelaria Sejmu RP Ministerstwo Finansw, Departament Suby Celnej Ministerstwo Spraw Zagranicznych Ministerstwo Finansw, Departament Kontroli Skarbowej Kancelaria Sejmu RP Mazowiecka Jednostka Wdraania Programw Unijnych Izba Celna w odzi Narodowe Centrum Kultury Prokuratura Okrgowa Warszawa Praga Prokuratura Okrgowa Warszawa Praga Prokuratura Okrgowa Warszawa Praga Ministerstwo Spraw Zagranicznych Suba Wizienna Centrum Personalizacji Dokumentw Ministerstwa Spraw Wewntrznych i Administracji Sd Okrgowy w Przemylu Kancelaria Prezesa Rady Ministrw Okrgowa Izba Radcw Prawnych w Lublinie Ministerstwo Spraw Zagranicznych Ministerstwo Spraw Zagranicznych

166

Zacznik nr 7 Wykaz decyzji Generalnego Inspektora Ochrony Danych Osobowych wydanych w 2010 roku w sprawach o wyraenie zgody na przekazanie danych osobowych do pastwa trzeciego

L.p.

1. 2.

Data wydania decyzji/ postanowie nia 26.02.2010 16.03.2010

Nazwa podmiotu

Sygnatura decyzji/postanowienia

ABN AMRO Bank Polska S.A. Bristol Myers Squibb Services Sp. z o.o.

3.

16.03.2010

Bristol Myers Squibb Polska Sp. z o.o.

4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.

02.07.2010 02.07.2010 02.07.2010 14.07.2010 14.07.2010 20.07.2010 29.07.2010 10.08.2010 01.09.2010 05.11.2010 05.11.2010 05.11.2010

Unilever Polska Sp. z o.o. Unilever Polska S.A. Unilever Poland Services Sp. z o.o. Bird & Bird Maciej Gawroski Sp. K. Bird & Bird Maciej Gawroski Sp. K. Quad/Winkowski Sp. z o.o. Skandia ycie Towarzystwo Ubezpiecze S.A. SMI Poland Sp. z o.o. American Express Poland S.A. Amgen Sp. z o.o. Flextronics International Poland Sp. z o.o. Bristol-Myers Squibb Services Sp. z o.o.

16.

05.11.2010

Bristol-Myers Squibb Polska Sp. z o.o.

DESIWM/DEC-226/8260/10 umorzenie postpowania DESIWM/DEC-274/11152/10 czciowe umorzenie postpowania ze wzgldu na zbieranie zgd od osb, ktrych dane dotycz; w pozostaym zakresie zgoda na przekazanie danych DESIWM/DEC-275/11155/10 czciowe umorzenie postpowanie ze wzgldu na zbieranie zgd od osb, ktrych dane dotycz; w pozostaym zakresie zgoda na przekazanie danych DESIWM/DEC-862/26544/10 zgoda na przekazanie danych DESIWM/DEC-863/26545/10 zgoda na przekazanie danych DESIWM/DEC-864/26546/10 zgoda na przekazanie danych DESIWM/DEC-923/28317/10 zgoda na przekazanie danych DESIWM/DEC-922/28316/10 zgoda na przekazanie danych DESIWM/DEC-942/29117/10 zgoda na przekazanie danych DESIWM/DEC-975/30184/10 zgoda na przekazanie danych DESIWM/DEC-1009/31721/10 zgoda na przekazanie danych DESIWM/DEC-1052/34872/10 zgoda na przekazanie danych DESIWM/DEC-1252/43926/10 zgoda na przekazanie danych DESIWM/DEC-1251/43916/10 zgoda na przekazanie danych DESIWM/DEC-1250/43907/10 czciowe umorzenie postpowania ze wzgldu na zbieranie zgd od osb, ktrych dane dotycz; w pozostaym zakresie zgoda na przekazanie danych DESIWM/DEC-1249/43865/10 czciowe umorzenie postpowanie ze wzgldu na zbieranie zgd od osb, ktrych dane dotycz; w pozostaym zakresie zgoda na

167

17.

05.11.2010

PwC Polska Sp. z o.o.

18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29.

05.11.2010 205.11.010 05.11.2010 18.11.2010 18.11.2010 18.11.2010 18.11.2010 24.11.2010 24.11.2010 25.11.2010 20.12.2010 20.12.2010

PricewaterhouseCoopers Polska Sp. z o.o. PricewaterhouseCoopers Sp. z o.o. Printpack Poland Sp. z o.o. Bird & Bird Maciej Gawroski Sp. K. UBS AG Przedstawicielstwo w Polsce UBS Service Centre (Poland) Sp. z o.o. UBS Fund Services (Luxembourg) S.A. Oddzia w Polsce Pewlett-Packard Polska Sp. z o.o. Global E-Business Operations Sp. z o.o. Hewitt Associates Sp. z o.o. Mars Polska Sp. z o.o. IBM Polska Sp. z o.o.

30. 31. 32. 33.

20.12.2010 20.12.2010 20.12.2010 30.12.2010

IBM Polska Business Services Sp. z o.o. IBM BTO Business Consulting Services Sp. z o.o. IBM Global Services Delivery Centre Polska Sp. z o.o. 3M Poland Sp. z o.o. Oddzia w Rabce

przekazanie danych DESIWM/DEC-1245/43944/10 czciowe umorzenie postpowanie w zakresie przekazania danych do: podmiotw, majcych siedziby w Republice Bugarii, w Republice Cypryjskiej, w Krlestwie Niderlandw, w Zjednoczonym Krlestwie Wielkiej Brytanii i Irlandii Pnocnej, na Gibraltarze, na Nowej Kaledonii, na Polinezji Francuskiej, w Baliwacie Guernsey, w Baliwacie Jersey, podmiotu nalecego do amerykaskiego programu bezpiecznej przytani (ang. Safe Harbour), podmiotu, majcego siedzib w Meksykaskich Stanach Zjednoczonych, wzgldem ktrego zostaa ju wczeniej wydana decyzja; w pozostaym zakresie zgoda na przekazanie danych DESIWM/DEC-1246/43937/10 jak w pkt. 17 wykazu DESIWM/DEC-1248/43932/10 jak w pkt. 17 wykazu DESIWM/DEC-1247/43919/10 zgoda na przekazanie danych DESIWM/DEC-1272/45464/10 zgoda na przekazanie danych DESIWM/DEC-1273/45468/10 zgoda na przekazanie danych DESIWM/DEC-1274/45481/10 zgoda na przekazanie danych DESIWM/DEC-1275/45491/10 zgoda na przekazanie danych DESiWM/DEC-1296/46437/10 zgoda na przekazanie danych DESiWM/DEC-1297/46455/10 zgoda na przekazanie danych DESiWM/DEC-1304/46667/10 zgoda na przekazanie danych DESiWM/DEC-1384/50313/10 Zgoda na przekazanie danych DESiWM/DEC-1385/50319/10 czciowe umorzenie postpowanie w zakresie przekazania danych do: podmiotw, majcych siedziby w Republice Argentyskiej oraz w Kanadzie, podmiotu nalecego do amerykaskiego programu bezpiecznej przytani (ang. Safe Harbour); w pozostaym zakresie zgoda na przekazanie danych DESiWM/DEC-1386/50332/10 jak w pkt. 29 wykazu DESiWM/DEC-1387/50339/10 jak w pkt. 29 wykazu DESiWM/DEC-1389/50349/10 jak w pkt. 29 wykazu DESiWM/DEC-1415/51760/10

168

34. 35. 36. 37.

30.12.2010 30.12.2010 30.12.2010 30.12.2010

3M Poland Sp. z o.o. Oddzia w Janowie 3M Wrocaw Sp. z o.o. 3M Poland Sp. z o.o. 3M Poland Sp. z o.o. Oddzia we Wrocawiu

czciowe umorzenie postpowanie w zakresie przekazania kategorii danych wykraczajcych poza art. 221 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy Dz. U. z 1974 r., Nr 24 poz. 141 z pn. zm; w pozostaym zakresie zgoda na przekazanie danych DESiWM-DEC-1416/51768/10 jak w pkt. 33 wykazu DESiWM/DEC-1417/51763/10 zgoda na przekazanie danych DESiWM/DEC-1418/51764/10 jak w pkt. 33 wykazu DESiWM/DEC-1419/51765/10 jak w pkt. 33 wykazu

169

You might also like