Łatwiej nie będzie. Nowelizacja ustawy o ochronie danych osobowych

"...Gdy w 1998 roku w rodzimym obrocie prawnym zagościła ustawa o ochronie danych osobowych znaczna część ekspertów zgodnym chórem podnosiła kwestię niedoskonałego przejęcia przez nasz parlament istoty tych przepisów z prawodawstwa zachodnioeuropejskiego..."

Witold Rygiel

Gdy w 1998 roku w rodzimym obrocie prawnym zagościła ustawa o ochronie danych osobowych (dalej: uodo) [1] znaczna część ekspertów zgodnym chórem podnosiła kwestię niedoskonałego przejęcia przez nasz parlament istoty tych przepisów z prawodawstwa zachodnioeuropejskiego. Krytycy wskazywali m. in., że akty międzynarodowe, na których wzorowano polską regulację [2] odnoszą się do prawnej ochrony jednostek wobec automatycznego przetwarzania danych osobowych.

"Kartoteki zautomatyzowane (umownie potraktujmy je jako zbiory danych osobowych w rozumieniu art. 7 pkt. 1 ustawy - przyp. autora) mają dużo większe możliwości rejestracyjne niż kartoteki ręczne i pozwalają na szybsze dokonywanie bardziej różnorodnych operacji" [3]. Stan ten powoduje narastanie zagrożeń dla konstytucyjnie gwarantowanego każdemu z nas prawa do prywatności poprzez ułatwienie osobom nieupoważnionym dostępu do informacji o charakterze osobopoznawczym i możliwości posługiwania się takimi danymi w celach niekoniecznie zgodnych z interesami człowieka, którego te informacje dotyczą. W konsekwencji - zdaniem krytyków - polska ustawa nie powinna dotyczyć przetwarzania danych metodami tradycyjnymi (tj. w obszarze kartotek, wykazów, akt, skorowidzów, ksiąg ewidencyjnych, itp.), lecz ograniczyć należy jej stosowanie wyłącznie do operacji na danych dokonywanych przy wykorzystaniu komputera, czyli w informatycznych zbiorach danych.

Teoria ta rychło legła w gruzach. Sąd Najwyższy w postanowieniu z dnia 11 grudnia 2000 roku uznał, że (cyt:) "...już z tytułu ustawy wynika, iż dotyczy ona ochrony danych osobowych, a nie danych osobowych w zbiorach; zgodnie zaś z ustawą przetwarzanie danych, to "wszelkie operacje na tych danych" - a nie na zbiorze takich danych - w tym m.in. "takie jak zbieranie, utrwalanie, przechowywanie (...) i usuwanie" (art. 7 pkt 2). Tym samym dane osobowe korzystają z ochrony przewidzianej ustawą o ochronie danych osobowych już wówczas, jeżeli tylko mogą znaleźć się w zbiorze, bez względu na to, czy się w nim ostatecznie znalazły (...) nie może bowiem być pozbawiona w ogóle ochrony prawnej płynącej z ustawy w odniesieniu swych danych osoba, której dane - mimo że zbierane, czyli przetwarzane w rozumieniu tej ustawy - nie znalazły się w zbiorze, i to tylko dlatego, że nie weszły one do zbioru..." [4].

Określone grono zwolenników ograniczenia zakresu stosowania ustawy wyłącznie do operacji wykonywanych w systemach informatycznych łudziło się, że w legislacyjnych pracach nad nowelizacją przepisów uodo zwycięży preferowana przez nich opcja "technokratyczna". Spotkał ich jednak zawód. Zasadniczym celem noweli okazało się dostosowanie dotychczasowych przepisów o ochronie danych osobowych do unijnej Dyrektywy nr 94/46/CE w sprawie ochrony osób fizycznych ze względu na przetwarzanie danych o charakterze osobowym oraz swobodnego przepływu tych danych. W efekcie ustawodawca wprowadził kilka istotnych i oczekiwanych zmian do przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. W ustawie znalazły się też zapisy niekorzystne dla znacznej grupy administratorów danych osobowych (ADO) - przede wszystkim reprezentantów tzw. małej przedsiębiorczości oraz zarządów firm marketingowych [5]. Znowelizowane przepisy weszły w życie w dniu 1 maja 2004 roku [6], z chwilą naszej akcesji do Unii Europejskiej.

Ustawie podlega każda z form przetwarzania danych
Słusznie zakładając, że ustawowej ochronie podlegać winna każda z form przetwarzania danych, zredagowano od nowa przepisy rozdziału 5 uodo regulujące problematykę zabezpieczenia danych osobowych. Najistotniejsze jest w tym kontekście zobligowanie każdego z ADO do wdrożenia i przestrzegania odpowiednich standardów zabezpieczenia procesu przetwarzania danych: nie tylko - jak w dotychczasowym stanie prawnym - w systemach informatycznych, ale również w przypadku wykorzystywania tradycyjnych metod ich przetwarzania. Uwzględniając powszechnie spotykaną sytuację, gdy dane osobowe przetwarzane są w tak zwanych zbiorach dualnych (zarówno metodami tradycyjnymi, jak i automatycznymi w obszarze tego samego zbioru) zmianę tę uznać należy za w pełni uzasadnioną. Z drugiej zaś strony ADO przetwarzający dane osobowe metodami tradycyjnymi w zestawach danych, traktowanych przez Generalnego Inspektora Ochrony Danych Osobowych w praktyce jako zbiory [7], zobligowani zostali do dołożenia szczególnych starań, aby zapewnić tej formie przetwarzania porównywalnie bezpieczne warunki, jak operacjom wykonywanym na danych w systemie informatycznym.

W konsekwencji administratorzy danych osobowych, w razie wszczęcia wobec nich kontroli przez inspektorów z Biura Generalnego Inspektora Ochrony Danych Osobowych, utracili możliwość ewentualnego polemizowania, że nie przetwarzają danych w systemie informatycznym, co w uprzednim stanie prawnym zwalniało ich po części z konieczności respektowania obowiązków formalnych, organizacyjnych i personalnych wynikających z norm uodo [8]. Kwestia ta wzmocniona została konsekwencjami zmiany dokonanej przez ustawodawcę w art. 14 uodo, odnoszącym się do uprawnień kontrolnych Generalnego Inspektora, jego Zastępcy oraz upoważnionych inspektorów GIODO. Na podstawie znowelizowanego przepisu od 1 maja 2004 roku przysługuje im dla "przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą" prawo wstępu nie tylko do pomieszczeń ADO, w których zlokalizowany jest zbiór danych, lecz także do obszaru, w którym dane przetwarzane są "poza zbiorem danych". Oznacza to bezpośrednio, że kontroli GIODO nie uniknie żadna z ustawowo określonych form przetwarzania danych; pośrednio natomiast organ do spraw ochrony danych osobowych zmuszony będzie przyjąć do wiadomości (i praktycznego stosowania w podejmowanych działaniach i wydawanych decyzjach) fakt istnienia zestawów danych osobowych, czyli ewidencji, wobec których nie znajdują zastosowania m. in. przepisy art. 30, 32, 35 i 40 uodo.

Na ból głowy cierpieć mogą administratorzy danych, którzy przetwarzają "dane wrażliwe" w zbiorach podlegających zarejestrowaniu u Generalnego Inspektora. Na podstawie nowo wprowadzonego do ustawy art. 46 ust. 2 "Administrator danych, o których mowa w art. 27 ust. 1, może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji". Oznacza to, że prawo do przetwarzania "danych wrażliwych" w zbiorze ADO nabywa nie - jak dotychczas - z chwilą przekazania Generalnemu Inspektorowi dokumentów zgłoszeniowych, lecz dopiero po pozytywnym załatwieniu przez GIODO procedury rejestracyjnej. Co w takim razie uczynić mają administratorzy danych, którzy nieświadomie (lub świadomie) przetwarzają od kilku lat w swoich zbiorach "dane wrażliwe" i dotąd nie dokonali formalności rejestracyjnych, mimo ciążącego na nich obowiązku? Czy Generalny Inspektor nie mógłby pokusić się o ogłoszenie wobec nich nieformalnej abolicji?

Zła wiadomość dla ABI: na horyzoncie nowe obowiązki
Ustawowe umocowanie znaleźli wreszcie administratorzy bezpieczeństwa informacji (ABI), którzy po wejściu w życie znowelizowanych przepisów nadzorowali będą przestrzeganie zasad ochrony danych, a nie - jak dotąd - odpowiadali za bezpieczeństwo danych osobowych w systemie informatycznym [9]. Okoliczność ta powoduje istotne rozszerzenie zakresu obowiązków przypisywanych administratorom bezpieczeństwa informacji. W gestii ABI znajdzie się więc sprawowanie "opieki" nad całokształtem problematyki przetwarzania danych - w tym również realizowanego metodami tradycyjnymi.

Ilustracją powyższego stanu rzeczy jest chociażby usunięcie ze strony internetowej GIODO dotychczasowych wytycznych pod nazwą "Zadania administratora bezpieczeństwa informacji". W efekcie, do chwili opublikowania przez Generalnego Inspektora nowych wytycznych, określona część populacji ABI straci orientację, co do zakresu obowiązków właściwych dla ich funkcji. Trudno bowiem oczekiwać, żeby administratorzy bezpieczeństwa informacji - posiłkując się lakonicznymi w tym kontekście zapisami ustawowymi - tworzyli we własnym zakresie, z własnej inicjatywy i przy wykorzystaniu wrodzonej pomysłowości, wykazy dolegliwych zadań do realizacji.

Nowela definitywnie likwiduje spotykane w doktrynie kontrowersje na tle konieczności opracowania przez administratorów danych osobowych dokumentów tzw. "polityki bezpieczeństwa". Zgodnie z art. 36 ust. 2 ustawy każdy ADO zobowiązany będzie do ich opracowania i wdrożenia w sposób określony w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. W praktyce to właśnie ABI obciążeni zostaną misją opracowania oraz nadzorowania stanu wdrożenia i przestrzegania zasad bezpieczeństwa określonych w tej dokumentacji.

Zajmijmy się zatem "deserem" zaserwowanym dla ABI i ADO przez Ministra Spraw Wewnętrznych i Administracji, czyli pachnącymi jeszcze świeżością rozporządzeniami do znowelizowanej uodo [10]. Zgodnie z popularnym od pewnego czasu polskim obyczajem legislacyjnym rzeczone rozporządzenia wprowadzono w życie "kapturowym" trybem [11], stąd niewykluczone jest, że znaczna część administratorów danych nie orientuje się, że od 1 maja 2004 roku ciążą na nich nowe obowiązki w zakresie zasad zabezpieczenia systemów informatycznych, sposobu prowadzenia i zakresu dokumentów "polityki bezpieczeństwa", czy też zgłaszania zbiorów danych Generalnemu Inspektorowi. Wymienionych nowych rozporządzeń praktycznie nie spopularyzowano dotąd w mediach, nie opatrzył ich też stosownym komentarzem na posiadanej stronie internetowej Generalny Inspektor Ochrony Danych Osobowych.

Trzy poziomy
Najistotniejsze, z punktu widzenia obowiązków spoczywających na administratorach danych, jest niewątpliwie rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Porównując ten akt prawny z uprzednio obowiązującym rozporządzeniem trudno upatrywać w nowej regulacji jakościowych zmian na lepsze. Istotnym novum jest wprowadzenie trzech poziomów bezpieczeństwa przetwarzania danych w systemie informatycznym: podstawowego, podwyższonego i wysokiego. Poziom podstawowy stosuje się, gdy w systemie informatycznym nie przetwarza się tzw. "danych wrażliwych" [12] i żadne z urządzeń systemu nie jest połączone z siecią publiczną. Z poziomem podwyższonym mamy do czynienia w przypadku przetwarzania w systemie informatycznym "danych wrażliwych", przy dochowaniu warunku nieistnienia połączenia żadnego z urządzeń systemu z siecią publiczną. Poziom wysoki stosuje się natomiast w przypadku, gdy przynajmniej jedno urządzenie systemu połączone jest z siecią publiczną, bez względu na kategorie przetwarzanych danych osobowych. Środki bezpieczeństwa, które administrator danych winien zastosować przy przetwarzaniu danych osobowych w posiadanym systemie informatycznym, uzależnione są od omówionych wyżej poziomów i określone zostały w załączniku do omawianego rozporządzenia. W znacznej części opis tych środków jest powieleniem zapisów uprzednio obowiązującego rozporządzenia z wyjątkiem:

* uelastycznienia zasad uwierzytelnienia użytkowników w pracy z systemem informatycznym (co prawda nadal obowiązuje wprowadzenie identyfikatora, lecz dotychczas wymagane hasła mogą być zastąpione inną formą uwierzytelnienia);

* konieczności ochrony systemu informatycznego przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń zapobiegających nieuprawnionemu dostępowi do systemu;

* zobligowania ADO do zabezpieczenia urządzeń i nośników zawierających tzw. "dane wrażliwe", przekazywanych poza obszar przetwarzania danych, w sposób zapewniający poufność i integralność tym danym.

* nakazu stosowania środków ochrony kryptograficznej wobec danych wykorzystywanych do uwierzytelniania, przesyłanych w sieci publicznej, jak również szyfrowania danych - bez względu na ich kategorię - w razie transportu, przechowywania i użytkowania komputera przenośnego poza wyznaczony przez ADO obszar przetwarzania danych.

Polityka (nie)bezpieczeństwa
Pozytywnie ocenić należy zapis § 3 rozporządzenia jednoznacznie obligujący każdego administratora danych do opracowania i wdrożenia dokumentacji opisującej sposób przetwarzania danych osobowych. Na dokumentacje tę składają się:

1) Polityka bezpieczeństwa
2) Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

W §§ 4 i 5 rozporządzenia prawodawca określił tematyczne elementy składowe "Polityki" i "Instrukcji". Sugerowana zawartość omawianej dokumentacji nie stanowi na szczęście zamkniętego katalogu, pozwalając opracowującemu rzeczoną dokumentację na dostosowanie "polityki" i "instrukcji" do realnych warunków przetwarzania danych występujących u określonego administratora danych. Trzymając się literalnie sugerowanej w rozporządzeniu zawartości fundamentalnego dla ADO dokumentu, jakim jest "polityka bezpieczeństwa" stworzyć można by poprawny z punktu widzenia prawodawcy opis procesów zachodzących w trakcie przetwarzania danych, przydatny w praktyce jedynie uczestnikom kongresu informatyków dla inicjowania naukowych dysput i sporów. Twórcom niektórych norm rozporządzenia zadać należałoby tylko jedno pytanie: czy ów akt normatywny napisany został z myślą o ADO, który mając obowiązek wdrażania określonych procedur winien rozumieć ich istotę, czy też stworzono go dla potrzeb szeroko rozumianego lobby informatycznego, względnie inspektorów z pionu kontroli Biura GIODO, mogących - w zaistniałym stanie prawnym - bez większych trudności zakwestionować zasady rozwiązań zastosowanych przez administratora danych w zakresie ochrony danych przetwarzanych w systemach informatycznych.

Wątpliwości tej natury nasuwają mi się w trakcie analizowania ogólnikowych zapisów nakazujących ADO opisanie w polityce bezpieczeństwa: zawartości powiązań między poszczególnymi polami informacyjnymi zbioru danych (§ 3 ppkt 3 rozporządzenia), jak też sposobu przepływu danych pomiędzy poszczególnymi systemami (§ 3 ppkt 4 rozporządzenia). Wzmacnia powyższe lektura omawianego wcześniej załącznika do rozporządzenia, w tym głównie lakoniczny zapis obligujący ADO do zabezpieczenia urządzeń i nośników zawierających tzw. "dane wrażliwe", przekazywanych poza obszar przetwarzania danych, w sposób zapewniający poufność i integralność tym danym. Czy wystarczy w tym przypadku zastosowanie środków ochrony kryptograficznej, czy też ADO zapewnić ma transportowanemu nośnikowi dodatkową eskortę, złożoną z licencjonowanych i uzbrojonych pracowników ochrony fizycznej? Czy nośnik transportowany ma być w atestowanej teczce do przewozu wartości pieniężnych, czy też adekwatna będzie w tym przypadku prywatna saszetka informatyka, zabezpieczona dla pewności plastikowym zamkiem błyskawicznym? Obserwując w telewizyjnych migawkach funkcjonariuszy ABW wynoszących z siedziby redakcji tygodnika "NIE" dyski twarde pochodzące z zasobów Ministerstwa Spraw Zagranicznych (a propos: coś cicho o dalszych działaniach w tej sprawie) zauważyłem, że nośniki przenoszono w sfatygowanej torbie, wypełnionej zapewne dodatkowo egzemplarzem rzeczonego tygodnika i drugim śniadaniem... - czy to właściwy wzorzec zachowania poufności i integralności danych???

Kwestia dochowania warunków przekazywania nośników z "danymi wrażliwymi" nie jest błaha, bo należy mieć świadomość, że w przypadku niezapełnienia danym poufności i integralności zastosowanie znajdzie art. 51 uodo (lub art. 52) umieszczony w rozdziale 8 ustawy, zatytułowanym "przepisy karne".

Obserwując z pozycji laika - hobbysty dyskusje dotyczące zasad tworzenia dokumentu pod nazwą "polityka bezpieczeństwa" upieram się nieśmiało, aczkolwiek konsekwentnie, że ów dokument winien być przeznaczony wyłącznie dla Administratora Danych Osobowych, Administratora Bezpieczeństwa Informacji, Administratora Systemu Informatycznego oraz upoważnionych przedstawicieli Generalnego Inspektora Ochrony Danych Osobowych.

"Polityka", zgodnie z kryteriami jej sporządzania określonymi w rozporządzeniu, zawierać musi szereg informacji traktowanych w kategoriach tajemnicy prawnie chronionej. Udostępnienie użytkownikom systemu informatycznego, czyli zatrudnianemu personelowi, zastosowanych przez ADO w celu ochrony przetwarzanych danych osobowych rozwiązań organizacyjnych i technicznych, jak też danych szczegółowo charakteryzujących posiadany system informatyczny, godzi w podstawowe interesy administratora danych osobowych. Nie poruszam już w detalach problemu zapisania w "polityce" innych informacji, o istotnym dla ADO znaczeniu prawnym, ekonomicznym, personalnym i finansowym, które powinny znaleźć się w takim opracowaniu.

Dla użytkowników systemu informatycznego adekwatnym i rzeczywiście niezbędnym dokumentem jest "Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych".

Na marginesie: uważam, że § 5 rozporządzenia, określający zawartość merytoryczną przedmiotowej "Instrukcji" zmusza administratorów danych do opisywania w niej szczegółów niekoniecznie niezbędnych użytkownikom systemu. Nie zmienia mojego poglądu okoliczność wprowadzenia w art. 39 ust. 2 znowelizowanej ustawy zapisu głoszącego, że "osoby, które zostały upoważnione do przetwarzania danych obowiązane są zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia". W praktyce zapis ten ma charakter prewencyjno - deklaratywny. Paranoiczny jest natomiast zawarty w rozporządzeniu nakaz, by obszar przetwarzania danych osobowych określony został przez ADO w "Polityce bezpieczeństwa", natomiast w przeznaczonej dla użytkowników "Instrukcji" już nie. Rodzi się pytanie: w jaki sposób ADO wyegzekwować ma od osoby zatrudnionej przy przetwarzaniu danych przestrzeganie określonych zachowań, skoro w przeznaczonej dla personelu instrukcji nie ma potrzeby określania tego obszaru.

W porównaniu z uprzednim stanem prawnym ADO zwolniony został z obowiązku opracowania "instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych", czemu wypada tylko przyklasnąć, gdyż istotne w tym względzie zalecenia dla personelu zatrudnionego przy przetwarzaniu danych bezproblemowo umieścić można (i należy) w "Instrukcji zarządzania systemem informatycznym".

Administratorzy danych, którzy zmuszeni zostaną po 1 maja 2004 roku do zgłoszenia (lub aktualizacji) zbiorów danych Generalnemu Inspektorowi, uczynią to na podstawie nowego wzoru wniosku rejestracyjnego. Przyznać muszę, że GIODO przeforsowało korzystniejszą z punktu widzenia obowiązków ADO procedurę zgłoszeń niż dotychczas obowiązująca. Formularz wniosku został wreszcie uproszczony, nie istnieje potrzeba załączania do niego "Instrukcji" lub wyciągów z niej, oszczędzono też administratorom danych konieczności ubarwiania wniosku zbędnymi, rutynowymi opisami niektórych wdrożonych przez ADO procedur.

Wnioskomanii część druga i nieostatnia
Kolejnym zarzutem wobec ustawodawcy jest zmiana dokonana w art. 29 ust. 1 ustawy, budzącym skądinąd wątpliwości natury logicznej, jak i prawnej in statu nascendi, czyli od dnia wejścia w życie przepisów o ochronie danych osobowych (30 kwietnia 1998 roku). Dotychczas przepis ten określał tryb udostępniania danych osobowych w celach innych niż włączenie do zbioru przez administratorów danych reprezentujących "sferę publiczną". Po wejściu w życie omawianej noweli norma ta stanie się uniwersalną i dotyczącą każdego ADO.

Szczegółowe omówienie trybu udostępniania danych w kontekście dyspozycji zawartych w art. 29 uodo wymagałoby odrębnej i objętościowo znacznej publikacji. Wspomnę tylko, że ów powszechnie nierozumiany, nadużywany i naruszany przepis stanowi od ponad 5 lat podstawową formę pozyskiwania i udostępniania danych pomiędzy podmiotami "sfery publicznej" (inaczej: urzędami). Zdecydowana większość urzędników nie zauważa (lub nie chce zauważyć) fundamentalnego w treści tej normy zapisu o "udostępnianiu danych w celach innych niż włączenie do zbioru". Stąd w zatrudniającym mnie urzędzie poczesne miejsca na półkach biurowych szaf zajmują opasłe segregatory wypełnione lawinowo napływającymi wnioskami o udostępnienie danych osobowych w trybie art. 29 ust. 1 uodo (liderują w tym procederze jednostki ZUS, urzędy celne, komendy policji, organy prokuratury, sądownictwa i jednostki samorządu terytorialnego). Każdy z tych wniosków zawiera żądanie udostępnienia danych, które po dokonaniu transferu informacji, jak na złość, włączone zostaną właśnie do zbiorów danych prowadzonych przez wnioskodawców.

Generalny Inspektor Ochrony Danych Osobowych poczynił w ostatnich latach szereg starań - jak się okazało bezowocnych - dla upowszechnienia wśród administratorów danych wiedzy o prawnie dopuszczalnych podstawach wykorzystywania art. 29 w celu pozyskiwania i udostępniania danych. Warto też zauważyć, że GIODO reprezentuje stanowisko w myśl którego każdy podmiot należący do "sfery publicznej" przetwarza dane w zbiorach, gdyż "...wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy. Konsekwencją tego jest wyłączenie stosowania art. 29 ustawy, w wypadku udostępniania danych w celu włączenia do tych akt. Art. 29 ma, bowiem zastosowanie jedynie do udostępniania danych w celu innym niż włączenie do zbioru..." [13]

Na marginesie: podjęte w moim urzędzie próby zwalczania bezprawnie praktykowanej wnioskomanii zakończyły się rychłym złożeniem broni. Nieskuteczne okazały się zarówno rozmowy telefoniczne z przedstawicielami wnioskodawców, jak też dołączanie do korespondencji zwrotnej specjalnie opracowanej informacji o prawnych podstawach udostępniania danych w trybie art. 29 uodo. Mało tego: przedstawicielka delegatury jednego z urzędów wojewódzkich nadesłała do zatrudniającego mnie urzędu pismo grożące nieudostępnieniem nam danych (które urząd zamierzał po otrzymaniu wprowadzić do zbioru), jeśli nie wypełnimy rzeczonego wniosku. Naczelnikowi urzędu, jako ADO, pozostały zatem do wyboru dwa wyjścia: albo każdorazowo zawiadamiać o opisywanych sytuacjach Generalnego Inspektora Ochrony Danych Osobowych (co poskutkowałoby wstrzymaniem normalnego funkcjonowania organu) albo, nie bacząc na literę prawa, zasady logiki i racjonalność urzędniczych pomysłów honorować zasadę niepotrzebnego i nieprawnego posługiwania się wnioskami.

W zasadzie dostrzegam pewną możliwość uzdrowienia tej sytuacji (aczkolwiek nie gwarantującą stuprocentowej pewności). Chociaż brak ku temu podstaw formalnych i prawnych zmusiłbym administratorów danych osobowych do zapoznania się z opracowaniem Wacława Zimnego, współautora ustawy o ochronie danych osobowych, zawartym w obszernym, trzyczęściowym artykule "Udostępnianie danych osobowych w trybie art. 29 ustawy o ochronie danych osobowych" [14]. Wnioski wynikające z tej publikacji, w kontekście skutków poprzedniej nowelizacji przepisów uodo, dokonanej w 2001 roku, pozwalają na postawienie tezy, że artykuł 29 jest uciążliwym gorsetem niepotrzebnie komplikującym naturalne dla życia społecznego i gospodarczego oraz funkcjonowania administracji potrzeby transferowania danych. Warto też zauważyć, że Polska Izba Informatyki i Telekomunikacji kierując się innymi przesłankami podejrzewa, że artykuł ten jest sprzeczny z Konstytucją i Izba podejmie kroki w kierunku znalezienia jego właściwej wykładni.

Niektórzy z administratorów danych zainteresowanych kultywowaniem nieprawnej i radosnej - jako się rzekło - twórczości zarzucania innych podmiotów rzeczonymi wnioskami, przeoczyć mogą fundamentalną w tym kontekście zmianę polegającą na wykreśleniu z przepisów ustawy artykułu 45, co w praktyce powoduje uchylenie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia wzorów wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony danych Osobowych (Dz. U. Nr 80, poz. 522 ze zm.).

Oznacza to, że posługiwanie się wnioskiem o udostępnienie danych osobowych według wzoru określonego w załączniku do powołanego rozporządzenia jest nieprawne. W polskich realiach jest rzeczą oczywistą, że omawiana powyżej fundamentalna zmiana trybu pozyskiwania danych nie dotarła do świadomości przedstawicieli podmiotów liderujących w procederze "wnioskomanii". Do zatrudniającego mnie urzędu nadal spływają więc kilogramy wniosków pracowicie wypełnionych przez urzędników według ustawowo nieobowiązującego wzoru.

Postulaty w koszu
Przywołana powyżej Polska Izba Informatyki i Telekomunikacji zgłosiła do projektu nowelizacji szereg sensownych postulatów i poprawek. Izba postulowała między innymi wprowadzenie do ustawy zapisu dotyczącego zakresu odpowiedzialności Inspektorów GIODO za pozyskane w trakcie kontroli przedsiębiorstwa informacje mogące stanowić jego tajemnicę handlową. Zaaprobowany przez posłów przepis nie znalazł jednak zrozumienia w Senacie, co w efekcie wyeliminowało z ustawy odpowiedzialność kontrolujących w postulowanym zakresie.

PIIT apelowała ponadto o zróżnicowanie obowiązków ADO w zakresie wdrożenia środków technicznych i organizacyjnych zabezpieczających dane, w tym m. in. podniosła sprawę prowadzenia przez nich dokumentów tzw. "polityki bezpieczeństwa" w zależności od realiów kadrowych i organizacyjnych podmiotu, sugerując by przedstawiciele "małej przedsiębiorczości" zwolnieni zostali z konieczności opracowywania takiej dokumentacji. Inicjatywa nie znalazła aprobaty w parlamencie: jedynym sensownym złagodzeniem okazał się zapis dopuszczający sytuację, gdy ADO nie musi wyznaczać administratora bezpieczeństwa informacji, jeżeli sam wykonuje czynności przypisane ABI.

Witold Rygiel

-
[1] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883).

[2] Teksty tych aktów dostępne są na internetowej stronie www.giodo.gov.pl:
* Dyrektywa nr 94/46/CE w sprawie ochrony osób fizycznych ze względu na przetwarzanie danych o charakterze osobowym oraz swobodnego przepływu tych danych przyjęta w 1995 roku przez Parlament Europejski i Radę Unii Europejskiej.
* Konwencja nr 108 Rady Europy z dnia 28 stycznia 1981 roku o ochronie osób ze względu na automatyczne przetwarzanie danych o charakterze osobowym.

[3] Rapport explicatif concernant la Convention pour la protection des personnes a l' égarde du traitement automatisé des données a caractere personell, Strasbourg 1981, s. 5.

[4] Postanowienie Sądu Najwyższego z dnia 11 grudnia 2001 roku, II KKN 438/00 (OSNKW 2001 nr 3-4, poz. 33).

[5] W. Rygiel, Czy urzędnikom wolno więcej, Gazeta Prawna Nr 94 (1203) z dnia 14 - 16 maja 2004 r.

[6] Nowelę wprowadzono ustawą z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285).

[7] "Każdy zestaw danych osobowych, który umożliwia dostęp do poszczególnych danych przez jakiekolwiek kryterium, jest zbiorem danych w rozumieniu art. 7 pkt 1 ustawy. Alfabetyczne ułożenie danych osobowych według nazwiska lub nazwiska i imienia pozwala na szybkie odnalezienie informacji o osobie bez potrzeby przeglądania całego zestawu" - wypowiedź p. Ewy Kuleszy - Generalnego Inspektora Ochrony Danych Osobowych: Wystarczy ułożyć alfabetycznie, Rzeczpospolita z 20 lipca 2000 r., Nr 168.
Zob. też: strona internetowa Biura GIODO: "Pytania i odpowiedzi" http://www.giodo.gov.pl/266/id_art/979/j/pl/

[8] W. Rygiel, Mała firma - duży problem, czyli słów kilka o przetwarzaniu danych osobowych w systemach informatycznych,
http://www.vagla.pl/skrypts/przetwarzanie_danych_system_informatyczny.htm

[9] Art. 36 ust. 3 uodo.

[10] Rozporządzenia do znowelizowanej ustawy:
* Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
* Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 100, poz. 1025).
* Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. Nr 94, poz. 923).

[11] W poprawnie realizowanej procedurze legislacyjnej prawidłowością winno być dołączenie do projektu nowelizowanej ustawy proponowanych tekstów rozporządzeń. W omawianym przypadku do projektu noweli przepisów uodo dołączono stosowne rozporządzenie autoryzowane przez Ministra Spraw Wewnętrznych i Administracji. Należy pochwalić posłów, że przekazany do Sejmu projekt rozporządzenia polecili zemleć w niszczarce, ze względu na żenujący w niektórych fragmentach poziom merytoryczny i redakcyjny proponowanego aktu prawnego. Powyższe nie poskutkowało niestety przedłożeniem ustawodawcy poprawionego i pozbawionego wad projektu, co zaowocowało wydaniem rozporządzeń bez poddania ich skutecznej kontroli ustawodawczej.

[12] Tzw. "dane wrażliwe" określone są w art. 27 ust. 1 uodo: "Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym".

[13] strona internetowa Biura GIODO: "Pytania i odpowiedzi" http://www.giodo.gov.pl/266/id_art/979/j/pl/

[14] Biuletyn Administratorów Bezpieczeństwa Informacji, ENSI 2000, nr 6 - 8.