Sprawozdania GIODO z dwóch kadencji

Sprawozdania z działalności Generalnego Inspektora Ochrony Danych Osobowych za okresy: od 1 stycznia 2004 r. do 31 grudnia 2004 r., od 1 stycznia 2005 r. do 31 grudnia 2005 r.; 5 kadencja, 18 posiedzenie, 1 dzień (23.05.2006), 8 punkt porządku dziennego

Z stenogramem ze strony Sejmu.

Sprawozdania z działalności Generalnego Inspektora Ochrony Danych Osobowych za okresy: od 1 stycznia 2004 r. do 31 grudnia 2004 r., od 1 stycznia 2005 r. do 31 grudnia 2005 r. (druki nr 137 i 534) wraz ze stanowiskiem Komisji Sprawiedliwości i Praw Człowieka (druk nr 540).

Generalny Inspektor Ochrony Danych Osobowych Ewa Kulesza:

Panie Marszałku! Wysoka Izbo! Przedmiotem mojego dzisiejszego wystąpienia przed Wysokim Sejmem jest sprawozdanie z działalności generalnego inspektora ochrony danych osobowych za ostatnie dwa lata, ale ponieważ jest to ostatnie sprawozdanie po dwóch kadencjach, siłą rzeczy będzie to także pewna ogólniejsza refleksja dotycząca przestrzegania ustawy o ochronie danych osobowych, gdyż niektóre tendencje, które być może nasiliły się w latach 2004 - 2005, były już w skargach obywateli sygnalizowane wcześniej.

Sprawozdanie przed Sejmem jest nie tylko okazją do oceny przestrzegania obowiązującego prawa w zakresie ochrony danych osobowych przez podmioty zarówno z sektora publicznego, jak i prywatnego, ale też okazją do oceny skuteczności instrumentów prawnych przysługujących generalnemu inspektorowi.

Zanim przejdę do szczegółowego omówienia najważniejszych zagadnień, pragnę zwrócić uwagę Wysokiej Izby, iż w roku 2004 została znowelizowana ustawa o ochronie danych osobowych i wydane na jej podstawie przepisy wykonawcze. W ten sposób spełniony został wymóg Komisji Europejskiej pełnego implementowania postanowień dyrektywy unijnej 95/46, co było także jednym z warunków przystąpienia Polski do Unii Europejskiej. Ale nowelizacja wynikała z dwóch przyczyn, była także wynikiem doświadczeń wynikających z kilkuletniego stosowania ustawy, bowiem po kilku latach stosowania ustawy okazało się, że przyjęte w pierwotnej wersji ustawy rozwiązania prawne w znacznym stopniu uniemożliwiają funkcjonowanie generalnego inspektora ochrony danych osobowych i mogłyby także, gdyby były bardzo restrykcyjnie stosowane, przeszkadzać w obrocie gospodarczym.

Jeżeli chodzi o samą filozofię przyjętych zmian w postaci dostosowania ustawy o ochronie danych osobowych do norm unijnych, istotą tych zmian było ułatwienie obrotu gospodarczego, w tym przekazywania danych, bowiem w ramach Unii Europejskiej przekazywanie danych odbywa się na takich samych zasadach, jakby to przekazywanie miało miejsce wewnątrz kraju. Wobec tego należało ustawę dostosować do wymogów unijnych po to, żeby nie blokowała obrotu gospodarczego z innymi państwami Unii Europejskiej. Natomiast, jak już mówiłam, kilkuletnie doświadczenia ze stosowaniem ustawy stanowiły podstawę do stworzenia klarowniejszych procedur, na przykład w odniesieniu do rejestracji zbiorów danych osobowych oraz do innego, nieco bardziej przejrzystego określenia obowiązków administratorów danych.

Chciałabym powiedzieć, że zgodnie z pierwotnym brzmieniem ustawy o ochronie danych osobowych, brzmieniem przyjętym w pierwotnym tekście ustawy z roku 1997, generalny inspektor w przypadku stwierdzenia niewłaściwego wypełnienia wniosku bądź też jakichkolwiek uchybień w przypadku zgłaszania zbiorów do zarejestrowania miał tylko jedno wyjście: nakazać usunięcie zbiorów i likwidację danych ze zbioru, co oczywiście mogło mieć daleko idące konsekwencje, jeżeli chodzi o zbiory publiczne, mogło doprowadzić do sparaliżowania działalności instytucji publicznej, natomiast w przypadku podmiotów sektora prywatnego mogło narazić, jeżeli sąd administracyjny by nie podtrzymał decyzji generalnego inspektora, Skarb Państwa na odszkodowanie. Oczywiście do takich sytuacji nie wolno było dopuścić, z tego względu w przyjętej w tej chwili wersji tej części ustawy o ochronie danych osobowych, która mówi o rejestracji zbiorów danych, mówi się o uprawnieniu generalnego inspektora do nakazania usunięcia uchybienia, ale tylko w takim zakresie, w jakim te uchybienia zasygnalizowane we wniosku nie odpowiadały postanowieniom ustawy.

Najistotniejsze zmiany wprowadzone zostały do rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Na szczególną uwagę zasługuje zdefiniowanie podstawowych pojęć oraz odmienne niż wcześniej zróżnicowanie poziomów bezpieczeństwa systemów informatycznych w zależności od kategorii przetwarzanych danych - od poziomu podstawowego, gdy przetwarzane dane osobowe nie są poddane przez ustawodawcę szczególnej ochronie, poprzez poziom podwyższony do poziomu wysokiego ochrony stosowanego w systemach informatycznych, w których przynajmniej jedno z urządzeń systemu informatycznego służącego do przetwarzania danych jest połączone z siecią publiczną. W ten sposób obowiązki administratora danych zostały bardzo klarownie przedstawione zarówno w samej ustawie, jak i w przepisach wykonawczych do ustawy. W tej chwili już nie ma żadnych wątpliwości co do tych obowiązków, w szczególności nie ma wątpliwości co do obowiązku sporządzania określonych dokumentów. Wcześniej, przed nowelizacją, administratorzy danych sygnalizowali, że jest dla nich niejasne, czy i w jakim zakresie nałożone na nich obowiązki powinny być wykonane, na przykład co do powołania tzw. administratora bezpieczeństwa informacji, ponieważ ten obowiązek wynikał nie z ustawy, ale z przepisu wykonawczego.

Co do oceny przestrzegania ustawy o ochronie danych osobowych w odniesieniu do podmiotów sektora prywatnego - pozwolę sobie najpierw skupić się na tym sektorze - generalnie stwierdzić należy, że firmy prywatne, zwłaszcza duże, traktujące przestrzeganie prawa jako miernik wiarygodności wobec klientów i partnerów zagranicznych, w zasadzie dobrze wykonują obowiązki wynikające z ustawy o ochronie danych osobowych i przepisów wykonawczych, stosując z dużą starannością zabezpieczenia organizacyjne i techniczne. Nie oznacza to, że nie ma skarg na takie firmy, jednak zarówno skargi, jak i pytania kierowane do generalnego inspektora głównie wskazywały na rażące naruszenia prawa, w tym wewnętrznych procedur, przez poszczególnych pracowników firm oraz na złą interpretację niektórych przepisów, zwłaszcza tych, które odnoszą się do wykonywania obowiązku informacyjnego.

Pragnę podkreślić, że obowiązek informacyjny, który polega na wskazaniu, kto jest administratorem danych, z pełną nazwą i adresem administratora, w jakim celu dane są przetwarzane, w jakim celu zatem są pozyskiwane od klientów, także w sytuacjach, kiedy osoba dobrowolnie te dane przekazuje, bądź też jakie jest źródło danych, jeżeli te dane są pozyskiwane od innych jednostek organizacyjnych, na przykład innych podmiotów prywatnych, albo czy istnieje obowiązek prawny podania danych - ze wskazaniem praw przysługujących osobie, której dane są wykorzystywane - ma zagwarantować możliwość skorzystania z przysługującemu każdemu prawa kontroli przetwarzania danych oraz z prawa żądania niewykorzystywania bądź też nawet usunięcia danych. Obowiązek taki powinien być wykonywany albo w momencie zbierania danych bezpośrednio od osoby, której dane będą wykorzystywane, a zatem w momencie na przykład podawania danych przedstawicielowi firmy, który chce te dane wykorzystać, albo, jeżeli są zbierane z innego źródła, bezpośrednio po utrwaleniu danych, jeszcze przed ich wykorzystywaniem w celach na przykład handlowych lub marketingowych.

Błąd podmiotów prywatnych polegał i polega często - bo niestety jest to praktyka, z którą walczymy od samego początku funkcjonowania urzędu - na zbyt późnym lub niewłaściwym wykonywaniu obowiązku informacyjnego, co sprawia, że klienci nie mogą już faktycznie skorzystać z przysługujących im praw. Pomijam tu fakty celowego wprowadzania w błąd osób, których dane były wykorzystywane. Rozpatrywana była przez nas skarga osoby, która została poinformowana, że jej dane zostały kupione od firmy zagranicznej. Przy pomocy kolegów brytyjskich sprawdziliśmy, że takiej firmy zagranicznej, która była podawana jako źródło informacji o osobie, w ogóle nie było. Nie było takiej firmy, działającej pod takim adresem. Później okazało się, że źródłem informacji o osobach był nieuczciwy handlarz telefonami komórkowymi, który poza swoją oficjalną działalnością sprzedawał firmie marketingowej dane klientów tej firmy.

Chciałabym powiedzieć, że zwłaszcza w ostatnich latach nasiliły się skargi od rodzin osób bądź też od osób, których dane zostały pozyskane dawno, a zatem firmy marketingowe korzystały ze starych i nieaktualnych zbiorów danych osobowych. Szczególnie przykre były skargi od rodzin osób, pod których adresy przychodziły oferty marketingowe lub informacje - w gruncie rzeczy informacje oszukańcze - o tzw. wygranych bądź o treści: przeszedł pan do drugiego etapu naszego konkursu, w sytuacji gdy adresaci tych ofert nie żyli od wielu lat.

Ostatnia taka skarga była szczególnie szokująca, dlatego że firma, w tym wypadku był to bank, przesyłała oferty, mimo że adresat tych ofert nie żył od kilku lat, ponieważ baza danych, którą kupił, była bazą nieaktualną. Gdyby bank wcześniej wykonał prawny obowiązek wynikający z ustawy o ochronie danych osobowych, to rodzina mogłaby szybko wyegzekwować usunięcie ze zbioru danych dotyczących osoby, do której kierowane były te oferty. Chciałabym jeszcze raz powtórzyć, że takie rzeczy nie mogłyby się zdarzyć, gdyby firmy przestrzegały przepisów i dopełniały obowiązku informacyjnego niezwłocznie po uzyskaniu danych, bo wówczas byłby czas na weryfikację i na uaktualnienie zbioru. To jest także prawny obowiązek administratora danych, wynikający z ustawy o ochronie danych osobowych.

Zupełnie niezrozumiałe i niedopuszczalne, a także wysoce niemoralne jest nieaktualizowanie zbiorów i nieusuwanie lub zwlekanie z usunięciem danych osób niewyrażających zgody na wykorzystywanie ich danych albo nieusuwanie nazwisk osób zmarłych mimo żądań najbliższych. O tym ostatnim przypadku mówiłam, ale takie przypadki zdarzały się także wcześniej.

Podaję tu tylko niektóre przykłady wielu możliwych sposobów naruszeń praw osób, których dane są wykorzystywane przez podmioty gospodarcze, co stanowi naruszenie ustawy o ochronie danych i świadczy o przedmiotowym, lekceważącym traktowaniu klientów nawet przez duże podmioty sektora finansowego. O takim przedmiotowym traktowaniu klientów, ale także, a może przede wszystkim, o bezsilności podmiotów gospodarczych w realizacji przysługujących im praw do egzekwowania należności z tytułu długów od ich dłużników mogą świadczyć sygnalizowane w skargach sprawy związane z windykacją długów.

Sprawy te, zwłaszcza w roku 2004, dominowały wśród skarg kierowanych do generalnego inspektora w odniesieniu do podmiotów sektora prywatnego. Problem polegał na tym, że dłużnicy firm prywatnych dowiadywali się nagle, iż dysponentem ich długu nie jest firma, z którą łączyła ich umowa, lecz firma windykacyjna. Pomijam kwestię sposobu windykacji, na przykład próby zastraszania klientów, bowiem w tej sprawie wszczął postępowanie Urząd Ochrony Konkurencji i Konsumentów, natomiast problemem było określenie podstaw prawnych zbycia wierzytelności wobec różnego, dwojakiego uregulowania tych kwestii w przepisach Kodeksu cywilnego.

Otóż w toku prowadzonych wyjaśnień powoływano się na to, zresztą także na formularzach od firm windykacyjnych, które były przesyłane do dłużników, widniała informacja, iż podstawą sprzedaży wierzytelności, przelewu wierzytelności jest ogólny przepis art. 509 Kodeksu cywilnego, zezwalający na sprzedaż wierzytelności bez żadnych szczególnych i dodatkowych warunków. W Kodeksie cywilnym obowiązują jednak równocześnie przepisy dotyczące wierzytelności tzw. konsumenckich, to jest art. 385 oraz art. 3851 § 1, z treści których wynika, że przelew wierzytelności przysługującej względem konsumenta podlega szczególnym zasadom i stanowi wyjątek od postanowień art. 509 § 1.

W rozpatrywanych sprawach brak było podstaw do uznania, że spełnione zostały przesłanki z powoływanych przepisów art. 3853 i art. 3851 dotyczących umowy przelewu wierzytelności. Ponieważ te umowy przelewu wierzytelności zawarte pomiędzy administratorem a podmiotem, który nabył wierzytelność, kształtowały prawa i obowiązki skarżących w sposób sprzeczny z warunkami określonymi w przepisach, a zatem z dobrymi obyczajami, rażąco naruszały interesy skarżących, więc nie zostały spełnione przesłanki legalnego przekazania danych firmom windykacyjnym, wobec czego wszczynane były postępowania.

To stanowisko generalnego inspektora potwierdzone zostało przez Urząd Ochrony Konkurencji i Konsumentów. Podkreślam to, że mieliśmy opinie Urzędu Ochrony Konkurencji i Konsumentów, żeby wskazać, że do rozparzenia tych spraw przykładano dużą wagę. Nie chodziło o kwestionowanie prawa wierzyciela do dochodzenia wierzytelności, lecz chodziło w tych wszystkich sprawach o stwierdzenie, jakie warunki muszą być spełnione w przypadku przelewu wierzytelności: czy warunki ogólne, czy też warunki szczególne dotyczące wierzytelności konsumenckich.

Problem wynikający ze skarg kierowanych do generalnego inspektora wynikał także z tego, że w bardzo wielu przypadkach, na przykład w odniesieniu do osób, które wcześniej zawierały umowy z Telekomunikacją Polską, wierzytelności były wątpliwe. Był to szczególny okres. Rok 2004 był szczególnym okresem nasilenia się skarg na działanie wierzycieli w przypadku tzw. wątpliwych wierzytelności. Klienci skarżyli się, że nie mieli szansy przedstawić swoich wątpliwości wierzycielom. Tak było na przykład w przypadku Telekomunikacji Polskiej, ponieważ nie funkcjonowała tzw. Błękitna Linia. W wielu skargach powtarzały się informacje, że zgłaszane wątpliwości dotyczące istnienia długu były przyjmowane do wiadomości przez firmę, po czym w dalszym ciągu taka osoba po raz kolejny otrzymywała informację, że jej wierzytelność jest sprzedawana podmiotowi, który zajmuje się windykacją wierzytelności.

W bardzo wielu przypadkach, których dotyczyły skargi, klienci nie mieli możliwości wyjaśnienia swojej sytuacji wobec wierzyciela, natomiast po sprzedaży wierzytelności firmie windykacyjnej nie mieli już żadnej szansy wyjaśnienia wątpliwości, albowiem firma windykacyjna w ogóle nie była zainteresowana wyjaśnieniem tego, czy mianowicie taka wierzytelność istnieje. Firma ta była zainteresowana po prostu odzyskaniem długu, a nie rozpatrywaniem reklamacji. Wielokrotnie zresztą pisała o tym prasa.

W ostatnim czasie także przypomniano przykład kobiety, która bezskutecznie od wielu lat domaga się uznania, że nie jest winna powstaniu długu związanego z korzystaniem z telefonu, ponieważ ten dług powstał z winy mieszkającego u niej najemcy lokalu. I mimo iż sprawa ta wielokrotnie była rozpatrywana przez Telekomunikację Polską, telekomunikacja sprzedała dług firmie windykacyjnej, która oczywiście nie jest zainteresowana rozpatrywaniem reklamacji, mimo iż do tej sprawy także parę razy wracały media. Sprawa nie jest rozstrzygnięta do tej pory, ponieważ w obrocie prawnym funkcjonują rozbieżne orzeczenia Naczelnego Sądu Administracyjnego: z jednej strony orzeczenie utrzymujące w mocy decyzję administracyjną generalnego inspektora stwierdzającą, że podstawą do przelewu wierzytelności powinny być te powołane wcześniej przepisy szczególne określające zasady postępowania z wierzytelnością konsumencką, z drugiej strony orzeczenia stwierdzające, że każda sprzedaż wierzytelności, nawet niespełniająca wymogów przepisów konsumenckich określonych w Kodeksie cywilnym, jest legalną podstawą przekazania danych.

Mówię o tym dlatego, że gdyby była na przykład uchwała Naczelnego Sądu Administracyjnego - tego się spodziewaliśmy - jednoznacznie określająca sposób postępowania, byłaby to wskazówka zarówno dla administratorów danych, dla wierzycieli, jak i dla organu rozstrzygającego. Taka jednolita linia orzecznicza jest zawsze niezbędna, albowiem wyznacza ona także sposób działania organów administracji.

Niezwykle istotnym problemem, jeśli chodzi o legalność przetwarzania danych, była sprawa braku w przepisach prawa powszechnie obowiązującego podstaw prawnych przetwarzania i terminów przechowywania danych klientów banków zaciągających kredyty, a także rzetelnych i nierzetelnych klientów. Utworzone przez banki i Związek Banków Polskich Biuro Informacji Kredytowej oraz drugi rejestr, tzw. rejestr bankowy, funkcjonowały, jak tłumaczono w toku postępowania, na podstawie art. 105 Prawa bankowego. Przepis ten jednak stanowi pewną ogólną przesłankę tworzenia tego typu instytucji, to znaczy instytucji, które są uprawnione do zbierania i wymiany informacji, natomiast art. 105 Prawa bankowego nie określał i nie określa do tej pory praw i obowiązków klientów, a zatem nie jest wystarczającą podstawą do określania na przykład czasu przechowywania danych klientów. Takim przepisem szczególnym miał być regulamin wewnętrzny Biura Informacji Kredytowej.

Oczywiście w naszym porządku prawnym regulamin wewnętrzny instytucji nie może kształtować praw i obowiązków obywateli. Taką podstawą prawną może być tylko ustawa bądź też przepis wykonawczy wydany w ramach upoważnienia ustawowego. Z tego względu przeciwko Biuru Informacji Kredytowej prowadzone było postępowanie, prowadzona była też dyskusja, w trakcie której wielokrotnie było stawiane pytanie, jakie są legalne przesłanki przetwarzania danych i wyznaczenia 7-letniego terminu na przechowywanie danych przez Biuro Informacji Kredytowej. Ten 7-letni okres przechowywania danych był odnoszony zarówno do klientów rzetelnych, jak i tzw. klientów nierzetelnych. Ponieważ ta dyskusja nie dawała rezultatu, została wydana przez generalnego inspektora decyzja nakazująca usunięcie wszystkich danych ze zbiorów BIK jako przetwarzanych bez spełnienia jakiejkolwiek przesłanki określonej w ustawie o ochronie danych osobowych. Wydanie tej decyzji dało jednak asumpt do szybkiego znowelizowania Prawa bankowego w celu stworzenia stosownych podstaw prawnych do przetwarzania danych rzetelnych i nierzetelnych klientów. Znalazło to odzwierciedlenie w nowym art. 105a Prawa bankowego.

Chciałabym jednocześnie powiedzieć, że w celu zagwarantowania rzetelności obrotu gospodarczego w art. 105a zostały stworzone, podobnie jak w ustawie o udostępnianiu informacji gospodarczej, przesłanki do przetwarzania bez zgody klienta, ale przez wskazany w ustawie czas, danych klientów nierzetelnych. To rozwiązanie ma - podobnie jak zapisy w ustawie o udostępnianiu informacji gospodarczej - chronić rynek, chronić podmioty gospodarcze przed nierzetelnymi klientami. W przypadku natomiast rzetelnych klientów banków klienci mogą wyrazić zgodę - ale mogą też nie wyrazić zgody - na przetwarzanie ich danych przez Biuro Informacji Kredytowej.

Bardziej niż naruszenia prawa przez podmioty sektora prywatnego niepokojące są naruszenia prawa popełnione przez przedstawicieli urzędów państwowych. Zgodnie z art. 7 konstytucji organy władzy publicznej działają na podstawie i w granicach prawa. To oznacza, że prawo powszechnie obowiązujące, stanowione przez parlament, określa kompetencje organów władzy publicznej, a także w zakresie ich uprawnień określa zasady gromadzenia danych o obywatelach i wskazuje cel wykorzystania danych.

Jednakże prawo organów państwa do zbierania informacji o obywatelach przy wykorzystaniu autorytetu państwa i przymusu państwowego rodzi jednocześnie określone obowiązki. Państwo demokratyczne nie może bowiem postrzegać obywatela i wszystkich informacji o nim jako swojej własności, którą dysponują w sposób dowolny jego funkcjonariusze. Funkcjonariusze państwa, przedstawiciele instytucji publicznych nie mogą wykorzystywać informacji o obywatelach w inny sposób niż określony przepisami, a zwłaszcza nie mogą ich wykorzystywać dla realizacji celów pozaprawnych, albowiem normy prawne są gwarancjami dla tychże instytucji, ale także dla obywateli. Takie są standardy demokratycznych państw.

Tymczasem w świadomości wielu osób, także osób pełniących funkcje publiczne, nie zakorzeniła się jeszcze świadomość konieczności przestrzegania prawa, a także wynikających z prawa standardów ochrony danych osobowych. Standardy te są postrzegane w cywilizowanych państwach jako symbol państwa demokratycznego i instrument ochrony prywatności i godności obywateli.

Jak wynika ze skarg kierowanych do generalnego inspektora, w wielu przypadkach przedstawiciele instytucji publicznych lekceważyli prawo - zarówno własne przepisy, jak i przepisy o ochronie danych osobowych - bądź tych przepisów w ogóle nie znali. W bardzo wielu przypadkach nieznajomość własnych przepisów sprawiała, że przedstawiciele instytucji publicznych odmawiali udzielania informacji bądź nie podejmowali działania, do którego byli zobligowani, a zasłaniali się ustawą o ochronie danych osobowych bądź odsyłali petentów wbrew przepisom do generalnego inspektora ochrony danych osobowych, albo nie umieli skutecznie żądać informacji niezbędnych do prowadzenia postępowania. Powołam się tu na przykład Policji i straży miejskich, które mimo prowadzonych postępowań spotykały się z odmową udzielania informacji na przykład ze strony sektora prywatnego o abonentach sieci telefonicznych.

Chciałabym wyraźnie zaznaczyć, że we wszystkich tych przypadkach, kiedy instytucje publiczne żądały danych do prowadzenia postępowań w ramach własnych przepisów i własnych kompetencji, zawsze generalny inspektor stawał po ich stronie. Także w przypadku straży miejskiej interwencja generalnego inspektora - w tym przypadku w postaci decyzji administracyjnej nakazującej udzielenie informacji - dała straży miejskiej wgląd w informacje, ponieważ były to dane niezbędne do wykonywania ustawowych obowiązków przez podmiot, przez organ publiczny. Muszę zaznaczyć, że w tym przypadku stanowisko generalnego inspektora potwierdził Naczelny Sąd Administracyjny. Interwencja generalnego inspektora dała także asumpt do zmiany w przepisach obowiązujących.

Niepokojące jednak były i są zwłaszcza przypadki nieznajomości prawa przez przedstawicieli instytucji centralnych, w szczególności pracowników ministerstw. Wbrew obowiązywaniu np. ustawy o ewidencji ludności urzędnicy z Ministerstwa Spraw Wewnętrznych i Administracji odmawiali udzielania informacji z ewidencji ludności bądź odsyłali petenta do generalnego inspektora. Zjawisko nieznajomości prawa wśród wysokich urzędników ministerialnych jest niepokojące tym bardziej, że mogłoby się wydawać, iż powinny to być osoby o najwyższych kwalifikacjach zawodowych, znakomicie znające przepisy, służące swoją wiedzą nie tylko własnej instytucji, ale i podmiotom publicznym z nią współpracującym z niższych szczebli administracji rządowej i samorządowej. Tymczasem więcej staranności w wykonywaniu prawa i znajomości przepisów wykazują właśnie urzędnicy z terenowych jednostek administracji, zwłaszcza z niewielkich gmin i powiatów, aniżeli przedstawiciele urzędów centralnych. W odniesieniu do tych właśnie jednostek organizacyjnych w wielu przypadkach pytania o interpretację przepisów prawa kierowane do generalnego inspektora wynikały nie tylko z braku pewności co do interpretacji przepisów, ale także często - chciałabym tutaj prosić Wysoką Izbę o weryfikację przepisów, które regulują działalność właśnie najniższych jednostek samorządowych - z braku regulacji prawnych, które by w sposób precyzyjny określały kompetencje poszczególnych organów, zwłaszcza organów samorządowych.

Jedno z najczęściej pojawiających się pytań dotyczy na przykład uprawnień komisji rewizyjnych do wglądu w dokumenty w określonych sprawach. Komisje rewizyjne są uprawnione do kontroli, są na przykład uprawnione do kontroli gospodarki finansowej gminy. Tej kontroli nie zawsze mogą dokonywać, na przykład niedopuszczalne jest kontrolowanie akt postępowań prowadzonych przez ośrodki pomocy społecznej; ponieważ sprawy dotyczą przyznawania świadczeń z zakresu pomocy społecznej, są to sprawy objęte przez ustawę o pomocy społecznej szczególną ochroną, a ponadto kontrola decyzji administracyjnych dokonywana jest w toku instancji przez organy wyższej instancji, a zatem organ wyższej instancji, do którego trafia odwołanie, ma możliwość weryfikowania nie tylko spełnienia formalnoprawnych, ale także merytorycznych podstaw przyznania albo nie świadczenia z pomocy społecznej. Jednak w bardzo wielu sprawach prawo do kontroli przez komisje rewizyjne nie jest dookreślone. Tak jest na przykład w przypadku kontroli prawidłowości umorzeń i zwolnień z podatków lokalnych.

I tutaj nasuwa się pytanie: Czy właśnie prawidłowość takich decyzji wójtów, burmistrzów i prezydentów nie powinna być poddana weryfikacji przez organ rady, jakim jest komisja rewizyjna? W tej chwili obecnie obowiązujące regulacje nie pozwalają komisji rewizyjnej, bo nie jest to tak wprost określone w przepisach, na takie działania, ale myślę, że takie kompetencje komisja rewizyjna powinna mieć, ponieważ akurat te kategorie spraw nie podlegają weryfikacji w innym toku instancji. Takie przyjrzenie się właśnie przepisom samorządowym chciałabym Wysokiej Izbie przedstawić do rozważenia.

Z żalem muszę przyznać, że nieznajomość prawa wykazywali także przedstawiciele organów ścigania, a czasem także wymiaru sprawiedliwości. Dlatego też w kategoriach pewnego obowiązku traktowaliśmy wszelkie prośby o szkolenia dla jednostek sektora publicznego, dawało to bowiem szansę na wyjaśnienie wszystkich ewentualnych wątpliwości i nieporozumień, które mogły pojawić się przy stosowaniu ustawy o ochronie danych osobowych, a więc były takie szkolenia, jak to wynika ze sprawozdań, bo te wykazy zostały dołączone zarówno do sprawozdania za rok 2004, jak i do sprawozdania za rok 2005.

Mimo zakrojonej na szeroką skalę akcji uświadamiającej, mimo prowadzenia szkoleń spotkałam się z przykładami niedopuszczalnej znajomości prawa przez przedstawicieli wymiaru sprawiedliwości. Przytoczę tylko jeden casus. Mianowicie sędzia przysłał sprawę do rozstrzygnięcia przez generalnego inspektora w formie decyzji. Sprawa dotyczyła oceny - jeszcze raz podkreślam, że ta ocena miała mieć formę decyzji administracyjnej - dopuszczalności jako dowodów w postępowaniu sądowym zaświadczeń lekarskich i dokumentacji medycznej. Jakkolwiek całą sprawę można byłoby traktować - oczywiście mówię tu żartobliwie - jako wyraz szacunku dla generalnego inspektora i jego wysokiego prestiżu, to generalny inspektor miał bowiem decydować o dopuszczalności dowodów w sprawie sądowej, to tak naprawdę przerażające było to, że sędzia nie miał nawet świadomości, że w ten sposób sam ograniczał własną niezawisłość sędziowską. Mimo takich przypadków pragnę podkreślić jednak, że sądy znakomicie wdrażały ustawę. Prezesi sądów z dużą starannością przygotowywali wszystkie dokumenty niezbędne do zabezpieczenia danych, w razie wątpliwości kierowali pytania z prośbą o wyjaśnienie przepisów. To przygotowanie i szacunek dla prawa potwierdzały kontrole dokonywane przez inspektorów generalnego inspektora w sądach.

Nieco gorzej, a nawet, powiedziałabym, z dużą niechęcią poddawały się rygorom ustawy o ochronie danych osobowych prokuratury. Mieliśmy tutaj przykład pewnej nawet arogancji w stosowaniu i w traktowaniu przepisów. Dopiero jednoznaczne orzecznictwo sądu administracyjnego wskazało prokuratorom, iż to właśnie na nich spoczywają szczególne obowiązki dotyczące zabezpieczenia dokumentów stanowiących akta postępowań, zawierających przecież często dane wyjątkowe, dane szczególne, dane, których ujawnienie osobom nieuprawnionym mogłoby wyrządzić niepowetowane szkody.

Muszę niestety powiedzieć o najbardziej rażącym przykładzie niestosowania przepisów. Była to sprawa IPN-u, o której miałam możliwość mówić na żądanie Wysokiej Izby 18 lutego ubiegłego roku. Kontrola przeprowadzona po wyniesieniu i opublikowaniu w Internacie - z naruszeniem obowiązujących przepisów nie tylko ustawy o ochronie danych osobowych, ale samych przepisów ustawy o IPN - tzw. pomocy ewidencyjnych, zawierających nazwiska, imiona i nadane przez IPN numery ewidencyjne, wykazała niewykonanie podstawowych obowiązków wynikających z obowiązujących przepisów. Spośród wielu stwierdzonych w IPN uchybień można m.in. wymienić brak osoby odpowiedzialnej za ochronę danych, tzw. administratora bezpieczeństwa informacji - osoba taka wyznaczona została dopiero po kontroli - brak było podstawowego dokumentu w postaci tzw. polityki bezpieczeństwa, brak było ewidencji osób upoważnionych do przetwarzania danych oraz dokumentów, które określałyby m.in. rodzaj prowadzonych pomocy ewidencyjnych, zakres danych jak i narzędzia informatyczne, jakie mogą zostać użyte do ich opracowania; mimo stwierdzenia tych uchybień cały czas było kwestionowane prawo generalnego inspektora w ogóle do prowadzenia kontroli. IPN nie zgłosił także do zarejestrowania zbiorów danych osobowych, jakkolwiek niewątpliwie takie zbiory danych, bardzo obszerne, Instytut Pamięci Narodowej posiada.

W wyniku kontroli wydana została decyzja administracyjna, która ostatecznie w pełni została wykonana. Chciałabym Wysoką Izbę o tym poinformować. Chciałabym także poinformować, że w wyniku kontroli, w wyniku stwierdzonych uchybień jako urzędnik państwowy, funkcjonariusz publiczny miałam obowiązek powiadomić organy ścigania, ale także - co jest ciekawe - organy ścigania w tej samej sprawie zostały powiadomione przez prezesa Instytutu Pamięci Narodowej i to postępowanie jest w dalszym ciągu prowadzone przez prokuraturę. Istotą zawiadomienia było udostępnienie przez osobę z IPN danych osobowych osobom nieuprawnionym. Sprawa IPN była dla mnie szczególnie trudna, bowiem jakkolwiek dość często zdarzało się, że kontrole prowadzone przez inspektorów generalnego inspektora wykazywały naruszanie bądź niewykonywanie przepisów ustawy o ochronie danych, zawsze jednak administratorzy starali się usuwać uchybienia nawet w toku kontroli, a jeżeli polemizowali, to wykorzystywali argumenty prawne.

Oczywiście każda sprawa, a przynajmniej większość spraw, była podstawą do prowadzenia sporu prawnego, który był rozstrzygany przez sąd administracyjny. Z kolei w przypadku IPN, zamiast przyjąć jako potwierdzone wyniki kontroli, wyniki kontroli były w protokole kontroli i w dokumentach zawierających prawie 1200 stron tzw. zrzutów z ekranu, zeznań składanych przez pracowników IPN, protokołów. Te wyniki kontroli wskazywały na konieczność wprowadzania wewnętrznych procedur przede wszystkim w celu zabezpieczenia dokumentów przed ich nieuprawnionym wykorzystaniem.

Wszczęta została kampania medialna wprowadzająca opinię publiczną w błąd z elementami także zniesławienia generalnego inspektora. Byłam pomawiana o obronę byłych funkcjonariuszy Służby Bezpieczeństwa, a chcę z całą mocą podkreślić, że działałam wyłącznie jako urzędnik państwowy w celu wykonania obowiązującego w Polsce prawa.

Panie Marszałku! Wysoka Izbo! Ponieważ jest to moje ostatnie sprawozdanie przed Sejmem po ośmiu latach działalności, pozwolę sobie jeszcze na krótką refleksję dotyczącą tego okresu. Po ośmiu lat obowiązywania ustawy o ochronie danych osobowych - niewątpliwie weszła ona już do systemu prawnego - organ ochrony danych osobowych, bez względu na to, kto będzie pełnił tę funkcję, może już w swoim działaniu powoływać się na orzecznictwo Sądu Najwyższego, Naczelnego Sądu Administracyjnego, na literaturę, na komentarze do wyroków, a także na publikacje.

Nie zawsze jednak filozofia ustawy jest właściwie odczytywana, a sama ustawa przestrzegana. W corocznych sprawozdaniach zawsze wskazywałam na brak właściwych działań ze strony organów ścigania jako reakcji na zawiadomienia o podejrzeniu popełnienia przestępstwa. Tym razem nie chciałam zdominować tym akcentem sprawozdania, ale niestety muszę powiedzieć, że praktyka odmawiania wszczynania postępowania bądź umarzania postępowania już wszczętego jest przez prokuraturę kontynuowana.

Takie reakcje prokuratury tylko utwierdzają administratorów danych w ich przekonaniu, że nie warto w Polsce przestrzegać ustaw. Są to zachowania prokuratorów niebezpieczne, bowiem uderzają w porządek prawny, wskazują, że w Polsce można lekceważyć prawo i organ, który je stanowi. Dlatego też, korzystając z ostatniego wystąpienia, chciałabym zwrócić Wysokiej Izbie szczególną uwagę na takie zachowania organów ścigania. Dziękuję bardzo. (Oklaski)

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>