Druk nr 63

Warszawa, dn. 13 grudnia 2011 r. SEJM RZECZYPOSPOLITEJ POLSKIEJ VII kadencja

Panie i Panowie Posowie na Sejm Rzeczypospolitej Polskiej

Uprzejmie przekazuj wniesiony przez Generalnego Inspektora Ochrony Danych Osobowych w dniu 14 lipca 2010 r. dokument:

- Sprawozdanie z dziaalnoci Generalnego Inspektora Ochrony Danych Osobowych w roku 2009

Marszaek Sejmu (-) Ewa Kopacz

GEIYERALI\Y IN{SPEKTOR OCHROI{Y DANYCH OSOBOWYCH

klichat Serzycki
Warszawa, dnia1lll lipca 2010 r.

DESIWM- ovt. lto?8 )q,| l i

Pan Grzegorz Schena MarszaekSejmu RP

tt-)

-',z:

9/,,'7z 4,z
/

.rti-;.e,/l?

'.l/

r s^ 7-c.2-t:.
--

zgodnie z art. 20 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t1, Dz. U. z 2002 r., Nr 101, poz. 9f6 z pon. zm'), przekazujSpra*-ozdanie z dziatalnoci Generalnego Inspektora ochrony Danych osobolvych w roku 2009 wraz Z r,vnioskami lvynikaj4cymi ze stanuprzestrzegania przepisw o ochroniedanych osobowvch.
l-> r--x fi ..-,[)/,'-.,,.i,)-J',,1.,

.r.,---r/

|'l ,

i/ i./.1

,r" )

t:i.i

+ j ': r,', i 1

-'-:'.:.;..*'..-'

Generalny Inspektor Ochrony Danych Osobowych

SPRAWOZDANIE
Z DZIAALNOCI GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH W ROKU 2009
Sprawozdanie stanowi wykonanie art. 20 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z pn. zm.), zgodnie z ktrym Generalny Inspektor Ochrony Danych Osobowych skada Sejmowi, raz w roku, sprawozdanie ze swojej dziaalnoci wraz z wnioskami wynikajcymi ze stanu przestrzegania przepisw o ochronie danych osobowych.1

Niniejsze Sprawozdanie obejmuje okres dziaalnoci Generalnego Inspektora Ochrony Danych Osobowych od 1 stycznia 2009 r. do 31 grudnia 2009 r.

SPIS TRECI
Cz I. Prawne podstawy dziaalnoci Generalnego Inspektora Ochrony Danych Osobowych 1. 2. Informacje oglne ... Biuro Generalnego Inspektora Ochrony Danych Osobowych 2.1 Struktura organizacyjna .. 2.2 Pracownicy Biura GIODO .. 2.3 Wykonanie budetu Generalnego Inspektora Ochrony Danych Osobowych za 2009 rok .. Cz II. Stan wiedzy i przestrzegania przepisw o ochronie danych osobowych 1. 2. Informacje oglne .. 8 10 10 11 11 12 13 13 15 16 19 21 22 23 23 27 27 32 32 37 39 5 6 6 7

Kontrola zgodnoci przetwarzania danych z przepisami o ochronie danych osobowych 2.1 Czynnoci kontrolne ... 2.2 Kontrola przetwarzania danych osobowych w wybranych obszarach .... 2.2.1 Administracja publiczna .... 2.2.2 Bezpieczestwo publiczne .. 2.2.3 Sdy, prokuratura, komornicy ....... 2.2.4 Internet .... 2.2.5 Telekomunikacja .... 2.2.6 Zatrudnienie ... .. 2.2.7 Biura obrotu nieruchomociami . 2.2.8 Karty miejskie .... 2.2.9 Inne

3.

Wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisw o ochronie danych osobowych 3.1 Wydawanie decyzji . 3.2 Decyzje w wybranych obszarach 3.2.1 Administracja publiczna .. 3.2.2 Sdy, prokuratura, komornicy ..... 3.2.3 Banki i inne instytucje finansowe ... 3.2.4 Internet ... 3.2.5 Marketing

3.2.6 Sektor mieszkalnictwa . 3.2.7 System Informacyjny Schengen .. 3.2.8 Telekomunikacja ..... 3.2.9 Zatrudnienie .... 3.2.10 Ubezpieczenia spoeczne, majtkowe i osobowe .. 3.2.11 Zdrowie . 3.2.12 Inne 4. 5. 6. Prowadzenie rejestru zbiorw danych osobowych oraz udzielanie informacji o zarejestrowanych zbiorach Opiniowanie projektw ustaw i rozporzdze dotyczcych ochrony danych osobowych .. Inicjowanie i podejmowanie przedsiwzi w zakresie doskonalenia ochrony danych osobowych .

40 42 43 43 47 48 49 54 61 76 77 95 95 99 100 103 105 113 115 117 122 125 126

6.1 Interpretacja przepisw 6.2 Dziaalno informacyjna ..... 6.2.1. Wsppraca ze rodkami masowego przekazu .. 6.2.2. Publikacje ...... 6.2.3. Szkolenia, stae, wymiana pracownikw .. 6.2.4. Konkursy ... 6.2.5. Konferencje, seminaria, spotkania . 6.2.6. Internet ... 6.2.7. Inne informacje .. 7. Uczestnictwo w pracach midzynarodowych organizacji i instytucji zajmujcych si problematyk ochrony danych osobowych . 7.1 Midzynarodowe spotkania i konferencje ... 7.2 Wizyty robocze .... 7.3 Warsztaty Rozpatrywania Spraw . Cz III. Charakterystyka dziaalnoci Generalnego Inspektora Ochrony Danych Osobowych w 2009 roku Wnioski i planowane kierunki dziaa Generalnego Inspektora Ochrony Danych Osobowych .

127

Cz IV.

152

Zaczniki
Zacznik nr 1 Wykaz najwaniejszych wystpie Generalnego Inspektora Ochrony Danych Osobowych w roku 2009 o charakterze generalnym do centralnych organw pastwa i do innych podmiotw z sektora publicznego. Wykaz najwaniejszych wystpie Generalnego Inspektora Ochrony Danych Osobowych w roku 2009 do podmiotw prywatnych Wykaz kontroli przeprowadzonych w 2009 roku . Wykaz orzecze Wojewdzkiego Sdu Administracyjnego w Warszawie i Naczelnego Sdu Administracyjnego wydanych w 2009 r. w sprawach prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych . Informacje przekazane przez organy cigania w sprawach skierowanych w 2009 roku przez Generalnego Inspektora Ochrony Danych Osobowych zawiadomie o popenieniu przestpstwa Wykaz szkole przeprowadzonych przez GIODO w 2009 r. .. Wykaz decyzji i postanowie Generalnego Inspektora Ochrony Danych Osobowych wydanych w 2009 roku w sprawach o wyraenie zgody na przekazanie danych osobowych za granic

156

Zacznik nr 2

161

Zacznik nr 3 Zacznik nr 4

165

178

Zacznik nr 5

186 187

Zacznik nr 6 Zacznik nr 7

189

Cz I. Prawne podstawy Osobowych

dziaalnoci

Generalnego

Inspektora

Ochrony

Danych

1. Informacje oglne

Podstaw prawn dziaania Generalnego Inspektora Ochrony Danych Osobowych [GIODO] stanowi ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 z pn. zm.) oraz wydane na jej podstawie akty wykonawcze rozporzdzenia Ministra Spraw Wewntrznych i Administracji: a) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych wraz z zacznikiem zawierajcym opis rodkw bezpieczestwa na poziomie podstawowym, podwyszonym i wysokim (Dz. U. Nr 100, poz. 1024), wydane na podstawie art. 39a ustawy. Rozporzdzenie okrela: sposb prowadzenia i zakres dokumentacji opisujcej sposb przetwarzania danych osobowych oraz rodki techniczne i organizacyjne zapewniajce ochron przetwarzanych danych osobowych odpowiedni do zagroe oraz kategorii danych ob. jtych ochron, podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych, wymagania w zakresie odnotowywania udostpniania danych osobowych i bezpieczestwa przetwarzania danych osobowych, b) z dnia 11 grudnia 2008 r. w sprawie wzoru zgoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536) wydane na podstawie art. 46a ustawy okrela wzr zgoszenia, ktry jest zacznikiem do tego rozporzdzenia, c) z dnia 22 kwietnia 2004 r. w sprawie wzorw imiennego upowanienia i legitymacji subowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. Nr 94, poz. 923) wydane na podstawie art. 22a ustawy okrela wzory, o ktrych mwi to rozporzdzenie, d) rozporzdzenie Prezydenta Rzeczypospolitej Polskiej z dnia 3 listopada 2006 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2006 r. Nr 203, poz. 1494).

Na system ochrony danych osobowych skadaj si te przepisy szczeglne innych ustaw, ktre reguluj kwestie zwizane z przetwarzaniem danych osobowych przez rne podmioty. Podmioty publiczne, w myl zasady praworzdnoci wyraonej w art. 7 Konstytucji Rzeczypospolitej Polskiej, dziaaj wycznie na podstawie i w granicach prawa. Oznacza to, e mog one przetwarza dane osobowe jedynie wtedy, gdy suy to wypenieniu okrelonych prawem zada, obowizkw i upowanie.

2. Biuro Generalnego Inspektora Ochrony Danych Osobowych

2.1 Struktura organizacyjna

Zgodnie z art. 13 ustawy o ochronie danych osobowych, Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych. Organizacja oraz zasady dziaania Biura okrelone zostay w statucie stanowicym zacznik do rozporzdzenia Prezydenta Rzeczypospolitej Polskiej z dnia 3 listopada 2006 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych. Struktur organizacyjn Biura Generalnego Inspektora Ochrony Danych Osobowych przedstawia poniszy schemat:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH ZASTPCA GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH DYREKTOR BIURA GIODO

Departament Orzecznictwa, Legislacji i Skarg Departament Inspekcji

Dzia Finansowy

Zesp Rzecznika Prasowego

Departament Rejestracji Zbiorw Danych Osobowych Departament Informatyki

Samodzielne Stanowisko do Spraw Pracowniczych

Samodzielne Stanowisko do Spraw Audytu Wewntrznego

Departament Edukacji Spoecznej i Wsppracy Midzynarodowej

Samodzielne Stanowisko do Spraw Ochrony Informacji Niejawnych

Departament OrganizacyjnoAdministracyjny

Generalny Inspektor wykonuje swoje zadania bezporednio lub przy pomocy Dyrektora Biura, dyrektorw jednostek organizacyjnych Biura oraz innych osb wskazanych w Regulaminie Organizacyjnym.2

2.2. Pracownicy Biura GIODO

Stan zatrudnienia w Biurze GIODO na 31 grudnia 2009 r. wynis 119,5 etatw (pene etaty). Na stanowiskach merytorycznych zatrudnionych byo 107 osb, a na stanowiskach pomocniczych 16 osb. Wysze wyksztacenie posiadao 100 pracownikw, w tym 71 legitymowao si wyksztaceniem wyszym prawniczym. Zatrudnienie w poszczeglnych jednostkach organizacyjnych Biura GIODO na koniec 2009 r. przedstawia si nastpujco: - GIODO - 1 osoba - Zastpca GIODO 1 osoba - Asystent GIODO 1 osoba - Dyrektor Biura 1 osoba - Zesp Rzecznika Prasowego [ZRP] 4 osoby - Departament Edukacji Spoecznej i Wsppracy Midzynarodowej [DESiWM] 10 osb - Departament Informatyki [DIF] 15 osb, - Departament Inspekcji [DIS] 17 osb, - Departament Orzecznictwa, Legislacji i Skarg [DOLiS] 29 osb, - Departament Rejestracji Zbiorw Danych Osobowych [DRZDO] 17 osb, - Departament Organizacyjno-Administracyjny [DOA] 17 osb, - Dzia Finansowy 3 osoby - Samodzielne Stanowisko ds. Ochrony Informacji Niejawnych 2 osoby - Samodzielne Stanowisko ds. Pracowniczych 2 osoby - Samodzielne Stanowisko ds. Audytu 1 osoba

2.3. Wykonanie budetu Generalnego Inspektora Ochrony Danych Osobowych za 2009 r.

Budet Generalnego Inspektora ustalony w ustawie budetowej na 2009 r. wynosi: 13 717 tys. z, w tym: wynagrodzenia pochodne od wynagrodze 9 291 tys. z 1 432 tys. z

Zarzdzenie nr 29/2007 Generalnego Inspektora Ochrony Danych Osobowych z dnia 14 wrzenia 2007 r. w sprawie wprowadzenia Regulaminu Organizacyjnego Biura Generalnego Inspektora Ochrony Danych Osobowych.

wydatki majtkowe pozostae wydatki

70 tys. z 2 924 tys. z

Wydatki zrealizowane przez GIODO w 2009 roku wyniosy: 13 657 tys. z, w tym: wynagrodzenia pochodne od wynagrodze wydatki majtkowe pozostae wydatki 9 288 tys. z 1 428 tys. z 70 tys. z 2 871 tys. z

Cz II. Stan wiedzy i przestrzegania przepisw o ochronie danych osobowych

1. Informacje oglne Ustawa o ochronie danych osobowych wprowadza szczegowe normy suce realizacji prawa do ochrony danych osobowych. Reguluje postpowanie przy przetwarzaniu danych osobowych, czyli takich operacjach, jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostpnianie i usuwanie danych osobowych. Przy czym pod pojciem dane osobowe naley rozumie wszelkie informacje dotyczce osoby fizycznej, pozwalajce bez wikszego wysiku na okrelenie tosamoci tej osoby. Danymi osobowymi nie bd jednak pojedyncze informacje o duym stopniu oglnoci. Stan si nimi dopiero z chwil zestawienia ich z innymi, dodatkowymi informacjami, ktre w konsekwencji pozwol na odniesienie ich do konkretnej osoby. Moliwa do zidentyfikowania jest wic taka osoba, ktrej tosamo mona okreli bezporednio lub porednio, zwaszcza poprzez powoanie si na numer identyfikacyjny albo jeden lub kilka specyficznych czynnikw okrelajcych jej cechy fizyczne, fizjologiczne, umysowe, ekonomiczne, kulturowe lub spoeczne. Informacji nie uwaa si za umoliwiajc okrelenie tosamoci osoby, jeeli wymagaoby to nadmiernych kosztw, czasu lub dziaa. Gwne zasady postpowania przy przetwarzaniu danych osobowych wyznacza art. 26 ust. 1 ustawy, ujmujc je w form podstawowych obowizkw administratora danych.3 Z jego treci wynika, e administrator danych powinien dooy szczeglnej starannoci w celu ochrony interesw osb, ktrych dane dotycz, a co za tym idzie, ma on przestrzega wskazanych poniej zasad: 1) legalnoci dane mog by przetwarzane tylko na podstawie przepisw prawa,

Administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba decydujca o celach i rodkach przetwarzania danych (art. 7 pkt 4 ustawy o ochronie danych osobowych). Midzy innymi moe to by organ pastwowy, organ samorzdu terytorialnego lub pastwowa albo komunalna jednostka organizacyjna.

2) celowoci dane powinny by zbierane dla oznaczonych, zgodnych z prawem celw i nie poddawane dalszemu przetwarzaniu, jeli jest to niezgodne z tymi celami, 3) merytorycznej poprawnoci dane powinny by merytorycznie poprawne, 4) adekwatnoci dane powinny by adekwatne w stosunku do celw, w jakich s przetwarzane, 5) ograniczenia czasowego dane w postaci umoliwiajcej identyfikacj osb, ktrych dotycz, nie mog by przetwarzane duej, ni jest to niezbdne do osignicia celu, dla ktrego zostay zebrane.

Jako obywatele mamy moliwo skorzystania z przysugujcego nam prawa do kontroli przetwarzania dotyczcych nas danych, ktre ustanowione jest w rozdziale 4 ustawy. Moemy domaga si rwnie: uzyskania informacji, czy zbir danych istnieje, ustalenia administratora danych, adresu jego siedziby, uzyskania informacji o celu, zakresie i sposobie przetwarzania danych oraz informacji o rdle, z ktrego pochodz, dania uzupenienia, uaktualnienia, sprostowania, a nawet czasowego lub staego wstrzymania przetwarzania danych, jeeli s one nieaktualne, niekompletne, nieprawdziwe lub zostay zebrane z naruszeniem prawa albo s ju zbdne do realizacji celu, dla ktrego byy zebrane. Mamy take prawo do sprzeciwu, gdy administrator przetwarza dane w celach marketingowych lub przekazuje je innemu administratorowi danych. Suy nam wic prawo dania od administratora danych odpowiedniego zachowania si w przypadku nieprzestrzegania ustawy, a take prawo do wystpowania do Generalnego Inspektora Ochrony Danych Osobowych, organw cigania oraz wymiaru sprawiedliwoci w sprawach naruszenia przepisw o ochronie danych osobowych. Reasumujc, ustawa o ochronie danych osobowych konkretyzuje prawa obywateli do ochrony ich danych osobowych. Ponadto ustanawia instrumenty umoliwiajce realizacj tego prawa. Nad przestrzeganiem prawa obywateli do ochrony ich danych osobowych czuwa niezaleny organ Generalny Inspektor Ochrony Danych Osobowych. Postpowanie w sprawach uregulowanych w ustawie o ochronie danych osobowych Generalny Inspektor prowadzi wedug zasad okrelonych w przepisach Kodeksu postpowania administracyjnego [K.p.a.], o ile przepisy ustawy o ochronie danych osobowych nie stanowi inaczej (art. 22 ustawy). Zgodnie z brzmieniem art. 12 wspomnianej ustawy, Generalny Inspektor w szczeglnoci: 1) kontroluje zgodno przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydaje decyzje administracyjne i rozpatruje skargi w sprawach wykonania przepisw o ochronie danych osobowych, 3) prowadzi oglnokrajowy, jawny rejestr zbiorw danych oraz udziela informacji o zarejestrowanych zbiorach, 4) opiniuje projekty ustaw i rozporzdze dotyczcych ochrony danych osobowych, 5) inicjuje i podejmuje przedsiwzicia w zakresie doskonalenia ochrony danych osobowych,

6) uczestniczy w pracach midzynarodowych organizacji i instytucji zajmujcych si problematyk ochrony danych osobowych.

2. Kontrola zgodnoci przetwarzania danych z przepisami o ochronie danych osobowych

2.1. Czynnoci kontrolne

Czynnoci kontrolne, ktrych celem jest ustalenie, czy jednostka kontrolowana przetwarza dane zgodnie z przepisami o ochronie danych osobowych, przeprowadzane s na podstawie art. 12 pkt 1 i art. 14 ustawy o ochronie danych osobowych. W art. 14 ustawy wymienione zostay uprawnienia przysugujce Generalnemu Inspektorowi Ochrony Danych Osobowych, Zastpcy Generalnego Inspektora Ochrony Danych Osobowych oraz upowanionym inspektorom w zwizku z realizacj zadania okrelonego w art. 12 pkt 1 powoanej ustawy. Uprawnienia te obejmuj w szczeglnoci prawo wstpu, w godzinach od 6.00 do 22.00, do pomieszczenia, w ktrym zlokalizowany jest zbir danych oraz pomieszczenia, w ktrym przetwarzane s dane poza zbiorem danych, i przeprowadzenia niezbdnych bada lub innych czynnoci kontrolnych w celu oceny zgodnoci przetwarzania danych z ustaw, dania zoenia pisemnych lub ustnych wyjanie oraz wzywania i przesuchiwania osb w zakresie niezbdnym do ustalenia stanu faktycznego, wgldu do wszelkich dokumentw i wszelkich danych majcych bezporedni zwizek z przedmiotem kontroli oraz sporzdzania ich kopii, przeprowadzania ogldzin urzdze, nonikw oraz systemw informatycznych sucych do przetwarzania danych, a take zlecania sporzdzania ekspertyz i opinii. Wymienionym uprawnieniom towarzyszy obowizek kierownika jednostki kontrolowanej oraz osoby fizycznej bdcej administratorem danych, dotyczcy umoliwienia inspektorom dokonania tych czynnoci (art. 15 ust. 1 ustawy o ochronie danych osobowych). Przeprowadzane w toku kontroli czynnoci (odbieranie wyjanie od kierownictwa i pracownikw kontrolowanej jednostki, ogldziny) s dokumentowane w formie protokow przyjcia ustnych wyjanie, protokow przesuchania wiadka oraz protokow ogldzin miejsca, pomieszcze, dokumentw, urzdze, nonikw, systemw informatycznych sucych do przetwarzania danych osobowych. Na podstawie ustale zawartych w ww. protokoach, kserokopiach dokumentw przedoonych w toku kontroli oraz wydrukw z systemw informatycznych sucych do przetwarzania danych osobowych, sporzdzany jest protok kontroli. Podpisany przez inspektorw, ktrzy kontrol przeprowadzili, protok kontroli przedstawiany jest nastpnie do podpisu kierownikowi jednostki kontrolowanej, ktry, zgodnie z art. 16 ust. 2 ustawy o ochronie danych osobowych, moe wnie do niego umotywowane zastrzeenia i uwagi. W zalenoci od ustale

10

poczynionych w toku kontroli, tzn. czy stwierdzone zostay nieprawidowoci w procesie przetwarzania danych osobowych, czy te nie, wszczynane jest postpowanie administracyjne lub kierowane jest do jednostki kontrolowanej pismo z informacj, e w zakresie objtym kontrol nie stwierdzono uchybie. W przypadku stwierdzenia, e dziaanie lub zaniechanie kierownika jednostki kontrolowanej lub jej pracownika wyczerpuje znamiona przestpstwa okrelonego w ustawie o ochronie danych osobowych, do organu powoanego do cigania przestpstw kierowane jest zawiadomienie o podejrzeniu popenienia przestpstwa. Ustalenia kontrolne mog take uzasadni danie wszczcia postpowania dyscyplinarnego przeciwko osobom winnym dopuszczenia do uchybie.

2.2. Kontrola przetwarzania danych osobowych w wybranych obszarach W 2009 r. Generalny Inspektor Ochrony Danych Osobowych przeprowadzi cznie 220 kontroli zgodnoci przetwarzania danych osobowych z przepisami ustawy. 2.2.1 Administracja publiczna W okresie sprawozdawczym przeprowadzono 11 kontroli w wybranych urzdach pracy.4 Zakresem kontroli objto zabezpieczenie przez urzdy pracy danych osobowych interesantw, a take sposb przetwarzania danych osb zgaszajcych si w celu zaatwienia sprawy w urzdzie za porednictwem Internetu. Na podstawie ustale kontrolnych naley pozytywnie oceni poziom spenienia przez ww. podmioty wymogw okrelonych w przepisach o ochronie danych osobowych, bowiem w dziesiciu urzdach pracy nie stwierdzono uchybie w zakresie objtym kontrol. W jednym przypadku zastrzeenia wzbudzi sposb dopenienia przez urzd pracy obowizku informacyjnego (tzn. osb, ktre za pomoc systemu informatycznego ustalay termin wizyty w urzdzie, nie informowano o prawie dostpu do treci swoich danych oraz prawie ich poprawiania oraz o tym, e podanie danych jest niezbdne w celu dokonania rezerwacji terminu wizyty), a take brak naleytego zabezpieczenia danych osobowych, polegajcy na niezastosowaniu szyfrowanych czy podczas transferu danych w przypadku rejestracji uytkownika w systemie informatycznym. Ponadto szafy z dokumentacj zawierajc dane osobowe nie byy wyposaone w zamki i znajdoway si w pomieszczeniach, w ktrych przyjmowani byli interesanci. Zakresem kontroli objto rwnie sposb przetwarzania danych osb zgaszajcych si w celu zaatwienia sprawy w urzdzie za porednictwem Internetu. W urzdach pracy funkcjonuj bowiem Elektroniczne Urzdy Podawcze, ktre stwarzaj moliwo przesania wnioskw (formularzy) z wykorzystaniem sieci. W celu skorzystania z elektronicznej skrzynki podawczej uytkownik musi

Np. DIS-K-421/121/09, DIS-K-421/168/09, DIS-K-421/172/09 i DIS-K-421/195/09.

11

otworzy stron internetow Ministerstwa Pracy i Polityki Spoecznej i wypeni odpowiedni formularz przyporzdkowany do konkretnej sprawy. Transmisja danych poprzez elektroniczn skrzynk podawcz odbywa si za pomoc czy szyfrowanych protokoem https. Wnioski z elektronicznej skrzynki podawczej spywaj na skrzynk mailow waciwego urzdu pracy. Z uwagi na to, e wysanie wniosku za pomoc elektronicznej skrzynki podawczej wymaga posiadania kwalifikowanego podpisu elektronicznego, z Elektronicznego Urzdu Podawczego korzystaj wycznie pracodawcy. 2.2.2 Bezpieczestwo publiczne W okresie sprawozdawczym, w zwizku z obecnoci Polski w strefie Schengen, przeprowadzonych zostao 7 kontroli podmiotw uprawnionych do bezporedniego dostpu do Krajowego Systemu Informatycznego w celu dokonywania wpisw danych SIS oraz w celu wgldu do danych SIS. Tego rodzaju kontrolami zostay objte przede wszystkim sdy.5 Zakresem kontroli objto dane osobowe przetwarzane przez te podmioty w zwizku z realizacj ich uprawnie wynikajcych z przepisw ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej (Dz. U. Nr 165, poz. 1170 z pn. zm.). Na podstawie materiau dowodowego zebranego w toku przeprowadzonych kontroli stwierdzono, e uytkownicy systemu informatycznego wykorzystywanego w sdach do dostpu do danych SIS nie maj moliwoci dokonywania zmiany hasa dostpu do tego systemu. Ponadto kontrole wykazay, e w niektrych sdach nie zostaa opracowana dokumentacja stanowica polityk bezpieczestwa i instrukcj zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych lub dokumentacja ta nie uwzgldniaa systemu informatycznego, za porednictwem ktrego realizowany by dostp do danych SIS. Czstym uchybieniem byo take umoliwienie dostpu do danych SIS osobom, ktre nie odbyy szkolenia z zakresu bezpieczestwa i ochrony danych SIS, wymaganego zgodnie z art. 25 ust. 1 ustawy o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej.6 W pojedynczych przypadkach stwierdzono ponadto, e program antywirusowy zainstalowany na stanowisku dostpowym do danych SIS nie posiada aktualnej bazy antywirusowej oraz, e w ewidencji osb upowanionych do przetwarzania danych osobowych nie zostay uwzgldnione uprawnienia osb dopuszczonych do przetwarzania danych w systemie informatycznym wykorzystywanym w sdach do dostpu do danych SIS. W zwizku ze stwierdzonymi nieprawidowociami w procesie przetwarzania danych

5 6

Np. DIS-K-421/84/09, DIS-K-421/93/09, DIS-K-421/117/09. Art. 25 ust. 1. Organ uprawniony do wykorzystywania danych poprzez Krajowy System Informatyczny jest obowizany do przeszkolenia z zakresu bezpieczestwa i ochrony danych wszystkich osb majcych dostp do Krajowego Systemu Informatycznego.

12

osobowych, Generalny Inspektor skierowa do Ministra Sprawiedliwoci, ktry administracyjnie i technicznie wspomaga sdy w zakresie dostpu do SIS oraz peni nadzr administracyjny nad czynnociami sdw, danie podjcia dziaa majcych na celu usunicie uchybie.7 2.2.3 Sdy, prokuratura, komornicy W okresie sprawozdawczym przeprowadzono 19 kontroli u komornikw sdowych.8 Podczas 7 z nich nie stwierdzono uchybie. Wikszo z przeprowadzonych kontroli wykazaa nieprawidowoci w procesie przetwarzania danych osobowych przy uyciu systemu informatycznego. Stwierdzane w tym zakresie uchybienia dotyczyy przede wszystkim nie zapewnienia przez system informatyczny sucy do przetwarzania danych osobowych odnotowania rda pochodzenia danych oraz sporzdzenia i wydrukowania raportu zawierajcego w powszechnie zrozumiaej formie ww. informacj. Stwierdzono ponadto, e niektrzy komornicy sdowi nie zastosowali rodkw technicznych i organizacyjnych zapewniajcych ochron przetwarzanych danych osobowych odpowiedni do zagroe oraz kategorii danych objtych ochron, a w szczeglnoci nie zabezpieczyli danych przed ich udostpnieniem osobom nieupowanionym lub zabraniem przez osob nieuprawnion, gdy nie zabezpieczyli waciwie akt osobowych pracownikw i uczestnikw postpowa komorniczych oraz nie odnotowywali faktu wynoszenia akt spraw komorniczych w celu podjcia czynnoci egzekucyjnych w terenie. Zdarzay si te uchybienia dotyczce dokumentacji opisujcej sposb przetwarzania danych osobowych oraz rodki techniczne i organizacyjne zapewniajce ochron przetwarzanych danych osobowych odpowiedni do zagroe oraz kategorii danych objtych ochron, takie jak np. pominicie w instrukcji zarzdzania systemem informatycznym informacji dotyczcych jednego z systemw informatycznych sucych do przetwarzania danych osobowych. Z uwagi na to, e administratorzy danych niezwocznie podejmowali dziaania polegajce na usuwaniu uchybie stwierdzonych w toku prowadzonych postpowa administracyjnych, wydawane byy decyzje umarzajce postpowania.9 2.2.4 Internet

W okresie sprawozdawczym u przedsibiorcw prowadzcych portale internetowe przeprowadzono cznie 26 kontroli,10 w tym 17 kontroli sektorowych. Do najczstszych uchybie stwierdzonych w ich toku naleao naruszanie obowizku zgoszenia do rejestracji Generalnemu Inspektorowi prowadzonych zbiorw danych osobowych oraz nienaleyte zabezpieczenie danych osobowych, polegajce na niezastosowaniu rodkw ochrony
7 8

Pismo z 23.09.2009 r. DIS-K-421/84/09/34653. Np. kontrole DIS-K-421/146/09, DIS-K-421/148/09, DIS-K-421/163/09, DIS-K-421/173/09 i DIS-K-421/182/09. 9 Np. DIS/DEC-1174/43217/09, DIS/DEC-1237/46117/09, DIS/DEC-1263/46990/09 i DIS/DEC-1277/47648/09.

13

kryptograficznej wobec danych osobowych przesyanych przy uyciu sieci publicznej, a take wobec danych wykorzystywanych do uwierzytelniania podczas logowania do portalu internetowego. Jednym z najsabszych punktw w bezpieczestwie przetwarzania danych w portalach internetowych, w tym gwnie w portalach typu spoecznociowego, byo take brak zapewnienia wiarygodnej informacji o rdach wprowadzania danych do serwisu. Zidentyfikowano w tym zakresie dwa zasadnicze problemy. Pierwszy to ograniczona liczba informacji o rejestrujcych si w danym serwisie osobach. Czsto informacje te ograniczone byy jedynie do adresu poczty elektronicznej lub loginu w danym serwisie. Drugim problemem bya wiarygodno wprowadzanych danych. W przypadku

wykorzystywania do identyfikacji uytkownika serwisu wycznie adresu poczty elektronicznej, czsto sprawdzane jest jedynie istnienie takiego adresu w chwili rejestrowania si w danym serwisie, bez adnych dalszych dziaa w zakresie okrelenia tosamoci osb posugujcych si tym adresem. W niektrych przypadkach adresy e-mail byy jedynymi danymi osobowymi przetwarzanymi w serwisie i byy to dane pozyskane bez jakiejkolwiek weryfikacji tosamoci osb, ktre si nimi posuguj lub posugiway. Ponadto w wielu serwisach istnienie wskazanego adresu poczty elektronicznej wymagane byo wycznie do utworzenia konta w serwisie, bez potrzeby jego dalszego utrzymywania. Jednostki kontrolowane miay rwnie due problemy z prawidowym wypenieniem obowizkw dotyczcych przetwarzania danych osobowych przy uyciu systemw informatycznych. Systemy informatyczne suce do przetwarzania danych osobowych nie zapewniay m.in. odnotowania daty pierwszego wprowadzenia danych do systemu i identyfikatora uytkownika wprowadzajcego dane osobowe do systemu oraz niezarejestrowania w systemie odrbnego identyfikatora dla kadego uytkownika posiadajcego dostp do danych osobowych przetwarzanych w systemie informatycznym. W kilku przypadkach stwierdzono, e osoby, ktrych dane dotycz, nie maj zapewnionej swobody w wyraaniu zgody na przetwarzanie danych osobowych dla celw zwizanych z korzystaniem z portalu i w celu reklamy, badania rynku oraz zachowa i preferencji usugobiorcw, dla celw statystycznych oraz dziaa marketingowych. Ponadto ustalono, e niektrzy poddani kontroli przedsibiorcy prowadzcy portale internetowe nie opracowali i nie wdroyli dokumentacji, o ktrej mowa 3 ust. 1 rozporzdzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych11, tj. polityki bezpieczestwa i instrukcji zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych,
10

Np. DIS-K-421/6/09, DIS-K-421/11/09, DIS-K-421/15/09, DIS-K-421/25/09, DIS-K-421/33/09, DIS-K-421/45/09, DIS-K-421/61/09 i DIS-K-421/86/09. 11 3 ust. 1. Na dokumentacj, o ktrej mowa w 1 pkt 1, skada si polityka bezpieczestwa i instrukcja zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych, zwana dalej instrukcj; ust. 2. Dokumentacj,

14

a take pozyskiwali szerszy zakres danych osobowych pracownikw (m.in. o nazwisko rodowe matki) ni wynikajcy z przepisw art. 221 1, 2 i 4 Kodeksu pracy.12 Pojedyncze kontrole wykazay ponadto przetwarzanie bez podstawy prawnej danych o naogach osb korzystajcych z portalu oraz niedopenienie wobec uytkownikw portalu obowizku informacyjnego, o ktrym mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych.13 W zwizku z uchybieniami stwierdzonymi w toku kontroli wydane zostay decyzje nakazujce usunicie uchybie w procesie przetwarzania danych osobowych oraz decyzje umarzajce postpowanie w zakresie nieprawidowoci usunitych przez jednostki kontrolowane w toku postpowania.14 W wydanych decyzjach Generalny Inspektor nakaza m.in. zapewnienie

uytkownikom opcjonalnoci w kwestii wyraenia zgody na przetwarzanie danych osobowych, odrbnie dla celw zwizanych z korzystaniem z portalu i w celu reklamy, badania rynku oraz zachowa i preferencji usugobiorcw, dla celw statystycznych oraz dziaa marketingowych. Decyzje nakazujce dotyczyy zgoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi i spenienia obowizku informacyjnego, o ktrym mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych, wobec osb, ktrych dane dotycz.

2.2.5 Telekomunikacja
W 2009 r. przeprowadzono 7 kontroli u dostawcw usug telekomunikacyjnych. Cztery kontrole15 zostay przeprowadzone w zwizku z realizowanym przez Grup Robocz Art. 29 badaniem wdraania przez kraje czonkowskie Unii Europejskiej dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w zwizku ze wiadczeniem oglnie dostpnych usug cznoci elektronicznej lub udostpnianiem publicznych sieci cznoci oraz zmieniajca dyrektyw

o ktrej mowa w 1 pkt 1, prowadzi si w formie pisemnej; ust. 3. Dokumentacj, o ktrej mowa w 1 pkt 1, wdraa administrator danych. 12 Art. 221 1. Pracodawca ma prawo da od osoby ubiegajcej si o zatrudnienie podania danych osobowych obejmujcych: 1) imi (imiona) i nazwisko, 2) imiona rodzicw, 3) dat urodzenia, 4) miejsce zamieszkania (adres do korespondencji), 5) wyksztacenie, 6) przebieg dotychczasowego zatrudnienia. 2. Pracodawca ma prawo da od pracownika podania, niezalenie od danych osobowych, o ktrych mowa w 1, take: 1) innych danych osobowych pracownika, a take imion i nazwisk oraz dat urodzenia dzieci pracownika, jeeli podanie takich danych jest konieczne ze wzgldu na korzystanie przez pracownika ze szczeglnych uprawnie przewidzianych w prawie pracy, 2) numeru PESEL pracownika nadanego przez Rzdowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludnoci (RCI PESEL). 4. Pracodawca moe da podania innych danych osobowych ni okrelone w 1 i 2, jeeli obowizek ich podania wynika z odrbnych przepisw. 13 Art. 24 ust. 1. W przypadku zbierania danych osobowych od osoby, ktrej one dotycz, administrator danych jest obowizany poinformowa t osob o: 1) adresie swojej siedziby i penej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczeglnoci o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorcw danych, 3) prawie dostpu do treci swoich danych oraz ich poprawiania, 4) dobrowolnoci albo obowizku podania danych, a jeeli taki obowizek istnieje, o jego podstawie prawnej. 14 Np. DIS/DEC-258/11009/09, DIS/DEC-390/17359/09, DIS/DEC443/19249/09, DIS/DEC-287/13013/09, DIS/DEC-1327/48391/09, DIS/DEC-583/23647/09, DIS/DEC-410/18720/09, DIS/DEC-827/30231/09, DIS/DEC-1086/39944/09, DIS/DEC-1055/38764/09, DIS/DEC/-910/33153/09, DIS/DEC-1289/47989/09.

15

2002/58/WE (Dz. Urz. UE L z 2006 r. Nr 105, poz. 54). Zakresem kontroli objto zagadnienia wskazane na formularzu Wsplne badanie wdraania dyrektywy o zatrzymywaniu danych: kwestionariusz opracowanym przez Grup Robocz Art. 29 ds. ochrony danych. Zagadnienia te dotyczyy midzy innymi zakresu przechowywanych danych o ruchu oraz zastosowanych rozwiza w celu zapewnienia bezpieczestwa informatycznego, a w szczeglnoci sposobw identyfikacji i autoryzacji uytkownikw oraz zastosowanych metod szyfrowania danych. Dokonane ustalenia zostay wykorzystane do sporzdzenia raportu, ktry zosta przesany Grupie Roboczej Art. 29.

2.2.6 Zatrudnienie
W okresie sprawozdawczym skontrolowano 35 pracodawcw, w tym 20 kontroli przeprowadzono w ramach tzw. kontroli sektorowej.16 Zakresem kontroli objto dane osobowe pracownikw oraz kandydatw do pracy. W toku 6 kontroli nie stwierdzono uchybie w procesie przetwarzania danych osobowych. Przeprowadzone kontrole wykazay, e pracodawcy przetwarzajcy dane osobowe mieli problemy z prawidowym wykonaniem obowizkw okrelonych w art. 24 ust. 1 ustawy o ochronie danych osobowych, tj. z realizacj obowizku informacyjnego wobec osb, ktrych dane dotycz. Obowizek informacyjny nie by realizowany w zakresie wszystkich okolicznoci wymienionych w ww. przepisie ustawy o ochronie danych osobowych lub by realizowany w niepenym zakresie, np. z pominiciem informacji o prawie dostpu do treci swoich danych oraz ich poprawiania, dobrowolnoci lub obowizku podania danych. Jeden z administratorw informowa natomiast, i dane nie bd udostpniane innym podmiotom, mimo e dane byy przekazywane do innej spki. W toku kontroli stwierdzono take sytuacje powierzenia przetwarzania danych osobowych

w ramach zlecenia obsugi ksigowej i archiwizacji, mimo i pracodawca nie zawar ze zleceniobiorc pisemnej umowy powierzenia przetwarzania danych osobowych, o ktrej mowa w art. 31 ust. 1 ustawy o ochronie danych osobowych. Do czstych uchybie stwierdzanych w toku kontroli naleao naruszanie art. 221 1 Kodeksu pracy, gdy zakres przetwarzanych danych wykracza poza katalog danych wskazany w powoanym przepisie, np. dane obejmoway nazwisko rodowe matki pracownika wpisywane do kwestionariusza osobowego. Ponadto przeprowadzane byy testy okrelajce przydatno kandydata do wykonywania pracy na danym stanowisku, w wyniku ktrych pracodawca otrzymywa dodatkowe informacje dotyczce cech kandydata do pracy w nastpujcych kategoriach: prawdomwno, kradzie (skonno do kradziey mienia/pienidzy), obsuga klienta

(czy jest agresywny, niecierpliwy, niegrzeczny czy te pomocny, uprzejmy, bezkonfliktowy), normy (czy ma tendencje do przekraczania norm i amania przepisw) itd. W wyniku prowadzenia testw

15 16

Kontrole DIS-K-421/65/09, DIS-K-421/67/09, DIS-K-421/68/09 i DIS-K-421/65/09. Np. kontrole DIS-K-421/81/09, DIS-K-421/91/09, DIS-K-421/102/09, DIS-K-421/112/09 i DIS-K-421/134/09.

16

pozyskano rwnie informacje o tym, czy kandydat do pracy by skazany za przestpstwo oraz czy widnieje w rejestrze skazanych. Szczeglny przypadek poszerzenia zakresu danych wzgldem katalogu wskazanego w art. 221 1 Kodeksu pracy polega na przetwarzaniu danych biometrycznych pracownikw w celu rejestracji czasu ich pracy. Linie papilarne pobierane byy z palcw doni poprzez urzdzenie skanujce i nastpnie przetwarzane na zapis cyfrowy. Tego typu praktyki miay miejsce u 5 skontrolowanych pracodawcw. Zastrzeenia Generalnego Inspektora budzi take sposb wyraania przez kandydatw do pracy zgody na przetwarzanie ich danych osobowych. Stwierdzone w tym zakresie uchybienia zwizane byy m.in. z treci owiadczenia o wyraeniu zgody, z ktrego nie wynikao w sposb jednoznaczny, e osoby, ktrych dane dotycz, godz si na przetwarzanie ich danych osobowych. Zastrzeenia budzia take konstrukcja klauzuli zgody, w ramach ktrej umieszczonych zostao kilka owiadcze o wyraeniu zgody na przetwarzanie danych osobowych w rnych celach. Kontrole wykazay rwnie, e niektrzy poddani kontroli pracodawcy mieli problemy z zastosowaniem odpowiednich rodkw technicznych i organizacyjnych zapewniajcych ochron przetwarzanych danych osobowych. Uchybienia w tym zakresie polegay na nieopracowaniu procedury regulujcej sposb postpowania z kluczami do pomieszcze, w ktrych s przetwarzane dane osobowe, na przechowywaniu dokumentacji w szafach niewyposaonych w zamki lub na otwartym regale, a take na ustawieniu monitora komputera (na ktrym s przetwarzane dane osobowe), w sposb umoliwiajcy wgld w te dane osobom nieupowanionym. W nielicznych przypadkach stwierdzono, e do przetwarzania danych osobowych dopuszczone zostay osoby nieposiadajce upowanie nadanych przez administratora danych, brak byo ewidencji osb upowanionych do przetwarzania danych osobowych lub nie zawarto w niej wszystkich wymaganych elementw, okrelonych w art. 39 ust. 1 ustawy o ochronie danych osobowych,17 np. identyfikatorw uytkownikw systemu informatycznego oraz daty ustania i zakresu upowanienia do przetwarzania danych osobowych. Ustalono rwnie, e opracowane przez kontrolowanych administratorw danych dokumenty stanowice polityk bezpieczestwa oraz instrukcj zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych, nie zawieray wszystkich elementw wskazanych w 4 i 5 rozporzdzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych.18

Art. 39. 1. Administrator danych prowadzi ewidencj osb upowanionych do ich przetwarzania, ktra powinna zawiera: 1) imi i nazwisko osoby upowanionej, 2) dat nadania i ustania oraz zakres upowanienia do przetwarzania danych osobowych, 3) identyfikator, jeeli dane s przetwarzane w systemie informatycznym. 18 4. Polityka bezpieczestwa, o ktrej mowa w 3 ust. 1, zawiera w szczeglnoci: 1) wykaz budynkw, pomieszcze lub czci pomieszcze, tworzcych obszar, w ktrym przetwarzane s dane osobowe; 2) wykaz zbiorw danych osobowych wraz ze wskazaniem programw zastosowanych do przetwarzania tych danych; 3) opis struktury zbiorw danych wskazujcy zawarto poszczeglnych pl informacyjnych i powizania midzy nimi; 4) sposb przepywu danych

17

17

Nieprawidowoci wystpoway take w procesie przetwarzania danych osobowych przy uyciu systemw informatycznych i dotyczyy niezapewnienia przez systemy informatyczne suce do przetwarzania danych osobowych odnotowania m.in. daty pierwszego wprowadzenia danych do systemu i identyfikatora uytkownika wprowadzajcego dane osobowe do systemu oraz sporzdzenia i wydrukowania raportu zawierajcego w powszechnie zrozumiaej formie wszystkie informacje, o ktrych mowa w 7 ust. 1 ww. rozporzdzenia.19 Do czstych uchybie naleao rwnie zmienianie hasa uwierzytelnienia do systemw informatycznych rzadziej ni co 30 dni. Kilka z przeprowadzonych kontroli wykazao ponadto, e w systemach informatycznym sucych do przetwarzania danych osobowych nie zostay zastosowane mechanizmy kontroli dostpu do tych danych, tj. dostp do systemu nie wymaga wprowadzenia identyfikatora i dokonania uwierzytelnienia lub kilku uytkownikom systemu informatycznego przydzielony zosta wsplny identyfikator. W pojedynczych przypadkach stwierdzono brak zabezpieczenia systemu informatycznego sucego do przetwarzania danych osobowych przed dziaaniem oprogramowania, ktrego celem jest uzyskanie nieuprawnionego dostpu do systemu informatycznego, niewykonywanie na bieco kopii zapasowych oraz przechowywanie kopii zapasowych w miejscu, ktre nie zapewniao ich zabezpieczenia przed nieuprawnionym przejciem, modyfikacj, uszkodzeniem lub zniszczeniem. W zwizku z uchybieniami stwierdzonymi w toku kontroli wydane zostay decyzje nakazujce ich usunicie oraz umarzajce postpowanie w zakresie nieprawidowoci ju usunitych w toku postpowania.20 W wydanych decyzjach Generalny Inspektor nakaza m.in. usunicie danych osobowych obejmujcych przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palcw pracownikw przetwarzanych w celu ewidencji czasu pracy oraz zaprzestanie zbierania danych w tym zakresie, usunicie danych osobowych kandydatw do pracy

pomidzy poszczeglnymi systemami; 5) okrelenie rodkw technicznych i organizacyjnych niezbdnych dla zapewnienia poufnoci, integralnoci i rozliczalnoci przetwarzanych danych. 5. Instrukcja, o ktrej mowa w 3 ust. 1, zawiera w szczeglnoci: 1) procedury nadawania uprawnie do przetwarzania danych i rejestrowania tych uprawnie w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynnoci; 2) stosowane metody i rodki uwierzytelnienia oraz procedury zwizane z ich zarzdzaniem i uytkowaniem; 3) procedury rozpoczcia, zawieszenia i zakoczenia pracy przeznaczone dla uytkownikw systemu; 4) procedury tworzenia kopii zapasowych zbiorw danych oraz programw i narzdzi programowych sucych do ich przetwarzania; 5) sposb, miejsce i okres przechowywania: a) elektronicznych nonikw informacji zawierajcych dane osobowe, b) kopii zapasowych, o ktrych mowa w pkt 4, 6) sposb zabezpieczenia systemu informatycznego przed dziaalnoci oprogramowania, o ktrym mowa w pkt III ppkt 1 zacznika do rozporzdzenia; 7) sposb realizacji wymogw, o ktrych mowa w 7 ust. 1 pkt 4; 8) procedury wykonywania przegldw i konserwacji systemw oraz nonikw informacji sucych do przetwarzania danych. 19 7. 1. Dla kadej osoby, ktrej dane osobowe s przetwarzane w systemie informatycznym - z wyjtkiem systemw sucych do przetwarzania danych osobowych ograniczonych wycznie do edycji tekstu w celu udostpnienia go na pimie - system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora uytkownika wprowadzajcego dane osobowe do systemu, chyba e dostp do systemu informatycznego i przetwarzanych w nim danych posiada wycznie jedna osoba; 3) rda danych, w przypadku zbierania danych, nie od osoby, ktrej one dotycz; 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, ktrym dane osobowe zostay udostpnione, dacie i zakresie tego udostpnienia, chyba e system informatyczny uywany jest do przetwarzania danych zawartych w zbiorach jawnych; 5) sprzeciwu, o ktrym mowa w art. 32 ust. 1 pkt 8 ustawy.

18

pozyskanych w wyniku przeprowadzenia za pomoc systemu informatycznego testw okrelajcych przydatno do wykonywania pracy i zaprzestanie zbierania danych w tym zakresie. Nakazanie usunicia dotyczyo te zaprzestania zbierania takich danych, jak nazwisko rodowe matki pracownika, a take zapewnienie kandydatom do pracy swobody wyraenia zgody na przetwarzanie danych osobowych w celach rekrutacji prowadzonych w przyszoci i udostpniania danych innym podmiotom. 2.2.7 Biura obrotu nieruchomociami W 2009 r. przeprowadzono 16 kontroli podmiotw zajmujcych si porednictwem w obrocie nieruchomociami, w tym 2 podmiotw zajmujcych si rzeczoznawstwem majtkowym.21 Zakresem kontroli objto dane osobowe klientw, dane osb pozyskiwane w zwizku ze sporzdzaniem przez rzeczoznawcw majtkowych operatw szacunkowych, dane pracownikw oraz kandydatw do pracy przetwarzane przez te podmioty. W toku 8 kontroli nie stwierdzono uchybie w procesie przetwarzania danych osobowych w zakresie objtym kontrol. Przeprowadzone kontrole wykazay, e niektre podmioty miay problemy z prawidowym wypenieniem obowizku, o ktrym mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych. Uchybienia w tym zakresie dotyczyy w szczeglnoci nieudzielania osobom, ktrych dane dotycz, informacji o prawie dostpu do treci swoich danych i ich poprawiania oraz

o dobrowolnoci podania danych. W jednym przypadku kontrolowana jednostka w ogle nie realizowaa wobec swoich klientw obowizku informacyjnego. Do czstych nieprawidowoci naleao rwnie niedopenianie przez podmioty zajmujce si porednictwem w obrocie nieruchomociami obowizku aktualizacji informacji dotyczcych zbiorw danych osobowych zawartych w zgoszeniach zbiorw danych osobowych do rejestracji Generalnemu Inspektorowi. Kontrolowane jednostki miay problemy z prawidowym wykonaniem obowizkw okrelonych w rozdziale 5 ustawy o ochronie danych osobowych. Nieprawidowoci dotyczyy w szczeglnoci niezastosowania odpowiednich rodkw technicznych i organizacyjnych

zapewniajcych ochron przetwarzanych danych osobowych (np. przechowywanie dokumentacji zawierajcej dane osobowe w pomieszczeniu, ktre nie zostao zabezpieczone przed dostpem osb nieupowanionych; brak zabezpieczenia serwera, na ktrym przetwarzane byy dane osobowe, przed dostpem osb nieupowanionych), niezawarcia w ewidencji osb upowanionych do przetwarzania danych osobowych wszystkich informacji okrelonych w art. 39 ust. 1 ustawy o ochronie danych osobowych (np. daty nadania i ustania oraz zakresu upowanienia do przetwarzania danych osobowych
20

Np. decyzje nr DIS/DEC-1175/43655/09, DIS/DEC-1172/43212/09, DIS/DEC-1206/44991/09, DIS/DEC-1189/44066/09, DIS/DEC-999/37016/09, DIS/DEC-1139/41929/09, DIS/DEC-1056/38787/09, DIS/DEC-934/34058/09, DIS/DEC1106/40727/09, DIS/DEC-634/25708/09, DIS/DEC-920/33576/09 i DIS/DEC-1208/45000/09.

19

i identyfikatora uytkownika w systemie informatycznym), a w polityce bezpieczestwa elementw wskazanych w 4 rozporzdzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych (np. wykazu budynkw, pomieszcze lub czci pomieszcze, tworzcych obszar, w ktrym przetwarzane s dane osobowe). Niektre kontrole wykazay rwnie uchybienia w procesie przetwarzania danych osobowych przy uyciu systemw informatycznych, dotyczce w szczeglnoci niezapewnienia przez systemy informatyczne suce do przetwarzania danych osobowych odnotowania m.in. daty pierwszego wprowadzenia danych do systemu i identyfikatora uytkownika wprowadzajcego te dane osobowe, niezmieniania hasa uwierzytelnienia bd zmieniania go rzadziej ni co 30 dni, braku wymaganej liczby znakw (co najmniej 8) w hasach sucych do uwierzytelniania uytkownikw w systemach, ktre posiadaj dostp do sieci Internet oraz przyznania jednego identyfikatora dwm uytkownikom systemu informatycznego. W pojedynczych przypadkach inspektorzy stwierdzili brak podstawy prawnej przetwarzania danych osb, ktre poday swoje dane osobowe za porednictwem infolinii, zawarcie w umowach porednictwa klauzuli zgody na przetwarzanie danych osobowych, ktre nie pozwalay klientowi na podjcie swobodnej decyzji, na rzecz ktrego z podmiotw wskazanych w klauzuli wyraa zgod na przetwarzanie danych w celach marketingowych oraz brak okrelenia zakresu przetwarzania danych w umowie powierzenia przetwarzania danych osobowych. W zwizku z uchybieniami stwierdzonymi w toku kontroli wydane zostay decyzje nakazujce ich usunicie oraz umarzajce postpowanie w zakresie nieprawidowoci ju usunitych przez jednostki kontrolowane w toku postpowania.22 W wydanych decyzjach Generalny Inspektor nakaza m.in. dokonanie aktualizacji zgoszenia zbioru danych osobowych, uzupenienie ewidencji osb upowanionych do przetwarzania danych osobowych o zakres upowanienia do przetwarzania danych oraz o identyfikator uytkownika, szyfrowanie danych osobowych przesyanych za porednictwem sieci publicznej i dopenienie obowizku informacyjnego wynikajcego z art. 24 ust. 1 ustawy, wobec osb, ktrych dane dotycz.

Np. kontrole DIS-K-421/23/09, DIS-K-421/31/09, DIS-K-421/37/09, DIS-K-421/39/09, DIS-K-421/51/09, DIS-K421/64/09 i DIS-K-421/73/09. 22 Np. decyzje DIS/DEC-352/15651/09, DIS/DEC-411/18722/09, DIS/DEC-444/19255/09, DIS/DEC-586/23654/09 i DIS/DEC-555/22716/09.

21

20

2.2.8

Karty miejskie W 2009 r. przeprowadzono 11 kontroli podmiotw zajmujcych si transportem

miejskim.23 Zakresem ww. kontroli objto przetwarzanie danych osobowych w zwizku z wydawaniem i obsug tzw. spersonalizowanych kart miejskich nonikw elektronicznych biletw dugookresowych. Najwiksze zastrzeenia inspektorw wzbudzi zakres przetwarzanych danych osobowych pasaerw w celu wydania i obsugi spersonalizowanych kart miejskich. Niektre z przeprowadzonych kontroli wykazay bowiem, i na kartach tych kodowany jest nr PESEL ich uytkownikw, w celu identyfikacji uytkownika karty oraz w celu kontroli biletw. Kwestionowano ponadto przetwarzanie wizerunku osb, ktre zoyy wniosek o wydanie spersonalizowanej karty miejskiej, przetwarzanie numeru tej karty w trakcie dokonywania kolejnych skasowa, jeli kasowania nie miay na celu aktywacji biletu zakodowanego na karcie oraz danych o ruchu pasaerw komunikacji miejskiej (tzw. dane geolokalizacyjne) w zakresie m.in. daty i godziny skasowania, numeru linii autobusowej oraz numeru bocznego autobusu, w ktrym dokonano skasowania biletu. Konsekwencj gromadzenia ww. danych byo bowiem naruszenie przez takie podmioty zasady adekwatnoci danych w stosunku do celu przetwarzania, wyraonej w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Na podstawie wynikw kontroli stwierdzono rwnie, e niektre podmioty zajmujce si transportem miejskim nie zapewniy, aby dane uytkownikw spersonalizowanej karty miejskiej byy przetwarzane nie duej ni jest to niezbdne do osignicia celu przetwarzania tych danych. Podmioty te nie opracoway bowiem procedur, jak rwnie nie ustaliy terminw usuwania danych osobowych ze zbioru w przypadku, gdy cel ich przetwarzania zostanie osignity. Wikszo kontrolowanych jednostek nie dopenia take obowizku dokonania aktualizacji informacji zawartych we wnioskach skadanych podczas rejestracji zbiorw danych osobowych u Generalnego Inspektora m.in. w zakresie okrelenia podstaw prawnych, celu i zakresu przetwarzania danych osobowych w zbiorze. Do nielicznych naleay natomiast uchybienia polegajce na niedopenieniu w penym zakresie wobec osb, ktrych dane dotycz, obowizku informacyjnego okrelonego w art. 24 ust. 1 ustawy o ochronie danych osobowych, na przetwarzaniu danych o stanie zdrowia pasaerw korzystajcych ze spersonalizowanej karty miejskiej bez podstawy prawnej wskazanej w art. 27 ust. 2 ustawy o ochronie danych osobowych oraz na niespenieniu wymogw dotyczcych zabezpieczenia danych osobowych o charakterze formalnym (m.in. niewyznaczenie administratora bezpieczestwa informacji, niezawarcie w dokumentacji stanowicej polityk bezpieczestwa i instrukcj zarzdzania systemem

informatycznym sucym do przetwarzania danych osobowych wszystkich elementw wynikajcych z 4 i 5 ww. rozporzdzenia i dopuszczenie do przetwarzania danych osobowych osb

23

Np. kontrole DIS-K-421/88/09, DIS-K-421/113/09, DIS-K-421/140/09 i DIS-K-421/154/09.

21

nieposiadajcych

upowanie

nadanych

przez

administratora

danych)

oraz

technicznym

(m.in. zmienianie hase uwierzytelnienia do systemw informatycznych, w ktrych przetwarzane s dane osobowe, rzadziej ni co 30 dni i brak wykorzystywanych do uwierzytelnienia rodkw kryptograficznej ochrony danych, ktre s przesyane w sieci publicznej). W zwizku ze stwierdzonymi w toku kontroli uchybieniami w procesie przetwarzania danych osobowych, Generalny Inspektor wyda decyzje24 nakazujce usunicie danych dotyczcych wizerunkw osb, ktrym wydano spersonalizowan kart miejsk i numerw PESEL zakodowanych na karcie, a take okrelenie terminw usuwania danych pozyskanych za pomoc wnioskw o wydanie spersonalizowanej karty miejskiej, ktre powinny by przetwarzane nie duej ni jest to niezbdne do osignicia celu przetwarzania. 2.2.9 Inne W okresie sprawozdawczym w podmiotach nienalecych do sektorw omwionych w poprzednich rozdziaach przeprowadzono 34 kontrole zgodnoci przetwarzania danych z przepisami o ochronie danych osobowych.25 Grupa tych podmiotw jest bardzo zrnicowana i obejmuje m.in. podmioty wykonujce dziaalno gospodarcz w zakresie tworzenia systemw informatycznych, badania Internetu, biura podry, podmioty zajmujce si produkcj, handlem i usugami. Analizujc wyniki kontroli naley stwierdzi, e najwicej uchybie zwizanych z prawidowym wykonywaniem przez jednostki kontrolowane obowizkw wynikajcych z przepisw ustawy o ochronie danych osobowych, dotyczyo w szczeglnoci naruszenia zasady adekwatnoci przetwarzanych danych, jak rwnie przechowywania danych w postaci umoliwiajcej identyfikacj osb, ktrych dotycz, duej ni jest to niezbdne do osignicia celu przetwarzania. Zdarzay si rwnie przypadki braku odrbnej klauzuli o wyraeniu zgody na przetwarzanie danych w celu marketingu produktw i usug innych podmiotw, niedopenienia w penym zakresie wobec osb, ktrych dane dotycz, obowizku informacyjnego wynikajcego z art. 24 ust. 1 ustawy o ochronie danych osobowych oraz niezgoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych prowadzonych zbiorw danych osobowych (np. zbioru danych osobowych klientw). Kontrole wykazay rwnie inne nieprawidowoci w procesie przetwarzania danych osobowych, takie jak brak ewidencji osb upowanionych do przetwarzania danych osobowych oraz polityki bezpieczestwa i instrukcji zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych lub niezawarcie w ww. dokumentach wszystkich wymaganych informacji, okrelonych w art. 39 ust. 1 ustawy o ochronie danych osobowych oraz 4 i 5 ww. rozporzdzenia.

24 25

Np. decyzje DIS/DEC-598/24248/09, DIS/DEC-29/1781/10 i DIS/DEC-54/1981/10. Np. kontrole DIS-K-421/3/09, DIS-K-421/14/09, DIS-K-421/18/09, DIS-K-421/35/09 i DIS-K-421/76/09.

22

Krytycznie naley oceni take sposb wykonania obowizkw zwizanych z przetwarzaniem danych przy uyciu systemw informatycznych. Nieprawidowoci dotyczyy przede wszystkim niespeniania przez te systemy wszystkich wymogw o charakterze technicznym (m.in. niezapewnianie dla kadej osoby, ktrej dane osobowe s przetwarzane w systemach informatycznych, odnotowania daty pierwszego wprowadzenia danych do systemu i identyfikatora uytkownika wprowadzajcego dane osobowe do systemu, zmiana hase dostpu rzadziej ni co 30 dni). W zwizku z tym Generalny Inspektor wyda decyzje nakazujce usunicie wszystkich stwierdzonych w toku kontroli uchybie oraz umarzajce postpowanie w zakresie nieprawidowoci ju usunitych w toku postpowania.26 W szczeglnoci nakaza dopenianie wobec osb, ktrych dane dotycz, obowizku informacyjnego, o ktrym mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych, zmodyfikowanie systemu informatycznego sucego do przetwarzania danych osobowych tak, aby dla kadej osoby, ktrej dane osobowe s w nim przetwarzane, system ten zapewnia odnotowanie daty pierwszego wprowadzenia danych do systemu oraz opracowanie polityki bezpieczestwa i instrukcji zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych. Na podstawie ustale z kontroli przeprowadzonych w 2009 r. mona stwierdzi, e w porwnaniu z latami ubiegymi osoby odpowiedzialne za przetwarzanie danych osobowych wykazay wiksz wiadomo zagroe zwizanych z przetwarzaniem danych osobowych, a tym samym wiadomo koniecznoci zapewnienia odpowiednich rodkw organizacyjnych i technicznych zapewniajcych ochron tych danych. Konsekwencj byo wiksze wyczulenie na prawidowe dopenienie obowizkw wynikajcych z przepisw o ochronie danych osobowych. Niestety, powysze spostrzeenia nie dotycz wszystkich podmiotw, w ktrych przeprowadzono kontrole. Zdarzay si bowiem kontrole, ktre wykazyway, e jednostki kontrolowane nie wykonyway wikszoci obowizkw wynikajcych z przepisw o ochronie danych osobowych.

3. Wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisw o ochronie danych osobowych

3.1. Wydawanie decyzji Postpowanie wszczte przez Generalnego Inspektora z urzdu lub na wniosek osoby zainteresowanej dotyczce naruszenia ustawy o ochronie danych osobowych toczy si wedug przepisw Kodeksu postpowania administracyjnego. Postpowanie to moe zakoczy si wydaniem

Np. decyzje DIS/DEC-973/35153/09, DIS/DEC/390/17359/09, DIS/DEC/286/130006/09, DIS/DEC/1109/40731/09 i DIS/DEC-366/16756/09.

26

23

decyzji administracyjnej nakazujcej administratorowi danych przywrcenie stanu zgodnego z prawem poprzez usunicie uchybie, uzupenienie, danych uaktualnienie, osobowych, sprostowanie, udostpnienie lub

nieudostpnienie

albo

usunicie

zastosowanie

dodatkowych

rodkw

zabezpieczajcych zgromadzone dane, wstrzymanie przekazania ich za granic, zabezpieczenie danych lub przekazanie ich innym podmiotom.

W 2009 r. Generalny Inspektor wyda 1349 decyzji administracyjnych, w tym 781 dotyczyo postpowa rejestrowych, 150 zostao wydanych w zwizku z przeprowadzonymi kontrolami, 355 wydano na skutek postpowania zainicjowanego skarg, za 63 dotyczyy zgody na przekazanie danych do pastwa trzeciego.

150 355

przeprowadzone kontrole - 150 postpowania skargowe - 355 zgoda na przekazanie danych do pastwa trzeciego - 63 postpowania rejestrowe - 781

781

63
Wykres 1: Liczbowe zestawienie rodzajw decyzji administracyjnych wydanych przez Generalnego Inspektora Ochrony Danych Osobowych w 2009 r.

W analizowanym roku sprawozdawczym 2009 Generalny Inspektor Ochrony Danych Osobowych skierowa do organu powoanego do cigania przestpstw 27 zawiadomie o popenieniu przestpstwa przez osoby odpowiedzialne za przetwarzanie danych osobowych. Jak co roku, najwicej zawiadomie o popenieniu przestpstwa zoonych zostao w zwizku z postpowaniami prowadzonymi na skutek skarg wniesionych do Generalnego Inspektora (20 zawiadomie). Spord nich najwicej dotyczyo stwierdzonego przez organ w toku postpowania administracyjnego z przeanalizowanego w art. 49 ust. 1 ustawy o ochronie danych osobowych, przetwarzania danych przez podmioty nieuprawnione, art. 51 ust. 1 ustawy - udostpnienia danych osobowych podmiotom nieuprawnionym oraz art. 52 naruszenia obowizku zabezpieczenia danych przed zabraniem przez osob nieuprawnion, uszkodzeniem lub zniszczeniem. Przewaajca cz zawiadomie dotyczya spraw o naruszenie ochrony danych osobowych na stronach internetowych oraz podobnie jak w latach ubiegych w zwizku z prowadzon przez dane podmioty dziaalnoci marketingow.

24

Natomiast 7 zawiadomie miao zwizek z przeprowadzonymi kontrolami. W czterech przypadkach zawiadomienia dotyczyy przestpstwa wskazanego w art. 49 ustawy o ochronie danych osobowych, w jednym - przestpstwa wymienionego w art. 51 ustawy o ochronie danych osobowych, w jednym - przestpstw okrelonych w art. 51 i 52 ustawy o ochronie danych osobowych, a w jednym przestpstw wskazanych w art. 52, 53 i 54 ustawy o ochronie danych osobowych. Na skutek zoonych zawiadomie w trzech przypadkach prowadzone dochodzenie zostao umorzone, a w jednym przypadku prokuratura odmwia wszczcia dochodzenia. Natomiast w pozostaych trzech przypadkach prokuratura po wszczciu dochodzenia nie przekazaa adnych informacji o sposobie zakoczenia postpowania. W tych przypadkach, w ktrych prokuratura umorzya dochodzenie, Generalny Inspektor Ochrony Danych Osobowych skierowa do Prokuratora Generalnego wystpienia z prob o podjcie na nowo umorzonych postpowa. Wskazywa przy tym, e decyzja o ich umorzeniu podjta zostaa wycznie na podstawie zezna zoonych przez przedstawiciela jednostki kontrolowanej. Natomiast pominite zostay zeznania pracownika Biura Generalnego Inspektora Ochrony Danych Osobowych i materia dowodowy wynikajcy z zawiadomienia o popenieniu przestpstwa wraz z zaczonymi do niego dokumentami, przez co nieuwzgldnione zostay istotne ustalenia dokonane w toku przeprowadzonej kontroli. W jednym przypadku skutkiem skierowanego wystpienia do Prokuratora Generalnego byo podjcie na nowo umorzonego postpowania. Pozostaych 20 zawiadomie miao zwizek z napywajcymi do Generalnego Inspektora skargami. W podsumowaniu naley stwierdzi, e w porwnaniu do poprzedniego okresu

sprawozdawczego zmalaa liczba spraw, w ktrych organ skierowa zawiadomienia o podejrzeniu popenienia przestpstwa. Wynika to niewtpliwie z podjtych przez Generalnego Inspektora intensywnych dziaa w zakresie propagowania idei ochrony danych osobowych oraz bardziej stanowcze egzekwowanie od rnych podmiotw przestrzegania przepisw ustawy. Liczb zawiadomie o popenieniu przestpstwa skadanych przez Generalnego Inspektora w latach 20072009 przedstawia Wykres 2.
40

31 18 27

0 2007 2008 2009

Wykres 2: Porwnanie liczby zawiadomie o popenieniu przestpstwa kierowanych przez GIODO w latach 20072009.

25

W 2009 r. do Departamentu Orzecznictwa, Legislacji i Skarg wpyno 1049 skarg dotyczcych naruszenia przepisw o ochronie danych osobowych. W porwnaniu z rokiem 2008 liczba ta ulega zwikszeniu, co przedstawia Wykres 3.

1500

1000

986 796

1049

500

2007

2008

2009

Wykres 3: Liczbowe zestawienie skarg skierowanych do Generalnego Inspektora Ochrony Danych Osobowych w latach 20072009.

W postpowaniach zainicjowanych tymi skargami wydanych zostao 355 decyzji administracyjnych, z ktrych 45 zostao zaskaronych do Wojewdzkiego Sdu Administracyjnego w Warszawie [WSA] lub Naczelnego Sdu Administracyjnego (za. 4). W porwnaniu z rokiem 2008, w ktrym zaskaronych zostao 69 decyzji, oznacza to spadek o 35 %.

450

338
300

355

280

150

0 2007 2008 2009

Wykres 4: Liczbowe zestawienie decyzji wydanych przez Generalnego Inspektora Ochrony Danych Osobowych w latach 2007-2009 w zwizku z rozpatrywanymi skargami.

26

Najwaniejsze orzeczenia dotyczyy rozumienia pojcia dane osobowe,27 udostpnienia danych osobowych dziennikarzy na wniosek skarcego28 i udostpnienia danych osobowych osb objtych ochron zwizku zawodowego.29 Kada ze skarg wpywajcych do Biura Generalnego Inspektora Ochrony Danych Osobowych analizowana bya na wstpie pod ktem spenienia warunkw formalnych przewidzianych przepisami Kodeksu postpowania administracyjnego. W przypadku tych, ktre je speniay, GIODO inicjowa postpowania administracyjne. Jeeli w ich toku stwierdza naruszenie przepisw ustawy o ochronie danych osobowych, wydawa decyzje administracyjne i zgodnie z art. 18 ustawy nakazywa przywrcenie stanu zgodnego z prawem, a w szczeglnoci zgodnie z ww. artykuem: 1) usunicie uchybie, 2) uzupenienie, uaktualnienie, sprostowanie, udostpnienie lub nieudostpnienie danych osobowych, 3) zastosowanie dodatkowych rodkw zabezpieczajcych zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do pastwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunicie danych osobowych. Zakres podmiotowy skarg kierowanych do Generalnego Inspektora Ochrony Danych Osobowych w 2009 roku obejmowa nastpujce obszary: 1) administracja publiczna, 2) sdy, prokuratura, komornicy, 3) banki i inne instytucje finansowe, 4) Internet, 5) marketing, 6) sektor mieszkalnictwa, 7) System Informacyjny Schengen (SIS), 8) telekomunikacja 9) zatrudnienie, 10) ubezpieczenia spoeczne, majtkowe i osobowe, 11) zdrowie, 12) inne.

3.2. Decyzje w wybranych obszarach

3.2.1 Administracja publiczna Najwicej skarg wpywajcych w 2009 r. do Generalnego Inspektora Ochrony Danych Osobowych dotyczyo sektora administracji publicznej (143 skargi). Podobnie jak w latach ubiegych, skarcy najczciej wskazywali przypadki udostpnienia ich danych osobowych na stronach internetowych. W jednej z takich spraw GIODO wyda decyzj30 nakazujc marszakowi wojewdztwa przywrcenie stanu zgodnego z prawem poprzez usunicie ze strony internetowej Biuletynu Informacji Publicznej urzdu marszakowskiego, danych osobowych skarcego zawartych w jego owiadczeniach
27

Numer IP jako dana osobowa wyrok Wojewdzkiego Sdu Administracyjnego w Warszawie z 3 lutego 2010 r. sygn. akt. II SA/Wa 1598/09, numer lokalu jako dana osobowa wyrok Naczelnego Sdu Administracyjnego z 19 stycznia 2010 r., sygn. akt I OSK 491/09, wizerunek jako dana osobowa wyrok Naczelnego Sdu Administracyjnego z 18 listopada 2009 r., sygn. akt I OSK 667/09. 28 Wyrok Wojewdzkiego Sdu Administracyjnego w Warszawie z 13 lutego 2009 r., sygn. akt 1570/08, wyrok Wojewdzkiego Sdu Administracyjnego w Warszawie z 12 sierpnia 2009 r. sygn. akt II SA/Wa 754/09, wyrok Wojewdzkiego Sdu Administracyjnego w Warszawie z 6 stycznia 2010 r. sygn. akt II SA/Wa 940/09, 29 Wyrok Wojewdzkiego Sdu Administracyjnego w Warszawie z 28 padziernika 2009 r. sygn. akt II SA/Wa 16/09. Naley zaznaczy, i sprawa, w ktrej zapado ww. orzeczenie bya opisywana w Sprawozdaniu z dziaalnoci Generalnego Inspektora Ochrony Danych Osobowych w roku 2008 s. 41-42. 30 Decyzja GIODO z 3 sierpnia 2009 r. DOLiS/DEC-752/09/28096,28098.

27

majtkowych za lata 2005 i 2006, w zwizku z zaprzestaniem penienia przez niego funkcji publicznej. W uzasadnieniu tego rozstrzygnicia GIODO wskaza, i publikowanie owiadcze majtkowych osoby, ktra zaprzestaa penienia funkcji, w zwizku z ktr owiadczenia te zoya, narusza art. 23 ust. 1 ustawy o ochronie danych osobowych i oznacza poddanie danych osobowych skarcego przetwarzaniu niezgodnemu z celami, dla ktrych zostay one zebrane, a take oznacza ich przechowywanie w opisanej formie przez okres duszy, ni niezbdny dla osignicia celu przetwarzania. W omawianym okresie 2009 r. GIODO wyda dwie decyzje nakazujce organom samorzdu terytorialnego usunicie danych osobowych ze strony internetowej Biuletynu Informacji Publicznej.31 W obu sprawach dane osobowe byy zawarte w dokumentach stanowicych informacj publiczn decyzja administracyjna starosty oraz uchwaa rady powiatu. W opinii GIODO w sprawach tych realizacja uprawnienia w postaci ogoszenia na stronie internetowej BIP informacji publicznej nie uwzgldniaa prawa skarcych do prywatnoci. Zgodnie z art. 5 ust. 2 ustawy o dostpie do informacji publicznej prawo do informacji publicznej, podlega ograniczeniu ze wzgldu na prywatno osoby fizycznej lub tajemnic przedsibiorcy. Ograniczenie to nie dotyczy informacji o osobach penicych funkcje publiczne, majcych zwizek z penieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsibiorca rezygnuj z przysugujcego im prawa. W niniejszych sprawach skarcy nie penili funkcji publicznych, jak rwnie nie zrezygnowali z przysugujcego im prawa do prywatnoci. W tej sytuacji prywatno skarcych, jako dobro chronione prawem, powinno mie pierwszestwo przed innym dobrem prawem chronionym dostpnoci do informacji publicznej. Podkrelenia wymaga, e Trybuna Konstytucyjny wielokrotnie w wydanych orzeczeniach wyraa pogld, i prawo dostpu do informacji nie ma charakteru bezwzgldnego, a jego granice wyznaczone s m.in. przez konieczno respektowania praw i wolnoci innych podmiotw, w tym przez konstytucyjnie gwarantowane prawo do ochrony ycia prywatnego.32 Trybuna Konstytucyjny stwierdzi rwnie, e w ramach zderzenia si dwu wartoci z jednej strony konstytucyjnego prawa do informacji, z drugiej prawa do prywatnoci nie mona bezwzgldnie przyzna priorytetu temu pierwszemu. Nie istnieje formua zagwarantowania obywatelom dostpu do informacji za wszelk cen.33 Trzeba zaznaczy, i ograniczenie udostpnienia danych osobowych skarcych nie oznacza, e nie stanowi one informacji publicznej, ale e zostay wyczone z kategorii informacji podlegajcych ujawnieniu. Zdaniem GIODO, przy upublicznieniu jedynie w celach informacyjnych decyzji administracyjnej starosty czy te uchway rady powiatu zbdne byo (nieadekwatne do celu) ujawnienie danych
31

Decyzja GIODO z dnia 26 maja 2009 r. DOLiS/DEC-437/09, decyzja GIODO z dnia 27 maja 2009 r. DOLiS/DEC-445/09. 32 Por. wyrok Trybunau Konstytucyjnego z 20 marca 2006 r. sygn. K. 17/2005.

28

osobowych skarcych. Usunicie personaliw skarcych czy te ich zanonimizowanie w ogoszonych w Biuletynie Informacji Publicznej dokumentach nie wpywa bowiem na czytelno dokonanego w ten sposb przekazu. W tych przypadkach tre decyzji administracyjnej starosty lub uchway rady powiatu nie traci waloru informacyjnego, albowiem wynika z niej kto, kiedy i w jakiej sprawie publicznej zaj okrelone stanowisko.34 W 2009 r. GIODO wyda decyzj nakazujc stray miejskiej wyeliminowanie nieprawidowoci w procesie przetwarzania danych osobowych poprzez usunicie ze zbioru danych osobowych informacji o stanie zdrowia skarcej35 Organ wskaza, i z treci art. 10a ustawy o straach gminnych wynikao, e stra w celu realizacji ustawowych zada moga przetwarza dane osobowe, z wyczeniem danych ujawniajcych pochodzenie rasowe lub etniczne, pogldy polityczne, przekonania religijne lub filozoficzne, przynaleno wyznaniow, partyjn lub zwizkow, jak rwnie danych o stanie zdrowia, kodzie genetycznym, naogach lub yciu seksualnym, bez wiedzy i zgody osoby, ktrej dane te dotycz, uzyskane: 1) w wyniku wykonywania czynnoci podejmowanych w postpowaniu w sprawach o wykroczenia, 2) z rejestrw, ewidencji i zbiorw, do ktrych stra posiada dostp na podstawie odrbnych przepisw. Generalny Inspektor wskaza, i brak byo przepisw prawa, ktre wprost wskazywayby, e to oskaryciel publiczny stra miejska (gminna) mia obowizek ustala okolicznoci dotyczce stanu zdrowia danej osoby w toku podejmowanych czynnoci, przed skierowaniem wniosku o ukaranie do sdu. Tego rodzaju okolicznoci, jako majce znaczenie w szczeglnoci dla obligatoryjnego udziau obrocy w postpowaniu sdowym, mogy by ustalane ju na etapie postpowania przed waciwym sdem. wiadczy mg o tym w szczeglnoci fakt, i art. 57 2 i 3 Kodeksu postpowania w sprawach o wykroczenia, okrelajcy warunki formalne, jakim musi odpowiada wniosek o ukaranie, nie przewidywa, aby we wniosku zamieszczane byy informacje o stanie zdrowia obwinionego. W art. 57 3 pkt 2 teje ustawy wskazuje si bowiem wycznie, i we wniosku powinny si znale informacje dotyczce miejsca zatrudnienia obwinionego oraz, w miar moliwoci, dane o jego warunkach materialnych, rodzinnych i osobistych. Brak byo wic wymogu umieszczania danych o stanie zdrowia. W innej sprawie GIODO zwrci si do Ministra Zdrowia o podjcie odpowiednich dziaa majcych na celu zagwarantowanie zgodnoci przetwarzania danych osobowych wiadczeniobiorcw z przepisami ustawy o ochronie danych osobowych przekazywanych przez wiadczeniodawcw Narodowemu Funduszowi Zdrowia na podstawie art. 188 ust. 5 ustawy o wiadczeniach opieki zdrowotnej finansowanych ze rodkw publicznych.36 Jak wynika z ustale dokonanych w niniejszej sprawie, zwizek lekarzy rodzinnych - pracodawcw na podstawie penomocnictw (udzielonych mu
33 34

Por. wyrok Trybunau Konstytucyjnego z 19 czerwca 2002 r. sygn. K. 11/2002. Por. wyrok Wojewdzkiego Sdu Administracyjnego w Warszawie z 18 listopada 2008 r. sygn. II SA/Wa 1177/08. 35 Decyzja GIODO z dnia 12 padziernika 2009 r. DOLiS/DEC-998/09/36971,36980,36983.

29

przez czonkw zwizku) pozyskiwa od czonkw zwizku dane pacjentw w celu przekazania ich Narodowemu Funduszowi Zdrowia, na podstawie z art. 188 ust. 5 ustawy o wiadczeniach opieki zdrowotnej finansowanych ze rodkw publicznych. W ocenie Generalnego Inspektora Ochrony Danych Osobowych, przepis ten nie przewidywa moliwoci scedowania przez wiadczeniodawc okrelonego w tym przepisie obowizku w drodze upowanienia na rzecz innego podmiotu,

np. zwizku. Zatem jeeli wol ww. wiadczeniodawcw byo przekazywanie ww. danych do NFZ za porednictwem zwizku, jedyn konstrukcj, na podstawie ktrej zwizek mg pozyskiwa dane ww. osb w celu ich przekazania na rzecz NFZ, mogaby by konstrukcja umowy powierzenia przewidziana w art. 31 ust. 1 ustawy o ochronie danych osobowych. Tak wic konieczne byo zawarcie odpowiednich umw powierzenia przez ww. wiadczeniodawcw ze zwizkiem, okrelajcych cel i zakres przetwarzanych danych, co jednak nie miao miejsca. W kolejnej sprawie GIODO zwrci si do Prezydenta Miasta o podjcie stosownych dziaa celem wyeliminowania przypadkw udostpnienia danych osobowych czonkw zaoycieli stowarzysze zwykych, wobec ktrych Prezydent peni funkcj nadzorcz, w sytuacji braku ku temu podstaw prawnych. Impulsem do powyszego wystpienia bya skarga na udostpnienie przez ww. podmiot danych osobowych czonkw zaoycieli Komitetu Obrony Policjantw Stowarzyszenia Zwykego na rzecz Komendanta Stoecznego Policji. Uznajc powysze dziaanie za pozbawione podstaw prawnych, organ ochrony danych osobowych wskaza, i przepisy ustawy Prawo o stowarzyszeniach, ktre wyznaczaj kompetencje Prezydenta w zakresie sprawowania nadzoru nad stowarzyszeniami, upowaniaj go do podejmowania jedynie cile okrelonych dziaa nadzorczych, a kwestionowane udostpnienie danych osobowych stanowio wykroczenie poza te uregulowania.37 W trzech innych skargach na podmioty z sektora administracji publicznej najczciej podnoszony by zarzut bezprawnego przetwarzania danych osobowych na stronach internetowych jednostek samorzdu terytorialnego. Przetwarzanie to byo wynikiem publikacji protokou z sesji rady miejskiej, jak rwnie zarzdzenia organu samorzdu terytorialnego zawierajcego dane osobowe skarcych. W kolejnych sprawach skarcy kwestionowali pozyskiwanie danych osobowych przez organy samorzdu terytorialnego w zwizku z przeprowadzeniem ankiety, ubieganiem si o pomoc zdrowotn czy te daniem udostpnienia informacji publicznej. Jedna ze skarg zawieraa zarzut nieprawidowego przetwarzania danych osobowych w toku prowadzonego przez organ samorzdu terytorialnego postpowania administracyjnego. Polegao ono na wczeniu do akt postpowania dokumentw zawierajcych dane tzw. szczeglnie chronione. Ponadto pojawia si sprawa udostpnienia przez przewodniczcego rady powiatu podmiotom nieuprawnionym danych osobowych

36
37

Pismo GIODO z dnia 15 padziernika 2009 r. DOLiS-440-374/09/37706,37818. Pismo z 26 marca 2009 r. DOLiS-440-516/08/10812/09.

30

zwartych w uchwale rady powiatu i protokole pokontrolnym sporzdzonym przez czonkw komisji rewizyjnej tej rady. W omawianym roku GIODO zwrci si do burmistrza o podjcie odpowiednich dziaa w celu dostosowania procesu przetwarzania danych osobowych zebranych za pomoc ankiety w zbiorze danych osb niepenosprawnych mieszkajcych na terenie gminy miejskiej do wymogw okrelonych przepisami ustawy o ochronie danych.38 GIODO wskaza, e chcc unikn zarzutu naruszenia art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych, administrator danych osobowych osb niepenosprawnych zawartych w opisanych ankietach (w niniejszej sprawie burmistrz), powinien by oprze proces przetwarzania ww. danych na ktrej z przesanek wymienionych w art. 27 ust. 2 pkt 1-10 ustawy o ochronie danych osobowych (np. pozyska od osb, ktrych ww. dane dotycz, pisemn zgod na ich przetwarzanie), jak rwnie udzieli osobom, ktrych dane dotycz, informacji okrelonych w art. 24 ustawy o ochronie danych osobowych. Zdaniem GIODO, naleyte wywizanie si z obowizku zapewnienia adekwatnoci (relewantnoci) danych (art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych) wymagao z kolei, aby administrator przetwarza wycznie takie dane (takiego rodzaju i takiej treci), ktre byy mu niezbdne dla realizacji celw, dla ktrych byy zebrane. Jednoczenie Generalny Inspektor Ochrony Danych Osobowych zaznaczy, i konieczne byo jednoznaczne i precyzyjne zdefiniowanie ww. celw realizowanych przez burmistrza, dla ktrych zbiera on omawiane dane (i poinformowanie o tych celach osb, ktrych dotycz przetwarzane dane art. 24 ust. 1 pkt 2 ustawy o ochronie danych osobowych). W kolejnej sprawie GIODO zwrci si do burmistrza o podjcie dziaa majcych na celu zapewnienie zgodnoci przetwarzanych danych osobowych dotyczcych wysokoci osiganych dochodw rodzicw dziecka z przepisami ustawy

o ochronie danych osobowych, pozyskiwanych w trakcie rekrutacji do przedszkoli prowadzonych przez miasto.39 Organ w wystpieniu tym zaleci, by pozyskiwana bya zgoda osoby zainteresowanej na przetwarzanie danych dotyczcych osiganych dochodw na potrzeby teje rekrutacji. Pozwoli to bowiem na uniknicie wtpliwoci, co do legalnoci pozyskiwania i dalszego przetwarzania przedmiotowych danych, a zarazem wiadczy bdzie o kierowaniu si przez burmistrza zasad szczeglnej starannoci w procesie przetwarzania danych osobowych. Analiza dotyczca dziaalnoci organu ochrony danych osobowych w sektorze administracja publiczna wykazuje, e wci najczciej pojawiajcym si problemem byo zbyt liberalne podejcie administratorw danych osobowych (organw administracji publicznej) do kwestii dostpu do informacji publicznych zawierajcych dane osobowe przetwarzane przez konkretny organ administracji, w zwizku z podejmowanymi dziaaniami. Realizujc obowizek ujawniania informacji

38 39

Pismo GIODO z 19 listopada 2009 r. DOLiS-440-701/09/42787. Pismo GIODO z 18 grudnia 2009 r. DOLiS-440-236/09/47521.

31

o sprawach publicznych, administratorzy danych pomijaj fakt istnienia prawa wynikajcego z ustawy o ochronie danych osobowych. 3.2.2 Sdy, prokuratura, komornicy W 2009 r. wpyny 43 skargi dotyczce tego sektora. W jednej z nich GIODO zwrci Prezesowi Sdu Okrgowego w Warszawie uwag na stosowan przez sdziw praktyk zaczania do akt postpowania dokumentw zawierajcych dane osobowe osb trzecich niebdcych stron w sprawie. Impulsem do tego wystpienia staa si skarga na udostpnienie przez adwokata danych osobowych skarcego, poprzez zaczenie kopii postanowienia z jednej sprawy do akt innej sprawy.40 W kolejnej sprawie GIODO zwrci si do Ministra Sprawiedliwoci z prob o podjcie dziaa majcych na celu wyeliminowanie stosowanej przez prokuratur praktyki polegajcej na wpisywaniu na zwrotnym potwierdzeniu odbioru pism informacji wskazujcych na charakter, w jakim ich adresat uczestniczy w prowadzonym postpowaniu. W opinii GIODO, takie dziaanie byo niezgodne nie tylko z przepisami ustawy o ochronie danych osobowych, ale rwnie z przepisami Kodeksu postpowania karnego.41 Organ wskaza, e praktyka wpisywania na zwrotnym potwierdzeniu odbioru ww. informacji, bya stosowana bez podstawy prawnej. W zwizku z udostpnieniem przez komornika sdowego, pozyskanych w toku innego postpowania egzekucyjnego danych osobowych dunika jego wierzycielowi, mimo braku dania, Generalny Inspektor Ochrony Danych Osobowych zwrci si do Prezesa jednego z sdw rodzinnych o zobowizanie komornika do zaniechania tego rodzaju praktyki w przyszoci, albowiem prowadzi ona do naruszenia przepisw ustawy o ochronie danych osobowych.42

3.2.3

Banki i inne instytucje finansowe W 2009 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpyno 139 spraw

dotyczcych tegi sektora. Wrd nich najczciej pojawiay si te zwizane z przekazywaniem danych osobowych przez banki firmom windykacyjnym w zwizku z nieuregulowaniem przez osob, ktrej dane dotyczyy zobowiza wobec banku, a take naruszeniem ustawy o ochronie danych osobowych przez bank w zwizku z przesyaniem przez ten podmiot korespondencji adresowanej do osoby skarcej na jej stary adres pomimo zgoszenia informacji o nowym adresie do korespondencji. W jednej sprawie bank przetwarza dane osobowe osoby skarcej w celach marketingowych, mimo rozwizania umowy kredytowej z klientem (adresatem korespondencji) oraz mimo zoenia pisemnego sprzeciwu wobec wykorzystywania w tym celu danych osobowych. Po interwencji GIODO w tej sprawie bank wskaza, e do wykorzystywania danych w kwestionowany sposb doszo w wyniku
40 41

Pismo z 28 kwietnia 2009 r. DOLiS-440-332/08/15130/09. Pismo GIODO z 26 listopada 2009 r. DOLiS-440-184/08/43888/09.

32

bdu pracownika banku, ktry nie wprowadzi do systemu komputerowego odpowiedniej informacji o zakazie przetwarzania danych w celach marketingowych. Pracownik zosta przez bank pouczony o koniecznoci przestrzegana procedur, a sprzeciw osoby skarcej zosta odnotowany w systemie banku. Wiele spord skarg na przetwarzanie danych osobowych przez banki dotyczyo przetwarzania danych skarcych w celach marketingowych, pomimo zoonego przez nich sprzeciwu. Skarcy wskazywali, i ich dane byy nadal przetwarzane w ww. celu, czego dowodem byo otrzymywanie wraz z wycigiem bankowym ycze witecznych43 lub korespondencji reklamowej, mimo rezygnacji z usug banku i zoenia proby o usunicie danych z jego zasobw.44 W jednej ze skarg skarca zakwestionowaa sposb, w jaki posuono si jej danymi w celu marketingu usug banku, wskazujc, i wraz z materiaami reklamowymi przesano jej gotowy formularz umowy o korzystanie z reklamowanego produktu wraz z wpisanymi jej danymi osobowymi.45 W kolejnej ze skarg dotyczcych podnoszonej kwestii zarzucono bankowi, e przetwarza w celu marketingowym dane skarcego, mimo e ten nigdy nie by klientem banku. Jak wskazano w treci skargi, bank wszed w posiadanie jego danych wskutek zoenia przez niego wniosku o przeprowadzenie analizy zdolnoci kredytowej.46 W omawianym okresie pojawia si take skarga na bezprawne przetwarzanie danych osobowych przez pracownic banku, ktra zaczya do akt postpowania rozwodowego wniosek kredytowy zoony wczeniej do tego banku przez jej ma (ktry jest stron ww. postpowania). Do GIODO wpyna take skarga na niewypenienie przez bank wobec skarcego obowizku informacyjnego z art. 33 ustawy o ochronie danych osobowych, tj. nieudzielenie odpowiedzi na wniosek skarcego dotyczcy dania informacji o przetwarzaniu jego danych osobowych.47 Przedmiotem wielu innych skarg na banki byo take nielegalne, zdaniem skarcych, przekazywanie ich danych osobowych do Biura Informacji Kredytowej [BIK] oraz rejestrw dunikw. W 2009 r. GIODO zwrci si do Prezesa banku o uwzgldnienie w dziaalnoci tego podmiotu zasad wynikajcych z ustawy o ochronie danych osobowych, zwaszcza jej art. 26 ust. 1, stanowicego o obowizku administratora danych dooenia szczeglnej starannoci w celu ochrony interesw osb, ktrych dane dotycz48. Jak wynika z analizy stanu faktycznego, bank 7 marca 2000 r. zawar ze skarcym umow kredytu odnawialnego z moliwoci jej przeduenia, jeeli

42
43

Pismo z 24 kwietnia 2009 r. DOLiS-440-873/08/14723/09. DOLiS-440-191/09. 44 DOLiS-440-252/09. 45 DOLiS-440-246/09. 46 DOLiS-440-211/09. 47 DOLiS-440-153/09. 48 Pismo GIODO z dnia 23 lipca 2009 r. DOLiS-440-782/08/26750/09.

33

kredytobiorca speni warunki wynikajce z umowy. Jako e skarcy nie zapewni na rachunku rodkw na spat kredytu, bank dokona przeksigowania zobowizania do windykacji. Zamknicie umowy kredytu odnawialnego nastpio 30 marca 2001 r., natomiast wierzytelno banku z tytuu kredytu odnawialnego zostaa spacona 19 czerwca 2001 r. Przekazanie danych osobowych skarcego do BIK S.A. nastpio na podstawie umowy zawartej 22 czerwca 2001 r. pomidzy BIK S.A. a bankiem, okrelajcej zasady wsppracy w zakresie zbierania i udostpniania informacji na podstawie art. 105 ust. 4 ustawy Prawo bankowe. Bank 19 sierpnia 2008 r. wystosowa do BIK S.A. wniosek o usunicie danych dotyczcych zobowizania z bazy BIK S.A. Dane zostay usunite 28 sierpnia 2008 r. Jako prawdopodobn przyczyn niezaktualizowania informacji w kartotekach bankowych o spacie kredytu przez skarcego, a tym samym w bazie BIK S.A., bank wskaza bd systemowy transferu danych lub nieprawidowe wykonanie czynnoci przez osob obsugujc system. GIOGO zasygnalizowa, i poprzez opisane dziaanie banku informacje zawarte w bazie BIK S.A. nie odzwierciedlay faktycznej sytuacji prawnej skarcego, a tym samym naraay go na powstanie negatywnych dla niego skutkw. Generalny Inspektor nie kwestionowa udostpnienia danych osobowych przez bank innemu podmiotowi (w tej sytuacji BIK S.A.), gdy w przedstawionym stanie faktycznym byo to uzasadnione na podstawie obowizujcych przepisw prawa. Jednake bank jako administrator danych osobowych skarcego zobowizany jest, zgodnie z art. 26 ust. 1 ustawy, dooy szczeglnej starannoci w celu ochrony interesw osb, ktrych dane dotycz, a w szczeglnoci jest obowizany zapewni, aby dane te byy: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celw i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celw, w jakich s przetwarzane, 4) przechowywane w postaci umoliwiajcej identyfikacj osb, ktrych dotycz, nie duej ni jest to niezbdne do osignicia celu przetwarzania. W sytuacji, gdy administrator nie wywizuje si z powyszego obowizku, osoba, ktrej dane s przetwarzane, ma prawo domaga si sprostowania (take usunicia) danych nieprawdziwych. W szczeglnoci bank, jako instytucja zaufania publicznego, powinien zapewni przetwarzanie danych osobowych zgodnie z obowizujcymi przepisami prawa. W analizowanym roku sprawozdawczym GIODO zwrci si od Przewodniczcego Komisji Nadzoru Finansowego z prob o zwrcenie instytucjom, nad ktrymi Przewodniczcy sprawuje nadzr, w tym w szczeglnoci bankom, uwagi na konieczno respektowania przepisw ustawy Prawo bankowe w odniesieniu do tajemnicy bankowej, w sytuacji, gdy podmioty te ulegaj czeniu, podziaowi lub przeksztacaniu w rozumieniu przepisw ustawy Kodeks spek handlowych, i jednoczenie przestrzegania zasad okrelonych w ustawie o ochronie danych osobowych.49

49

Pismo z dnia 30 lipca 2009 r. DOLiS-440-868/08/27821/09.

34

Przetwarzania danych osobowych przez instytucje finansowe dotyczyy take inne decyzje GIODO. W jednej z nich organ nakaza bankowi zaprzestanie przetwarzania danych osobowych osoby skarcej w celach marketingowych, wobec wyraenia przez ni sprzeciwu. Organ, wbrew stanowisku banku uzna, i przesyanie wiadomoci tekstowej SMS z informacj o zmianie oprocentowania produktw bankowych ma charakter reklamowy.50 W omawianym okresie GIODO zwrci si do Prezesa Naczelnego Sdu Administracyjnego z wystpieniem majcym na celu zwrcenie uwagi na dokonan w jednym z wyrokw wydanych przez NSA, interpretacj przesanki dopuszczalnoci przetwarzania danych osobowych okrelonej w art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Impulsem do wystosowania niniejszego pisma byo uznanie przez sd, i wtpliwa jest prawna skuteczno zgody na przetwarzanie danych wyraonej przez skarcego poprzez wybr opcji TAK na formularzu internetowym, stanowicym wniosek o korzystanie z usug banku. Majc na uwadze fakt, i taka interpretacja moe rodzi doniose skutki spoeczno-prawne (i to dotyczce nie tylko przedmiotowej sprawy), GIODO zwrci uwag na powysz interpretacj, ktra moe pozostawa w sprzecznoci z zajmowanym dotychczas przez sdy administracyjne stanowiskiem.51 W zwizku z uzyskaniem informacji, z ktrej wynika, e pewien bank udostpni osobom trzecim dane osobowe swojej klientki bez podstaw prawnej, Generalny Inspektor Ochrony Danych Osobowych zwrci si do tego podmiotu o podjcie stosownych dziaa majcych na celu wyeliminowanie powyszych nieprawidowoci w przyszoci. W przedmiotowej sprawie pracownik banku telefonicznie poinformowa ssiadw skarcej o potrzebie jej natychmiastowego stawiennictwa w banku. Organ zwrci uwag bankowi, e kade przetwarzanie danych powinno mie podstaw w przesankach okrelonych danych jest w ustawie. Ponadto jednym danych przed z podstawowych ich obowizkw osobom

administratora dane dotycz.52

zabezpieczenie

udostpnieniem

nieupowanionym oraz dooenie szczeglnej starannoci w celu ochrony interesw osb, ktrych

W omawianym okresie GIODO wystpi do Prezesa Zarzdu jednego z bankw o uwzgldnienie w dziaalnoci tego podmiotu przepisw ustawy o ochronie danych osobowych, zwaszcza jej art. 36 ust. 1 stanowicego o obowizku administratora danych do zastosowania rodkw technicznych i organizacyjnych zapewniajcych odpowiedni ochron danych osobowych przed m.in. umoliwieniem dostpu do nich osobom nieupowanionym. Impulsem do skierowania niniejszego wystpienia stao si race naruszenie przepisw ustawy o ochronie danych osobowych przez ten bank. Polegao ono na nienaleytym zabezpieczeniu danych osobowych jego klientw, na skutek czego

50 51

Decyzja z dnia 19 marca 2009 r. DOLiS/DEC-214/09/9765,976. Pismo z 16 marca 2009 r. GI-DS-430-161/06/8944/09. 52 Pismo z 6 kwietnia 2009 r. DOLiS-440-939/08/12127/09.

35

osoby nieupowanione miay moliwo uzyskania informacji zawartych w zestawieniach operacji dokonywanych na rachunkach bankowych tych klientw. Jak wynika ze zgromadzonego materiau dowodowego klienci Banku korzystajcy z usugi elektronicznego dostpu do ich rachunkw bankowych, poprzez modyfikacj treci adresu URL przegldarki internetowej (polegajc na usuniciu oryginalnej czci treci adresu URL i zastpieniu jej nowym wpisem), mieli moliwo dostpu do ww. danych osobowych innych klientw banku. Podmiot ten przyzna, e sytuacja taka miaa miejsce. Owiadczy nastpnie, i zastosowa dodatkowe rodki zapewniajce ochron danych przetwarzanych w jego systemie informatycznym.53 Powyej opisane okolicznoci stay si rwnie podstaw do skierowania przez Generalnego Inspektora Ochrony Danych Osobowych wystpienia do Prezesa Zwizku Banku Polskich o podjcie dziaa zwracajcych bankom uwag na konieczno respektowania przepisw ustawy o ochronie danych osobowych, zwaszcza na art. 36 ust. 1.54 W omawianym okresie GIODO wyda rwnie decyzj55 nakazujc bankowi usunicie danych osobowych skarcej przetwarzanych przez ten podmiot, poniewa pozyskane zostay z w wyroku sdowego. Jak wynika z ustale dokonanych przez organ, bank na potrzeby rozpatrzenia wniosku kredytowego skarcej pozyska jej dane z wyroku rozwodowego, a take powierzeniu skarcej wykonywania wadzy rodzicielskiej nad maoletnim synem oraz informacje dotyczce wysokoci alimentw, ktre skarca otrzymywaa na syna i o kosztach procesu. W ocenie Generalnego Inspektora Ochrony Danych Osobowych, pozyskanie przez bank informacji wynikajcych z ww. wyroku pozostawao w racej sprzecznoci z przepisami ustawy o ochronie danych osobowych. W podsumowaniu zauway naley, e w porwnaniu z latami ubiegymi znacznie zmalaa liczba skarg dotyczcych tego sektora. Przyczyn tego zjawiska mona upatrywa we wzrocie wrd pracownikw bankw i innych instytucji finansowych wiadomoci obowizywania ustawy o ochronie danych osobowych i we waciwym jej stosowaniu.
220 180 140 100 60 20 2007 2008 2009 77 139

179

Wykres 5: Zestawienie porwnawcze liczby skarg dotyczcych sektora bankowoci, ktre wpyny do Generalnego Inspektora Ochrony Danych Osobowych w latach 2007-2009.
53 54

Pismo GIODO z 26 maja 2009 r. DOLiS-440-143/09/19041. Pismo GIODO z 26 maja 2009 r. DOLiS-440-143/09/19043. 55 Decyzja GIODO z 24 wrzenia 2009 r. DOLiS/DEC-967/09/34781,34784.

36

3.2.4 Internet W roku 2009 wpyno 88 spraw dotyczcych dziaalnoci podmiotw z tego sektora. Zarzuty, jakie najczciej pojawiay si w skargach, to: bezprawne przetwarzanie danych osobowych przez waciciela portalu internetowego przy jednoczesnym braku moliwoci ich usunicia przez osob, ktrej dane dotycz czy bezprawne udostpnienie danych osobowych przez administratora portalu innym jego uytkownikom. W jednej ze skarg pojawi si zarzut bezprawnego publikowania na stronach internetowych danych osobowych byego pracownika firmy oraz bezprawne pozyskiwanie przez administratora portalu oferujcego pomoc w zarzdzaniu wydatkami, kopii wycigw z rachunkw bankowych i zawartych w nich danych osobowych. Ponadto GIODO wszcz z urzdu postpowanie w sprawie upublicznienia przez administratora jednego z portali oferujcych bilety lotnicze, danych osobowych uytkownikw tego portalu, za w innej - zakwestionowa legalno pozyskiwania przez administratora portalu danych osobowych w zwizku z rezerwacj biletw za porednictwem sieci Internet. W jednej ze skarg GIODO zosta poinformowany, e po zalogowaniu si przez skarcego do swojego profilu na portalu spoecznociowym pojawiaj si reklamy pewnego produktu zachcajce do zakupu zalogowanego uytkownika poprzez uycie w ich treci jego imienia.56 Natomiast w skardze na inny portal spoecznociowy wskazano, i mimo usunicia konta z portalu i wbrew zapewnieniu otrzymanemu od jego administratora, e dane zostan usunite po 30 dniach, po upywie tego czasu dane osobowe osoby skarcej byy w dalszym cigu przetwarzane.57 GIODO otrzyma rwnie informacj o umieszczeniu na jednej ze stron internetowych treci godzcych w dobre imi skarcego oraz zdjcia z jego wizerunkiem.58 W innej sprawie wskazano natomiast, e administrator jednego z portali internetowych, na ktrych umieszczane s oferty osb poszukujcych pracy, ujawni CV osoby skarcej bez jej zgody i wiedzy.59 W analizowanym okresie do GIODO wpyna take skarga na udostpnienie przez serwis aukcyjny danych osobowych osoby skarcej w zakresie adresu zamieszkania w wyszukiwarce

Google. Skarca wskazaa, i powysze dane osobowe zostay przez pomyk udostpnione przez ni w zakadce O mnie na portalu aukcyjnym, a po ich usuniciu nadal s pozycjonowane w tej wyszukiwarce.60 Organ ochrony danych osobowych by rwnie adresatem wniosku o wszczcie postpowania administracyjnego w sprawie nielegalnego pozyskania przez waciciela jednej z domen internetowych

56 57

DOLiS-440-169/09, DOLiS-440-210/09. DOLiS-440-197/09. 58 DOLiS-440-225/09. 59 DOLiS-440-223/09. 60 DOLiS-440-163/09.

37

danych osobowych pracownikw skarcego. Ponadto dane te byy wykorzystywane podczas jego rozmw telefonicznych z tymi pracownikami, podczas ktrych skada im propozycje zatrudnienia w swojej firmie.61 Skarcy, proszc o zbadanie sprawy, wskaza, i rdem powyszych danych nie mogli by jego pracownicy, gdy informacje, w posiadaniu ktrych znajduje si waciciel domeny, stanowi tajemnic przedsibiorcy. Do GIODO wpyna take proba o kontrol zgodnoci przetwarzania danych z przepisami ustawy o ochronie danych osobowych przez sklep, ktry umieci dane osoby skarcej bdcej jego klientk, na swojej stronie internetowej.62 W jednej ze spraw GIODO wyda decyzj63 nakazujc zwizkowi dziakowcw usunicie danych osobowych skarcego ze strony internetowej http://www.pzd.pl z wyczeniem danych osobowych znajdujcych si w Biuletynie Informacyjnym Krajowej Rady PZD. Ustalono, e w wyniku konfliktu pomidzy skarcym a PZD jego dane osobowe zostay zamieszczone na ww. stronach internetowych, co w opinii Generalnego Inspektora nie znajdowao oparcia w adnej z przesanek okrelonych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Natomiast kwestia opublikowania danych osobowych w Biuletynie Informacyjnym Krajowej Rady PZD nie podlega przepisom ustawy o ochronie danych osobowych, poniewa biuletyn ten stanowi pras w rozumieniu art. 7 ust. 2 Prawa prasowego. W omawianym okresie sprawozdawczym GIODO wyda decyzj64 nakazujc spce udostpnienie na rzecz skarcego informacji o osobach, ktre dokonay wpisw na forum portalu internetowego spki, posugujc si wskazanymi przez skarcego pseudonimami w zakresie obejmujcym informacje o numerach IP komputerw, z ktrych dokonano ww. wpisw. W niniejszej sprawie organ uzna, i udostpnienie skarcemu danych informacji znajduje uzasadnienie w przepisie art. 29 ust. 2 ustawy o ochronie danych osobowych. Skarcy wyjani bowiem, e zamierza wykorzysta ww. informacje dla ustalenia dalszych danych osb, ktre w jego ocenie dopuciy si bezprawnej ingerencji w sfer jego dbr osobistych, tak aby moliwe byo skierowanie przeciwko nim do sdu powdztwa z tytuu naruszenia ww. dbr prawnie chronionych. W sytuacji, gdy skarcy nie dysponowa zasadniczo adnymi informacjami o osobach, ktre dokonay

przedmiotowych wpisw, nie mona zasadnie przyj, e podjte przez niego dziaania suce ustaleniu tosamoci tych osb, w celu pocignicia ich do odpowiedzialnoci cywilnej w zwizku z treci wpisw, nie mieciy si w pojciu jego wiarygodnie uzasadnionych potrzeb. Oczywiste jest, e pozyskanie (przetwarzanie) danych osobowych w ww. celu w kadym przypadku zostanie uznane przez osoby, ktrych dane te dotycz, za sprzeczne z ich interesem. Okoliczno ta zwaszcza majc na uwadze prawne gwarancje obrony przed roszczeniami strony przeciwnej nie wiadczy jednak
61 62

DOLiS-440-215/09. DOLiS-440-233/09. 63 Decyzja GIODO z 4 maja 2009 r. DOLiS/DEC-358/09.

38

o naruszeniu ich praw i wolnoci. Przyjcie przeciwnego stanowiska skutkowaoby bezzasadn ochron tego, kto mg dopuci si bezprawnej ingerencji w sfer prawnie chronionych interesw innej osoby (zwaszcza przekonany o anonimowoci, jak gwarantuje mu sie Internet) przed ewentualn odpowiedzialnoci za jego dziaania. Ocena natomiast zasadnoci zarzutw stawianych wobec autorw wpisw pozostaje w kompetencjach waciwego miejscowo i rzeczowo sdu powszechnego.

3.2.5 Marketing W roku 2009 organ ds. ochrony danych osobowych by adresatem 57 skarg kwalifikujcych si do tego sektora. Najczciej pojawiajcymi si zarzutami byy: przetwarzanie danych osobowych w celach marketingowych wasnych produktw i usug bez zgody osoby, ktrej dane te dotyczyy, brak opcjonalnoci wyraenia zgody na przetwarzanie danych w celach marketingowych przy skadaniu zamwienia drog internetow, nierespektowanie proby o usunicie danych osb skarcych z bazy firmy65 oraz niewypenienie obowizku informacyjnego z art. 25 ustawy o ochronie danych osobowych. W uzasadnionych przypadkach Generalny Inspektor najczciej wystpowa do administratorw danych z tego sektora z sygnalizacjami wskazujcymi uchybienia zwizane z przetwarzaniem danych osobowych. Nierespektowanie sprzeciwu osoby, ktrej dane dotycz, na przetwarzanie jej danych osobowych stao si dla GIODO impulsem do wystpienia do Prezesa Zarzdu Stowarzyszenia Marketingu Bezporedniego [SMB] o podjcie dziaa uczulajcych spk trudnic si wysyaniem ofert marketingowych do respektowania przepisw o ochronie danych osobowych poprzez niezwoczne odnotowywanie w swoich systemach sprzeciww wobec przetwarzania danych osobowych w celach marketingowych, zaprzestanie przesyania ofert reklamowych osobom, ktre je zoyy oraz wypenianie wobec klientw obowizku informacyjnego z art. 33 ustawy o ochronie danych osobowych.66 Na uwag zasuguje zwaszcza sprawa,67 w ktrej skarcy, pomimo zoenia sprzeciwu na przetwarzanie przez bank dotyczcych go danych osobowych w celach marketingowych - czemu bank nie zaprzeczy i co odnotowa w swoich systemach informatycznych nadal przesya skarcemu informacje, tyle e za porednictwem serwisu transakcyjnego banku. W ocenie banku przesanie skarcemu materiau reklamowego t drog nie stanowio przetwarzania jego danych osobowych w celach marketingowych, gdy nie musia on zapoznawa si z treci komunikatu (poprzez jego kliknicie i przejcie do szczegw) oraz takie dziaanie wynikao z naoonego na bank przepisami Prawa bankowego obowizku przesyania klientom komunikatw do rachunku. Generalny
64
65

Decyzja GIODO z 21 wrzenia 2009 r. DOLiS/DEC-936/09/34335,34344. DOLiS-440-202/09. 66 Pismo z 16 marca 2009 r. DOLiS-440-303/08/8960/09.

39

Inspektor Ochrony Danych Osobowych w treci decyzji podkreli, i przesana do skarcego przez bank wiadomo nie dotyczya wykonywania umowy rachunku, ktry w banku ma skarcy, a stanowia informacj o cakiem nowym produkcie tego podmiotu. Sformuowania, ktrymi posuy si bank w wiadomoci przesanej skarcemu, naleao uzna za sugestywne, zrozumiae, zwize, atwe do zapamitania, jak rwnie odwoujce si do interesw ekonomicznych odbiorcy, przez co swoj charakterystyk odpowiadajce tekstom reklamowym. W podsumowaniu naley wskaza, i utrzymujcy si od dwch lat roku systematyczny spadek liczby skarg na podmioty z tego sektora, w 2009 r. uleg gwatownemu zaamaniu i w odniesieniu do 2008 r. wzrs ponad trzykrotnie, co obrazuje Wykres 6.
150 100 50 0 2007 2008 2009 24 57 13

Wykres 6: Zestawienie porwnawcze liczby skarg dotyczcych przetwarzania danych w celach marketingowych, ktre wpyny do Generalnego Inspektora Ochrony Danych Osobowych w latach 2007-2009.

3.2.6 Sektor mieszkalnictwa Skargi wpywajce na podmioty z tego sektora (57) dotyczyy gwnie zagadnie przetwarzania danych osobowych przez spdzielnie mieszkaniowe, wsplnoty mieszkaniowe oraz zarzdcw nieruchomoci. Najczciej zarzucano im upublicznianie danych osobowych poprzez wywieszenie na klatkach schodowych bd na drzwiach wejciowych do budynkw pism lub ogosze, zawierajcych dane osobowe osb skarcych (listy dunikw spdzielni ze wskazaniem numeru lokalu i kwoty zaduenia, rozliczenia kosztw zuycia wody itd.), przekazanie skierowanej do spdzielni mieszkaniowej korespondencji mieszkacom bloku, udostpnienie przez spdzielni mieszkaniow aktw notarialnych dotyczcych zakupu mieszkania i darowizny, ktr skarcy uczyni na rzecz ony,68 zamieszczanie przez wsplnot mieszkaniow danych osobowych lokatorw na stronie internetowej69 czy ogaszanie na stronie internetowej spdzielni mieszkaniowej informacji o nieprawomocnym wyroku, jaki zapad w sprawie z powdztwa o uniewanienie uchway rady nadzorczej spdzielni70 itd. W tego typu sprawach upublicznianie danych co do zasady naruszao ustaw o ochronie danych osobowych. Ponadto
67 68

Decyzja GIODO z 4 listopada 2009 r. DOLiS/DEC-1104/09/40590,40594. DOLiS-440-1039/09. 69 DOLiS-440-997/09.

40

aden z przepisw ustawy Prawo spdzielcze nie zezwala na upublicznienie informacji o zadueniu czynszowym poprzez zamieszczenie ich na powszechnie dostpnych tablicach ogosze, do ktrych dostp mogy mie rwnie osoby trzecie. Dlatego Generalny Inspektor Ochrony Danych Osobowych kierowa wystpienia z wezwaniem do zaprzestania tego typu praktyk, co spotykao si z pozytywn najczciej reakcj administratorw danych. W omawianym okresie Generalny Inspektor Ochrony Danych Osobowych wystpi do Prezesa Zarzdu Krajowej Rady Spdzielczej z prob o wprowadzenie rozwiza, ktre uniemoliwi ujawnianie w protokoach lustracji spdzielni mieszkaniowych danych osobowych osb

informujcych o okolicznociach podlegajcych badaniu w trakcie prowadzonej lustracji. Impulsem do powyszego wystpienia bya skarga zoona przez czonkw jednej ze spdzielni mieszkaniowych do Krajowej Rady Spdzielczej i w zwizku z tym dane tych osb zostay umieszczone w rnych kontekstach w protokole lustracji. GIODO, uzasadniajc swoje wystpienie, wskaza, i tego rodzaju ujawnienie danych narusza zasady celowoci i adekwatnoci przetwarzania danych osobowych.71 W jednej z analizowanych przez GIODO spraw zarzd spdzielni mieszkaniowej przesa osobom zainteresowanym przeniesieniem wasnoci lokali pisma zawierajce informacje o zaskareniu uchway tego podmiotu oraz dane osoby skarcej, ktra ten rodek odwoawczy wniosa. Dziaanie takie zostao uznane za niezgodne z przepisami ustawy o ochronie danych osobowych, poniewa nie znajdowao podstawy w przesankach okrelonych w ustawie, zwaszcza e stronami postpowania, w toku ktrego zostaa zaskarona uchwaa, byy spdzielnia i skarca, a nie osoby zainteresowane przeniesieniem wasnoci lokali.72 W omawianym okresie GIODO zwrci si do spdzielni mieszkaniowej o dostosowanie procesu przetwarzania danych osobowych do wymogw ustawy o ochronie danych osobowych poprzez zaniechanie udostpniania dla celw sprawozdawczych danych osobowych spdzielcw w zbyt szerokim zakresie.73 Organ w wystpieniu tym wskaza, i spdzielnia mieszkaniowa jako administrator danych na podstawie art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych zobowizana bya do dooenia szczeglnej starannoci w celu ochrony interesw osb, ktrych dane dotycz, a w szczeglnoci zobowizana bya zapewni, aby dane te byy adekwatne w stosunku do celw, w jakich s przetwarzane. Adekwatno ta powinna by rozumiana jako rwnowaga pomidzy uprawnieniem osoby do dysponowania swymi danymi a interesem administratora danych. Rwnowaga byaby zachowana, jeeli administrator przetwarzaby dane (a wic take udostpnia) tylko w takim zakresie, w jakim byo to niezbdne do wypenienia celu tego dziaania. Jak wynika ze stanu faktycznego, spdzielnia udostpnia dane osobowe skarcych w celu
70
71

DOLiS-440-212/09. Pismo z dnia 24 marca 2009 r. DOLiS-440-877/08/10453/09. 72 Pismo z 16 kwietnia 2009 r. DOLiS-440-755/08/14594/09.

41

sprawozdawczym. Jednake w ocenie organu sprawozdanie pozbawione tych danych nie utracioby waloru informacyjnego, albowiem wynikaoby z niego kiedy, w jakich sprawach i z jakim rezultatem prezes zarzdu spdzielni czy te spdzielnia wystpowali przed sdem. Zatem udostpnienia ww. danych osobowych nie mona byo uzna za niezbdne. Nie mia bowiem znaczenia fakt, e przedmiotowe postpowania sdowe byy jawne, poniewa okoliczno ta nie zwalniaa spdzielni z obowizku dochowania naleytej starannoci w procesie przetwarzania danych osobowych skarcych, tj. zapewnienia, aby ich dane byy adekwatne do celu, w jakim s przetwarzane (udostpniane). W podsumowaniu naley stwierdzi, e w analizowanym roku 2009 odnotowano wzrost liczby skarg na przetwarzanie danych przez ww. podmioty, w szczeglnoci w przedmiocie upubliczniania danych osobowych.
90 60 27 30 0 2007 2008 2009 55 57

Wykres 7: Zestawienie porwnawcze liczby skarg dotyczcych przetwarzania danych osobowych z zakresu mieszkalnictwa, ktre wpyny do Generalnego Inspektora Ochrony Danych Osobowych w latach 2007-2009.

3.2.7 System Informacyjny Schengen (SIS) Wraz z przystpieniem Polski w dniu 21 grudnia 2007 r. do strefy Schengen, pojawia si kwestia kontroli prawidowoci przetwarzania danych osobowych w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej. Z art. 8 ust. 1 ustawy o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej74 wynika, i Generalny Inspektor Ochrony Danych Osobowych sprawuje kontrol nad tym, czy wykorzystanie danych nie narusza praw osb, ktrych dane dotycz. Wspomniana kontrola odbywa si na zasadach uregulowanych w ustawie o ochronie danych osobowych.

Pismo z 15 grudnia 2009 r. DOLiS-440-475/09/46898. Ustawa z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej, Dz. U. Nr 165, poz. 1170 z pn. zm.
74

73

42

W 2009 roku Generalny Inspektor Ochrony Danych Osobowych rozpatrzy 27 spraw z tego sektora, tj. o 20 wicej ni w roku 2008. W sprawach tych skarcy najczciej dali usunicia ich danych osobowych, poniewa w ich ocenie zostay one bezpodstawnie zamieszczone w tym systemie.

3.2.8 Telekomunikacja W 2009 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpyno 45 skarg na podmioty z tego sektora.

150 100 60 50 0 2007 2008 2009 32 45

Wykres 8: Zestawienie porwnawcze liczby skarg dotyczcych sektora telekomunikacji, ktre wpyny do Generalnego Inspektora Ochrony Danych Osobowych w latach 2007-2009.

Skargi te najczciej dotyczyy udostpnienia przez operatora danych osobowych firmie windykacyjnej w celu dochodzenia zalegych wiadcze wynikajcych z umowy o wiadczenie usug telekomunikacyjnych, nierespektowania sprzeciwu osb skarcych wobec przetwarzania ich danych w celach marketingowych75 oraz dokonywania kserokopii dowodu osobistego i faktury wystawionej przez dotychczasowego operatora w zwizku z przenoszeniem numeru telefonu do innej sieci i posugiwanie si uzyskanymi w ten sposb danymi w celu egzekwowania od niej nalenoci, ktrej istnienie osoba skarca kwestionowaa.76 W jednej ze spraw operator telekomunikacyjny przetwarza dane osobowe w celach marketingowych, pomimo wniesienia sprzeciwu w tym zakresie, tumaczc ten fakt wystpieniem bdu w systemie informatycznym firmy telemarketingowej, tj. podmiotu przetwarzajcego dane na zlecenie Spki w zwizku z realizowaniem kampanii marketingowej. Tak wic sprzeciw ten nie zosta odnotowany w systemie ww. podmiotu.77 W innej sprawie, jeden z operatorw telekomunikacyjnych nie legitymujc si adn z przesanek wymienionych w art. 23 ust. 1 pkt. 1-5 ustawy o ochronie danych osobowych - udostpni dane osobowe skarcego w regionalnej ksice telefonicznej bez podstawy prawnej.

75 76

DOLiS-440-263/09, DOLiS-440-156/09. DOLiS-440-227/09. 77 Pismo GIODO z 9 czerwca 2009 r. DOLiS-440-156/09/21050.

43

3.2.9 Zatrudnienie W 2009 r. wpyno 99 skarg na postpowanie pracodawcw w zwizku z procesem rekrutacji i zatrudnianiem pracownikw. Jak co roku znalazy si wrd nich skargi na pracodawcw dajcych od zwizkw zawodowych ujawnienia danych osobowych osb objtych ochron zwizkow. W takich sprawach GIODO wydawa decyzje administracyjne, w ktrych wskazywa na bezzasadno pozyskiwania tego typu zbiorczych informacji przez pracodawc bez wyranej legitymacji ustawowej. Pojawiay si te skargi na udostpnienie dokumentw z akt osobowych pracownika bez jego zgody i wiedzy.78 W sprawach zwizanych z pozyskiwaniem przez pracodawc informacji o osobach korzystajcych z ochrony zwizku zawodowego, GIODO wyda decyzje nakazujce usunicie uchybie w tym zakresie. Wskaza przy tym, e pozyskiwanie to jest dopuszczalne jedynie w sytuacji, gdy przepisy prawa pracy przewiduj w stosunku do tych osb wspdziaanie pracodawcy z zakadow organizacj zwizkow w indywidualnych sprawach, zgodnie z art. 232 Kodeksu pracy. Organ wskaza, i przepis art. 30 ust. 21 ustawy o zwizkach zawodowych, nie upowania pracodawcy do wnoszenia o przekazanie przez zwizek danych osobowych pracownikw korzystajcych z ochrony zwizku w formie imiennej listy. Zdaniem Generalnego Inspektora, realizacja takiego wniosku skutkowaaby pozyskaniem danych osobowych pracownikw objtych ochron zwizkow rwnie na zapas, co w wietle przepisw ustawy o ochronie danych osobowych jest niedopuszczalne. Naley przy tym podkreli, e Generalny Inspektor nie kwestionuje prawa pracodawcy do pozyskiwania informacji o pracownikach korzystajcych z ochrony zwizkowej, ale jedynie sposb realizacji tego prawa. Zdaniem Generalnego Inspektora, pracodawca, majc na uwadze unormowania wynikajce przede wszystkim z przepisw ustawy o ochronie danych osobowych, powinien realizowa prawo z art. 30 ust. 21 ustawy o zwizkach zawodowych, poprzez indywidualne wystpienie odnoszce si

do poszczeglnego pracownika. W 2009 r. GIODO wyda rwnie decyzj administracyjn, moc ktrej nakaza spce - byemu pracodawcy skarcego - usunicie jego danych zawartych w ekspertyzie z zakresu badania pisma rcznego. Organ uzna, e nie istnia aden przepis prawa, ktry upowaniaby prezesa spki do udostpnienia danych skarcego przetwarzanych w jego aktach osobowych w celu sporzdzenia ekspertyzy grafologicznej majcej na celu zidentyfikowania autora anonimowego pisma szkalujcego prezesa spki.79

78
79

DOLiS-440-262/09, DOLiS-440-255/09. Decyzja z 16 marca 2009 r. DOLiS/DEC-200/09/8968,8970.

44

Adresatem kolejnej decyzji80 by bank, ktremu GIODO nakaza przywrcenie stanu zgodnego z prawem w procesie przetwarzania danych osb w nim zatrudnionych na podstawie umw o prac oraz umw cywilno-prawnych poprzez usunicie danych osobowych dotyczcych relacji rodzinnych i osobistych tych osb z innymi osobami zatrudnionymi w banku. Bank ten wprowadzi bowiem obowizek informowania przez osoby w nim zatrudnione na podstawie powyszych umw o relacjach rodzinnych i osobistych z innymi osobami zatrudnionymi w tym podmiocie wedug ustalonego wzoru formularza. Jako cel pozyskiwania tych informacji przywoa konieczno zapewnienia bezpieczestwa jego funkcjonowania jako instytucji zaufania publicznego od strony organizacyjno-formalnej. Generalny Inspektor Ochrony Danych Osobowych zakwestionowa powysz argumentacj, wskazujc, e z uwagi na wtpliwoci w przedmiocie swobody wyraania zgody przez pracownikw ogln podstaw, na jakiej powinno si opiera danie przez pracodawc od pracownikw podania danych osobowych stanowi art. 22 Kodeksu pracy. Jednake w niniejszej sprawie nie bdzie mia on zastosowania, poniewa nie stanowi on podstawy do pozyskiwania danych osobowych we wskazanym zakresie. Organ zaznaczy, e przyczyn ewentualnych nieprawidowoci w funkcjonowaniu banku nie naley upatrywa w braku informacji o relacjach osobistych i rodzinnych pracownikw, lecz w braku czy zym funkcjonowaniu mechanizmw, ktre wystpieniu takim negatywnym zjawiskom powinny zapobiega. GIODO wystpi rwnie do Prezesa Zarzdu jednej ze spek o zmodyfikowanie klauzuli zawierajcej zgod na przetwarzanie danych osobowych oraz informacj o przetwarzaniu danych osobowych, zamieszczonej w dokumencie przekazywanym osobom, ktrych dane s zbierane w zwizku z procesem rekrutacji oraz na stronie internetowej i dostosowanie jej do wymogw wynikajcych z ustawy o ochronie danych osobowych. W ocenie Generalnego Inspektora, powysza klauzula nie spenia okrelonych w przepisach ustawy wymogw dotyczcych przede wszystkim treci obowizku informacyjnego w przypadku zbierania danych osobowych od osoby, ktrej dane dotycz. Organ stwierdzi, e konieczne jest oddzielenie klauzuli zawierajcej informacje, o ktrych mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych, od klauzuli ze zgod na przetwarzanie danych osobowych oraz uzupenienie jej o informacj dotyczc adresu siedziby administratora danych i dobrowolnoci albo obowizku podania danych, a jeeli taki obowizek istnieje, o jego podstawie prawnej.81 Na uwag zasuguje jedna ze spraw, w ktrej GIODO wyda decyzj82 nakazujc spce wyeliminowanie nieprawidowoci w procesie przetwarzania danych osobowych skarcego poprzez usunicie ze strony internetowej spki jego danych osobowych w zakresie wizerunku, imienia,

80 81

Decyzja GIODO z 19 maja 2009 r. DOLiS/DEC-400/09. Pismo GIODO z 28 maja 2009 r. DOLiS-440-85/09/19574. 82 Decyzja GIODO z 9 czerwca 2009 r. DOLiS/DEC-515/09/21191,21193.

45

nazwiska i adresw poczty elektronicznej. Z analizy tej sprawy wynika, e skarcy by pracownikiem spki. Po ustaniu stosunku pracy spka nie usuna ze strony internetowej ww. danych osobowych skarcego. W przedoonych wyjanieniach wskazaa natomiast, i podejrzewa go o dopuszczenie si narusze w zwizku z prowadzon przez niego dziaalnoci konkurencyjn. Z tego tytuu, w celu dochodzenia od niego roszcze, spka gromadzia materia dowodowy, ktrego istotnym elementem byy pracownicze konta email skarcego. Wskazano bowiem, e na jeden z tych adresw byy klient spki przesa email, co stanowi dowd na prowadzenie przez skarcego dziaalnoci konkurencyjnej w okresie trwania zatrudnienia. W ocenie Generalnego Inspektora Ochrony Danych Osobowych, powysza argumentacja nie zasugiwaa na uwzgldnienie. Co prawda spka ma prawo dochodzi swych roszcze i w tym celu i na tej podstawie przetwarza dane osobowe, jednake w niniejszej sprawie ciga aktywno przedmiotowych adresw email oraz udostpnianie na stronie internetowej spki zdj skarcego niewtpliwie naruszao jego prawa i wolnoci chociaby w zakresie dotyczcym jego wizerunku. Skarcy nie jest ju pracownikiem spki. Prowadzi obecnie wasn dziaalno gospodarcz, z ktr chce by utosamiany. Ciga aktywno, a zarazem moliwo przesyania wiadomoci na przedmiotowe adresy email, porednio nadal utosamiaj osob skarcego ze spk, co w obecnej sytuacji daje faszywy obraz osoby skarcego. Ponadto osoba, do ktrej zgodnie z jej identyfikatorem zawartym w adresie kierowana jest korespondencja, nie ma moliwo zapoznania si ni, co z kolei stanowi przejaw naruszenia wolnoci tej osoby do prawa komunikowania si oraz ochrony tajemnicy jej korespondencji. Ponadto GIODO skierowa do Ministra Sprawiedliwoci wniosek o zwrcenie szczeglnej uwagi na konieczno respektowania przepisw ustawy o ochronie danych osobowych

przy udostpnianiu danych osobowych z Krajowego Rejestru Karnego dziaajcego przy Ministerstwie Sprawiedliwoci.83 Impulsem do niniejszego wystpienia staa si skarga dotyczca udostpnienia danych osobowych przez Krajowy Rejestr Karny na rzecz pracodawcy (spdzielni), czego bezporednim nastpstwem byo wypowiedzenie umowy o prac. W ramach przeprowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych postpowania wyjaniajcego ustalono, e dane osoby zostay udostpnione spdzielni na skutek bdnej interpretacji przepisw ustawy o Krajowym Rejestrze Karnym. W zoonym przez ww. spdzielni wniosku o udostpnienie danych z Rejestru jako podstaw prawn uzasadniajc konieczno pozyskania danych wskazano bowiem art. 15 3 ustawy Prawo Spdzielcze w zw. z art. 2 ust. 1 i 3 statutu spdzielni. W odniesieniu natomiast do art. 6 ust.1 pkt 10 ww. ustawy regulujcej dziaalno Rejestru, prawo do uzyskania informacji o osobach, ktrych dane osobowe zgromadzone zostay w Rejestrze, przysuguje pracodawcom, w zakresie niezbdnym dla zatrudnienia pracownika, co do ktrego z przepisw ustawy wynika wymg

83

Pismo GIODO z 10 sierpnia 2009 r. DOLiS-440-756/08/29280/09.

46

niekaralnoci, korzystania z peni praw publicznych, a take ustalenia uprawnienia do zajmowania okrelonego stanowiska, wykonywania okrelonego zawodu lub prowadzenia okrelonej dzielnoci gospodarczej. Literalne brzmienie ww. przepisu ustawy o Krajowym Rejestrze Karnym nie pozostawia adnych wtpliwoci co do braku moliwoci powoania si przy wnioskowaniu o udostpnienie danych z Rejestru na normy wynikajce z przepisw rangi niszej ni ustawowa. Organ uzna wic, e Krajowy Rejestr Karny nie moe udostpnia danych osobowych na podstawie np. zapisw statutw spek, spdzielni czy stowarzysze.

W roku sprawozdawczym 2009 odnotowano gwatowny, ponad czterokrotny, wzrost liczby skarg dotyczcych sektora zatrudnienia, co obrazuje Wykres 9.

120 100 80 60 40 20 0

99 39 24

2007

2008

2009

Wykres 9: Zestawienie porwnawcze liczby skarg dotyczcych sektora zatrudnienia, ktre wpyny do Generalnego Inspektora Ochrony Danych Osobowych w latach 2007-2009.

3.2.10 Ubezpieczenia spoeczne, majtkowe i osobowe Niniejszy sektor obejmuje sprawy przetwarzania danych osobowych w zwizku

z ubezpieczeniem spoecznym, majtkowym i osobowym. Skargi dotyczyy przede wszystkim kwestii legalnoci pozyskania przez podmioty prowadzce dziaalno ubezpieczeniow danych osobowych osb skarcych, udostpniania z ich zbiorw danych osobowych osb skarcych podmiotom (osobom) trzecim oraz nieuzasadnionej odmowy udostpnienia wnioskodawcom danych

z prowadzonych zbiorw. W 2009 r. wpyno 29 skarg na podmioty z tego sektora. Wrd nich znalazy si skargi, w ktrych na przykad wnioskodawca skary si na odmow udostpnienia przez zakad ubezpiecze danych osobowych z prowadzonego przez t instytucj zbioru danych, jako niezbdnych do dochodzenia przez niego roszcze od osoby, ktrej danych da. A w drugiej sprawie bya odwrotna sytuacja, inny wnioskodawca skary si, e zakad ubezpiecze udostpni dokumentacj zawierajc jego dane osobowe osobie, z ktr pozostaje on w sporze, i ktra doczya uzyskane dokumenty do akt postpowania sdowego.

47

Adresatem innej skargi byo towarzystwo ubezpiecze, ktre udostpnio dane osobowe skarcej zawarte w dokumentacji szkodowej, w tym numer konta bankowego, osobie odpowiedzialnej za powsta szkod.84 Inna skarga stanowia z kolei wniosek o udostpnienie skarcemu przez towarzystwo ubezpieczeniowe danych przez niego dokumentw oraz ustosunkowanie si do dziaa towarzystwa podjtych w sprawie skarcego.85 W odpowiedzi GIODO wskaza skarcemu, i nie jest kompetentny do udostpniania dokumentw ani dokonywana oceny stosunku zobowizaniowego czcego strony umowy cywilnoprawnej. W innych analizowanych sprawach skarcy podnosili, e np. ich dane osobowe byy nadal przetwarzane, mimo wypowiedzenia umowy ubezpieczenia samochodu, albo e firma ubezpieczeniowa dokonuje kserokopii caej strony pocztowej ksiki nadawczej i wcza j do akt toczcego si postpowania, ujawniajc w ten sposb zawarte tam informacje o przedsibiorcach. Organ w odpowiedzi na t ostatni skarg stwierdzi, i informacje zwizane cile z prowadzon dziaalnoci gospodarcz i identyfikujce podmiot w obrocie gospodarczym nie podlegaj ochronie przewidzianej w ustawie o ochronie danych osobowych. Podsumowujc, naley zauway, e w porwnaniu do lat ubiegych zmalaa liczba skarg dotyczcych przetwarzania danych osobowych w sektorze ubezpiecze (zob. Wykres 10).

50 40 30 20 10 0 2007 2008 2009 36 27 29

Wykres 10: Zestawienie porwnawcze liczby skarg dotyczcych sektora ubezpiecze, ktre wpyny do Generalnego Inspektora Ochrony Danych Osobowych w latach 2007-2009.

3.2.11 Zdrowie W 2009 r. wpyno 7 skarg dotyczcych tego sektora. W skargach najczciej wskazywano na przypadki przesyania pacjentom przez niepubliczne placwki medyczne dokumentacji medycznej innego pacjenta,86 udostpniania ich danych dotyczcych zdrowia oraz przyjmowanych lekw osobie trzeciej87 czy faszowania dokumentacji medycznej pacjentw w celu wyudzenia pienidzy z NFZ.88

84 85

DOLiS-440-154/09, DOLiS-440-151/09. DOLiS-440-254/09. 86 DOLiS-440-186/09. 87 DOLiS-440-239/09. 88 DOLiS-440-164/09.

48

Do GIODO skierowano ponadto anonimow informacj o dziaalnoci zwizku lekarzy rodzinnych - pracodawcw, ktry dali od swoich czonkw przedstawiana im list pacjentw oraz sprawozda z wykonywanych wiadcze medycznych (zawierajcych rwnie dane wraliwe pacjentw).89 Organowi ds. ochrony danych osobowych wskazano take, e na stronie internetowej jednego ze szpitali znajduj si dane osobowe pacjentw, np. imiona, nazwiska, numery PESEL oraz wyniki ich bada.90 Natomiast inna skarga dotyczca omawianej tematyki zawieraa prob o zbadanie przez GIODO formularza stosowanego przez hotel, w ktrym konieczne jest podanie przez gocia szczegowych informacji o stanie zdrowia, w tym informacji o przebytych chorobach. Odmowa udostpnienia tych danych wizaa si z brakiem moliwoci skorzystania z usug tego podmiotu.91 W innej sprawie GIODO pozyska informacj, i niepubliczny zakad opieki zdrowotnej po zakoczeniu prowadzenia dziaalnoci polegajcej na wiadczeniu usug medycznych pozostawi w pomieszczeniach, w ktrych prowadzi t dziaalno, dokumentacj medyczn pacjentw. W zwizku z powyszym GIODO zwrci si do wojewody o podjcie okrelonych dziaa i zabezpieczenie tej dokumentacji zgodnie z przepisami prawa.92 Pojawia si rwnie sprawa, w ktrej bye pacjentki Izby Porodowej jednego z wojewdzkich szpitali specjalistycznych skaryy si, e ich dane, jak imi, nazwisko, wiek, rodzaj schorze, przebieg leczenia i wykonane procedury medyczne zostay udostpnione podczas spotkania u burmistrza miasta powiconego nieprawidowociom w funkcjonowaniu93 tej placwki. W przedmiotowej sprawie dyrektor szpitala - za porednictwem burmistrza miasta - udostpni dane osobowe pacjentek dyrektorowi Miejskiego Zespou Opieki Zdrowotnej. Wobec braku podstaw prawych takiego udostpniania, GIODO wystpi do dyrektora szpitala o podjcie stosowanych dziaa celem wyeliminowania tego rodzaju praktyk w przyszoci. W sprawie tej GIODO interweniowa dwukrotnie. Organ wskaza, e w peni rozumie intencj dyrektora szpitala i podziela pogld o koniecznoci eliminowania wszelkich zaniedba i nieprawidowoci w procesie udzielania wiadcze medycznych. Jednake przetwarzanie danych osobowych pacjentw nie moe odbywa si z naruszeniem ustawy o ochronie danych osobowych.94

3.2.12 Inne Wrd skarg, ktre Generalny Inspektor Ochrony Danych Osobowych bada w 2009 r., wyodrbni naley te, ktre z racji swojego przedmiotu nie mogy by zakwalifikowane do wczeniej
89 90

DOLiS-440-190/09. DOLiS-440-209/09. 91 DOLiS-440-207/09. 92 Pismo z 26 lutego 2009 r. DOLiS-440-113/09/6532. 93 Pismo z 25 marca 2009 r. DOLiS-440-903/08/10600/09.

49

przedstawionych kategorii spraw. Ich liczba wyniosa 315, co w porwnaniu z rokiem 2008, gdzie spraw tych byo 478, wskazuje na znaczny ich spadek. Skargi te dotyczyy m.in. bezprawnego bo bez zgody i wiedzy osb skarcych ujawniania ich danych osobowych w publikowanych powszechnie ksikach telefonicznych, udostpniania faktur na zakup towaru zawierajcych dane osobowe osb skarcych osobom trzecim przez wystawcw tych faktur, bezprawnego wykorzystywania przez pielgniark rodowiskow danych osobowych osb skarcych w celu wykazania w Narodowym Funduszu Zdrowia tych osb jako jej podopiecznych oraz wykorzystywania danych osobowych przez rnego rodzaju firmy windykacyjne w celu dochodzenia nalenoci za zakupione towary i usugi. W odniesieniu do tego sektora wpyna take skarga na nieprawidowe dorczanie korespondencji na nieaktualny adres, pomimo wskazania administratorowi aktualnego adresu do korespondencji, co mogo spowodowa ujawnienie danych osobowych osobom nieuprawnionym. GIODO by rwnie adresatem proby o wyjanienie, w jaki sposb jedna z fundacji wesza w posiadanie danych osobowych skarcej i przesaa jej wypeniony druk z prob o darowizn.95 Wiele ze skarg zaliczonych do tej kategorii dotyczyo udostpnienia danych osobowych skarcych firmom windykacyjnym przez podmioty, z ktrymi czy ich stosunek zobowizaniowy.96 W jednej z nich wskazano, e firma windykacyjna, przesyajc dunikom wezwanie do zapaty, na dowd legalnoci swego dziaania przesyaa im kopi umowy o cesj wierzytelnoci wraz z fragmentem alfabetycznej listy osb, w stosunku do ktrych na podstawie tej umowy prowadzi dziaania windykacyjne.97 W tym okresie organ wyda rwnie decyzj administracyjn, moc ktrej nakaza dowdcy jednostki wojskowej spenienie wobec skarcej obowizku informacyjnego, o ktrym mowa w art. 33 ustawy o ochronie danych osobowych. Organ uzna, i pismo skarcej speniao wymogi pozwalajce na uznanie go za wniosek zoony w trybie art. 33 ustawy oraz wskaza, i na administratorze danych ciy obowizek udzielenia informacji, nawet gdyby bya to odpowied negatywna.98 W innej decyzji administracyjnej GIODO nakaza firmie ubezpieczeniowej usunicie danych skarcych pozyskanych od miejskiego zakadu gospodarowania nieruchomociami [ZGN]. Organ uzna, e udostpnienie danych skarcych zawartych w penomocnictwie do dokonania czynnoci zwizanych z wykupem lokalu zoonym w ZGN nastpio bez podstawy prawnej. Uznano, i wskazany przez firm ubezpieczeniow art. 25 ust. 1 ustawy o dziaalnoci ubezpieczeniowej99 nie legalizuje powyszego

94
95

Pismo GIODO z 5 maja 2009 r. DOLiS-440-903/08/16044/09. DOLiS-440-204/09. 96 DOLiS-440-242/09, DOLiS-440-228/09. 97 DOLiS-440-175/09. 98 Decyzja z 10 marca 2009 r. DOLiS/DEC-164/09/8239,8244. 99 Zgodnie z brzmieniem tego przepisu sdy, prokuratura, Policja oraz inne organy i instytucje, na wniosek zakadu ubezpiecze, w zakresie zada przez ten zakad ubezpiecze wykonywanych i w celu ich wykonania, w zwizku z

50

dziaania, gdy byo to penomocnictwo szczeglne i nie dotyczyo kwestii reprezentowania skarcej przed tym podmiotem100 (decyzja nieprawomocna). Ponadto w zwizku z udostpnieniem powyszych informacji przez ZGN, organ wystpi do prezydenta miasta o podjcie odpowiednich dziaa majcych na celu zapewnienie legalnoci udostpniania danych osobowych przez podlege mu zakady gospodarowania nieruchomociami na rzecz innych podmiotw, stosownie do wymogw ustawy o ochronie danych osobowych.101 W kolejnej sprawie organ wystpi take do Prezesa Zarzdu Miejskiego Przedsibiorstwa Gospodarki Nieruchomociami jednego z miast, w zawizku z umieszczeniem w pimie skierowanym do osoby trzeciej danych osobowych skarcych bez ich zgody. W postpowaniu wyjaniajcym ustalono, i wzywajc czonka wsplnoty mieszkaniowej do respektowania regulaminu porzdku domowego, podmiot ten udostpni mu dane osobowe pozostaych czonkw wsplnoty, ktrzy zainicjowali postpowanie w tej sprawie.102 Znaczna liczba skarg, ktre wpyny do Generalnego Inspektora Ochrony Danych Osobowych w 2009 r., dotyczya odmowy udostpnienia przez administratorw danych osobowych z posiadanych przez nich zbiorw danych w celu wykorzystania do sporzdzenia prawidowego pod wzgldem formalnym pozwu do sdu powszechnego. W sprawach tych postpowanie koczyo si nakazem udostpnienia wnioskodawcy danych danych osobowych. W kolejnej decyzji Generalny Inspektor Ochrony Danych Osobowych nakaza spdzielni udostpnienie danych osobowych w zakresie informacji o wykupieniu mieszkania oraz numeru ksigi wieczystej lokalu mieszkalnego. Powysze dane osobowe niezbdne byy spce do dokonania wpisu hipoteki przymusowej, aby zabezpieczy i ostatecznie wyegzekwowa swoj wierzytelno. Spdzielnia, powoujc si na przepisy ustawy o ochronie danych osobowych, odmwia udostpnienia danych danych osobowych. Natomiast w wyjanieniach przesanych organowi wskazaa, i w zwizku z posiadaniem przez spk tytuu wykonawczego, powinna ona skierowa wniosek do komornika, ktry ma prawo da takich informacji. Generalny Inspektor Ochrony Danych Osobowych uzna stanowisko spdzielni za bezpodstawne, poniewa wniosek spki o udostpnienie przedmiotowych danych osobowych spenia wymogi okrelone w art. 29 ustawy o ochronie danych osobowych. Ponadto w ocenie organu wykorzystanie danych przez wierzyciela w celu dochodzenia swoich wierzytelnoci nie moe by uznane za naruszenie praw i wolnoci osb, ktrych dane dotycz. Prawo do prywatnoci nie ma

wypadkiem lub zdarzeniem bdcym podstaw ustalania odpowiedzialnoci, udzielaj informacji o stanie sprawy oraz udostpniaj zebrane materiay, jeeli s one niezbdne do ustalenia okolicznoci tych wypadkw i zdarze losowych oraz wysokoci odszkodowania lub wiadczenia. 100 Decyzja z 10 marca 2009 r. DOLiS/DEC-180/09/8363,8366,8369,8371,8372. 101 Pismo z 10 marca 2009 r. DOLiS-440-228/07/8374/09. 102 Pismo z 3 marca 2009 r. DOLiS-440-848/08/7218/09.

51

bowiem charakteru absolutnego, a jego ochrona nie moe odbywa si kosztem braku poszanowania praw innych osb.103 W omawianym okresie GIODO wyda rwnie decyzj104 nakazujc klubowi pikarskiemu usunicie ze swoich zbiorw danych osobowych skarcego. Klub ten przetwarza dane osobowe skarcego dotyczce zakupu przez niego biletw na trybun odkryt, wyjazdu grupy kibicw klubu na mecz i udziau skarcego w zamieszkach w trakcie meczu. W zwizku z powyszym organ wskaza, e zgodnie z art. 13 ust. 1 ustawy o bezpieczestwie imprez masowych, organizator meczu piki nonej zapewnia identyfikacj osb uczestniczcych w imprezie. Zakres przetwarzanych danych identyfikujcych osoby uczestniczce obejmuje w przypadku meczu piki nonej imi i nazwisko oraz numer PESEL, a w razie gdyby nie zosta on nadany rodzaj, seri i numer dokumentu potwierdzajcego tosamo (ust. 4 pkt 1), w przypadku rozgrywek meczw piki nonej w ramach ligi zawodowej imi i nazwisko, wizerunek twarzy oraz numer PESEL, a w razie gdy nie zosta on nadany rodzaj, seri i numer dokumentu potwierdzajcego tosamo (ust. 4 pkt 2). Dane, o ktrych mowa w ust. 4, s przechowywane przez organizatora przez okres 2 lat od dnia odbycia si meczu piki nonej (ust. 5). Przetwarzanie danych osobowych skarcego przez klub, wobec upywu terminu o ktrym mowa w art. 13 ust. 5 ww. ustawy, odbywao si natomiast bez podstawy prawnej. W zwizku z powyszym, dziaajc na podstawie art. 18 ust. 1 pkt 6 ustawy, Generalny Inspektor nakaza klubowi usunicie danych osobowych skarcego przetwarzanych w zbiorach danych tego podmiotu. W analizowanym roku sprawozdawczym GIODO zwrci si do prezesa firmy z sektora paliwowo-energetycznego o podjcie dziaa w celu dostosowania treci stosowanych przez t Spk wzorcw formularzy Umowy kompleksowej dostarczania paliwa gazowego, sucych

do aktualizacji umw sprzeday paliwa zawartych przed 1 lipca 2007 r. do wymogw ustawy o ochronie danych osobowych.105 Organ powzi wtpliwoci co do zgodnoci przetwarzania danych osobowych pozyskiwanych za ich pomoc z wymogami ustawy o ochronie danych osobowych. Spka pozyskiwaa bowiem od swoich klientw, bdcych osobami fizycznymi, dane osobowe w zakresie ich numeru NIP, adresu do korespondencji, numeru telefonu oraz adresu poczty elektronicznej, a ich podanie, jak wynikao z treci formularza, byo niezbdne dla zawarcia przedmiotowej umowy. W niniejszej sprawie brak byo przepisw prawa, ktre stanowiyby podstaw do zbierania w celu zawarcia kompleksowej umowy dostarczania paliwa gazowego od odbiorcw indywidualnych danych osobowych innych ni imi, nazwisko, adres zamieszkania oraz identyfikujcy osob fizyczn numer PESEL. Nie ulegao wtpliwoci, i powyszy zakres danych by rwnie wystarczajcy do realizacji zawartej umowy oraz dochodzenia ewentualnych roszcze wynikajcych z jej niewykonania. Wobec

103 104

Decyzja z 6 kwietnia 2009 r. DOLiS/DEC-273/09/12240,12242,12243. Decyzja GIODO z 31 sierpnia 2009 r. DOLiS/DEC-875/09/31524,31527. 105 Pismo GIODO z 12 sierpnia 2009 r. DOLiS-440-269/09.

52

powyszego Generalny Inspektor Ochrony Danych Osobowych stwierdzi, e pozyskiwanie innych kategorii danych osobowych ni wskazane powyej moe si odby wycznie za zgod osoby zainteresowanej. Natomiast w zwizku z uzyskaniem informacji o wykonywaniu okazjonalnych zdj uczniom szkoy podstawowej przez podmiot prowadzcy w tym zakresie dziaalno gospodarcz, Generalny Inspektor Ochrony Danych Osobowych zwrci si do dyrektora szkoy o zachowanie szczeglnej starannoci w przedmiocie ochrony wizerunku oraz prywatnoci uczniw.106 Organ wskaza, i szkoa oprcz wypeniania swoich dydaktyczno-wychowawczych obowizkw, powinna jednoczenie czuwa nad zapewnieniem prawa do ochrony prywatnoci i wizerunku dzieci. Za naruszenie prawa do takiej ochrony moe by uznane wykonanie dziecku fotografii, nawet za zgod dziecka. Generalny Inspektor Ochrony Danych Osobowych podkreli, e ustawodawca przepisami Kodeksu cywilnego, co do zasady, uzaleni skuteczno owiadcze woli (w tym owiadcze wyczajcych bezprawno wkraczania w prawa osb) skadanych przez osoby maoletnie, od faktu ich potwierdzenia przez rodzicw czy te opiekunw prawnych maoletnich, a w przypadku dzieci, ktre nie ukoczyy lat trzynastu, wykluczy moliwo skutecznego skadania takich owiadcze. Jednoczenie

w przedmiotowym wystpieniu zostao zaznaczone, i dzieci nie s w peni wiadome konsekwencji podejmowanych przez siebie dziaa. W zwizku z powyszym wskazane jest, aby decyzj o wykonaniu zdj dziecka przez podmiot prowadzcy dziaalno w tym zakresie, podejmowali rodzice lub opiekunowie prawni dzieci, nie za same dzieci. GIODO wyda rwnie decyzj nakazujc uczelni publicznej udostpnienie skarcej danych osobowych jej syna w zakresie obejmujcym informacj o ewentualnym przyznaniu mu stypendium.107 GIODO wskaza, i skarca w sposb wiarygodny w kierowanych do uczelni pismach uzasadnia potrzeb pozyskania informacji odnonie do ewentualnego przyznania jej synowi stypendium. Zoony przez ni wniosek w podanym zakresie odpowiada te wymogom formalnym wynikajcym

z brzmienia art. 29 ust. 3 ustawy o ochronie danych osobowych - mia bowiem form pisemn, zosta umotywowany (potrzeb wykorzystania ww. informacji dla celu dochodzenia roszcze zwizanych ze spoczywajcym na skarcej obowizkiem alimentacyjnym wobec syna), zawiera informacje umoliwiajce wyszukanie w zbiorze danych danych osobowych (w korespondencji z uczelni skarca kilkakrotnie podawaa imi, nazwisko i adres syna), wskazywa ich zakres i przeznaczenie. Jednoczenie, majc na uwadze prawne gwarancje ochrony przed roszczeniami zgaszanymi w postpowaniu sdowym (w tym take w sprawach dotyczcych alimentacji), brak byo postaw by uzna, e udostpnienie skarcej informacji o ewentualnym przyznaniu jej synowi stypendium wizaoby si z naruszeniem jego praw czy wolnoci. Przyjcie przeciwnego stanowiska - skutkujce
106 107

Pismo GIODO z 7 wrzenia 2009 r. DOLiS-440-63/09/32439. Decyzja z 13 padziernika 2009 r. DOLiS/DEC-1025/09/37281,37287,37293.

53

pozbawieniem osoby zobligowanej do alimentacji dostpu do informacji na temat sytuacji finansowej alimentowanego - oznaczaoby w istocie bezzasadn ochron tego ostatniego przed roszczeniami wynikajcymi ze zmiany jego sytuacji finansowej. Z tych samych powodw nie mona byo uzna, e udostpnienie skarcej informacji o ewentualnym przyznaniu jej synowi stypendium stanowioby istotne naruszenie jego dbr osobistych lub dbr osobistych innych osb (art. 30 pkt 4 ustawy). Oczywiste byo zarazem, e zadouczynieniu wnioskowi skarcej w omawianym zakresie nie staa na przeszkodzie adna z pozostaych okolicznoci wymienionych w art. 30 ustawy o ochronie danych osobowych (pkt. 13). W analizowanym okresie, w stosunku do roku poprzedniego, o 163 zmalaa liczba skarg dotyczcych przetwarzania danych osobowych w szeroko rozumianym sektorze Inne, co przedstawia Wykres 11 .

600 500 400 300 200 100 0 2007 216

478

315

2008

2009

Wykres 11: Zestawienie porwnawcze liczby skarg z sektora Inne, ktre wpyny do Generalnego Inspektora Ochrony Danych Osobowych w latach 20072009.

Wynika

to

moe

konsekwentnej

polityki

informacyjnej

GIODO

zmierzajcej

do upowszechnienia wiedzy o prawach i obowizkach zarwno administratorw danych, jak i osb, ktrych dane dotycz. 4 Prowadzenie rejestru zbiorw danych oraz udzielanie informacji o zarejestrowanych zbiorach

Generalny Inspektor Ochrony Danych Osobowych w ramach swoich ustawowych zada prowadzi rejestr zbiorw danych oraz udziela informacji o zarejestrowanych zbiorach. Zadanie to, realizowane w Departamencie Rejestracji Zbiorw Danych Osobowych, skorelowane zostao z naoonym na administratorw danych obowizkiem zgaszania zbiorw danych osobowych 54

do rejestracji.108 Prowadzenie oglnokrajowego rejestru umoliwia Generalnemu Inspektorowi Ochrony Danych Osobowych m.in. sprawowanie kontroli nad prawidowoci procesu przetwarzania danych osobowych, a take zapewnia obywatelom dostp do informacji o administratorach danych i prowadzonych przez nich zbiorach danych osobowych. Na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych (www.giodo.gov.pl) w ramach Platformy e-GIODO, zamieszczone s informacje o zarejestrowanych zbiorach danych osobowych, umoliwiajce wyszukiwanie zbiorw danych wedug podstawowych kryteriw, m.in. nazwy administratora danych, miejscowoci czy te nazwy zbioru danych. W 2009 roku w zwizku z prowadzon przez Generalnego Inspektora Ochrony Danych Osobowych intensywn dziaalnoci edukacyjn i informacyjn w zakresie zasad ochrony danych osobowych i obowizkw zwizanych z ich realizacj, w tym obowizku zgoszenia do rejestracji prowadzonych zbiorw danych, znacznemu zwikszeniu ulega liczba wpywajcych zgosze do rejestracji (w 2008 r. wpyno 5776 zgosze, w 2009 r. 7688 zgosze). Naley odnotowa, i najwicej zgosze pochodzio od podmiotw publicznych (4984), a wrd nich tradycyjnie najwicej zbiorw zgosiy jednostki samorzdu terytorialnego. Natomiast podmioty prywatne zgosiy do rejestracji 2704 zbiory danych osobowych.

6000 5000 4000 3000 2000

podmioty publiczne

1000 0 2007 2008 2009

podmioty prywatne

Wykres 12: Zestawienie zbiorw danych zgoszonych do rejestracji przez podmioty z sektora publicznego i sektora prywatnego w latach 2007-2009.

108

Zgodnie z art. 40 ustawy o ochronie danych osobowych, administrator danych obowizany jest zgosi zbir danych do rejestracji, z wyjtkiem przypadkw okrelonych w art. 43 ust. 1 ustawy.

55

8000 7500 7000 6500 6000 5500 5000 4500 4000 2007 2008 4850 5776

7688

zgoszenia

2009

Wykres 13: Liczbowe zestawienie zbiorw danych zgoszonych do rejestracji w latach 2007-2009.

Zauwaalny jest zatem znaczny wzrost - w porwnaniu z ubiegymi latami - liczby zgosze, ktre wpyny do Biura Generalnego Inspektora Ochrony Danych Osobowych. Wynika on ze wzrostu wiadomoci prawnej w zakresie ochrony danych osobowych, w tym obowizku rejestracji zbiorw danych osobowych. Dominujcymi pod wzgldem ilociowym byy zgoszenia pochodzce od jednostek samorzdu terytorialnego (gmin i powiatw) oraz zbiorw danych prowadzonych na podstawie przepisw ustawy z dnia 7 wrzenia 2007 r. o pomocy osobom uprawnionym do alimentw.109 Naley podkreli, i w omawianym okresie na ogln liczb 7688 zgosze zbiorw, ktre wpyny do rejestracji, 4885 zostao wypenionych przy uyciu udostpnionego na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych programu wspomagajcego wypenianie formularza zgoszenia. Stanowi to 63,5 % oglnej liczby zgosze dokonanych w 2009 r.

5000 4000 3000 2000 1000 0 zgoszenia tradycyjne zgoszenia elektroniczne

Wykres 14: Liczbowe zestawienie zgosze zbiorw danych do rejestracji dokonywanych w 2009 r. w formie tradycyjnej i przy uyciu programu wspomagajcego.

Dz. U. Nr 192, poz. 1378 z pn. zm. Przepisy powoanej ustawy wprowadziy nowe zasady przyznawania wiadcze alimentacyjnych, co z kolei doprowadzio do wzrostu liczby zgosze zbiorw danych osobowych dotyczcych danych osb uprawnionych do alimentw.

109

56

9000 8000 7000 6000 5000 4000 3000 2000 1000 0 2007 2008 2009

wnioski e-GIODO wnioski tradycyjne

Wykres 15: Zestawienie porwnawcze zgosze zbiorw danych do rejestracji dokonywanych w latach 2007-2009 w formie tradycyjnej i przy uyciu programu wspomagajcego, udostpnionego na stronie www.giodo.gov.pl

Mimo i program wspomagajcy wypenianie formularza zgoszenia cieszy si duym zainteresowaniem administratorw danych, to jednak naley zauway, i w roku 2009 tylko 397 zgosze zostao zoonych z uyciem bezpiecznego podpisu elektronicznego, co stanowi zaledwie 8 % zgosze wypenionych przy uyciu tego programu. W sytuacji gdy wnioskodawca nie by zobowizany do zgoszenia zbioru danych osobowych do rejestracji (np. nie posiada statusu administratora, korzysta ze zwolnienia na podstawie art. 43 ust. 1 ustawy) Generalny Inspektor Ochrony Danych Osobowych informowa go o tym, powoujc odpowiednie przepisy ustawy o ochronie danych osobowych. W 2009 r. wysa cznie 418 takich pism. Naley zwrci uwag, i administratorzy danych, przy wypenianiu formularza zgoszenia, nadal popeniali wiele bdw. W toku postpowa rejestracyjnych skierowano do wnioskodawcw 1509 pism wskazujcych braki w nadesanych zgoszeniach z prob o ich wyjanienie. Do najczciej powtarzajcych si uchybie naleay: niekompletne informacje o sposobie wypenienia warunkw technicznych i organizacyjnych zastosowanych w celach okrelonych w art. 36-39 ustawy o ochronie danych osobowych, jak rwnie niewaciwy (zbyt szeroki), w stosunku do celu przetwarzania danych, zakres danych osobowych pozyskiwanych do zbioru. W wyniku prowadzonych postpowa wyjaniajcych w wikszoci przypadkw dochodzi do rejestracji zbioru. W okresie sprawozdawczym do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych zostao wpisanych 6465 zbiorw danych.

57

7000 6000 5000 4000 3000 2000 2007 2008 2009

Wykres 16: Zestawienie porwnawcze zarejestrowanych przez GIODO zbiorw danych osobowych w latach 2007-2009.

W przypadku, gdy administrator danych nie poda w zgoszeniu informacji okrelonych w art. 41 ust. 1 ustawy lub ze zgoszenia wynikao, i przetwarzanie danych narusza zasady okrelone w art. 23-30 ustawy bd urzdzenia i systemy informatyczne suce do przetwarzania zbioru danych zgoszonego do rejestracji nie speniaj podstawowych warunkw technicznych i organizacyjnych, okrelonych w rozporzdzeniu wykonawczym do ustawy, GIODO odmawia rejestracji zgoszonego zbioru.110 W 2009 r. Generalny Inspektor Ochrony Danych Osobowych wyda 419 decyzji o odmowie rejestracji zbioru danych, przede wszystkim ze wzgldu na brak wyczerpujcego opisu rodkw technicznych i organizacyjnych zastosowanych w celach okrelonych w art. 36-39 ustawy (cz E zgoszenia). W wielu przypadkach deklarowany przez administratorw danych poziom bezpieczestwa przetwarzania danych w systemie informatycznym nie spenia te warunkw okrelonych w rozporzdzeniu wykonawczym do ustawy (cz F zgoszenia). Bardzo czsto wyjanienia wymagaa podstawa prawna prowadzenia zbioru (nawet wrd podmiotw publicznych), cel zbierania danych lub ich udostpniania. Zdarzay si przypadki, e zgoszenia pochodziy od podmiotw niebdcych w wietle ustawy o ochronie danych osobowych administratorami danych. W okresie sprawozdawczym Generalny Inspektor Ochrony Danych Osobowych

w 77 sprawach podj decyzj o umorzeniu postpowania, za w 285 wyda decyzj o wykreleniu zbioru danych z oglnokrajowego, jawnego rejestru zbiorw danych osobowych. We wszystkich decyzjach przesank wykrelenia byo zaprzestanie przetwarzania danych w zarejestrowanym zbiorze.

110

Przesanki odmowy rejestracji zbioru danych okrelone zostay w art. 44 ust.1 ustawy.

58

odmowa rejestracji zbioru - 419

285
umorzenie postpowania - 77

419 77
decyzje o wykreleniu zbioru z rejestru - 285

Wykres 17: Liczbowe zestawienie decyzji administracyjnych dotyczcych postpowa rejestracyjnych, wydanych przez GIODO w 2009 r.

500 400 300 200 100 0 2007 2008 2009

decyzje o odmowie rejestracji

Wykres 18: Zestawienie porwnawcze decyzji o odmowie rejestracji wydanych przez Generalnego Inspektora Ochrony Danych Osobowych w latach 2007-2009.

80 60 40 20 0 2007 2008 2009

decyzje o umorzeniu postpowania

Wykres 19: Zestawienie porwnawcze decyzji o umorzeniu postpowania rejestracyjnego wydanych przez Generalnego Inspektora Ochrony Danych Osobowych w latach 2007-2009.

59

400 300 200 100 0 2007 2008 2009

decyzje o wykreleniu

Wykres 20: Zestawienie porwnawcze decyzji o wykreleniu zbioru danych z rejestru wydanych przez Generalnego Inspektora Ochrony Danych Osobowych w latach 20072009.

Prowadzony przez Generalnego Inspektora Ochrony Danych Osobowych oglnokrajowy jawny rejestr zbiorw danych osobowych umoliwia obywatelom dostp do informacji o administratorach danych i zgoszonych przez nich zbiorach danych osobowych. Zasada jawnoci rejestru zbiorw danych osobowych realizowana jest poprzez zapewnienie moliwoci przegldania rejestru w Internecie lub w siedzibie Biura Generalnego Inspektora Ochrony Danych Osobowych. W roku sprawozdawczym 2009, GIODO rozpatrzy 2419 zgosze aktualizacyjnych dokonanych przez administratorw danych w trybie art. 41 ust. 2 ustawy o ochronie danych osobowych. Aktualizacje najczciej dotyczyy zmiany siedziby administratora danych, zmiany zakresu przetwarzanych danych, a take zmian dotyczcych rodkw technicznych i organizacyjnych zastosowanych w celu ochrony przetwarzanych danych osobowych. W szczeglnoci chodzio o przypadki zmiany systemu przetwarzania danych w zbiorze, tj. przejcie z systemu tradycyjnego na informatyczny.
2500

2000

1500 zgoszenia aktualizacyjne 1000 2007 2008 2009

Wykres 21: Liczbowe zestawienie zgosze aktualizacyjnych rozpatrzonych przez GIODO w latach 2007-2009.

W omawianym okresie Generalny Inspektor Ochrony Danych Osobowych wyda ponadto z urzdu bd na danie administratora danych 3374 zawiadczenia o zarejestrowaniu zbioru.

60

3500 3000 2500 2000 1500 1000 2007 2008 2009 zawiadczenia o rejestracji

Wykres 22: Zestawienie porwnawcze liczby zawiadcze o zarejestrowaniu zbioru danych osobowych wydanych przez GIODO w latach 2007-2009.

5. Opiniowanie projektw ustaw i rozporzdze dotyczcych ochrony danych osobowych

Stosownie do treci art. 12 pkt 4 ustawy o ochronie danych osobowych, do podstawowych zada Generalnego Inspektora Ochrony Danych Osobowych naley opiniowanie projektw ustaw i rozporzdze dotyczcych ochrony danych osobowych. W analizowanym okresie sprawozdawczym do Biura Generalnego Inspektora wpyny do zaopiniowania 624 projekty aktw prawnych, a zatem o 113 wicej ni w roku poprzednim.

800 600 400 200 0 2007 2008 348 511

624

2009

Wykres 23: Liczbowe zestawienie projektw aktw normatywnych skierowanych do zaopiniowania przez Generalnego Inspektora Ochrony Danych Osobowych w latach 2007-2009.

W okresie objtym sprawozdaniem, w odniesieniu do wielu analizowanych aktw prawnych Generalny Inspektor wyrazi jednoznacznie negatywn opini. Tak te byo w stosunku do projektu ustawy o zmianie ustawy o dostpie do informacji publicznej111 przewidujcego uznanie za publiczn informacji o stanie zdrowia osb sprawujcych urzd Prezydenta Rzeczypospolitej Polskiej i Prezesa Rady Ministrw. Generalny Inspektor, wypowiadajc si w tej kwestii podkreli, e zaproponowane w treci projektu rozwizania naruszaj konstytucyjne prawo do ochrony danych osobowych

61

i prywatnoci wymienionych osb. Powoa odpowiednie przepisy polskiej ustawy zasadniczej, wskazujc, e przemawiaj one za zachowaniem przez ustawodawc daleko idcej wstrzemiliwoci w kwestii uchwalania przepisw skutkujcych upublicznieniem danych o stanie zdrowia, nawet gdyby miao to dotyczy osb piastujcych w Rzeczypospolitej Polskiej najwysze funkcje publiczne. Ponadto organ do spraw ochrony danych osobowych zaznaczy, i biorc pod uwag okoliczno, e dane o stanie zdrowia dotycz sfery prywatnoci, a niekiedy wrcz intymnoci osoby fizycznej, bezsporne jest, i akt prawny nakazujcy podanie do publicznej wiadomoci tego typu informacji stanowi daleko idc ingerencj w wyej wymienione prawa. Zachodzi zatem potrzeba skontrolowania, czy spenione zostay przesanki dopuszczalnoci wkroczenia w sfer konstytucyjnych praw i wolnoci obywateli okrelone w art. 31 ust. 3 Konstytucji Rzeczypospolitej Polskiej.112 Generalny Inspektor zaznaczy, i cho zakres prawa do prywatnoci i prawa do ochrony danych osobowych osb sprawujcych funkcje publiczne jest zdecydowanie wszy ni zwykych obywateli, to brak jest podstaw do przyjcia, e prawa te nie znajduj wobec tych osb zastosowania.113 Dokonujc analizy ww. projektu z punktu widzenia zasad zawartych w art. 31 ust. 3 Konstytucji RP, Generalny Inspektor zauway, i zaproponowane regulacje naruszaj zasad proporcjonalnoci stosowan w przypadku tzw. kolizji praw konstytucyjnych i nie speniaj wymogu koniecznoci w demokratycznym pastwie dla jego bezpieczestwa lub porzdku publicznego, bd dla ochrony rodowiska, zdrowia i moralnoci publicznej, albo wolnoci i praw innych osb. Podnis rwnie, i przewidziane w art. 61 ustawy zasadniczej tzw. prawo do informacji zostao uksztatowane jako prawo obywatela do uzyskiwania informacji o dziaalnoci organw wadzy publicznej oraz osb penicych funkcje publiczne. Wtpliwe jest zatem, czy w zakresie tego prawa w ogle mieci si uprawnienie do uzyskiwania informacji o stanie zdrowia osb sprawujcych funkcje publiczne. Zarwno bowiem z punktu widzenia prawa europejskiego,114 jak i ustawodawstwa polskiego,115 dane o stanie zdrowia podlegaj szczeglnej ochronie. Generalny Inspektor wskaza take, i nawet gdyby przyj wykadni, e informacja o stanie zdrowia osb sprawujcych funkcje publiczne w zakresie, w jakim ten stan zdrowia wpywa na wykonywanie przez te osoby ich funkcji, jest objta prawem do informacji w rozumieniu art. 61 Konstytucji Rzeczypospolitej Polskiej, to przyjte w projekcie ustawy o zmianie ustawy o dostpie do informacji publicznej rozwizania, zakadajce absolutny

DOLiS-070-1/09. Zgodnie z art. 31 ust. 3 ustawy zasadniczej, ograniczenia w zakresie korzystania z konstytucyjnych wolnoci i praw mog by ustanawiane tylko w ustawie i tylko wtedy, gdy s konieczne w demokratycznym pastwie dla jego bezpieczestwa lub porzdku publicznego, bd dla ochrony rodowiska, zdrowia i moralnoci publicznej, albo wolnoci i praw innych osb. Ograniczenia te nie mog narusza istoty wolnoci i praw. 113 Stanowisko znalazo swoje odbicie take w Deklaracji w sprawie swobody debaty politycznej w mediach Komitetu Ministrw Rady Europy z dnia 12 lutego 2004 r. 114 Np. art. 8 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 padziernika 1995 r. w sprawie ochrony osb fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepywu tych danych. 115 Art. 27 ustawy o ochronie danych osobowych.
112

111

62

prymat prawa do informacji nad prawem do ochrony danych osobowych i prywatnoci osb sprawujcych urzd Prezydenta Rzeczypospolitej Polskiej i Prezesa Rady Ministrw,116 s nie do pogodzenia z zasad proporcjonalnoci, o ktrej bya mowa wyej. Powoa przy tym jeden z wyrokw Trybunau Konstytucyjnego117, podkrelajc, i autorzy projektu nie wskazali w uzasadnieniu powodw, dla ktrych widz potrzeb tak istotnego wkroczenia w sfer prywatnoci Prezydenta Rzeczypospolitej Polskiej i Prezesa Rady Ministrw, jakim jest upublicznienie informacji o ich stanie zdrowia, w tym wynikw bada lekarskich. Generalny Inspektor zaznaczy, i w jego opinii konieczno taka nie zachodzi, gdy dla potwierdzenia zdolnoci psychicznej i fizycznej do sprawowania urzdu wystarczajce byoby podanie do publicznej wiadomoci treci wydanego na podstawie szczeglnych przepisw prawa118 zawiadczenia lekarskiego. Przedmiotowy projekt nie tylko za w sposb nieuzasadniony narusza prawo do ochrony danych osobowych i prywatnoci osb wymienionych w art. 1 ust. 1a ustawy o dostpie do informacji publicznej,119 lecz moe take godzi w prawa niesprawujcych adnych funkcji publicznych ich najbliszych. Przewidziany w art. 6a ustawy o dostpie do informacji publicznej120 obowizek publikacji wynikw bada nie zawiera bowiem jakichkolwiek ogranicze, a zatem publicznemu udostpnieniu mogyby podlega take wyniki bada o charakterze intymnym. Wrd projektw aktw prawnych, ktre wpyny w 2009 r. do zaopiniowania przez GIODO, znalaz si projekt rozporzdzenia Rady Ministrw w sprawie programu bada statystycznych statystyki publicznej na rok 2010.121 Zastrzeenia GIODO wzbudziy zwaszcza unormowania w badaniu o symbolu 1.21.12(034) Narodowy spis powszechny ludnoci i mieszka 2011 r. opracowanie wynikw spisu prbnego. Uwzgldniajc fakt, e informacja o istnieniu (nieistnieniu) niepenosprawnoci i jej stopniu stanowi dan o stanie zdrowia podlegajc szczeglnej ochronie, w myl art. 27 ust. 2 pkt 2122 ustawy o ochronie danych osobowych, tylko przepis rangi ustawowej
116

Wyczenie ograniczenia prawa do informacji publicznej ze wzgldu na prywatno osoby fizycznej art. 5 ust. 2 ustawy z dnia 6 wrzenia 2001 r. o dostpie do informacji publicznej Dz. U. Nr 112, poz. 1198 z pn. zm., w brzmieniu nadanym przez art. 1 pkt 2 projektu ustawy; publikowanie danych o stanie zdrowia w sieci Internet, gdzie bd powszechnie dostpne przez nieograniczony czas, nie za jedynie przez okres sprawowania funkcji art. 7 ust. 1a ustawy o dostpie do informacji publicznej, dodany przez art. 1 pkt 4 projektu. 117 W wyroku z 12 grudnia 2005 roku (sygn. K. 32/2004) Trybuna stwierdzi, i konieczno w demokratycznym pastwie prawnym to zastosowanie rodkw niezbdnych (koniecznych) w tym sensie, e bd one chroni okrelone wartoci w sposb lub stopniu, ktry nie mgby by osignity przy zastosowaniu innych rodkw, a jednoczenie winny to by rodki jak najmniej uciliwe dla podmiotw, ktrych prawo lub wolno ograniczaj. 118 Art. 229 8 pkt 2 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 1998 r. Nr 21, poz. 94 z pn. zm.) oraz rozporzdzenia Ministra Zdrowia i Opieki Spoecznej z dnia 30 maja 1996 roku w sprawie przeprowadzania bada lekarskich pracownikw, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzecze lekarskich wydawanych do celw przewidzianych w Kodeksie pracy (Dz. U. Nr 69, poz. 332 z pn. zm.). 119 Dodany przez art. 1 pkt 1 opiniowanego projektu. 120 Dodany przez art. 1 pkt 3 projektu. 121 Projekt rozporzdzenia wydany na podstawie delegacji zawartej w art. 18 ustawy z dnia 29 czerwca 1995 roku o statystyce publicznej Dz. U. Nr 88, poz. 439 z pn. zm. 122 Art. 27 ust. 2 pkt 2 ustawy stanowi, i przetwarzanie danych, o ktrych mowa w ust. 1, jest jednak dopuszczalne, jeeli przepis szczeglny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, ktrej dane dotycz, i stwarza pene gwarancje ich ochrony.

63

moe ustanawia kompetencj organu do przetwarzania takiej danej. Tymczasem przedstawiony do zaopiniowania projekt rozporzdzenia nakada na: Kas Rolniczego Ubezpieczenia Spoecznego, Narodowy Fundusz Zdrowia, Pastwowy Fundusz Rehabilitacji Osb Niepenosprawnych, powiatowe zespoy do spraw orzekania o niepenosprawnoci, starostwa powiatowe i urzdy gmin, obowizek przekazania Gwnemu Urzdowi Statystycznemu danych osb niepenosprawnych, w tym take informacji o stopniu niepenosprawnoci tych osb. Rozwizanie przyjte w projekcie rozporzdzenia jednoznacznie narusza zatem dyspozycj art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych. Co wicej pozyskiwanie przez Gwny Urzd Statystyczny, na zasadzie obowizku, informacji o istnieniu (nieistnieniu) niepenosprawnoci i jej stopniu, w ogle nie znajduje uzasadnienia, zwaszcza w kontekcie przepisw rozporzdzenia nr 763/2008 Parlamentu Europejskiego i Rady z dnia 9 lipca 2008 r. w sprawie spisw powszechnych ludnoci i mieszka, ktry to akt prawa wsplnotowego nie nakada obowizku przekazywania Eurostatowi informacji o niepenosprawnoci mieszkacw Pastw Czonkowskich, obliguje za te Pastwa do podjcia wszelkich rodkw w celu spenienia wymogw dotyczcych ochrony danych (art. 4 ust. 2 rozporzdzenia). Ponadto biorc pod uwag, e art. 27 ust. 1 ustawy o ochronie danych osobowych uznaje za dane podlegajce szczeglnej ochronie m.in. dane dotyczce skaza, orzecze o ukaraniu i mandatw karnych, a take innych orzecze wydanych w postpowaniu sdowym lub administracyjnym, za umieszczenie osoby w zakadzie karnym lub areszcie ledczym nastpuje na podstawie orzeczenia sdu (prawomocnego lub wykonalnego), sam fakt przebywania okrelonej osoby w zakadzie karnym (areszcie ledczym) jest dan sensytywn, gdy bezporednio ujawnia zapade wobec tej osoby orzeczenie sdowe. W tym stanie rzeczy, stosownie do ww. art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych, tylko przepis rangi ustawowej moe ustanawia kompetencj organu do przetwarzania takiej danej. Wobec powyszego Generalny Inspektor zakwestionowa naoenie w projekcie opiniowanego rozporzdzenia na Ministra Sprawiedliwoci obowizku przekazania Gwnemu Urzdowi Statystycznemu danych identyfikujcych osoby pozbawione wolnoci oraz osoby przebywajce w zakadach poprawczych. Organ do spraw ochrony danych osobowych zwrci uwag, i informacja o narodowoci ujawnia pochodzenie etniczne, a niekiedy take rasowe czowieka. W opinii Generalnego Inspektora Ochrony Danych Osobowych, przesdza to o uznaniu przetwarzania danych o narodowoci za przetwarzanie danych szczeglnie chronionych w rozumieniu art. 27 ustawy o ochronie danych osobowych. Co za tym idzie w wietle dyspozycji art. 27 ust. 2 pkt 2 teje ustawy - nieprawidowe jest zamieszczanie w akcie prawnym o randze niszej ni ustawa przepisw nakazujcych przetwarzanie informacji o narodowoci. Dlatego te organ do spraw ochrony danych osobowych wystpi przeciwko zawartym w opiniowanym projekcie unormowaniom obligujcym Urzd do Spraw Cudzoziemcw i urzdy gmin do przekazywania Gwnemu Urzdowi Statystycznemu informacji o narodowoci cudzoziemcw. Ponadto Generalny Inspektor wskaza, i art. 35 ust. 1 pkt 4 ustawy

64

o statystyce publicznej upowani suby statystyki publicznej do zbierania dla celw statystycznych jedynie informacji o obywatelstwie osb fizycznych zamieszkujcych na terytorium Rzeczypospolitej Polskiej. Odnoszc si nadal do przedmiotowego projektu rozporzdzenia, Generalny Inspektor zwrci uwag, i jego akceptacji nie moe zyska przewidziana w projekcie rozporzdzenia (pkt 8. rda danych) propozycja pozyskiwania na potrzeby powszechnego spisu rolnego w 2010 r. danych z systemw informacyjnych Zakadu Ubezpiecze Spoecznych w sytuacji, gdy projekt ustawy o powszechnym spisie rolnym w 2010 r. (wersja z dnia 05.05.2009 r.) w ogle nie przewiduje zbierania danych z tego rda (badanie o symbolu 1.45.29(142) Powszechny Spis Rolny i badanie metod produkcji rolnej). Kolejnym projektem, ktry podlega opiniowaniu przez Generalnego Inspektora Ochrony Danych Osobowych w analizowanym okresie sprawozdawczym, by projekt ustawy o narodowym spisie powszechnym ludnoci i mieszka w 2011 r.123 W wystosowanej opinii do tego projektu124 organ do spraw ochrony danych osobowych uzna, i zaproponowane w nim rozwizania pozostaj w oczywistej sprzecznoci z wczeniej dokonanymi uzgodnieniami, a co za tym idzie nie mog zyska jego akceptacji. Generalny Inspektor Ochrony Danych Osobowych zwrci uwag, e art. 51 ust. 2 Konstytucji Rzeczypospolitej Polskiej zakazuje wadzom publicznym pozyskiwania, gromadzenia i udostpniania innych informacji o obywatelach ni niezbdne w demokratycznym pastwie prawnym. Zastrzeenia GIODO wzbudzia ju sama koncepcja utworzenia przez Gwny Urzd Statystyczny [GUS] na potrzeby narodowego spisu powszechnego ludnoci i mieszka w 2011 r. megabazy danych osb przebywajcych na terytorium Rzeczypospolitej Polskiej. Wbrew bowiem stanowisku prezentowanemu przez Gwny Urzd Statystyczny, przyjcie w penym zakresie unormowa projektu tej ustawy nakazujcych okrelonym podmiotom: ministrowi waciwemu do spraw finansw publicznych, ministrowi waciwemu do spraw wewntrznych, Ministrowi Sprawiedliwoci, Szefowi Urzdu do Spraw Cudzoziemcw, Prezesowi Zakadu Ubezpiecze Spoecznych, Prezesowi Kasy Rolniczego Ubezpieczenia Spoecznego, Prezesowi Narodowego Funduszu Zdrowia, Gwnemu Geodecie Kraju, Prezesowi Pastwowego Funduszu Rehabilitacji Osb Niepenosprawnych, marszakom wojewdztw, starostom, wjtom, burmistrzom, prezydentom miast, zarzdcom zasobw mieszkaniowych, przedsibiorcom prowadzcym dziaalno gospodarcz w zakresie sprzeday energii elektrycznej oraz dostawcom publicznie dostpnych usug telekomunikacyjnych125 - przekazanie Prezesowi Gwnego Urzdu Statystycznego prowadzonych przez te podmioty caych baz danych (art. 5 ust. 1 pkt 1

123 124

Wersja z 06.04.2009 r. DOLiS-033-207/08. 125 Zacznik nr 1 do projektu.

65

projektu), skutkowaoby powstaniem w Gwnym Urzdzie Statystycznym zbioru danych nieporwnywalnego pod wzgldem obszernoci i szczegowoci z jakimkolwiek innym istniejcym w chwili obecnej w Rzeczypospolitej Polskiej. Organ do spraw ochrony danych osobowych, jako podmiot stojcy na stray przestrzegania przez administratorw danych wymogu legalnoci przetwarzania danych i ich adekwatnoci do celw przetwarzania,126 konsekwentnie wystpuje przeciwko projektom tworzenia megabaz danych. Generalny Inspektor zauway, e chocia dane pozyskane w ramach narodowego spisu powszechnego ludnoci i mieszka w 2011 r. chronione bd tajemnic statystyczn (art. 10 ustawy z dnia 29 czerwca 1995 roku o statystyce publicznej Dz. U. Nr 88, poz. 439 z pn. zm. w zw. z art. 10 ust. 1 projektu ustawy), nie wycza to jednak moliwoci bezprawnego wejcia w ich posiadanie. Zwaszcza e planowany czas pozostawania tych danych w postaci niezanonimizowanej ma by dugi od spisu prbnego w kwietniu i maju 2010 roku (art. 13 ust. 1 i ust. 2 pkt 1 projektu ustawy) do upywu dwch lat od dnia zakoczenia spisu, czyli do 30 czerwca 2013 roku (art. 10 ust. 2 w zw. z art. 1 ust. 2 projektu ustawy). Co wicej mimo i obowizujce unormowania ustawy o statystyce publicznej (art. 10) wyczaj moliwo wykorzystywania danych osobowych zebranych podczas spisu powszechnego dla celw innych ni statystyczne, zdaniem Generalnego Inspektora Ochrony Danych Osobowych nie mona wykluczy takiej ewentualnoci wskutek zmiany przepisw w przyszoci. Ponadto Generalny Inspektor Ochrony Danych Osobowych zakwestionowa propozycj przekazywania Gwnemu Urzdowi Statystycznemu na potrzeby narodowego spisu powszechnego ludnoci i mieszka w 2011 r. danych zgromadzonych w systemach informacyjnych w tak szerokim zakresie, jak przewiduje to zacznik nr 1 do projektu ustawy. Organ do spraw ochrony danych osobowych powoa si na zasad adekwatnoci, uregulowan w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. W ocenie organu zakres danych pozyskiwanych z systemw informacyjnych wskazanych w zaczniku nr 1 do tego projektu jest znacznie szerszy, anieli tematyka spisu okrelona w zaczniku nr 2 do projektu oraz w zaczniku do rozporzdzenia nr 763/2008 Parlamentu Europejskiego i Rady z dnia 9 lipca 2008 r. w sprawie spisw powszechnych ludnoci i mieszka, ktre to dokumenty zgodnie z art. 6 ust. 1 i 2 projektu ustawy miay wyznacza granice zbierania danych w ramach narodowego spisu powszechnego ludnoci i mieszka w 2011 r. Co wicej, przyjta w zaczniku nr 1 do projektu ustawy koncepcja przekazywania danych z systemw informacyjnych wielu podmiotw prowadzi bdzie do kilkukrotnego pozyskiwania przez Gwny Urzd Statystyczny w istocie tych samych danych. Od pocztku prac nad projektem ustawy o narodowym spisie powszechnym ludnoci i mieszka w 2011 r. Generalny Inspektor podtrzyma prezentowane stanowisko w kwestii

126

Art. 12 pkt 1 w zw. z art. 26 ust. 1 pkt 1 i 3 ustawy o ochronie danych osobowych.

66

niedopuszczalnoci zbierania w ramach spisu na zasadzie obowizku danych o istnieniu (nieistnieniu) niepenosprawnoci i jej stopniu, czyli danych o stanie zdrowia podlegajcych szczeglnej ochronie na podstawie art. 27 ustawy o ochronie danych osobowych. Jednoczenie zwrci uwag na wewntrzn sprzeczno aktualnej wersji projektu ustawy w kwestii zbierania danych o istnieniu (nieistnieniu) niepenosprawnoci i jej stopniu. Z jednej strony bowiem art. 6 ust. 3 pkt 2 projektu proklamujcy dobrowolno zbierania danych dotyczcych posiadania orzeczenia o niepenosprawnoci oraz jej stopniu i rodzaju, z drugiej za ust. 6 pkt 1 lit. k; ust. 7 pkt 15 lit. b; ust. 9 pkt 1 lit. i oraz pkt 2 lit. d; ust. 11 pkt 3, pkt 4 lit. a tiret dwadziecia jeden i dwadziecia dwa oraz lit. b tiret osiemnacie i dziewitnacie; ust. 12 pkt 3 lit. z, za i zb, i lit. zd tiret czternacie, pitnacie i szesnacie oraz pkt 4 lit. b tiret dwa zacznika nr 1 do projektu ustawy nakazujce odpowiednio: Prezesowi Kasy Rolniczego Ubezpieczenia Spoecznego, Prezesowi Narodowego Funduszu Zdrowia, Prezesowi Pastwowego Funduszu Rehabilitacji Osb Niepenosprawnych, starostom; wjtom, burmistrzom, prezydentom miast przekazywanie takich danych Prezesowi Gwnego Urzdu Statystycznego pod rygorem odpowiedzialnoci za wykroczenie z art. 23 pkt 1 projektu ustawy. W istocie zatem dobrowolno respondentw w zakresie podawania danych o niepenosprawnoci i jej stopniu ma w projekcie ustawy charakter zupenie fikcyjny, gdy organy spisowe i tak posiada bd informacje w tej kwestii z systemw informacyjnych, o ktrych mowa bya wyej. Organ do spraw ochrony danych osobowych zaakceptowa przewidziane w ust. 1 pkt 1 lit. p zacznika nr 1 do projektu ustawy unormowanie dotyczce przekazywania przez ministra waciwego do spraw finansw publicznych Prezesowi Gwnego Urzdu Statystycznego z systemu informacyjnego prowadzonego przez organy podatkowe informacji o kosztach uzyskania przychodw i rdach przychodw osb fizycznych. W trakcie opiniowania projektu ustawy o udostpnianiu informacji gospodarczych,127 zastrzeenia Generalnego Inspektora wzbudziy zawarte w tym projekcie zapisy dotyczce gromadzenia przez biura informacji gospodarczej informacji o numerze PESEL128 oraz o adresie zamieszkania osoby fizycznej prowadzcej dziaalno gospodarcz, o ile nie jest on tosamy z miejscem wykonywania tej dziaalnoci.129 Organ do spraw ochrony danych osobowych wskaza, e zakres przekazywanych do biur informacji gospodarczej,130 a w konsekwencji ujawnianych131 informacji o osobach fizycznych prowadzcych dziaalno gospodarcz, powinien by cile zwizany z prowadzon przez te osoby dziaalnoci. W ocenie Generalnego Inspektora Ochrony Danych Osobowych nie znajduje uzasadnienia przetwarzanie danych o numerze PESEL i adresie zamieszkania (o ile nie jest on taki sam jak miejsce wykonywania dziaalnoci gospodarczej) osoby fizycznej

127 128

DOLiS-033-168/09 Art. 2 ust. 1 pkt 3 lit. b in principio projektu. 129 Art. 2 ust. 1 pkt 3 lit. e in principio. 130 Art. 10 ust. 2 pkt 2. 131 Art. 1 ust. 1 pkt 1 i art. 17 ust. 2.

67

prowadzcej dziaalno gospodarcz, w zwizku z zacignitymi przez t osob zobowizaniami z tytuu prowadzonej dziaalnoci. Nie mona bowiem pomin, i ustawa o ochronie danych osobowych wymaga, aby dane osobowe byy przetwarzane (w tym ujawniane) wycznie w takim zakresie, jaki jest niezbdny dla osignicia celu, jakiemu przetwarzanie (ujawnianie) danych ma suy (art. 26 ust. 1 pkt 3). Wobec powyszego Generalny Inspektor zwrci uwag, i dla identyfikacji osoby fizycznej prowadzcej dziaalno gospodarcz i powizania jej z istniejcym zobowizaniem z tytuu tej dziaalnoci, informacje o numerze PESEL i adresie zamieszkania (o ile nie jest on tosamy z miejscem wykonywania dziaalnoci) s zbdne, tak wic ich gromadzenie przez biura informacji gospodarczej narusza bdzie wskazan wyej zasad adekwatnoci. W odniesieniu do projektu ustawy o racjonalizacji zatrudnienia w pastwowych jednostkach budetowych i niektrych innych jednostkach sektora finansw publicznych,132 Generalny Inspektor Ochrony Danych Osobowych wyrazi obawy, i zawarta w jego treci propozycja objcia przepisami niniejszego projektu Generalnego Inspektora Ochrony Danych Osobowych, godzi w niezaleno organu do spraw ochrony danych osobowych i tym samym pozostaje w sprzecznoci z europejskimi standardami ochrony tych danych. Generalny Inspektor wskaza, i konieczno zapewnienia organowi do spraw ochrony danych osobowych cakowitej niezalenoci wynika wprost z wicych Rzeczpospolit Polsk norm prawa europejskiego w szczeglnoci pkt 62 preambuy i art. 28 ust. 1 Dyrektywy nr 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 padziernika 1995 r. w sprawie ochrony osb fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepywu tych danych. Zgodnie bowiem z pkt. 62 preambuy, cyt.: (...) utworzenie w pastwach czonkowskich organw nadzorczych, wykonujcych swoje funkcje w sposb cakowicie niezaleny jest zasadniczym elementem ochrony jednostek w zakresie przetwarzania danych osobowych (...). W myl za art. 28 ust. 1 dyrektywy 95/46/WE, kade pastwo czonkowskie zapewnia, e jeden lub kilka organw publicznych bdzie odpowiedzialnych za kontrol stosowania na jego terytorium postanowie przyjtych przez pastwa czonkowskie na podstawie niniejszej dyrektywy. Organy te bd postpowa w sposb cakowicie niezaleny wykonujc powierzone im funkcje. Podobnie do niezalenoci organu do spraw ochrony danych osobowych w sposb bezporedni odnosi si Karta Praw Podstawowych Unii Europejskiej. Oto bowiem jej art. 8, stanowic, e kady ma prawo do ochrony danych osobowych, ktre go dotycz, a ktre musz by przetwarzane rzetelnie w okrelonych celach i za zgod osoby zainteresowanej lub na innej podstawie prawnej przewidzianej ustaw, jak i przewidujc prawo dostpu osoby do dotyczcych jej danych i prawo ich sprostowania, podkrela, e przestrzeganie tych zasad podlega kontroli niezalenego organu.

132

DOLiS033280/09.

68

Ponadto Generalny Inspektor wskaza, i take ustawodawca polski, implementujc do krajowego porzdku prawnego normy prawa europejskiego, respektowa niezawiso Generalnego Inspektora Ochrony Danych Osobowych, przyjmujc, e w zakresie wykonywania swoich zada podlega on jedynie ustawie (art. 8 ust. 4 ustawy o ochronie danych osobowych). Generalny Inspektor wskaza, i przedoony projekt ustawy moe pozbawi organ do spraw ochrony danych osobowych istotnego atrybutu niezalenoci gwarantowanego mu tak przez wskazan dyrektyw nr 95/46/WE, Kart Praw Podstawowych, jak i ustaw o ochronie danych osobowych poprzez odebranie mu moliwoci ksztatowania zatrudnienia na poziomie odpowiednim do rzeczywistych potrzeb zwizanych z iloci wykonywanych obowizkw oraz poddanie organu do spraw ochrony danych osobowych kontroli Prezesa Rady Ministrw (np. art. 10 ust. 1,133 art. 13 ust. 1,134 i art. 15135 projektu). Nie mona za pomin, i do zada organu do spraw ochrony danych osobowych naley m.in. kontrola zgodnoci przetwarzania danych przez organy pastwowe, w tym rwnie Prezesa Rady Ministrw (art. 12 pkt 1 w zw. z art. 3 ust. 1 ustawy o ochronie danych osobowych136). Dlatego majc na uwadze powysze, konieczno wyczenia organu do spraw ochrony danych osobowych spod obowizywania aktu prawnego o charakterze takim, jak ustawa o racjonalizacji zatrudnienia w pastwowych jednostkach budetowych i niektrych innych jednostkach sektora finansw publicznych, nie powinna budzi wtpliwoci. Bowiem, jak wskaza Generalny Inspektor, w projekcie zamieszczony zosta przepis stanowicy podstaw do ewentualnego wydania przez Prezesa Rady Ministrw rozporzdzenia okrelajcego jednostki zwolnione z obowizku racjonalizacji zatrudnienia (art. 17 ust. 3 pkt 1137), chocia delegacja ta w zaproponowanym ksztacie ma charakter fakultatywny. Oznacza to, i stosownej treci rozporzdzenie (ktre pomijajc kwestie niezalenoci mogoby ewentualnie uwzgldnia Generalnego Inspektora Ochrony Danych Osobowych), w ogle nie musi zosta wydane. Ponadto Generalny Inspektor zauway, e zadania ktre wykonuje, tak w zakresie ich wagi, jak i iloci,

Art. 10 ust. 1. Kierownik jednostki, w terminie do dnia 1 lutego 2010 r. przedstawi Prezesowi Rady Ministrw informacje o stanie zatrudnienia w tej jednostce, wedug stanu na dzie 30 czerwca 2009 r., zwane dalej raportem pocztkowym. 134 Art. 13 ust. 1. Kierownik jednostki, w terminie do dnia 15 lipca 2010 r., przedstawi Prezesowi Rady Ministrw informacj o przeprowadzonej racjonalizacji zatrudnienia w tej jednostce, zwan dalej raportem z realizacji. Przepisy art. 10 ust. 2 i 4 stosuje si odpowiednio. 135 Art. 15. Kierownik jednostki, w terminie do dnia 15 stycznia 2012 r., przedstawi Prezesowi Rady Ministrw informacj o wynikach racjonalizacji zatrudnienia wedug stanu zatrudnienia pracownikw na dzie 31 grudnia 2011 r. w podziale na rodzaj stanowisk, wedug wykonywanych zada, zwan dalej raportem kocowym. Przepisy art. 10 ust. 2 i 4 stosuje si odpowiednio. 136 Zgodnie z treci art. 12 pkt 1 ustawy o ochronie danych osobowych, do zada Generalnego Inspektora w szczeglnoci naley: 1) kontrola zgodnoci przetwarzania danych z przepisami o ochronie danych osobowych. Zgodnie za z treci art. 3 ust. 1, ustaw o ochronie danych osobowych stosuje si do organw pastwowych, organw samorzdu terytorialnego oraz do pastwowych jednostek organizacyjnych. 137 Zgodnie z treci tego przepisu, Prezes Rady Ministrw moe okreli, w drodze rozporzdze jednostki zwolnione z obowizku utrzymania zatrudnienia na poziomie, o ktrym mowa w art. 3 ust. 1 majc na wzgldzie konieczno zapewnienia bezpieczestwa pastwa, porzdku publicznego, ochrony zdrowia lub rodowiska bd szczeglne znaczenia wykonywanych przez jednostk zada dla funkcjonowania pastwa, a take efektywno wykonywanych zada.

133

69

zdecydowanie wypeniayby wytyczn zawart w art. 17 ust. 3 projektu. Zgodnie z jej treci, Prezes Rady Ministrw, wydajc rozporzdzenie, ma bowiem uwzgldni, cyt.: (...) szczeglne znaczenie wykonywanych przez jednostk zada dla funkcjonowania pastwa, a take efektywno wykonywanych zada (...). Odnoszc si natomiast do konkretnych rozwiza projektu, Generalny Inspektor Ochrony Danych Osobowych zaproponowa, aby w art. 3 projektu ustawy,138 zamiast przepisu odnoszcego si do stanu zatrudnienia na dzie 30 czerwca 2009 r. jako podstawy, od ktrej nastpuje racjonalizacja zatrudnienia (art. 3), wprowadzi przepis, w ktrym podstaw racjonalizacji zatrudnienia jest planowana w budecie liczba etatw na rok 2009, bd te zatrudnienie rednioroczne w jednostce za okres pierwszych 6 miesicy 2009 r. Wskaza take, i proponowana data zdaje si by dat przypadkow, nieoddajc faktycznego stanu zatrudnienia w jednostce organizacyjnej. Liczba etatw wykorzystywanych w cigu roku jest zmienna i zwizana z ruchem kadrowym i polityk kadrow instytucji. Dla przykadu bowiem, w Biurze Generalnego Inspektora Ochrony Danych Osobowych stan etatw na 30 czerwca 2009 r. jest w istocie wynikiem przypadku, nie za wielkoci oddajc waciwe zapotrzebowanie na obsad kadrow. Przeprowadzenie w Biurze racjonalizacji w oparciu o t dat doprowadzioby do zmniejszenia zatrudnienia o 20 %, co waciwie uniemoliwioby wykonywanie ustawowych zada Generalnego Inspektora. Opiniujc z kolei projekt zaoe projektu ustawy o systemie informacji owiatowej,139 organ do spraw ochrony danych osobowych stanowczo sprzeciwi si planowanej moc ww. projektu zmianie zasad funkcjonowania systemu informacji owiatowej [SIO] w zakresie przetwarzania danych osobowych o uczniach i nauczycielach (cz I 3.1. projektu zatytuowana Zmiana zasad dziaania SIO). Generalny Inspektor zwrci uwag, e nie mona zgodzi si z zasadnoci rozwizania, zgodnie z ktrym, cyt.: (...) Nowy SIO bdzie obejmowa centraln baz danych, zawierajc dane gromadzone ju w systemie owiaty (...), z uwagi m.in. na okoliczno, i, cyt.: (...) Takie rozwizanie nie tylko uporzdkuje obszar gromadzenia w systemie owiaty danych o uczniach i nauczycielach, ale przede wszystkim spowoduje efektywne wykorzystywanie tych danych do celw wykonywania okrelonych zada owiatowych, w tym w sferze finansowej i administracyjnej,

Zgodnie z treci tego przepisu, racjonalizacja zatrudnienia polega na zmniejszeniu zatrudnienia w jednostkach co najmniej o 10% pracownikw zatrudnionych w ramach stosunku pracy, zwanych dalej pracownikami, w przeliczeniu na pene etaty, w odniesieniu do stanu zatrudnienia tych pracownikw na dzie 30 czerwca 2009 r. Ust. 2. Racjonalizacja zatrudnienia moe nastpi w szczeglnoci przez: 1) niezawarcie z pracownikiem kolejnej umowy o prac, w przypadku umowy zawartej na okres prbny, umowy zawartej na czas okrelony i umowy zawartej na czas wykonania okrelonej pracy; 2) rozwizanie z pracownikiem stosunku pracy; 3) obnienie wymiaru czasu pracy pracownika z jednoczesnym proporcjonalnym zmniejszeniem wynagrodzenia za prac. Ust. 3. Do stanu zatrudnienia, o ktrym mowa w ust. 1, nie wlicza si pracownikw objtych szczegln ochron przed wypowiedzeniem lub rozwizaniem stosunku pracy wynikajc z art. 39 oraz przepisw dziau smego ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 1998 r. Nr 21, poz. 94, z pon. zm.), pod warunkiem, e ochron t byli objci w dniu 30 czerwca 2009 r. i s ni objci w dniu wejcia w ycie ustawy. 139 DOLiS-033-414/09.

138

70

zarzdzania owiat na wszystkich poziomach oraz kreowania polityki owiatowej (...). Generalny Inspektor podkreli, i gwnym celem funkcjonowania systemu informacji owiatowej jest dostarczanie wiedzy statystycznej, na co wskazuje chociaby uzasadnienie rzdowego projektu ustawy o systemie informacji owiatowej.140 Jako e powodem takich zmian nie moe by lakonicznie ujta ch zapewnienia efektywnego wykorzystywania tych danych do celw wykonywania okrelonych zada owiatowych, Generalny Inspektora Ochrony Danych Osobowych w wystpieniu w tej sprawie wskaza, e nie ma podstaw do zmiany aktualnego stanu prawnego w zakresie systemu informacji owiatowej, ktry pozwala na uczynienie zado zadaniom, jakie spoczywaj na poszczeglnych podmiotach zaangaowanych w proces edukacji, wynikajcych ze szczeglnych przepisw prawa obowizujcych w tym sektorze. Generalny Inspektor nie zgodzi si z wnioskiem, ktry wysnu mona z treci projektu zaoe, jakoby bez stworzenia centralnej bazy danych o uczniach, i dostpu do jej zawartoci z jednego rda nie istniaa moliwo organizowania i przeprowadzania egzaminw zewntrznych oraz wydawanie wiadectw i innych drukw szkolnych. W chwili obecnej pomimo braku takiej scentralizowanej megabazy danych, nie wydaje si, aby wystpoway problemy powyszej natury. Wypowiadajc si natomiast w kwestii zgodnoci z przepisami o ochronie danych osobowych ww. projektu, Generalny Inspektor wskaza, e nie mona tym bardziej wprowadza podstaw do istnienia bazy zawierajcej olbrzymi liczb informacji bdcych danymi osobowymi w rozumieniu art. 6 ustawy141 o ochronie danych osobowych, jako recepty na przywoywane w projekcie zaoe do projektu ustawy niedoskonaoci aktualnego Systemu Informacji Owiatowej przejawiajce si m.in. w wielokrotnym uwzgldnianiu tych samych osb w rnych zestawieniach zbiorczych. Generalny Inspektor podnis take, e nie do zaakceptowania z punktu widzenia zasad ochrony danych osobowych jest zamieszczanie w scentralizowanej megabazie danych rwnie informacji szczeglnie chronionych, o ktrych stanowi art. 27 ust. 1 ustawy o ochronie danych osobowych, w tym m.in. danych dotyczcych stanu zdrowia konkretnej osoby fizycznej czy orzecze wydanych wobec niej w postpowaniu sdowym lub administracyjnym. Tworzenie zintegrowanych megabaz danych zawierajcych wskazane informacje, niekiedy wrcz o charakterze intymnym, jest przedsiwziciem budzcym wiele wtpliwoci. Dostp do tego rodzaju baz z zaoenia przysuguje olbrzymiej grupie podmiotw, co naraa zawarte w nich dane osobowe na ryzyko bezprawnej ingerencji (w tym w szczeglnoci ryzyko ich ujawnienia). Dane takie posiadaj take wysok warto rynkow, co dodatkowo zwiksza ryzyko ich bezprawnego wykorzystania.

W jego treci czytamy, cyt.: (...) System informacji owiatowej (SIO) w docelowym ksztacie ma zastpi dotychczasowy, podzielony system bada statystycznych owiaty. W szczeglnoci ma zastpi dane zbierane przy pomocy rnych sprawozda statystycznych (...). 141 Zgodnie z treci tego przepisu, w rozumieniu ustawy za dane osobowe uwaa si wszelkie informacje dotyczce zidentyfikowanej lub moliwej do zidentyfikowania osoby fizycznej.

140

71

Generalny Inspektor Ochrony Danych Osobowych wskaza rwnie na konieczno gbokiego zastanowienia si nad niezbdnoci wadania informacjami o konkretnych uczniach czy nauczycielach danej szkoy przez organ prowadzcy inn placwk tego typu. Zasadno niemale automatycznego udostpniania tych danych w ramach systemu owiaty wspomnianym podmiotom bez wzgldu na faktyczn potrzeb wadania tymi danymi budzi powane zastrzeenia nie tylko pod ktem celowoci tego typu dziaania, ale take adekwatnoci pozyskiwanych danych w stosunku do celw ich przetwarzania. Rozwizania ww. projektu - jak wskaza Generalny Inspektor Ochrony Danych Osobowych - naruszaj zasad adekwatnoci danych i wskaza, e jak stanowi ugruntowane orzecznictwo sdw administracyjnych,142 administrator danych za kadym razem powinien pozyskiwa czy udostpnia jedynie tyle danych, ile jest niezbdne z punktu widzenia osignicia zamierzonego celu. W trakcie opiniowania projektu ustawy o zmianie ustawy o cudzoziemcach oraz niektrych innych ustaw,143 Generalny Inspektor Ochrony Danych Osobowych wyrazi obawy w kwestii niedookrelenia w jego treci okolicznoci, w jakich dopuszczalne jest pobranie odciskw linii papilarnych. Z brzmienia art. 87a projektu wynika, i funkcjonariusz Stray Granicznej, Policji lub Suby Celnej oraz pracownik Urzdu do Spraw Cudzoziemcw lub urzdu wojewdzkiego w toku kontroli legalnoci pobytu moe pobra od cudzoziemca odciski linii papilarnych w celu weryfikacji tosamoci posiadacza wizy Schengen lub w celu stwierdzenia jej autentycznoci. Z treci tego przepisu nie wynika jednake, w jakich okolicznociach pobranie odciskw linii papilarnych jest dopuszczalne, co moe implikowa wniosek, e zawsze w celu weryfikacji tosamoci posiadacza wizy Schengen lub w celu stwierdzenia jej autentycznoci bdzie moliwo pobierania od cudzoziemca odciskw linii papilarnych.144 W zwizku z powyszym, Generalny Inspektor Ochrony Danych Osobowych wskaza, i w celu zapobieenia nadmiernemu pobieraniu odciskw palcw, a zatem wbrew zasadzie adekwatnoci danych w stosunku do celw ich przetwarzania,145 naleaoby doprecyzowa powyszy przepis o sytuacje (np. budzce wtpliwo co do tosamoci cudzoziemca lub autentycznoci jego wizy Schengen), w ktrych danie udostpnienia linii papilarnych w celu uzyskania ich odciskw jest dopuszczalne. Generalny Inspektor, opiniujc przedmiotowy projekt, wskaza take, i w ust. 1 projektowanego art. 87a wprowadzono warunek, w jakim pozyskiwanie przedmiotowych informacji

Np. w glosie do wyroku Naczelnego Sdu Administracyjnego z 19 grudnia 2001 r. (II SA 2869/00) A. Drozd podnis, i zbieranie danych osobowych na zapas, co do zasady narusza zasad adekwatnoci, poniewa takie postpowanie nie mieci si w ramach celu przetwarzania. 143 DOLiS-033-398/09. 144 Zgodnie z brzmieniem art. 1 pkt 15 projektu, po art. 87 ustawy o cudzoziemcach dodaje si art. 87a, ktrego ustp drugi otrzymuje brzmienie: funkcjonariusz Stray Granicznej, Policji lub Suby Celnej oraz pracownik Urzdu do Spraw Cudzoziemcw lub urzdu wojewdzkiego w toku kontroli legalnoci pobytu moe pobra od cudzoziemca odciski linii papilarnych w celu weryfikacji tosamoci posiadacza wizy Schengen lub w celu stwierdzenia jej autentycznoci. 145 Co naruszaoby art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.

142

72

o osobie fizycznej staje si moliwe.146 Std te, co podkrelono w treci opinii skierowanej do Ministerstwa Spraw Wewntrznych i Administracji w tej sprawie, prawidowe rozwizania w tej kwestii zastosowano w ust. 1, nie zastosowano natomiast w ust. 2 tego samego artykuu przedmiotowego projektu. Wskazano wic, i rozway naleaoby doprecyzowanie powyszego przepisu tak, aby wyeliminowa wtpliwoci interpretacyjne i ryzyko uznaniowoci podmiotw wskazanych w analizowanym przepisie w kwestii pobierania od cudzoziemcw odciskw linii papilarnych. Opiniujc z kolei projekt rozporzdzenia Ministra Zdrowia w sprawie tworzenia niepowtarzalnego oznakowania umoliwiajcego identyfikacj dawcy komrek, tkanek i narzdw, sposobu oznaczania komrek, tkanek i narzdw za pomoc tego oznakowania oraz wymaga w zakresie monitorowania komrek, tkanek i narzdw,147 Generalny Inspektor wskaza na zapis, stosownie do treci ktrego do przetwarzania danych osobowych stosuje si wysoki poziom bezpieczestwa przetwarzania danych osobowych w systemie informatycznym w rozumieniu przepisw w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych.148 W pierwszej kolejnoci organ do spraw ochrony danych osobowych zaznaczy, i waciwe byoby odwoanie si w treci projektu do caej nazwy aktu prawnego149 okrelajcego wymagania odnonie do zabezpiecze danych. Adresaci normy nie mieliby wwczas wtpliwoci co do tego, w jakim akcie prawnym znajduj si przepisy, ktre musz w opisywanym przypadku by przez nich respektowane. Jednake wysoki poziom bezpieczestwa odnosi si wycznie do zabezpieczenia danych osobowych przetwarzanych w systemach informatycznych. Generalny Inspektor wskaza wic, i trudno mwi o moliwoci zastosowania przez administratora danych zabezpiecze obejmujcych m.in. kontrol przepywu informacji pomidzy systemem informatycznym administratora danych a sieci publiczn i kontrol dziaa inicjowanych z sieci publicznej i systemu informatycznego administratora danych w sytuacji, gdy przetwarza on dane osobowe w tzw. postaci manualnej, poza systemem informatycznym. Brzmienie projektowanego przepisu implikuje wniosek, i do wszelkich form przetwarzania danych osobowych przewidzianych w treci projektu naley stosowa te rodki. W zwizku z powyszym, Generalny Inspektor zasugerowa autorom projektu stworzenie takiej regulacji, ktra odnosi bdzie poziom wysoki zabezpiecze do przetwarzania danych wycznie
146

Wskazano bowiem, i pobranie od cudzoziemca odciskw, linii papilarnych nastpuje, cyt.: (...) jeeli w toku kontroli legalnoci pobytu cudzoziemiec nie okae dokumentu, na podstawie ktrego mona ustali jego tosamo lub w przypadku, gdy zachodzi uzasadnione podejrzenie co do autentycznoci dokumentu okazanego przez cudzoziemca (...). 147 DOLiS-033-433/09. 148 9 projektu.

73

w systemie informatycznym. Powysze moliwe byoby poprzez zastosowania w odpowiednim przepisie projektu sformuowania: Do przetwarzania danych osobowych w formie elektronicznej stosuje si wysoki poziom bezpieczestwa (...). Analogiczn, jak powyej wskazan, uwag Generalny Inspektor Ochrony Danych Osobowych odnis do projektu rozporzdzenia w sprawie szczegowych warunkw wywozu ludzkich komrek, tkanek i narzdw z terytorium Rzeczypospolitej Polskiej i przywozu tych komrek, tkanek i narzdw na to terytorium oraz monitorowania stanu wywoonych i przywoonych ludzkich komrek, tkanek i narzdw w drodze midzy dawc a biorc.150 Wskaza take, i podwaenia wymaga przewidziana w nim151 forma dokonywania zgosze istotnych zdarze niepodanych w czasie wywozu lub przywozu narzdw. Zgodnie z projektem ma si to odbywa za pomoc listu poleconego. W opinii Generalnego Inspektora wzgld na bezpieczestwo danych osobowych przemawia raczej za unikaniem tej formy dostarczania korespondencji.152 Prawdopodobna jest bowiem jej utrata, a w konsekwencji - dostp osb nieupowanionych do danych osobowych zawartych w treci korespondencji w tym przypadku take danych szczeglnie chronionych w rozumieniu art. 27 ust. 1 ustawy o ochronie danych osobowych. Opiniujc ww. projekt, Generalny Inspektor wyrazi aprobat w kwestii wprowadzenia do projektowanych przepisw bardziej restrykcyjnych, ni wynika to z przepisw o ochronie danych osobowych, uregulowa odnoszcych si do zabezpieczenia danych osobowych przetwarzanych w postaci tradycyjnej. Opiniujc z kolei projekt rozporzdzenia Ministra Zdrowia zmieniajcego rozporzdzenie w sprawie zakresu niezbdnych informacji gromadzonych przez wiadczeniodawcw, szczegowego sposobu rejestrowania tych informacji oraz ich przekazywania podmiotom zobowizanym do finansowania wiadcze ze rodkw publicznych,153 zastrzeenia Generalnego Inspektora wzbudzio brzmienie 1 pkt 5b tego projektu. Przepis ten znacznie rozszerzy zakres danych przekazywanych przez wiadczeniodawcw podmiotom zobowizanym do finansowania wiadcze ze rodkw publicznych. W opinii Generalnego Inspektora, gromadzenie danych osobowych w nadmiarze narusza zasad adekwatnoci danych osobowych w stosunku do celw ich przetwarzania.154

Rozporzdzenie Ministra Spraw Wewntrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych Dz. U. Nr 100, poz. 1024. 150 DOLiS-033-433/09, do 2 ust. 8 projektu. 151 2 ust. 4 projektu przewiduje, i zgosze, o ktrych mowa w ust. 2 i 3 (tj.: Kade zdarzenie niepodane w czasie wywozu lub przywozu komrek lub tkanek naley niezwocznie zgosi do Krajowego Centrum Bankowania Tkanek i Komrek (ust. 2); Kade istotne zdarzenie niepodane w czasie wywozu lub przywozu narzdw naley niezwocznie zgosi do Centrum Organizacyjno-Koordynacyjnego do Spraw Transplantacji Poltransplant (ust. 3). 152 Obowizek waciwego zabezpieczenia przez administratora danych przetwarzanych przez niego danych osobowych wynika z art. 36 ustawy o ochronie danych osobowych. 153 DOLiS-033-436/09. 154 Wyraon w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.

149

74

Weryfikacji wymaga te rzeczywista potrzeba przekazywania danych osobowych osb, ktrym udzielono okrelonego wiadczenia, wskazanym w pimie podmiotom. Z zasady adekwatnoci wynika bowiem, i administrator danych moe przetwarza (w tym udostpnia czy gromadzi) jedynie takie dane, ktre s niezbdne z punktu widzenia osignicia zamierzonego celu przetwarzania danych. Wtpliwoci organu do spraw ochrony danych osobowych wzbudza zatem konieczno wadania przez Narodowy Fundusz Zdrowia szczegowymi informacjami dotyczcymi porady udzielonej osobie, ktrej dane dotycz. Ponadto z uzasadnienia do tego projektu155 wynika, e dane osobowe przekazywane bd wycznie w stosunku do osb cierpicych na cukrzyc lub choroby ukadu krenia. Powysze nie wynika natomiast wprost z przepisw samego projektu. Podobne wtpliwoci Generalnego Inspektora wzbudzia obligatoryjno przekazywania do NFZ danych osobowych w sytuacji wskazanej w projektowanym 6 ust. 2 pkt 2 rozporzdzenia W chwili obecnej w przypadku wiadcze innych ni porada przekazywane s wycznie informacje zbiorcze.156 Dlatego te Generalny Inspektor wskaza, i kadorazowe rozszerzanie zakresu przetwarzanych (przekazywanych przez jeden podmiot i w nastpstwie tego gromadzonych przez inny) danych osobowych, zwaszcza w odniesieniu do danych podlegajcych szczeglnej ochronie, powinno nastpowa jedynie w zakresie niezbdnym w stosunku do rzeczywistej potrzeby wadania nimi przez podmiot, ktry je otrzymuje, implikowanej kompetencjami takiego podmiotu stosownie do obowizujcych przepisw prawa. Podsumowujc uchybienia najczciej popeniane przez projektodawcw w procesie tworzenia prawa naley zaznaczy, i maj one charakter bardzo rnorodny. Niektre z nich w niewielkim stopniu naruszaj przepisy ustawy o ochronie danych osobowych, inne za burz wrcz porzdek konstytucyjny, a nawet obowizujce przepisy Unii Europejskiej. Powysze umacnia i potwierdza jednoczenie funkcj Generalnego Inspektora, jak organ ten spenia w procesie tworzenia prawa.

6. Inicjowanie i podejmowanie przedsiwzi w zakresie doskonalenia ochrony danych osobowych

W celu ksztatowania waciwych standardw ochrony danych osobowych w yciu publicznym, Generalny Inspektor Ochrony Danych Osobowych, wychodzc naprzeciw potrzebom obywateli, prowadzi dziaalno w zakresie odpowiadania na kierowanie do niego pytania dotyczce legalnoci przetwarzania danych osobowych, zarwno przez podmioty przetwarzajce dane osobowe, jak i osb,
155

W zakresie projektowanego brzmienia 6 ust. 2 pkt 1.

75

ktrych dane dotycz. Udzielanie odpowiedzi na pytania stanowi wic istotny element dziaalnoci edukacyjnej Generalnego Inspektora. W roku 2009 do GIODO wpyno 2491 pyta z prob o interpretacj przepisw prawa dotyczcych ochrony danych osobowych lub sygnalizujcych rnego rodzaju problemy zwizane z przestrzeganiem przepisw dotyczcych ochrony danych osobowych. Porwnanie liczby pyta skierowanych do Generalnego Inspektora w latach 20072009 przedstawia Wykres 24.
4000 3000 2000 1000 0 2007 2008 2009 1298 1707 2491

Wykres 24: Zestawienie porwnawcze liczby pyta dotyczcych interpretacji przepisw z zakresu ochrony danych osobowych skierowanych do GIODO w latach 20072009.

W porwnaniu z ubiegym rokiem, w okresie objtym sprawozdaniem o 784 zwikszya si liczba pyta wpywajcych do organu do spraw ochrony danych osobowych. Naley to uzna za konsekwencj intensywnych dziaa informacyjnoedukacyjnych Generalnego Inspektora. Najwaniejsze z nich opisane zostay w dalszej czci Sprawozdania zatytuowanej Dziaalno informacyjna. Biorc pod uwag przedmiot kierowanych do Generalnego Inspektora pyta, naley zauway, e utrzymujc si od lat tendencj bya dua liczba wtpliwoci z zakresu stosowania innych, ni ustawa o ochronie danych osobowych, aktw prawnych. Zagadnienia poruszane przez pytajcych oraz rozstrzygane przez organ do spraw ochrony danych osobowych w roku 2009 podobnie jak w latach ubiegych dotyczyy sfery dziaalnoci zarwno podmiotw prywatnych, jak i publicznych.

6.1.

Interpretacja przepisw Problemy, jakie wynikaj ze stosowania przepisw o ochronie danych osobowych, pojawiaj

si co roku i wi si z podejmowaniem przez Generalnego Inspektora Ochrony Danych Osobowych takich form aktywnoci, jak wystpienia do jednostek przetwarzajcych dane oraz udzielanie

156

6 ust. 3 rozporzdzenia Ministra Zdrowia z dnia 20 czerwca 2008 r. w sprawie zakresu niezbdnych informacji gromadzonych przez wiadczeniodawcw, szczegowego sposobu rejestrowania tych informacji oraz ich przekazywania podmiotom zobowizanym do finansowania wiadcze ze rodkw publicznych Dz. U. Nr 123, poz. 801.

76

odpowiedzi na kierowane do niego pytania. Wystpienia te sygnalizuj konieczno zmiany dotychczasowej praktyki stosowanej przez podmioty zarwno sektora publicznego, jak i prywatnego, celem dostosowania procesu przetwarzania danych do wymogw wynikajcych z przepisw regulujcych kwestie ich ochrony. W 2009 r. wrd indywidualnych pyta kierowanych do GIODO znalazy si zarwno te kierowane przez osoby fizyczne, jak i przez podmioty ze sfery prywatnej i publicznej. Wrd tego rodzaju sygnalizacji kierowanych m.in. do podmiotw z sektora publicznego znalaza si sprawa, w ktrej Generalny Inspektor Ochrony Danych Osobowych pozyska informacj dotyczc procesu dorczania przez jednego z powiatowych inspektorw nadzoru budowlanego stronom postpowania administracyjnego Zawiadomie o zoeniu listu poleconego w postpowaniu administracyjnym. Podmiot ten umieszcza zawiadomienia w taki sposb, e informacje o toczcym si postpowaniu i stronach tego postpowania mogy uzyska osoby trzecie, co naruszao przepisy ustawy z dnia 14 czerwca 1960 r. Kodeks postpowania administracyjnego (t.j. Dz. U. 2000 r. Nr 98, poz. 1071 z pn. zm.), oraz art. 26 ustawy o ochronie danych osobowych. Z informacji wynikao, i jedno z zawiadomie znalezione zostao na wycieraczce przy drzwiach mieszkania, chocia w bloku mieszkalnym znajdowaa si skrzynka pocztowa. Generalny Inspektor wystpi do tego organu o zaprzestanie tego rodzaju praktyki.157 W treci swego wystpienia zwrci uwag, i przepisy ustawy z dnia 7 lipca 1994 r. Prawo budowlane (Dz. U. 2006 r. Nr 156, poz. 1118 z pn. zm.), zobowizuj organy nadzoru budowlanego do stosowania przepisw K.p.a. w toku badania prawidowoci postpowania administracyjnego przed organami administracji architektoniczno budowlanej oraz wydawanych w jego toku decyzji i postanowie. Przepisy wskazuj sposb dorczania stronom pism w toku postpowania,158 a take okrelaj sposb, w jaki dostarcza si zawiadomienie o pozostawieniu pisma z moliwoci jego odbioru w okrelonym czasie i miejscu.159 Wskaza rwnie na waciwy dla tej materii wyrok Wojewdzkiego Sdu Administracyjnego stanowicy o kolejnoci, w jakiej naley postpowa, dorczajc przedmiotowe zawiadomienie.160 Generalny Inspektor skonstatowa, i analiza przepisw wskazuje jednoznacznie na hierarchizacj sposobu dorczania pism w postpowaniu administracyjnym i podkreli, e wybr sposobu dorczenia pism jest narzucony
157 158

Wystpienie GIODO z 9 kwietnia 2009 r. DOLiS-035-278/09. W myl art. 42 ust. 1 K.p.a. pisma dorcza si osobom fizycznym w ich mieszkaniu lub miejscu pracy. 159 Zgodnie z art. 44 ust. 2 Kpa, zawiadomienie o pozostawieniu pisma wraz z informacj o moliwoci jego odbioru w terminie siedmiu dni, liczc od dnia pozostawienia zawiadomienia w miejscu okrelonym w ust. 1, umieszcza si w oddawczej skrzynce pocztowej lub, gdy nie jest to moliwe, na drzwiach mieszkania adresata, jego biura lub innego pomieszczenia, w ktrym adresat wykonuje swoje czynnoci zawodowe, bd w widocznym miejscu przy wejciu na posesj adresata. 160 W wyroku z dnia 18 stycznia 2008 r., Wojewdzki Sd Administracyjny w Gliwicach (sygn. IV SA/Gl 674/2007) orzek, i Przepis art. 44 K.p.a. ustanawia wic dorczajcego kolejno miejsc, w ktrych naley umieci zawiadomienie. Oznacza to, e podmiot dorczajcy powinien umieci zawiadomienie w skrzynce na korespondencj, a gdy umieszczenie zawiadomienia w ten sposb nie jest moliwe, to moe to uczyni w ten sposb, e umieci zawiadomienie w drzwiach

77

przez ustawodawc. Zwrci jednoczenie uwag na przepisy okrelajce wymogi, jakie powinna spenia skrzynka pocztowa umieszczona w budynkach wielorodzinnych, zwaszcza w zakresie poufnoci.161 W zwizku z ukazaniem si publikacji prasowej162 pod tytuem: Adresy i PESEL-e politykw cakiem jawne w Internecie GIODO pozyska informacj, i Pastwowa Komisja Wyborcza od lat udostpnia na swoich stronach internetowych dane osobowe zawarte w sprawozdaniach finansowych partii politycznych. Jak ustali Generalny Inspektor Ochrony Danych Osobowych, na stronie internetowej Pastwowej Komisji Wyborczej opublikowane zostay informacje finansowe

o otrzymanej subwencji oraz o poniesionych z tej subwencji wydatkach, zawierajce dane osobowe osb wchodzcych w skad organu statutowego partii politycznej, uprawnionego do jej reprezentowania, w zakresie imion, nazwisk, adresw zamieszkania oraz numerw ewidencyjnych PESEL. Biorc pod uwag przepisy ustawy z dnia 27 czerwca 1997 r. o partiach politycznych (tekst jednolity: Dz. U. z 2001 r. Nr 79, poz. 857 z pn. zm.), z ktrych wynika, i informacje finansowe o otrzymanej subwencji oraz o poniesionych z subwencji wydatkach Pastwowa Komisja Wyborcza [PKW] ogasza w Dzienniku Urzdowym Rzeczypospolitej Polskiej Monitor Polski,163 brak jest podstaw uprawniajcych PKW do udostpniania danych w innej formie ni publikacja w Monitorze Polskim. Wobec powyszego Generalny Inspektor Ochrony Danych Osobowych wystpi do Przewodniczcego Pastwowej Komisji Wyborczej o usunicie opublikowanych danych ze strony internetowej Pastwowej Komisji Wyborczej.164 W odpowiedzi Przewodniczcy PKW poinformowa, e dokumenty zawierajce dane osobowe osb wchodzcych w skad organw statutowych partii, uprawnionych do jej reprezentowania na zewntrz zostay usunite ze strony PKW. Udostpnianie tych dokumentw na stronie internetowej bdzie wznowione po usuniciu z nich adresw zamieszkania i numerw PESEL osb wymienionych. Jednoczenie Przewodniczcy Pastwowej Komisji

Wyborczej zwrci uwag na konieczno zmiany obowizujcych przepisw prawa w zakresie zapewnienia ochrony prywatnoci osb wchodzcych w skad organw statutowych partii.165

mieszkania adresata, albo w drzwiach pomieszczenia, w ktrym adresat wykonuje swoje obowizki zawodowe (pracuje), lub w miejscu widocznym tej nieruchomoci, np. na bramie. (...). 161 Rozporzdzenie Ministra Infrastruktury z dnia 24 wrzenia 2003 r. w sprawie oddawczych skrzynek pocztowych (Dz. U. 2003 r. Nr 177, poz. 1731 z pn. zm.). 162 Dziennik wydanie z dnia 5 maja 2009 r. 163 Informacj finansow o otrzymanej subwencji oraz o poniesionych z subwencji wydatkach, zgodnie z art. 34 ust. 5 ustawy z dnia 27 czerwca 1997 r. o partiach politycznych (tekst jednolity: Dz. U. z 2001 r. Nr 79, poz. 857 z pn. zm.), Pastwowa Komisja Wyborcza ogasza w Dzienniku Urzdowym Rzeczypospolitej Polskiej Monitor Polski, w terminie 14 dni od dnia zoenia jej Pastwowej Komisji Wyborczej. Stosownie do art. 38 ust. 4 ustawy o partiach politycznych, Pastwowa Komisja Wyborcza ogasza sprawozdanie wraz z opini i raportem, o ktrym mowa w ust. 3, w Dzienniku Urzdowym Rzeczypospolitej Polskiej Monitor Polski, w terminie 14 dni od dnia zoenia go Pastwowej Komisji Wyborczej. 164 DOLiS-035-677/09. 165 Pismo Prezesa Pastwowej Komisji Wyborczej z 11 maja 2009 r. znak: ZKF-066-10/09.

78

W zwizku z powyszym Generalny Inspektor Ochrony Danych Osobowych wystpi do Marszaka Sejmu Rzeczypospolitej Polskiej, Ministra Finansw oraz Przewodniczcych Klubw Parlamentarnych i Poselskich Sejmu RP o podjcie prac legislacyjnych majcych na celu zmian aktualnie obowizujcego porzdku prawnego. Generalny Inspektor zaproponowa, aby podjte dziaania zmierzay albo w kierunku pozyskiwania informacji w zakresie numeru PESEL oraz adresu zamieszkania wskazanych osb wycznie na potrzeby PKW, tj. zmiany aktualnie obowizujcego wzoru sprawozdania (stanowicego zacznik do rozporzdzenia Ministra Finansw z dnia 18 lutego 2003 r. sprawie sprawozdania o rdach pozyskania rodkw finansowych Dz. U. Nr 33, poz. 269), poprzez wykrelenie z jego treci powoanych danych, albo te zmiany przepisw ustawy z o partiach politycznych, stanowicych o publikacji sprawozdania, w ten sposb, aeby z ich treci wynikao, e kwestionowane wyej informacje nie s objte publikacj. W zwizku z inn publikacj prasow, tym razem odnoszc si do ochrony zdrowia, pod tytuem: Jak ochroni wraliwe dane pacjentw,166 GIODO pozyska informacj, i listy oczekujcych na udzielenie wiadczenia opieki zdrowotnej zawierajce dane osobowe pacjentw s publikowane przez Oddziay Wojewdzkie Narodowego Funduszu Zdrowia. Powszechny dostp do listy oczekujcych moe prowadzi do ujawnienia danych wraliwych, np. listy osb oczekujcych na leczenie w zakadzie psychiatrycznym. Prezes Narodowego Funduszu Zdrowia poinformowa Generalnego Inspektora,167 e na stronach internetowych NFZ nie byy publikowane dane osobowe pacjentw oczekujcych na udzielenie wiadczenia opieki zdrowotnej. Zgodnie z art. 23 ust. 6 ustawy z dnia 27 sierpnia 2004 r. o wiadczeniach opieki zdrowotnej finansowanych ze rodkw publicznych (Dz. U. z 2008 r. Nr 164, poz. 1027 z pn. zm.), Fundusz tworzy natomiast centralny wykaz informacji o liczbie oczekujcych na udzielenie wiadczenia opieki zdrowotnej i rednim czasie oczekiwania w poszczeglnych oddziaach wojewdzkich Funduszu. rdem wykazu byy informacje o liczbie oczekujcych i rednich czasach oczekiwania do komrek organizacyjnych oraz na wybrane procedury medyczne, terapeutyczne programy zdrowotne i wiadczenia z zakresu chemioterapii przekazywane co miesic przez wiadczeniodawcw za porednictwem szczegowych komunikatw sprawozdawczych XML dotyczcych list oczekujcych do waciwych ze wzgldw na miejsce udzielania wiadcze oddziaw wojewdzkich Funduszu, ktre nastpnie przesyaj powysze dane do Centrali Funduszu. W ten sposb zasilany jest internetowy serwis Kolejki oczekujcych, dostp do ktrego zapewniony jest ze stron www zarwno oddziaw wojewdzkich, jak i Centrali Funduszu. Z serwisu mog korzysta wszystkie zainteresowane osoby, dostp jest powszechny, a zawiera on informacje o liczbie oczekujcych, bez danych osobowych. W internetowym serwisie Kolejki oczekujcych publikowany jest miesic i rok aktualizacji danych przez wiadczeniodawc np. 08/2009,
166 167

Rzeczpospolita wydanie z 21 sierpnia 2009 r. DOLiS-035-1538/09.

79

co oznacza, e dane o liczbie oczekujcych i rednim czasie oczekiwania prezentuj stan kolejki oczekujcych u wiadczeniodawcy na ostatni dzie sierpnia 2009 r. Listy oczekujcych wykorzystuje si take do oceny prawidowoci prowadzenia przez wiadczeniodawcw list oczekujcych, przestrzegania przez nich obowizujcych w tym zakresie przepisw prawa, a take weryfikacji wielokrotnych wpisw pacjentw na listy oczekujcych na to samo wiadczenie u rnych wiadczeniodawcw. Zgodnie bowiem z art. 20 ust. 10 ustawy o wiadczeniach opieki zdrowotnej finansowanych ze rodkw publicznych, w celu otrzymania jednego wiadczenia opieki zdrowotnej na podstawie skierowania, wiadczeniobiorca moe wpisa si na jedn list oczekujcych u jednego wiadczeniodawcy.168 Na podstawie powyszych wyjanie Generalny Inspektor uzna,

i prezentowana argumentacja w ww. pimie przyczynia si do rozstrzygnicia zaistniaych wtpliwoci. W opisywanym okresie sprawozdawczym Generalny Inspektor Ochrony Danych Osobowych pozyska od Obywatelskiego Biura Interwencji z siedzib w Sopocie informacje, e dane osobowe czonkw zarzdu fundacji, w zakresie ich prywatnych adresw zamieszkania ujawniane s w sprawozdaniach finansowych fundacji. W tej sprawie Generalny Inspektor wystpi do Ministra Sprawiedliwoci169 z prob o podjcie prac legislacyjnych majcych na celu zmian aktualnie obowizujcego stanu prawnego zezwalajcego na ujawnianie danych czonkw zarzdu fundacji w ww. zakresie i dostosowanie do przepisw ustawy o ochronie danych osobowych. W swoim wystpieniu Generalny Inspektor powoa 2 pkt 1 rozporzdzenia Ministra Sprawiedliwoci z dnia 8 maja 2001 r. w sprawie ramowego zakresu sprawozdania z dziaalnoci fundacji (Dz. U. Nr 50, poz. 529 z pn. zm.), z ktrego wynika, e sprawozdanie powinno zawiera m.in. dane dotyczce czonkw zarzdu fundacji (imi i nazwisko wedug wpisu w rejestrze sdowym i adres zamieszkania). Jak stanowi art. 12 ust. 2 ustawy z dnia 6 kwietnia 1984 r. o fundacjach (tj. Dz. U. z 1991 r. Nr 46, poz. 203 z pn. zm.), fundacja skada corocznie waciwemu ministrowi sprawozdanie ze swojej dziaalnoci. Sprawozdanie, o ktrym mowa w ust. 2, jest przez fundacj udostpnione do publicznej wiadomoci (ust. 3 art. 12 ustawy). Generalny Inspektor zwrci uwag, i nie negujc koniecznoci zapewnienia transparentnoci dziaania fundacji, w demokratycznym pastwie prawnym konieczne jest take respektowanie prawa do prywatnoci i ochrony danych osobowych. Obowizek poszanowania prawa do prywatnoci wynika rwnie z faktu,

i Rzeczpospolita Polska, jako pastwo czonkowskie Unii Europejskiej, jest stron europejskiej Konwencji o ochronie praw czowieka i podstawowych wolnoci, sporzdzonej w Rzymie w 4 listopada 1950 r. [Europejska Konwencja], ktra w swym art. 8 ustanawia prawo do poszanowania ycia prywatnego i rodzinnego, swojego mieszkania i tajemnicy korespondencji. Organ do spraw
168 169

Pismo Prezesa NFZ z 22 wrzenia 2009 r. znak: NFZ/CF/DSS/MSZ/2009/075/0027/W/17591. DOLiS-035-698/09.

80

ochrony danych osobowych zwrci przy tym uwag na wyraon w ustawie o ochronie danych osobowych zasad adekwatnoci danych osobowych, zgodnie z ktr administrator danych powinien przetwarza dane wycznie takiego rodzaju i tylko o takiej treci, ktre s niezbdne ze wzgldu na cel zbierania danych. Generalny Inspektor zaproponowa w tej sprawie zmiany, ktre powinny zmierza albo do pozyskiwania informacji w wszym zakresie, tj. zmiany aktualnie obowizujcego rozporzdzenia, albo do zmiany przepisw ustawy o fundacjach. W kolejnej sprawie Generalny Inspektor pozyska informacj, e jeden z urzdw miejskich w postpowaniach w sprawach o wykroczenia w ruchu drogowym stosuje wzory formularzy mandatu karnego przewidujce pozyskiwanie danych w szerszym zakresie ni wynika to z przepisw prawa. Organ do spraw ochrony danych osobowych w tej sprawie wystpi do prezydenta miasta z prob o podjcie stosownych dziaa w tej kwestii.170 Wzr formularza mandatu karnego zosta okrelony w rozporzdzeniu Prezesa Rady Ministrw z dnia 22 lutego 2002 r. w sprawie nakadania grzywien w drodze mandatu karnego (Dz. U. Nr 20, poz. 201), a take szczegowo w zaczniku do ww. rozporzdzenia, okrelajcym wzr formularza karnego. Generalny Inspektor wskaza, i w sytuacji umieszczenia danych w szerszym zakresie ni wynika to z cytowanych wyej przepisw, dalsze posugiwanie si tym formularzem prowadzi do ujawnienia danych osobowych sprawcw podmiotom i/lub osobom nieupowanionym. Organ do spraw ochrony danych osobowych zwrci przy tym uwag, i przetwarzanie danych dotyczcych orzecze o ukaraniu i mandatw karnych, stosownie do art. 27 ust. 1 ustawy, jest co do zasady zakazane. Wyjtki od oglnego zakazu ich przetwarzania zostay okrelone w ust. 2 powoanego przepisu (art. 27 ust. 2 pkt. 110). Podkreli, i przy przetwarzaniu danych naley mie na uwadze zasad legalnoci i adekwatnoci, wyraon w art. 26 ust. 1 i 3 ustawy o ochronie danych osobowych, powoujc wyrok Wojewdzkiego Sdu Administracyjnego w tej kwestii.171 W omawianym okresie organ do spraw ochrony danych osobowych wystpi do Ministra Nauki i Szkolnictwa Wyszego o podjcie dziaa, majcych na celu wskazanie rektorom uczelni wyszych na konieczno legitymowania si przesank zgody osoby, ktrej dane dotycz, w sytuacji przetwarzania przez nich danych osobowych studentw, w celach marketingowych po ustaniu procesu ksztacenia.172 Impulsem do tego wystpienia staa si coraz wiksza liczba pyta w sprawie legalnoci przetwarzania danych osobowych absolwentw uczelni wyszych w celach marketingowych, a take informacje prasowe dotyczce planw Ministerstwa Nauki i Szkolnictwa Wyszego

co do zobowizania uczelni do gromadzenia danych o swoich absolwentach, w celu monitorowania ich karier, po zakoczeniu procesu ksztacenia.

170 171

DOLiS-035-674/09. Wyrok z 1 grudnia 2005 r. sygn. akt II S.A./Wa 917/2005. Zob. te przypis 197. 172 Wystpienie GIODO z 1 czerwca 2009 r. DOLiS-035-634/09.

81

GIODO zwrci uwag na wynikajcy z ustawy o ochronie danych osobowych zakaz przetwarzania danych w celach innych, ni ten, dla ktrego zostay one zebrane. Zaznaczy rwnie, i wymienione w tym przepisie warunki dopuszczalnoci przetwarzania danych osobowych w innych celach, musz by spenione cznie, co podkreli w jednym ze swych wyrokw Naczelny Sd Administracyjny,173 oraz na co wskazuje literatura przedmiotu.174 Generalny Inspektor wskaza, i na administratorze danych (w tym przypadku na uczelni), spoczywa obowizek ochrony danych osobowych zarwno studentw, jak i absolwentw oraz przetwarzania tych danych zgodnie z zasad celowoci przewidzian przez przepisy ustawy o ochronie danych osobowych. Pierwotnym celem, dla ktrego uczelnia pozyskuje dane osobowe studentw, jest przeprowadzenie procesu ksztacenia. Po jego zakoczeniu wszelkie dziaania majce na celu, czy to promocj uczelni, czy te zachcenie absolwentw do uczestnictwa w innych przedsiwziciach realizowanych przez uczelni, powinno opiera si na przesance zgody (art. 23 ust. 1 pkt 1 ustawy). Zgoda absolwenta powinna by za pozyskana jeszcze w toku jego ksztacenia, gdy istotne jest, aby osoba, ktrej dane dotycz, miaa wiadomo, w jakich celach dane bd przetwarzane. Jednoczenie uczelnia powinna wypeni w tym zakresie tzw. obowizek informacyjny, wskazany w art. 24 ustawy o ochronie danych osobowych. Generalny Inspektor zwrci take uwag na brzmienie prawidowo skonstruowanej klauzuli zgody. Kolejne warte omwienia zagadnienie zwizane byo rwnie z dziaalnoci uczelni wyszej i dotyczyo ujawniania imion i nazwisk, nazwy wydziau, roku nauki i numeru grupy studentw w celu informowania ich o organizacji roku akademickiego.175 Wypowiadajc si w powyszej kwestii, Generalny Inspektor wyjani, i zgodnie z ustaw o ochronie danych osobowych, przetwarzanie danych osobowych tzw. zwykych (jak np. imi, nazwisko), w tym ich udostpnianie, jest procesem legalnym, gdy ich administrator legitymuje si jedn z przesanek dopuszczalnoci przetwarzania danych wymienionych w jej art. 23 ust. 1. Dlatego te sygnalizowan spraw naley rozpatrywa w oparciu o przepisy ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyszym (Dz. U. Nr 164, poz. 1365 z pn. zm.) i wydanych na jej podstawie aktw wykonawczych, a take wewntrznych aktw obowizujcych w danej uczelni, np. regulaminu studiw. Analiza przepisw ustawy o szkolnictwie wyszym wyranie wskazuje, e jawne s jedynie wyniki postpowania rekrutacyjnego.176 aden przepis tej ustawy nie upowania natomiast wprost do upublicznienia informacji dotyczcych organizacji roku akademickiego z wykorzystaniem danych osobowych studentw, a jedynie stanowi, i organizacj i tok studiw oraz zwizane z nimi prawa i obowizki

173 174

Wyrok z 5 lutego 2003 r., sygn. akt II SA 3505/2001 (Gazeta Prawna 2002, nr 27, s. 16). A. Mednis, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 1999, Wyd. Prawnicze (wyd. I) ss. 166. 175 DOLiS-035-1910/09. 176 Zgodnie z treci art. 169 ust. 9 wyniki postpowania rekrutacyjnego s jawne.

82

studenta okrela regulamin studiw.177 W postanowieniach regulaminu powinny si zatem znale takie rozwizania organizacyjne, ktre pozwol na prawidow organizacj studiw i ustalenie ich przebiegu. Zdaniem organu do spraw ochrony danych osobowych, postanowienia regulaminu nie mog by ksztatowane w oderwaniu od innych obowizujcych przepisw prawa, w tym ustawy o ochronie danych osobowych, ktra nakazuje administratorowi danych przetwarzanie danych wycznie w celu, dla ktrego zostay pozyskane, i z naleyt starannoci, tj. z uwzgldnieniem potrzeby ochrony danych przed udostpnieniem ich osobom nieupowanionym. Opublikowanie danych na stronie internetowej powoduje bowiem udostpnienie ich nie tylko zainteresowanym studentom, ale take nieograniczonej liczbie uytkownikw tej strony. Powstaje zatem wtpliwo, czy dla realizacji celu, jakim jest zapewnienie waciwej organizacji przebiegu studiw, niezbdne jest udostpnianie osobom trzecim takich informacji, jak imi i nazwisko studenta, wydzia, rok nauki i numer grupy. Zdaniem Generalnego Inspektora, ksztatowanie treci regulaminu powinno si odbywa z uwzgldnieniem zasad okrelonych w ustawie o ochronie danych osobowych,178 gdy wskutek publikacji w Internecie powyszych informacji krg osb, ktre bd miay do nich dostp, zostaje rozszerzony. W przypadku, gdy regulamin uczelni wyranie nie okrela warunkw informowania studentw, konieczne jest spenienie innej przesanki legalizujcej takie przetwarzanie (udostpnianie) danych osobowych, tj. pozyskanie zgody osoby, ktrej dane dotycz.179 Generalny Inspektor Ochrony Danych Osobowych wyjani te, e zasadne wydaje si rozwaenie utworzenia specjalnej strony internetowej, do ktrej dostp posiadaliby wycznie studenci, bd osoby bezporednio zainteresowane, posugujce si specjalnym kodem lub hasem. W analizowanym okresie sprawozdawczym Generalny Inspektor Ochrony Danych Osobowych zwrci si rwnie do prezydenta jednego z miast o podjcie dziaa majcych na celu wskazanie osobom odpowiedzialnym za przetwarzanie danych osobowych w przedszkolach publicznych, i upublicznianie danych osobowych dzieci, poprzez wywieszenie list zawierajcych ich dane na drzwiach wejciowych przedszkoli, prowadzi do naruszenia przepisw ustawy o ochronie danych osobowych.180 Informacje o tego rodzaju praktyce Generalny Inspektor pozyska z materiau prasowego. Podkreli, i w sytuacji, gdy podmiot gromadzcy dane nie legitymuje si adn z przesanek okrelonych w art. 23 ust. 1 pkt. 25 ustawy o ochronie danych osobowych, upublicznienie danych jest moliwe wycznie po uzyskaniu zgody osoby, ktrej dane dotycz.181 W przypadku danych dzieci konieczna jest zgoda ich rodzicw lub opiekunw prawnych. Brak spenienia ktrejkolwiek z przesanek uniemoliwia przetwarzanie danych osobowych, a w szczeglnoci ich udostpnianie osobom nieuprawnionym.
177

Art. 160 ust. 1 powoanej ustawy stanowi: organizacj i tok studiw oraz zwizane z nimi prawa i obowizki studenta okrela regulamin studiw. 178 Tj. art. 26 ust. 1 pkt. 2 i 3 oraz art. 36. 179 Art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. 180 Wystpienie GIODO z 1 czerwca 2009 r. DOLiS-035-807/09.

83

Istotn kwesti poruszon przez jednego z senatorw w pimie przekazanym Generalnemu Inspektorowi przez Marszaka Senatu Rzeczypospolitej Polskiej182 byo podawanie do publicznej wiadomoci danych osobowych, w tym nazwisk, osb skazanych przez sdy powszechne za prowadzenie pojazdw pod wpywem alkoholu. Odnoszc si do tej kwestii, Generalny Inspektor Ochrony Danych Osobowych wskaza,183 i obowizujce w polskim porzdku prawnym przepisy prawa reguluj w sposb wyczerpujcy kwestie podawania wyrokw do publicznej wiadomoci. Zgodnie bowiem z art. 39 pkt 8 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. Nr 88, poz. 553 z pn. zm.), rodkiem karnym jest m.in. podanie wyroku do publicznej wiadomoci. Dalsze przepisy ww. kodeksu precyzuj, i sd moe orzec podanie wyroku do publicznej wiadomoci w okrelony sposb, jeeli uzna to za celowe, w szczeglnoci ze wzgldu na spoeczne oddziaywanie skazania, o ile nie narusza to interesu pokrzywdzonego (art. 50 Kodeksu karnego). Jak wynika z wyroku Sdu Apelacyjnego w Katowicach z 28 czerwca 2007 r. (sygn. akt II AKa 190/2007), podanie wyroku do publicznej wiadomoci powinno mie miejsce przede wszystkim w takich przypadkach, ktre wzbudziy szczeglne zainteresowanie spoeczne, wywoay powszechne oburzenie czy te niepokj. Celowe jest rwnie siganie do tego rodka w przypadku przestpstw nagminnie popenianych na danym terenie lub w okrelonym rodowisku. W kadym przypadku to sd podejmuje decyzj o podawaniu wyroku do publicznej wiadomoci, kierujc si wskazanymi wyej kryteriami. Natomiast brak jest podstaw do zmiany aktualnie obowizujcego stanu prawnego i wprowadzenia generalnej zasady podawania przez rnorakie podmioty do wiadomoci publicznej danych osobowych osb skazanych przez sd w zwizku z prowadzeniem przez nie pojazdw pod wpywem alkoholu, choby podczas, jak okreli to zainteresowany spraw senator, cyt.: (...) odczytywania ogosze parafialnych czy te w postaci ogosze gminnych (...). Stosowanie powyszych form pitnowania osb skazanych za tego rodzaju czyn, zdaniem Generalnego Inspektora, byoby sprzeczne z ustaw o ochronie danych osobowych. Ustawa ta w art. 27 ust. 1 wprowadza bowiem oglny zakaz przetwarzania danych okrelanych powszechnie w pimiennictwie jako dane wraliwe albo szczeglnie chronione. Katalog tych danych ma charakter zamknity i obejmuje dane ujawniajce pochodzenie rasowe lub etniczne, pogldy polityczne, przekonania religijne lub filozoficzne, przynaleno wyznaniow, partyjn lub zwizkow, jak rwnie dane o stanie zdrowia, kodzie genetycznym, naogach lub yciu seksualnym oraz dane dotyczce skaza, orzecze o ukaraniu i mandatw karnych, a take innych orzecze wydanych w postpowaniu sdowym lub administracyjnym. Natomiast zakaz przetwarzania omawianej kategorii danych osobowych zostaje uchylony wycznie w sytuacji spenienia przez administratora danych

181 182

Art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Pismo Marszaka Senatu Rzeczypospolitej Polskiej z 21 maja 2009 r. o sygn. BPS/DSK-043-1710/09. 183 DOLiS-035-895-09.

84

jednej z przesanek okrelonych w ust. 2 art. 27. W pimie skierowanym do zainteresowanego w sprawie wskazano take, i stosownie do treci pkt. 2 powoanego wyej przepisu, wykonywanie jakichkolwiek operacji na wraliwych danych osobowych jest dopuszczalne, gdy przepis szczeglny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, ktrej dane dotycz, i stwarza pene gwarancje ich ochrony. Omawiany wyjtek dotyczy jedynie takich przepisw, ktrych, po pierwsze, brzmienie nie pozostawia wtpliwoci w kwestii uchylenia zakazu przetwarzania danych, po drugie wskazujcych, i przetwarzanie danych osobowych jest dopuszczalne bez zgody osoby, ktrej dane dotycz i po trzecie, ktre stwarzaj pene gwarancje ochrony, przez co rozumie naley gwarancje ochrony wraliwych danych osobowych. Dopiero wwczas, gdy okrelony przepis spenia wszystkie powysze warunki cznie, mona uzna go za podstaw do przetwarzania, w tym ujawniania przez administratora, danych konkretnej osoby. Istotna sprawa, ktr Generalny Inspektor Ochrony Danych Osobowych podj w 2009 r., zwizana bya z planowanym zaprzestaniem wydawania przez Zakad Ubezpiecze Spoecznych legitymacji ubezpieczeniowych od 1 stycznia 2010 r. oraz wydaniem przez Narodowy Fundusz Zdrowia wytycznych dotyczcych dokumentw, jakie osoba zamierzajca skorzysta ze wiadcze opieki zdrowotnej w ramach ubezpieczenia w NFZ zobowizana jest przedstawi na potwierdzenie prawa do ich uzyskania. Generalny Inspektor Ochrony Danych Osobowych wystpi do Ministra Zdrowia oraz Prezesa Narodowego Funduszu Zdrowia184 w tej sprawie, bowiem propozycje przyjtych przez ww. podmioty rozwiza budziy istotne zagroenia dla gwarantowanych Konstytucj Rzeczypospolitej Polskiej praw osb fizycznych do ochrony dotyczcych ich danych osobowych. Generalny Inspektor dostrzeg zagroenia zwizane z ujawnianiem instytucjom realizujcym wiadczenia zdrowotne wszystkich informacji zawartych w dokumentach, jakie osoba zamierzajca skorzysta ze wiadcze opieki zdrowotnej w ramach ubezpieczenia w NFZ zobowizana jest przedstawi na potwierdzenie prawa do ich uzyskania. Wskaza te, i tre wytycznych NFZ w tym zakresie, nie sprzyja ochronie danych osobowych pacjentw, mimo e precyzuje jedynie obowizujcy art. 240 ustawy z dnia 27 sierpnia 2004 r. o wiadczeniach opieki zdrowotnej finansowanych ze rodkw publicznych (tj. Dz. U. z 2008 r. Nr 164, poz. 1027 z pn. zm.).185 Wskaza take, e bez znaczenia jest w analizowanej sytuacji fakt, i pacjentowi pozostawiono moliwo wyboru dokumentu, jaki moe on przedstawi w celu uzyskania przysugujcego

DOLiS-035-2228/09. Zgodnie z jego brzmieniem, do czasu wydania ubezpieczonemu karty ubezpieczenia zdrowotnego dowodem ubezpieczenia zdrowotnego jest kady dokument, ktry potwierdza uprawnienia do wiadcze opieki zdrowotnej, w szczeglnoci dokument potwierdzajcy opacanie skadek na ubezpieczenie zdrowotne (ust. 1). W przypadku emerytw i rencistw dokumentem potwierdzajcym opacanie skadek na ubezpieczenie zdrowotne, o ktrym mowa w ust. 1, jest dokument potwierdzajcy kwot przekazanej emerytury lub renty, w tym w szczeglnoci odcinek przekazu lub wycig (ust. 2). W przypadku emerytw i rencistw dokumentem potwierdzajcym fakt objcia ubezpieczeniem zdrowotnym moe by legitymacja emeryta (rencisty) wydawana na podstawie odrbnych przepisw (ust. 3).
185

184

85

mu wiadczenia. Oczywiste jest, e w chwili nagej koniecznoci zwizanej z ochron wasnego zdrowia, moe on by pozbawiony moliwoci dokonania czynnoci jak najmniej dotkliwej dla jego prywatnoci i korzysta bdzie z dokumentu, ktrym akurat bdzie dysponowa. Wymaganie natomiast (i oczekiwanie) od obywatela, aby gromadzi dotyczce go dokumenty niejako na zapas, w sposb oczywisty nie sprzyja budowaniu jego zaufania do obowizujcego porzdku prawnego, co wicej, moe sta w sprzecznoci z art. 31 ust. 2 zdanie drugie Konstytucji, zgodnie z treci ktrego: Nikogo nie wolno zmusza do czynienia tego, czego prawo mu nie nakazuje. Ujawnianie wszystkich informacji zawartych w dokumentach uzasadniajcych prawo do przysugujcego pacjentowi wiadczenia, w sposb oczywisty narusza zasady zawarte w ustawie o ochronie danych osobowych, tj. zasady adekwatnoci i zwizania celem. Wskaza naley, e powinna by zachowana rwnowaga pomidzy uprawnieniem osoby do dysponowania swymi danymi a interesem administratora danych, co nastpuje jeeli administrator zada danych tylko w takim zakresie, w jakim jest to niezbdne do wypenienia celu, w jakim dane s przez niego przetwarzane, gdy swym rodzajem i sw treci dane nie powinny rwnie wykracza poza potrzeby wynikajce z celu ich zbierania. Administrator danych moe zatem przetwarza jedynie takie dane, ktre s niezbdne do osignicia zamierzonego celu. Jednoczenie zasada celowoci przetwarzania danych sprzeciwia si przetwarzaniu danych osobowych osoby ubezpieczonej w zakresie np. jego wynagrodzenia - przez zakad opieki zdrowotnej, bowiem przetwarzanie takich informacji jest zupenie zbdne dla stwierdzenia praw pacjenta wynikajcych z ubezpieczenia spoecznego. W opinii Generalnego Inspektora Ochrony Danych Osobowych, podmioty wiadczce usugi w zakresie wiadcze zdrowotnych co do zasady naleycie, tj. zgodnie z przepisami o ochronie danych osobowych, chroni przetwarzane przez siebie dane. Jednake dopuszczenie do informacji stanowicych dobra osobiste pacjentw (np. w zakresie wynagrodze) bliej nieokrelonej grupy pracownikw suby zdrowia kadorazowo bdzie rodzio zagroenie naruszenia tych przepisw. Stosownie do treci art. 7 Konstytucji Rzeczypospolitej Polskiej, organy wadzy publicznej dziaaj na podstawie i w granicach prawa. Przedmiotowa zasada nakazuje, by wszelkie dziaania organw wadzy publicznej byy oparte na wyranie okrelonych normach kompetencyjnych. Obowizujca ustawa o wiadczeniach opieki zdrowotnej finansowanych ze rodkw publicznych, w swym art. 49 wyranie wskazuje, i dokumentem potwierdzajcym prawo ubezpieczonego do wiadcze opieki zdrowotnej oraz umoliwiajcym potwierdzanie wykonania wiadcze opieki zdrowotnej jest karta ubezpieczenia zdrowotnego. Ustp drugi tego artykuu stanowi natomiast, i karta ta jest kart typu elektronicznego. Generalny Inspektor zauway, e przepisem prawa, ktry aktualnie stanowi, jaki dokument ma rang potwierdzajcego prawo ubezpieczonego do wiadcze opieki zdrowotnej oraz umoliwiajcym potwierdzenie wykonania wiadcze opieki zdrowotnej, jest ww. art. 49 ustawy o wiadczeniach opieki zdrowotnej finansowanych ze rodkw publicznych. Niemniej jednak, mimo

86

obowizywania niniejszego przepisu od dnia 1 padziernika 2004 r., tj. od dnia wejcia w ycie ww. ustawy, nie jest on realizowany. Omawiana sprawa dodatkowo dotyczy kwestii wytycznych, jakie NFZ sformuowa, a ktre miayby by podpowiedzi dla ubezpieczonych, w jaki sposb udokumentowa przysugujce im prawo do ubezpieczenia, gdy odmwiono im wydania legitymacji ubezpieczeniowej. Generalny Inspektor zauway przy tym, e dokumenty, ktre miayby by udostpniane stosownie do wytycznych NFZ (np. RMUA), zawieraj szerszy katalog informacji, w tym danych osobowych, anieli niezbdne podmiotom wiadczcym usugi medyczne dla realizacji ich zada. Moe zatem w ten sposb dochodzi do pozyskania danych w zakresie szerszym i nieproporcjonalnym dla realizacji tych zada. Konkludujc Generalny Inspektor Ochrony Danych Osobowych wskaza, i jedynym rozwizaniem dla zaistniaej sytuacji wydaje si podjcie w moliwie szybkim terminie prac legislacyjnych nad okrelon w art. 49 ustawy o wiadczeniach opieki zdrowotnej finansowanych ze rodkw publicznych - kart ubezpieczenia zdrowotnego, przy jednoczesnej kontynuacji wydawania legitymacji ubezpieczeniowych, do czasu wejcia w ycie rozporzdzenia, o ktrym mowa w art. 49 ust. 9 ww. ustawy.186 Na uwag zasuguje sprawa, z ktr do Generalnego Inspektora zwrci si komendant stray miejskiej jednego z miast z prob o stanowisko w zakresie moliwoci udostpnienia prezydentowi miasta, na obszarze ktrego stra miejska dziaa, informacji dotyczcych konkretnych stranikw miejskich. W sprawie tej chodzio w szczeglnoci o udostpnienie wynikw testw sprawnociowych funkcjonariuszy lub wskazanie przyczyn nieprzystpienia ich do tych testw w kontekcie ewentualnego zakwalifikowania ww. informacji do kategorii danych szczeglnie chronionych. W odpowiedzi187 Generalny Inspektor Ochrony Danych Osobowych wskaza na art. 7 Konstytucji Rzeczypospolitej Polskiej, zgodnie z ktrym organy wadzy publicznej dziaaj na podstawie i w granicach prawa, i co za tym idzie uzna, i uprawnienie prezydenta miasta do pozyskania wymienionych danych powinno wynika bezporednio z przepisu obowizujcego prawa. Ponadto zwrci uwag, e art. 27 ustawy o ochronie danych osobowych okrela, ktre informacje o osobie fizycznej maj charakter danych osobowych szczeglnie chronionych i wskaza, e przetwarzanie
186

Zgodnie z jego treci, Rada Ministrw okreli w drodze rozporzdzenia: 1) wzr karty ubezpieczenia zdrowotnego oraz sposb jej wykonania, uwzgldniajc przepisy Unii Europejskiej w sprawie wzoru Europejskiej Karty Ubezpieczenia Zdrowotnego, 2) wzr wniosku o wydanie karty ubezpieczenia zdrowotnego, 3) szczegowy zakres danych zawartych na karcie ubezpieczenia zdrowotnego oraz ich format, 4) tryb wydawania i anulowania karty ubezpieczenia zdrowotnego - uwzgldniajc konieczno identyfikacji ubezpieczonych, potwierdzania prawa ubezpieczonych do wiadcze opieki zdrowotnej i elektronicznego potwierdzania wykonanych wiadcze, konieczno zapewnienia przejrzystoci danych zawartych na karcie ubezpieczenia zdrowotnego oraz sprawno postpowania w sprawie wydawania i anulowania karty ubezpieczenia zdrowotnego. Rozporzdzenie, o ktrym mowa w ust. 9, moe take okrela dokumenty mogce peni funkcj karty ubezpieczenia zdrowotnego, uwzgldniajc moliwo potwierdzenia przez te dokumenty prawa do wiadcze opieki zdrowotnej oraz funkcj potwierdzenia udzielenia tych wiadcze (ust. 10).

87

danych, o ktrych mowa w ust. 1 tego artykuu, jest dopuszczalne m.in. wtedy, jeeli przepis szczeglny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, ktrej dane dotycz, i stwarza pene gwarancje ich ochrony188 lub wzgldnie osoba, ktrej dane dotycz, wyrazi na to zgod na pimie, chyba e chodzi o usunicie dotyczcych jej danych,189 ewentualnie po spenieniu innego z warunkw okrelonych w art. 27 ust. 2. Organ do spraw ochrony danych osobowych wskaza take, i kwalifikowanie okrelonej informacji jako danej o stanie zdrowia powinno odbywa si zawsze w kontekcie jej uzyskiwania. Uzna, e wyniki testw sprawnociowych, ktrym poddawani byli stranicy miejscy, a zwaszcza przyczyny nieprzystpienia do testw (np. z powodu schorzenia, przebytej choroby itp.) mog by danymi podlegajcymi szczeglnej ochronie, jeeli porednio ujawniaj informacj o osobie majc charakter medycznozdrowotny. Zwrci w tym miejscu m.in. uwag na stanowisko Europejskiego Trybunau Sprawiedliwoci [ETC], ktry do szeroko rozumie pojcie danych o stanie zdrowia.190 Ponadto Generalny Inspektor odnis si take do przepisu art. 9 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o straach gminnych (Dz. U. Nr 123, poz. 779 z pn. zm.), ktry wprawdzie wskazuje, i nadzr nad dziaalnoci stray sprawuje wjt, burmistrz (prezydent miasta), a w zakresie fachowym Komendant Gwny Policji poprzez waciwego terytorialnie komendanta wojewdzkiego Policji, jednake jak zaznaczy wydaje si, e nadzr prezydenta miasta nad stra miejsk powinien by prowadzony zasadniczo nad jej kwestiami organizacyjnymi. Organ do spraw ochrony danych osobowych wskaza take na koniec, i administrator, udostpniajc dane bez stosownej podstawy (ktr moe by m.in. przepis prawa albo pisemna zgoda osoby, ktrej dane dotycz), moe narazi si na zarzut dziaania niezgodnego z przepisami o ochronie danych osobowych. W okresie objtym sprawozdaniem Generalny Inspektor udzieli odpowiedzi na pytanie skierowane przez Ministerstwo Spraw Wewntrznych i Administracji, ktre zwrcio si z prob o zajcie stanowiska w kwestii wpywu jednego z orzecze Trybunau Sprawiedliwoci Wsplnot Europejskich191 na stan polskiego ustawodawstwa.192 W przedmiotowym orzeczeniu Trybuna Sprawiedliwoci Wsplnot Europejskich [TSWE] stwierdzi, i art. 12 lit. a tiret 1 dyrektywy nr 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 padziernika 1995 r. w sprawie ochrony osb fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepywu tych danych, nakada na pastwa czonkowskie obowizek stanowienia prawa

DOLiS-035-311/09. Art. 27 ust. 2 pkt 2. 189 Art. 27 ust. 2 pkt 1. 190 ETS uzna np., e informacja o zranieniu si osoby fizycznej w stop i przebywaniu na zwolnieniu lekarskim jest informacj o stanie zdrowia w rozumieniu art. 8 ust. 1 Dyrektywy 95/46/WE (Wyrok ETS z 20 listopada 2003 r. w sprawie Bodil Lindqvist, Zb. Orz. 2003, nr 11A, s. I-12971). 191 Orzeczenie TSWE z 7 maja 2009 r. w sprawie prejudycjalnej C-553/07 College van burgemeester en wethouders van Rotterdam przeciwko M.E.E. Rijkeboer. 192 DOLiS-072-10/09.
188

187

88

dostpu do informacji o odbiorcach lub kategoriach odbiorcw dotyczcych jej danych osobowych oraz treci przekazanych danych nie tylko w odniesieniu do teraniejszoci, lecz rwnie w odniesieniu do przeszoci.193 Dalej TSWE wskaza, e to do pastw czonkowskich naley okrelenie okresu przechowywania tych informacji oraz odpowiedniego do nich dostpu, ktry stanowiby rezultat waciwego wywaenia midzy, z jednej strony, interesem osoby, ktrej dane dotycz, w ochronie jej ycia prywatnego, w szczeglnoci za porednictwem prawa interwencji oraz prawa do wniesienia rodka prawnego, przewidzianych przez dyrektyw nr 95/46/WE, a z drugiej strony obcieniem, jakie obowizek przechowywania tej informacji stanowi dla administratora danych. Uregulowanie ograniczajce przechowywanie informacji o odbiorcach lub kategoriach odbiorcw danych podstawowych oraz treci przekazanych danych do okresu jednego roku i ograniczajce odpowiednio dostp do tej informacji, podczas gdy dane podstawowe s przechowywane znacznie duej, nie stanowi waciwego wywaenia interesw i obowizkw wystpujcych w sprawie, chyba, eby zostao wykazane, e dusze przechowywanie tej informacji stanowioby nadmierne obcienie dla administratora danych. Generalny Inspektor, zajmujc stanowisko w zasygnalizowanej kwestii wskaza, i analiza tez ww. orzeczenia prowadzi do konstatacji, i dokonana przez Trybuna interpretacja prawa wsplnotowego nie rodzi koniecznoci podjcia krokw celem zmian legislacyjnych w polskim porzdku prawnym. Podkreli, e obowizujca na obszarze Rzeczypospolitej Polskiej ustawa o ochronie danych osobowych jest w peni dostosowana do wymogw dyrektywy 95/46/WE. Ustawa ta przewiduje w art. 33 ust. 1 uprawnienie dla osoby, ktrej dane dotycz, do uzyskania od administratora jej danych m.in. informacji o tym, jakie dane osobowe zawiera prowadzony przez niego zbir, w jaki sposb zebrano dane, w jakim celu i zakresie dane s przetwarzane i w jakim zakresie oraz komu dane zostay udostpnione. Nie zawa wic w tak radykalny sposb

(poprzez posugiwanie si konkretnym terminem), jak ma to miejsce w przypadku przywoywanych w orzeczeniu przepisw niderlandzkich, moliwoci skorzystania przez osob, ktrej dane dotycz, z jednego z podstawowych uprawnie wynikajcych z ustawy o ochronie danych osobowych. Zdaniem GIODO, uzna naley, e wykonanie uprawnienia konkretnych osb, ktrych dane s przetwarzane, wyznacza moment ich pozyskania oraz zaprzestania ich przetwarzania. Generalny Inspektor przytoczy w treci swej opinii brzmienie art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych, statuujcego tzw. zasad ograniczenia czasowego.194 Uzna, i po osigniciu celu przetwarzania danych

Zgodnie z art. 12 lit. a tiret 1 dyrektywy, pastwa czonkowskie zapewniaj kadej osobie, ktrej dane dotycz prawo do uzyskania od administratora danych bez ogranicze, w odpowiednich odstpach czasu oraz bez nadmiernego opnienia lub kosztw, potwierdzenia, czy dotyczce jej dane osobowe s przetwarzane oraz co najmniej o celach przetwarzania danych, kategoriach danych oraz odbiorcach lub kategoriach odbiorcw, ktrym dane te s ujawniane. 194 Na podstawie art. 26 ust. 1 pkt 4 ustawy, administrator danych przetwarzajcy dane, powinien dooy szczeglnej starannoci w celu ochrony interesw osb, ktrych dane dotycz, a w szczeglnoci jest obowizany zapewni, aby dane te

193

89

(np. po ustaniu okrelonej umowy czcej administratora danych i podmiot tych danych) z uwzgldnieniem terminw wynikajcych ze szczeglnych przepisw prawa dane powinny by usuwane. Zatem w polskim porzdku prawnym istnieje podkrelana w tezach orzeczenia Trybunau Sprawiedliwoci Wsplnot Europejskich rwnowaga pomidzy interesem osoby, ktrej dane dotycz, w ochronie jej ycia prywatnego a z drugiej strony obcieniem, jakie obowizek przechowywania tej informacji niesie dla administratora danych. Wywaenie powyszych praw nastpuje poprzez powoan zasad ograniczenia czasowego oraz przepisy innych aktw prawnych wprowadzajcych obowizek przechowywania danych osobowych w zalenoci od zada podmiotu znajdujcego si w ich posiadaniu przez odpowiednio dugi okres. Generalny Inspektor stwierdzi, i o prawidowym stosowaniu tez zawartych w orzeczeniu bdzie zatem mona mwi w szczeglnoci wtedy, gdy administratorzy danych bd - na danie osoby, ktrej dane dotycz - dopenia obowizek informacyjny wynikajcy z art. 33 ust. 1 ustawy o ochronie danych osobowych, w caym okresie przetwarzania przez nich jej danych osobowych. W omawianym okresie sprawozdawczym podobnie jak w ubiegych latach Generalny Inspektor interweniowa wielokrotnie w zwizku z wtpliwym, co do zgodnoci z liter prawa, przetwarzaniem danych osobowych przez podmioty z sektora prywatnego. W jednej z takich spraw do organu ds. ochrony danych dotary sygnay, e w kilku centrach handlowych ma miejsce praktyka polegajca na zatrzymywaniu dowodu tosamoci klienta w sytuacji wypoyczania wzka koszyka (samochodzika) sucego do przewozu dziecka na terenie centrum handlowego. W kolejnej sprawie Generalny Inspektor uzyska informacj o stosowaniu przez jeden z bankw telefonicznego potwierdzania prawdziwoci podanych przez kredytobiorcw danych osobowych u ich pracodawcw. W zwizku z powyszym zwrci si do jego prezesa o odstpienie od wskazanej praktyki jako mogcej prowadzi do naruszenia przepisw zarwno ustawy o ochronie danych osobowych, jak i ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j. Dz. U. z 2002 r. Nr 72, poz. 665 z pn. zm.).195 Z treci pozyskanej przez GIODO informacji wynikao, i pracownik banku zwrci si telefonicznie do pracodawcy przyszego kredytobiorcy w celu potwierdzenia prawdziwoci podanych przez potencjalnego kredytobiorc danych, pomimo tego, i wczeniej osoba wnioskujca o kredyt zoya w banku podpisane stosowne zawiadczenie o zarobkach z imiennymi piecztkami oraz piecztk firmow pracodawcy. Z uwagi na to, e pracownik pracodawcy nie mia moliwoci zidentyfikowania, kto do niego dzwoni i odmwi udzielenia informacji,

to w konsekwencji bank odmwi wydania wnioskodawcy karty kredytowej.

byy przechowywane w postaci umoliwiajcej identyfikacj osb, ktrych dotycz, nie duej, ni jest to niezbdne do osignicia celu przetwarzania. 195 Wystpienie GIODO z dnia 18 czerwca 2009 r. DOLiS-035-305/09.

90

Generalny Inspektor zaznaczy, i w przypadku telefonicznej weryfikacji danych osoby wystpujcej z wnioskiem o przyznanie kredytu u pracodawcy tej osoby moe doj do udostpnienia danych osobowych pracownika osobie nieupowanionej. Pracodawca potencjalnego kredytobiorcy, w trakcie rozmowy telefonicznej, nie moe zidentyfikowa osoby telefonujcej do niego w celu zweryfikowania danych, a zatem ustali, czy rzeczywicie osoba ta jest przedstawicielem banku upowanionym do pozyskania informacji na temat pracownika. Nie mona wszak wykluczy sytuacji, w ktrej za przedstawiciela banku podawa si bdzie osoba trzecia, nieupowaniona do uzyskania tego rodzaju danych osobowych. Generalny Inspektor zwrci przy tym uwag na konieczno kadorazowego dopeniania przez administratora danych cicego na nim obowizku zastosowania rodkw technicznych i organizacyjnych zapewniajcych ochron przetwarzanych danych osobowych, a w szczeglnoci zabezpieczenia danych przed ich udostpnieniem osobom nieupowanionym.196 Podkreli rwnie, i brak wywizywania si z tego obowizku moe w konsekwencji prowadzi do naruszenia przepisw karnych ustawy o ochronie danych osobowych.197 Generalny Inspektor podkreli take, i kwestia telefonicznego potwierdzania prawdziwoci podanych przez kredytobiorc danych, w analizowany sposb, jako dziaania naruszajcego przepisy prawa, bya przedmiotem wystpienia tego organu do Przewodniczcego Komisji Nadzoru Bankowego. W zwizku z powyszym, Generalny Inspektor Nadzoru Bankowego skierowa do prezesw bankw pismo,198 w ktrym wskaza, i art. 70 ust. 1 Prawa bankowego zobowizuje do przedoenia w banku dokumentw i informacji okrelonych przez bank jako niezbdne do oceny zdolnoci kredytowej, za kierowanie przez bank pyta do osoby lub osb niebdcych kredytobiorc, wykracza poza dyspozycj tego przepisu i traktowane jest jako naruszenie prawa. Przewodniczcy Komisji Nadzoru Bankowego wskaza, i przepisy Prawa bankowego i ustawy o ochronie danych osobowych nie przewiduj telefonicznej formy pozyskiwania informacji. Banki nie mog wic uzalenia przyznania kredytu od udzielenia informacji w tej formie. Udzielanie drog telefoniczn informacji stanowicych rdo oceny zdolnoci kredytowej kredytobiorcy wie si z dodatkowym niebezpieczestwem przekazania informacji osobie nieuprawnionej. Nie ma bowiem moliwoci potwierdzenia tosamoci rozmwcy. Warto przytoczy przykad pytania, ktre do GIODO przesane zostao w zwizku z wtpliwociami, czy portal internetowy moe publikowa zdjcia samochodw z widoczn tablic rejestracyjn.199 Powysze zagadnienie nabiera ostatnio szczeglnego znaczenia nie tylko wobec coraz czciej stosowanego monitoringu za pomoc kamer, ale take wobec dziaalnoci wielu podmiotw, np. portali internetowych, ktre publikuj na stronach www, ktrych s administratorami, zapisy
196 197

Art. 36 ust. 1 ustawy o ochronie danych osobowych. Art. 51 ustawy o ochronie danych osobowych. 198 Pismo GINB z 6 kwietnia 2001 r. znak: NB/BPN/I/214/01.

91

z kamer w celu propagowania pewnych miejsc na mapie kraju. W tej sprawie Generalny Inspektor Ochrony Danych Osobowych wskaza, i zdjcia samochodw z widoczn tablic rejestracyjn, bez adnych dodatkowych informacji, nie w kadym przypadku, niemniej jednak mog prowadzi do identyfikacji osoby fizycznej. W zwizku z tym, w okrelonych okolicznociach posugiwanie si tak informacj, jak numer rejestracyjny samochodu, moe prowadzi do naruszenia prywatnoci, a to z kolei skutkowa naruszeniem dbr osobistych na gruncie przepisw ustawy Kodeks cywilny. Zgodnie natomiast z definicj zawart w art. 6 ustawy o ochronie danych osobowych, za dane osobowe uznaje si zarwno takie informacje, ktre pozwalaj bezporednio na okrelenie tosamoci konkretnej osoby, jak rwnie takie, ktre nie pozwalaj na jej natychmiastow identyfikacj, s jednake przy pewnym nakadzie kosztw, czasu lub dziaa wystarczajce do jej ustalenia. Poza zakresem przedmiotowej definicji znajduj si natomiast takie informacje, na podstawie ktrych nie mona ustali tosamoci osoby oraz takie, na podstawie ktrych wprawdzie mona byoby j zidentyfikowa, lecz wymagaoby to nadmiernych kosztw, czasu lub dziaa. Dlatego na administratorze danych spoczywa obowizek200 kadorazowego wywaania, czy przetwarzane przez niego informacje, np. w postaci zdj samochodw, mog w okrelonych okolicznociach sta si informacjami, ktrym naleaoby nada przymiot danych osobowych, bowiem to on odpowiada za legalno przetwarzania danych. Wrd nadawcw pyta odnoszcych si do legalnoci stosowania rozwiza ustawy o ochronie danych osobowych byy te podmioty majce swoj siedzib poza granicami Polski. Na uwag zasuguje wtpliwo podmiotu gospodarczego, ktry bdc polskim oddziaem podmiotu majcego siedzib poza granicami Rzeczypospolitej Polskiej, przechowuje swoje zasoby informatyczne w kraju trzecim, niebdcym czonkiem Unii Europejskiej.201 Generalny Inspektor Ochrony Danych Osobowych wyjani, i przepisy ustawy o ochronie danych osobowych znajduj zastosowanie zarwno do osb fizycznych, jak i osb prawnych oraz jednostek organizacyjnych niebdcych osobami prawnymi, jeeli przetwarzaj dane osobowe w zwizku z dziaalnoci zarobkow, zawodow lub dla realizacji celw statutowych ktre maj siedzib albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w pastwie trzecim, o ile przetwarzaj dane osobowe przy wykorzystaniu rodkw technicznych znajdujcych si na terytorium Rzeczypospolitej Polskiej. Dodatkowo podkreli, e zgodnie z art. 85 ustawy z dnia 2 lipca 2004 r. o swobodzie dziaalnoci gospodarczej (tekst jednolity: Dz. U. z 2007 r. Nr 155, poz. 1095) dla wykonywania dziaalnoci gospodarczej na terytorium Rzeczypospolitej Polskiej przedsibiorcy zagraniczni mog, na zasadzie wzajemnoci, o ile ratyfikowane umowy midzynarodowe nie stanowi inaczej, tworzy oddziay
199 200

DOLiS-1505/09. Zgodnie z treci art. 7 pkt 4 ustawy o ochronie danych osobowych jest nim organ, jednostka organizacyjna, podmiot lub osoba, o ktrych mowa w art. 3, decydujce o celach i rodkach przetwarzania danych osobowych.

92

z siedzib na terytorium Rzeczypospolitej Polskiej. W konsekwencji, do przetwarzania danych w tej sytuacji zastosowanie znajd przepisy polskiej ustawy o ochronie danych osobowych. Jako e dziaalno podmiotu pytajcego ma mie form portalu spoecznociowego, Generalny Inspektor wskaza take, narodowo uytkownikw projektowanego portalu nie ma adnego znaczenia z uwagi na fakt, e ustawa przyznaje ochron danym osobowym kadej osoby (art. 1 ustawy). Z pisma zainteresowanego podmiotu wynikao take, i bdzie on przeprowadza konkursy dla uytkownikw, a w zwizku z tym ma wtpliwoci odnonie do podstawy prawnej przetwarzania danych osobowych w trakcie ich przeprowadzania. Wskazano pytajcemu, i za podstaw legalizujc przetwarzanie danych osb biorcych udzia w konkursie naley uzna zgod osb, ktrych dane dotycz, tj. przesank, o ktrej mowa w pkt 1 art. 23 powoanego powyej artykuu. Zgoda ta nie moe by domniemana lub dorozumiana z owiadczenia woli o innej treci i musi z jej treci wynika (w sposb niebudzcy wtpliwoci), w jakim celu, w jakim zakresie i przez kogo dane osobowe bd przetwarzane. Kolejny aspekt omawianego pytania dotyczy kwestii doranoci powstaego w trakcie dziaalnoci tego podmiotu zbioru danych osobowych.202 Odnonie do oceny tego, czy prowadzony zbir mona uzna za zbir dorany, Generalny Inspektor wskaza pytajcemu, i mimo e pojcie doranoci nie zostao zdefiniowane w ustawie o ochronie danych osobowych, to jednak poprzez odwoanie si do konkretnych okolicznoci faktycznych towarzyszcych przetwarzaniu danych, przez konkretnego administratora, dla okrelonych, precyzyjnie wskazanych celw, mona przypisa okrelonemu zbiorowi t wanie cech. Przy ocenie tego faktu istotn rol bdzie odgrywa czynnik czasu, w cigu ktrego s przetwarzane dane osobowe. Poza tym konieczne jest rozwaenie celu (zada), ktremu suy ma przetwarzanie danych w okrelonej strukturze. O ile pierwszy z tych czynnikw (czas) nie jest z oczywistych powodw cile, ustawowo okrelony (tzn. trudno o wskazanie cisych czasowych granic zbioru doranego), o tyle pojcie doranoci musi by uzalenione od celu przetwarzania danych w zbiorze. Jeeli dane tworzce okrelon struktur su realizacji zasadniczego, gwnego celu przetwarzania, trudno uzna t struktur za zbir dorany. Nie zmienia tego okoliczno, i okres jej przetwarzania jest relatywnie krtki. W zwizku z pozyskaniem informacji, i spord kilku warunkw skorzystania ze zbiorw znajdujcych si w czytelni jednej z bibliotek byo pozostawienie dyurnemu bibliotekarzowi dowodu tosamoci, Generalny Inspektor Ochrony Danych Osobowych wystpi do tej biblioteki, o podjcie dziaa majcych na celu zmian dotychczasowej praktyki. Wskaza przy tym warunki legalnoci

DOLiS-035-1778-09. Ma to znaczenie o tyle, e zgodnie z treci art. 2 ust. 3 ustawy o ochronie danych osobowych, w odniesieniu do zbiorw danych osobowych sporzdzanych doranie, wycznie ze wzgldw technicznych, szkoleniowych lub w zwizku z dydaktyk w szkoach wyszych, a po ich wykorzystaniu niezwocznie usuwanych albo poddanych anonimizacji, maj zastosowanie jedynie przepisy rozdziau 5 (Zabezpieczenie danych osobowych) tej ustawy.
202

201

93

przetwarzania danych osobowych, zaznaczajc, e w odniesieniu do danych zwykych zale one od spenienia przez podmiot przetwarzajcy te dane, jednej z przesanek okrelonych w art. 23 ust. 1 ustawy. Natomiast w sytuacji, gdy podmiot przetwarzajcy dane nie legitymuje si adn z przesanek okrelonych w pkt. 25 ww. przepisu, pozyskanie danych jest moliwe wycznie po uzyskaniu zgody osoby, ktrej dane dotycz (art. 23 ust. 1 pkt 1 ustawy). Odnoszc si do tej sprawy, GIODO zwrci uwag, i wprawdzie ustawa z dnia 27 czerwca 1997 r. o bibliotekach (Dz. U. z 1997 r. Nr 85, poz. 539 z pn. zm.) okrela, i zadania, organizacj oraz szczegowy zakres dziaania biblioteki wchodzcej w skad innej jednostki organizacyjnej okrela regulamin nadany przez kierownika tej jednostki, za zgodnie z pkt. 3 lit. e regulaminu korzystania ze zbiorw tej biblioteki w czytelni obowizani s pozostawi dyurnemu bibliotekarzowi dowd tosamoci (legitymacj ze zdjciem, dowd osobisty, paszport, prawo jazdy itp.), to jednak naley mie na wzgldzie, i wskazany regulamin nie moe sta w opozycji do obowizujcych przepisw z zakresu ochrony danych osobowych. Generalny Inspektor wskaza na zasad adekwatnoci wynikajc z art. 26 ust. 1 pkt 3 ustawy i wyjani, e administrator powinien przetwarza tylko takiego rodzaju dane i tylko o takiej treci, ktre s niezbdne ze wzgldu na cel zbierania danych. Relewantno (adekwatno) danych powinna by oceniana najpniej w momencie ich zbierania. Zatem administrator ma obowizek dokonania w tym wzgldzie oceny. Zakres danych osobowych adekwatnych do celu przetwarzania ocenia trzeba kadorazowo z uwzgldnieniem okrelonego stosunku prawnego, w zwizku z ktrym administrator przetwarza dane osobowe.203 Ponadto Generalny Inspektor zwrci uwag, i art. 33 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludnoci i dowodach osobistych (Dz. U. z 2006 r. Nr 139, poz. 993 z pn. zm.) stanowi, e dowodu osobistego nie wolno zatrzymywa, z wyjtkiem przypadkw okrelonych w ustawie. Zatrzymanie za cudzego dowodu osobistego stanowi wykroczenie stypizowane w art. 55 pkt 2 wyej powoanej ustawy, zgodnie z ktrym, kto zatrzymuje cudzy dowd osobisty, podlega karze ograniczenia wolnoci do 1 miesica albo karze grzywny. Odpowiadajc na powysze zastrzeenia organu do spraw ochrony danych osobowych, administrator danych poinformowa wstpnie o podjtych w tym zakresie dziaaniach (wydanych decyzjach i zarzdzeniach), w efekcie czego zosta zobligowany przez Generalnego Inspektora do podania szczegw zastosowanych rozwiza.

6.2.

Dziaalno informacyjna W celu podnoszenia wiedzy z zakresu ochrony danych osobowych, Generalny Inspektor,

stawiajcy edukacj jako jeden z priorytetw swojej dziaalnoci, tak jak w latach ubiegych, rwnie w 2009 r. korzysta z porednictwa mediw (prasa, radio, telewizja, agencje informacyjne i portale

203

Wyrok NSA z 27 listopada 2003 r. II SA 209/2003.

94

internetowe) oraz wszelkich innych form propagowania wiedzy o ochronie danych osobowych. Organizowa konferencje prasowe i akcje informacyjne, udziela wywiadw, odpowiada

na indywidualne pytania dziennikarzy, jak te z wasnej inicjatywy przekazywa najistotniejsze informacje wymagajce nagonienia. Na bieco zamieszcza te i aktualizowa informacje zawarte na stronie internetowej (www.giodo.gov.pl) bdcej jednoczenie Biuletynem Informacji Publicznej. Informacje do pojedynczych odbiorcw trafiay zarwno w formie pism, jak i ustnych wyjanie udzielanych podczas dyurw telefonicznych oraz indywidualnych spotka pracownikw GIODO z osobami zainteresowanymi tematyk ochrony danych osobowych. Duy krg odbiorcw informacji zapewniy rwnie publikacje ksikowe, szkolenia oraz konferencje naukowe. Upowszechniane i udostpniane przez GIODO materiay edukacyjne i informacyjne obejmoway m.in. interpretacje przepisw ustawy o ochronie danych osobowych, wystpienia Generalnego Inspektora do podmiotw, ktrym sygnalizowano nieprawidowoci dotyczce stosowania przepisw o ochronie danych osobowych, a take odpowiedzi na kierowane do Biura pytania. Zainteresowani mogli zapozna si rwnie z podejmowanymi w indywidualnych sprawach rozstrzygniciami oraz z informacjami dotyczcymi dziaalnoci GIODO na arenie midzynarodowej.

6.2.1 Wsppraca ze rodkami masowego przekazu

1. Stae kontakty z mediami W celu upowszechniania wiedzy o ochronie danych osobowych GIODO wzorem lat ubiegych w roku 2009 kontynuowa sta wspprac z pras o zasigu oglnopolskim, przede wszystkim za z Rzeczpospolit, Gazet Prawn, Gazet Samorzdu i Administracji (GSiA), Bezpieczestwem w Szkole, Tin oraz Twoim Imperium, a take nawiza stae kontakty z takimi pismami, jak Przyjacika, Kadry w Urzdzie, Serwis Prawno-Pracowniczy, Przegld Komunalny czy Computerworld. Regularnie wsppracowa te z takimi redakcjami portali internetowych, jak Dziennik Internautw (di.com.pl) czy nalecy do Wydawnictwa Wiedza i Praktyka portal kadrowy (www.portalkadrowy.pl). W 2009 r. rozszerzona zostaa wsppraca z Gazet Prawn, dziki czemu decyzje, wyjanienia i interpretacje organu ds. ochrony danych osobowych byy czciej publikowane na amach tego dziennika. Z kolei w Gazecie Samorzdu i Administracji w 2009 r. zamieszczane byy nie tylko wyjanienia GIODO dotyczce ochrony danych osobowych w jednostkach samorzdu terytorialnego, lecz take informacje o dziaalnoci Generalnego Inspektora w formie oddzielnych ogosze. Ponadto wsppraca z GSiA dotyczya upowszechniania informacji i wyjanie przekazywanych podczas prowadzonych przez GIODO szkole dla jednostek samorzdu terytorialnego.

95

Dziki staej wsppracy z tak wieloma, rnorodnymi, wymienionymi wyej mediami, na ich amach cyklicznie ukazyway si artykuy powicone ochronie danych osobowych. W 2009 r. cznie opublikowano ich ponad 160. eby upowszechni efekty tej wsppracy odzwierciedlajcej najistotniejsze problemy zwizane z ochron danych osobowych, Generalny Inspektor zamieszcza na swojej stronie internetowej po uzgodnieniu z redakcjami wszystkie powstae w ten sposb doniesienia medialne. Upowszechnianiu informacji dotyczcych ochrony danych osobowych suyo te nagrywanie przez Generalnego Inspektora Ochrony Danych Osobowych kolejnych audycji radiowych z cyklu Chro swoje dane osobowe!. Rozgonie zainteresowane ich emisj mogy bezpatnie pobiera je ze strony internetowej GIODO.

2. Odpowiedzi na indywidualne pytania dziennikarzy Sta form kontaktw GIODO z dziennikarzami byo udzielanie im odpowiedzi na przesane pytania dotyczce ochrony danych osobowych. W 2009 r. GIODO udzieli pisemnie lub telefonicznie okoo 320 takich odpowiedzi. Wrd problemw, z ktrymi najczciej zgaszali si przedstawiciele mediw, byy m.in.: funkcjonowanie portali spoecznociowych, zasady przetwarzania danych osobowych dunikw, zakres danych pozyskiwanych przez przewonikw, zwaszcza na potrzeby wystawienia biletw elektronicznych lub internetowej rezerwacji biletw, upublicznianie zdj zodziei lub osb le parkujcych pojazdy, ochrona danych osobowych w procesie rekrutacji i w zatrudnienia, odpowiedzialno za wyciek danych osobowych, dopuszczalno pozyskiwania danych biometrycznych, zasady przetwarzania danych osobowych przez placwki medyczne, zabezpieczanie danych osobowych, zasady wykorzystywania danych osobowych na potrzeby marketingu, upubliczniania danych przez jednostki samorzdu terytorialnego zarwno w BIP, jak i w podejmowanych uchwaach czy decyzjach.

3.

Wywiady i wystpienia

W celu popularyzacji zagadnie z zakresu ochrony danych osobowych GIODO udziela wywiadw i bra udzia w programach radiowych i telewizyjnych. GIODO w 2009 r. udzieli blisko 150 wywiadw. Ich tematyka dotyczya zarwno oglnych zasad ochrony danych osobowych okrelonych w ustawie o ochronie danych osobowych, jak i rozwiza ustanowionych przepisami branowymi. 96

Szczeglne zainteresowanie mediw budzio m.in. przetwarzanie danych osobowych na potrzeby zatrudnienia, w sektorze ubezpieczeniowym, bankowym, marketingowym, mieszkalnictwa, owiaty i suby zdrowia. Wiele wywiadw i wystpie odnosio si te do kwestii ochrony danych osobowych w kontekcie rozwoju nowoczesnych technologii. Czstymi tematami dla przykadu mona wymie, dopuszczalno tworzenia profili behawioralnych, cyberprzestpczo, zatrzymywanie i przetwarzanie przez operatorw publicznej sieci telekomunikacyjnej oraz dostawc publicznie dostpnych usug telekomunikacyjnych danych pozyskanych w zwizku ze wiadczeniem ww. usug cznoci. Czstym tematem wywiadw byo te przetwarzanie danych osobowych przez pracodawcw, w tym wykorzystywanie informacji zamieszczanych na portalach spoecznociowych, pobieranie odciskw palcw na potrzeby rejestracji czasu pracy, przeprowadzanie testw psychologicznych czy monitorowanie poczty e mailowej pracownikw. Tworzenia przez GUS megabazy na potrzeby spisu powszechnego ludnoci i mieszka w 2011 r. w kontekcie waciwej ochrony danych osobowych to kolejny czsty temat wystpie medialnych GIODO. Pod koniec 2009r. due zainteresowanie mediw budzia kwestia zapowiadanego zaprzestania wydawania legitymacji ubezpieczeniowych

i potwierdzania prawa do bezpatnej opieki zdrowotnej m.i. poprzez przedoenie druku RMUA. Media interesoway si rwnie dopuszczalnoci wiadczenia przez firm ogle usugi Street View,

zbyt szerokim zakresem danych pozyskiwanych od pasaerw przez Zarzd Transportu Miejskiego w Warszawie oraz propozycj sejmowej Komisji Przyjazne Pastwo, by w punktach sprzeday alkoholu montowa kamery nagrywajce osoby kupujce alkohol. Due zainteresowanie dziennikarzy wywoaa te sprawa umieszczenia na stronie internetowej Pastwowej Komisji Wyborczej danych osobowych politykw, m.in. w zakresie imienia, adresu zamieszkania i numeru PESEL.

4. Konferencje prasowe W zwizku z potrzeb nagonienia wanych wydarze lub koniecznoci publicznego zajcia stanowiska w okrelonych sprawach, GIODO w 2009 r. zorganizowa 4 konferencje prasowe, ktre powiecone byy: obchodom III Dnia Ochrony Danych Osobowych i podpisaniem Porozumienia pomidzy GIODO a Zwizkiem Bankw Polskich (28 stycznia 2009 r.). z planowanemu pozyskiwani przez GUS danych osobowych na potrzeby spisu powszechnego ludnoci i mieszka w 2011 r. (10 marca 2009 r.). nieprawidowociom w procesie przetwarzania danych osobowych pasaerw stwierdzonym podczas kontroli GIODO w Zarzdzie Transportu Miejskiego w Warszawie (8 lipca 2009 r.),

97

 omwieniu opracowanej wsplnie z Sekretariatem Konferencji Episkopatu Polski Instrukcji Ochrona danych osobowych w dziaalnoci Kocioa Katolickiego w Polsce (23 wrzenia 2009 r.). Rezultatem konferencji prasowych byy liczne materiay prasowe i wystpienia GIODO w audycjach radiowych i telewizyjnych.

5. Akcje informacyjno promocyjne Szczeglne wydarzenia czy informacje zwizane z tematyk ochrony danych osobowych s naganianie przez Generalnego Inspektora w formie specjalnych akcje informacyjno - promocyjnych. W 2009 r. dwa zagadnienia zostay rozpropagowane w ten wanie sposb. W zwizku z przypadajcym 28 stycznia Dniem Ochrony Danych Osobowych GIODO podj

dziaania zwizane z nagonieniem europejskich i polskich obchodw tego dnia, zwaszcza tych zwizanych z tematem przewodnim uroczystoci tj. bezpieczestwem danych osobowych w kontekcie rozwoju nowoczesnych technologii. Podobnie jak w latach ubiegych obchodom tego wita towarzyszyy liczne wydarzenia, jak spotkanie GIODO z eurodeputowanymi w Brukseli i uroczystoci w siedzibie Staego Przedstawicielstwa Rzeczypospolitej Polskiej przy Unii

Europejskiej oraz Dzie Otwarty w Biurze GIODO, w czasie ktrego podpisane zostao Porozumienie pomidzy Generalnym Inspektorem Ochrony Danych Osobowych a Zwizkiem Bankw Polskich w sprawie wsppracy na rzecz poprawy poziomu ochrony danych osobowych. Obchody Dnia Ochrony Danych Osobowych byy te okazj do organizacji przez GIODO oraz redakcj Gazety Prawnej debaty Ochrona danych osobowych klientw bankw, ze szczeglnym uwzgldnieniem bankowoci elektronicznej. Odbya si ona 14 stycznia 2009 r. w siedzibie redakcji Gazety Prawnej. Akcja informacyjna dotyczca Dnia Ochrony Danych Osobowych zaowocowaa publikacj licznych artykuw prasowych i internetowych zwizanych z tematyk ochrony danych osobowych. W zwizku z obchodzonym od 11 do 18 padzierniku 2009 r. Tygodniem Zapobiegania

Kradziey Tosamoci w Biurze GIODO 14 padzierniku 2009 r. zorganizowany zosta Dzie Otwarty, podczas ktrego odbyy si wykady ekspertw, a pracownicy Biura GIODO udzielali porad prawnych. Ponadto przeprowadzono konkursy z nagrodami. Z kolei w specjalnych wykadach eksperci wyjaniali m.in.: jakie cyfrowe lady, uatwiajce kradzie tosamoci, zostawiamy w sieci, jak zapewni dzieciom bezpieczne korzystanie z Internetu oraz to, jak dane osobowe powinni chroni przedsibiorcy. Dodatkowo rozdane zostay opracowane przez GIODO materiay edukacyjno-informacyjne, w tym zestaw broszur z serii ABC ochrony danych osobowych.

98

Celem akcji byo zwrcenie uwagi na problem kradziey tosamoci, a zwaszcza na jej przyczyny i konsekwencje, a dziki temu podnoszenie wiedzy i wiadomoci w tym zakresie. Dodatkowemu wzmocnieniu przekazu suyo zorganizowanie konferencji prasowej oraz rozesanie do mediw specjalnych materiaw informacyjnych, co zaowocowao licznymi publikacjami prasowymi oraz wystpieniami GIODO w radiu i telewizji. W 2009 r. GIODO wzi udzia w europejskim konkursie na najlepsze praktyki w zakresie ochrony danych osobowych stosowane przez podmioty administracji publicznej, zorganizowanym przez Agencj Ochrony Danych Osobowych Regionu Madryt. Podjte wic zostay dziaania majce na celu nagonienie nominacji GIODO do tej nagrody, a dziki temu promowanie platformy eduGIODO, ktra bya projektem zgoszonym do udziau w tym konkursie.

6.2.2 Publikacje

Innowacyjn form edukacji byo wydawanie broszur z serii ABC ochrony danych osobowych. W 2008 roku Generalny Inspektor Ochrony Danych Osobowych ich druk rozpocz we wsppracy z Wydawnictwem Sejmowym, za w 2009 r. kontynuowa realizacj tego projektu z udziaem instytucji reprezentujcych podmioty z okrelonych sektorw. Dziki temu seria ABC ochrony danych osobowych zostaa wzbogacona o nowe pozycje i na koniec 2009 r. obejmowaa: - ABC ochrony danych osobowych, - ABC rejestracji zbiorw danych osobowych , - ABC wybranych zagadnie z ustawy o ochronie danych osobowych, - ABC zasad kontroli przetwarzania danych osobowych, - ABC zasad przekazywania danych osobowych do pastw trzecich, -ABC bezpieczestwa danych osobowych przetwarzanych przy uyciu systemw informatycznych, - ABC przetwarzania danych osobowych w sektorze bankowym, - ABC zagroe bezpieczestwa danych osobowych w systemach teleinformatycznych (ktra dodatkowo zostaa wytoczona na pycie CD na potrzeby konferencji pt. Bezpieczestwo w Internecie, zorganizowanej 16 czerwca 2009 r. przez Uniwersytet Kardynaa Stefana Wyszyskiego w Warszawie). Ponadto w analizowanym roku sprawozdawczym trway prace nad przygotowaniem do publikacji broszur powiconych przetwarzania danych osobowych w sektorze marketingu i w sektorze owiaty.

99

6.2.3 Szkolenia, stae, wymiana pracownikw

a) Szkolenia podmiotw zewntrznych W ramach dziaalnoci edukacyjnej organizowane byy nieodpatne szkolenia skierowane gwnie do instytucji publicznych zgaszajcych zainteresowanie problematyk z zakresu ochrony danych osobowych. Generalny Inspektor Ochrony Danych Osobowych przeprowadzi szkolenia m.in.: kadry urzdniczej Sdu Apelacyjnego w odzi, pracownikw Sdu Okrgowego w Czstochowie, kuratorw zawodowych Sdu Rejonowego i Sdu Okrgowego w odzi oraz Sdu Okrgowego w Nowym Sczu, dyrektorw oddziaw wojewdzkich Narodowego Funduszu Zdrowia, Rzecznikw Praw Pacjentw, kadry kierowniczej i pracownikw centrali NFZ, funkcjonariuszy celnych, przedstawicieli jednostek i komrek organizacyjnych Komendy Stoecznej Policji, naczelnikw w biurach i delegaturach dla dzielnic m. st. Warszawy, Administratorw Bezpieczestwa Zbiorw Kancelarii Prezesa Rady Ministrw, dyrektorw departamentw Urzdu Komisji Nadzoru Finansowego i Urzdu

Marszakowskiego Wojewdztwa Maopolskiego, a take pracownikw spdzielni mieszkaniowych regionu toruskiego. W jednym ze szkole GIODO udzia wzili uczestnicy Forum Sekretarzy Samorzdw Polski Poudniowej - liderzy reprezentujcy Samorzdowy Orodek Doradztwa Metodycznego i Doskonalenia Nauczycieli w Kielcach oraz Gliwicki Orodek Metodyczny w Gliwicach, w ramach programu pilotaowego ,,Twoje dane twoja sprawa. Skuteczna ochrona danych osobowych. Inicjatywa edukacyjna skierowana do uczniw i nauczycieli. Wrd podmiotw szkolonych przez Generalnego Inspektora Ochrony Danych Osobowych znaleli si te pracownicy Ministerstwa Spraw Zagranicznych, Ministerstwa Infrastruktury, Ministerstwa Finansw, kadra kierownicza Kancelarii Sejmu RP i pracownicy Dziau Stenogramw oraz Biura Prac Senackich Kancelarii Senatu RP. W sumie w 2009 r. odbyo si 56 takich szkole, ktrych wykaz znajduje si w zaczniku nr 6. Ponadto Generalny Inspektor Ochrony Danych Osobowych przygotowa specjaln ofert bezpatnych szkole z udziaem ekspertw Biura dla jednostek samorzdu terytorialnego. Do skorzystania z niej zaproszone zostay wszystkie urzdy zainteresowane podnoszeniem kwalifikacji swoich pracownikw w zakresie ochrony danych osobowych. W analizowanym roku sprawozdawczym Generalny Inspektor Ochrony Danych Osobowych nawiza wspprac z Biurem Edukacji m. st. Warszawy w zakresie przygotowania szkole dla dyrektorw placwek edukacyjnych i wsppracy z nimi przy przygotowaniu materiaw edukacyjnych dla uczniw.

100

b) Szkolenia wewntrzne pracownikw Biura GIODO Wzorem poprzednich lat, w roku 2009 organizowane byy szkolenia wewntrzne dla pracownikw Biura GIODO, ktrymi objto osoby nowo zatrudnione oraz tych pracownikw Biura, ktrzy prowadz szkolenia dla instytucji zewntrznych. Tematyka szkole obejmowaa takie zagadnienia, jak: geneza ochrony danych osobowych, prawa osb, ktrych dane dotycz, bezpieczestwo i podstawowe zasady ochrony danych, platforma e-learningowa eduGIODO, status GIODO na tle organizacji i funkcjonowania organw wadzy publicznej, organizacja i techniczne rodki zabezpieczania danych, rejestracja zbiorw, podstawy prawne SIS, CIS i Europolu, europejskie standardy ochrony danych osobowych oraz przekazywanie danych do pastw trzecich. Spord tematw poruszanych na szkoleniach wewntrznych wymieni naley take bezpieczestwo danych osobowych przetwarzanych przy uyciu systemw informatycznych oraz sieci publicznej Internet (serwisy spoecznociowe, poczta elektroniczna) i problem pojawiajcy si na gruncie przypisw o ochronie danych osobowych w zwizku z usug Google Street View. W celu podwyszania jakoci wykonywanej pracy, pracownicy Biura GIODO uczestniczyli take w cyklicznych szkoleniach z zakresu wewntrznego obiegu dokumentw e-SOD oraz w kursach jzyka angielskiego zorganizowanych w ramach unijnego programu LdV dla projektu wymian (PL/09/LLPLdV/VETPRO/140419 Wzmocnienie umiejtnoci pracownikw Biura GIODO). W analizowanym roku sprawozdawczym Generalny Inspektor Ochrony Danych Osobowych nawiza wspprac z Biurem Edukacji m. st. Warszawy w zakresie przygotowania szkole dla dyrektorw placwek edukacyjnych i wsppracy z nimi przy przygotowaniu materiaw edukacyjnych dla uczniw.

c) Stae W 2009 r. w Departamencie Orzecznictwa, Legislacji i Skarg odbywa praktyk aplikant radcowski III roku z Okrgowej Izby Radcw Prawnych w Warszawie. Praktykant mia okazj zapozna si z zagadnieniami dotyczcymi ochrony danych osobowych oraz ze specyfik pracy w Biurze GIODO. Oprcz zada wykonywanych na potrzeby DOLiS uczestniczy take w specjalnych - prowadzonych przez kadr kierownicz oraz pracownikw Biura - szkoleniach organizowanych cyklicznie dla wszystkich nowo zatrudnionych pracownikw.

d) Udzia pracownikw Biura GIODO w szkoleniach organizowanych przez jednostki zewntrzne Pracownicy Biura GIODO korzystali ze szkole informatycznych, ktrych celem byo podnoszenie ich kompetencji w zakresie zarzdzania i administrowania posiadan infrastruktur informatyczn. Do najwaniejszych naleay szkolenia organizowane nieodpatnie przez Rzdowe Centrum

101

Reagowania na Incydenty Komputerowe CERT.GOV.PL dziaajce w ramach Departamentu Bezpieczestwa Teleinformatycznego Agencji Bezpieczestwa Wewntrznego [ABW].

W roku 2009 pracownicy Biura GIODO uczestniczyli w 4 takich szkoleniach.

e) Projekt partnerski realizowany w ramach Programu Leonardo da Vinci W ramach Programu Leonardo da Vinci [LdV] bdcego czci Programu Uczenia si przez cae ycie (Lifelong Learning Programme) realizowany jest projekt partnerski pt.: Zwikszanie wiadomoci w zakresie ochrony danych wrd przedsibiorcw funkcjonujcych na rynkach Unii Europejskiej finansowany ze rodkw Unii Europejskiej. Celem projektu jest dostarczenie materiaw edukacyjnych i szkoleniowych dla podmiotw podejmujcych dziaalno w jednym z krajw uczestniczcych w konsorcjum projektowym. Wszystkie kraje partnerskie uczestniczce w realizacji projektu wskazuj na brak wyczerpujcych i kompleksowych informacji dotyczcych praktyk stosowania prawa ochrony danych osobowych w poszczeglnych obszarach ycia codziennego. Brak usystematyzowanej wiedzy wskazuj zarwno podmioty reprezentujce rne sektory dziaalnoci gospodarczej i publicznej, jak i osoby fizyczne. Biorc pod uwag powysze zidentyfikowane potrzeby konieczne jest podejmowanie wszelkich dziaa majcych na celu upowszechnianie wiedzy dotyczcej problematyki ochrony danych osobowych, adresowanych do rnych grup odbiorcw. W planowanej na zakoczenie projektu publikacji podjte zostan problemy ochrony danych w kontekcie prowadzenia dziaalnoci gospodarczej, przeprowadzony zostanie przegld praktyk stosowanych w poszczeglnych krajach partnerskich w zakresie stosowania przepisw prawa ochrony danych osobowych, ktre mog mie bezporedni wpyw na legalno i zgodno z przepisami wykonywanej dziaalnoci gospodarczej. Poruszone zostan zagadnienia zwizane

m.in. z obowizkami i dziaaniami, ktre naley podj celem rejestracji i zabezpieczenia danych osobowych pracownikw oraz dysponowaniem danymi na potrzeby dziaalnoci przedsibiorstwa. W rezultacie projekt ukierunkowany bdzie na upowszechnianie wiedzy w zakresie ochrony danych osobowych w sposb umoliwiajcy efektywn i samodzieln nauk przez bezporednich adresatw przepisw prawa w tym obszarze w krajach partnerskich. Realizacja projektu umoliwi: analiz i porwnanie praktyk stosowania prawa o ochronie danych osobowych w krajach partnerskich, dotarcie z informacjami o ochronie danych osobowych do podmiotw gospodarczych podejmujcych dziaalno za granic, uwiadomienie i poinformowanie wszystkich odbiorcw, do ktrych adresowana jest publikacja, o niezbdnych dziaaniach, prawach i obowizkach przy rejestracji

102

przedsibiorstwa w krajach partnerskich, wzmocnienie roli organw ochrony danych poszczeglnych pastw uczestniczcych w projekcie w upowszechnianiu informacji do poszczeglnych grup odbiorcw, zintensyfikowanie wsppracy midzy organami ochrony danych w rnych krajach czonkowskich UE. W dniach 5-6 listopada 2009 r. w siedzibie Biura GIODO odbyo si pierwsze spotkanie konsorcjum partnerskiego realizujcego ten projekt, tj. Generalnego Inspektora Ochrony Danych Osobowych z przedstawicielami Urzdu Ochrony Danych z Czech i Wgier. Projekt realizowany bdzie w latach 2009-2011.

f) Oglnopolski program: Twoje dane twoja sprawa. Skuteczna ochrona danych osobowych. Inicjatywa edukacyjna skierowana do uczniw i nauczycieli Inicjatywa ta ma na celu zwikszenie wiedzy uczniw i nauczycieli o zagadnienia zwizane z ochron danych osobowych i prawem kadego czowieka do prywatnoci. Program zakada wspdziaanie na zasadzie partnerstwa dwch samorzdowych orodkw doskonalenia zawodowego nauczycieli (z Kielc i z Gliwic) i Generalnego Inspektora Ochrony Danych Osobowych. Pilota oglnopolskiego programu realizowany bdzie w wojewdztwach lskim i witokrzyskim przy wykorzystaniu dobrych praktyk europejskich organw ochrony danych osobowych. Pilota skada si z dwch etapw. W ramach I etapu, w okresie od 1 wrzenia 2009 r. do 30 czerwca 2010 r. przeszkolona zostanie kadra nauczycielska, tj. wychowawcy, nauczyciele, pedagodzy szkolni i bibliotekarze. Na tym etapie realizacji programu zorganizowana zostaa konferencja organizacyjnopromocyjna w Gliwicach, 28 padziernika 2009 r. Natomiast w II etapie pilotau nastpi wczenie zagadnie zwizanych z ochron danych osobowych do tematyki zaj szkolnych. Powstan konspekty zaj dla nauczycieli i uczniw, raport ewaluacyjny podjtych dziaa oraz edukacyjny program o zasigu oglnopolskim. Nauczyciele bd mogli korzysta z bezpatnych szkole, konsultacji, materiaw dydaktycznych oraz wymiany dowiadcze. Honorowy patronat nad programem objli Rzecznik Praw Dziecka i Prezydent Miasta Gliwice.

6.2.4 Konkursy

a) V edycja konkursu na najlepsze praktyki stosowane przez organy i instytucje publiczne Generalny Inspektor Ochrony Danych Osobowych by jednym z kandydatw do zdobycia nagrody za nowatorskie rozwizania w zakresie ochrony danych osobowych stosowane przez podmioty administracji publicznej w krajach, ktre podpisay Konwencj Rady Europy z 28 stycznia 1981 r. o ochronie osb w zwizku z automatycznym przetwarzaniem danych osobowych. W pitej edycji

103

konkursu organizowanego przez Agencj Ochrony Danych Osobowych Regionu Madryt wysoko zostaa oceniona platforma e-learningowa eduGIODO przygotowana przez Biuro Generalnego Inspektora Ochrony Danych Osobowych. W zwizku z tym, w dniu 4 lutego 2009 r., wizyt w Biurze GIODO zoya ekipa filmowa z Hiszpanii w celu nagrania filmu o zgoszonej do konkursu platformie e-learningowej eduGIODO. Film zosta zaprezentowany 18 lutego 2009 r. w Madrycie podczas Europejskiego seminarium powiconego najlepszym praktykom stosowanym przez organy i instytucje administracji publicznej w zakresie ochrony danych osobowych. Seminarium byo okazj do prezentacji 17 projektw dobrych praktyk, w tym projektu polskiego. Inicjatywa Agencji Ochrony Danych Osobowych Regionu Madryt ma na celu poszerzenie wiadomoci spoecznej na temat najlepszych praktyk w zakresie ochrony danych, zaproponowanych i wprowadzonych dla

przetwarzania danych osobowych przez jakikolwiek organ lub instytucj administracji publicznej w krajach, ktre podpisay wspomnian Konwencj. Najlepsze praktyki brane pod uwag przez komisj oceniajc dotyczyy rnych zagadnie, jak np. poprawa jakoci danych osobowych, projektowanie skutecznych systemw przekazywania obywatelom informacji o zbieraniu danych osobowych, postpowanie w zwizku z wyraeniem zgody przez osob, ktrej dane dotycz, na przetwarzanie jej danych osobowych, bezpieczestwo danych czy obowizek zachowania tajemnicy. Coroczne przyznawanie tej nagrody przez madryck Agencj stanowi form propagowania idei ochrony prywatnoci i ma znaczcy wpyw na poziom "kultury ochrony danych". Polska platforma edukacyjnoinformacyjna eduGIODO zyskaa wysokie noty zarwno u czonkw jury, jak i pozostaych uczestnikw madryckiego spotkania. Nie zdobya jednak gwnej nagrody ze wzgldu na to, e informacje na niej zamieszczone s dostpne jedynie w jzyku polskim.

b) III edycja konkursu plastycznego pt. Ochrona danych osobowych we wspczesnym wiecie Rozwijanie zainteresowa zwizanych z problematyk ochrony danych osobowych i podnoszenie wiadomoci najmodszych czonkw spoeczestwa stao si celem organizacji III edycji konkursu plastycznego Ochrona danych osobowych we wspczesnym wiecie. Jego adresatami byy dzieci w wieku 12-16 lat, wychowankowie warszawskich placwek opiekuczo-wychowawczych. Na konkurs przysanych zostao 27 prac plastycznych od 25 podopiecznych nastpujcych placwek:

- Dom Dziecka Zgromadzenia Sistr Franciszkanek

Rodziny Maryi, ul. Klasykw 52/54 3 prace 5 prac 5 prac 2 prace

- Dom Dziecka Nr 1 im. Maryny Falskiej, Al. Zjednoczenia 34

Zesp Ognisk Wychowawczych im. Kazimierza Lisieckiego Dziadka, Ognisko Mokotw, ul. Grottgera 25a Orodek Wsparcia Dziecka i Rodziny, Koo ul. Dalibora 1 Zesp Ognisk Wychowawczych im Kazimierza Lisieckiego 104

Dziadka, Ognisko Bielany, ul. Broniewskiego 56a Dom Dziecka Nr 4, ul. ukowska 25 Pogotowie Opiekucze Nr 2, ul. w. Bonifacego 81 Pogotowie Opiekucze Nr 1, ul. Dembiskiego 1

2 prace 1 praca 1 praca 6 prac

Rozstrzygnicie konkursu nastpi w dniu 20 stycznia 2010 r. Natomiast wystawa prac plastycznych oraz uroczyste wrczenie nagrd odbdzie si podczas Dnia Otwartego z okazji obchodw IV Dnia Ochrony Danych Osobowych 28 stycznia 2010 r. Masz prawo do prywatnoci w Internecie.

c) Wyniki II edycji konkursu na najlepsz prac magistersk i licencjack W czerwcu 2008 r. Generalny Inspektor Ochrony Danych Osobowych ogosi II edycj konkursu na najlepsz prac magistersk/licencjack dotyczc problematyki ochrony danych osobowych. Konkurs organizowany we wsppracy z Europejskim Stowarzyszeniem Studentw Prawa ELSA Poland, przeznaczony by dla studentw studiw dziennych, wieczorowych i zaocznych wszystkich wydziaw i kierunkw. Celem konkursu byo popularyzowanie wiedzy o ochronie danych osobowych i zwikszenie zainteresowania absolwentw szk wyszych t problematyk. Autorzy i promotorzy mogli zgasza do konkursu prace magisterskie i licencjackie obronione w latach 2004/2005, 2005/2006, 2006/2007 i 2007/2008. Laureatem najlepszej pracy magisterskiej z zakresu ochrony danych osobowych zosta absolwent Uniwersytetu Warszawskiego. Nagrod by miesiczny patny sta w Kancelarii Wierzbowski Eversheds. Uroczysto wrczenia nagrd odbya si 25 maja 2009 r. w Warszawie.

6.2.5 Konferencje, seminaria, spotkania

W roku sprawozdawczym 2009 Generalny Inspektor Ochrony Danych Osobowych zarwno organizowa konferencje i seminaria, jak i bra aktywny udzia w konferencjach zorganizowanych przez inne podmioty. 1. Seminarium Tajemnica statystyczna w postpowaniu karnym. Midzy dobrem wymiaru sprawiedliwoci a wiarygodnoci danych statystycznych (Krakw, 15 stycznia 2009 r.). Organizatorami seminarium byli Gwny Urzd Statystyczny w Krakowie oraz Katedra Prawa Karnego Uniwersytetu Jagielloskiego. 2. III Dzie Ochrony Danych Osobowych 28 stycznia 2009 r. W dniu 28 stycznia 2009 r. Generalny Inspektor Ochrony Danych Osobowych ju po raz trzeci obchodzi Europejski Dzie Ochrony Danych Osobowych ustanowiony przez Komitet Ministrw Rady Europy, jako e w tym dniu witowana jest rocznica otwarcia do podpisu Konwencji 108 RE 105

z dnia 28 stycznia 1981 r. w sprawie ochrony osb w zakresie zautomatyzowanego przetwarzania danych osobowych - najstarszego aktu prawnego o zasigu midzynarodowym, kompleksowo regulujcego zagadnienia zwizane z ochron danych osobowych. Tematem przewodnim tegorocznych obchodw bya ochrona danych osobowych w dobie rozwoju nowoczesnych technologii. Patronat nad obchodami Dnia Ochrony Danych Osobowych objy takie media, jak: Gazeta Prawna, Computerworld, Dziennik Internautw i TVN Warszawa. Cho Dzie Ochrony Danych Osobowych przypada 28 stycznia, to w 2009 r. jego obchody rozpoczy si ju 26 stycznia i trway do 2 lutego 2009 r. W ramach obchodw Dnia Ochrony Danych Osobowych miay miejsce nastpujce wydarzenia: - spotkanie Generalnego Inspektora Ochrony Danych Osobowych w siedzibie Staego Przedstawicielstwa RP przy Unii Europejskiej (Bruksela, 26 stycznia 2009 r.) z posami do Parlamentu Europejskiego, przedstawicielami Komisji Europejskiej oraz innych polskich i unijnych instytucji. W spotkaniu z Generalnym Inspektorem Ochrony Danych Osobowych udzia wzili: Peter Hustinx, Europejski Inspektor Ochrony Danych, Jego Ekscelencja Ks. prof. dr hab. Piotr Mazurkiewicz, Sekretarz Generalny Komisji Episkopatw Wsplnoty Europejskiej oraz Francisco Fonseca Murillo, Dyrektor ds. Sdownictwa Cywilnego, Praw Podstawowych i Obywatelstwa, Komisja Europejska. - obrady Klubu Polskiego w Parlamencie Europejskim (Bruksela, 27 stycznia 2009 r.), podczas ktrych GIODO mia wystpienie powicone bezpieczestwu danych osobowych w Internecie, - Dzie Otwarty w Biurze GIODO (Warszawa, 28 stycznia 2009 r.), w ramach ktrego uczestnicy mieli okazj uzyska informacje na temat ochrony danych osobowych oraz porady prawne. Wszyscy przybyli na Dzie Otwarty otrzymali broszury z cyklu ABC ochrony danych osobowych, ulotki o dziaalnoci Biura i zagroeniach w Internecie, a take mogli zapozna si z platform edukacyjn eduGIOODO i najciekawszymi artykuami prasowymi dotyczcymi ochrony danych. Dzie Otwarty by ponadto okazj do przeprowadzenia konkursw wiedzy o bezpiecznym uytkowaniu Internetu, a najlepiej poinformowani uczestnicy otrzymali atrakcyjne nagrody. Odbyy si rwnie dwa spotkania pracownikw Biura GIODO z dziemi spdzajcymi zim w miecie. Na spotkaniach tych dzieci dowiedziay si o zagroeniach czyhajcych w sieci i uzyskay wskazwki, jak bezpiecznie korzysta z Internetu podczas zabawy czy nauki. Spotkanie z nimi urozmaicone zostao projekcj filmu o tematyce zwizanej z tymi zagroeniami oraz konkursem wiedzy o bezpiecznym uytkowaniu Internetu. Dzieci biorce udzia w dyskusji zostay nagrodzone prezentami. Podczas Dnia Otwartego odbya si te konferencja Zwizku Bankw Polskich pt. Dobre praktyki przetwarzania danych osobowych w bankach - spojrzenie praktykw , podczas ktrej podpisane zostao porozumienie o wsplnym dziaaniu GIODO i Zwizku Bankw Polskich na rzecz podnoszenia standardw ochrony danych osobowych i prawa do prywatnoci w dziaalnoci bankowej. Konferencj

106

otworzyli GIODO i Prezes ZBP, natomiast wykad pt. Standardy ochrony danych osobowych a bezpieczesto klientw bankw wygosi Zastpca Generalnego Inspektora Ochrony Danych Osobowych. Adresatami konferencji byli Prezesi Zarzdw Bankw - Czonkw ZBP oraz przedstawiciele Ministerstwa Finansw, Narodowego Banku Polskiego i Komisji Nadzoru Finansowego. - spotkanie Generalnego Inspektora Ochrony Danych Osobowych z przedsibiorcami zrzeszonymi w Amerykaskiej Izbie Handlowej w Polsce (Warszawa, 2 lutego 2009 r.) powicone bezpieczestwu danych osobowych w Internecie. 3. Konferencja Monitoring wydatkowania wybranych funduszy publicznych (Warszawa, 28 stycznia 2009 r. ). Na konferencji tej, zorganizowanej przez Fundacj im. Stefana Batorego, gwnym tematem dyskusji uczestnikw by konflikt miedzy przepisami dotyczcymi dostpu do informacji publicznej 4. a ochron danych osobowych.

Konferencja Zarzdzanie w owiacie III edycja (Warszawa, 26 lutego 2009 r.). Organizatorem III edycji tej oglnopolskiej konferencji dla dyrektorw szk

ponadgimnazjalnych bya Wysza Szkoa Zarzdzania i Prawa im. Heleny Chodkowskiej. Przedstawiciele Generalnego Inspektora Ochrony Danych Osobowych przedstawili uczestnikom problematyk zwizan z ochron danych osobowych w dziaalnoci szkoy redniej. 5. Konferencja Problemy edukacji prawno-informatycznej (Warszawa, 26 lutego 2009 r.). Podczas tej konferencji zorganizowanej na Wydziale Prawa i Administracji Uniwersytetu Kardynaa Stefana Wyszyskiego w Warszawie, w dyskusji panelowej na temat problemw edukacji prawno-informatycznej uczestniczy Zastpca Generalnego Inspektora Ochrony Danych Osobowych. Inicjatywa konferencji o problemach edukacji prawno-informatycznej jest zwizana midzy innymi z planowanym poszerzeniem oferty studiw podyplomowych i szkole zwizanych w wykorzystaniem narzdzi informatycznych w administracji publicznej i w sdach. Konferencja bya te okazj do sformuowania koncepcji poszerzenia udziau uczelni w budowie spoeczestwa informacyjnego. 8. XVIII Zwyczajne Zgromadzenie Czonkw Polskiej Izby Informatyki i Telekomunikacji. Konferencja 3.TeraForum (Warszawa, 11 marca 2009 r.). Podczas Konferencji Generalny Inspektor Ochrony Danych Osobowy w swoim wystpieniu omawia zagadnienia dotyczce ochrony danych osobowych w kontekcie dziaalnoci teleinformatycznej. Jego przemwienie skoncentrowao si na wyzwaniach, jakie dla waciwej ochrony danych osobowych stwarza rozwj nowoczesnych technologii i podkrela, e ustawa o ochronie danych osobowych jest i powinna pozosta zbiorem oglnych zasad gwarantujcych

107

obywatelom prawo do ochrony ich danych osobowych. Potrzebny jest natomiast dialog z przedstawicielami rodowisk poszczeglnych sektorw gospodarczych, ktrego rezultatem moe by stworzenie kodeksu dobrych praktyk. Zdaniem GIODO, ochron danych osobowych naley postrzega jako warto istotnie zwikszajc konkurencyjno na rynku, gdy budowanie zaufania klientw, szczeglnie w gospodarce elektronicznej, w duym stopniu jest uzalenione od spenienia zasad ochrony danych osobowych. 9. Kongres Strategiczne Forum Liderw Marketingu, Mediw i Komunikacji

(Warszawa, 12-13 marca 2009 r.). ECU Marketing wraz ze Stowarzyszeniem Marketingu Bezporedniego byli organizatorami tego pierwszego w Polsce kongresu poczonego z targami marketingu zintegrowanego.

W zamierzeniach organizatorw kongres ten sta si platform komunikacji midzy firmami tworzcymi rynek marketingowy w Polsce a podmiotami, ktre dysponuj konkretn i sprawdzon wiedz na temat tego, na czym powinny one oprze swoj przewag konkurencyjn na rynku. Podczas kongresu 12 marca 2009 r. Generalny Inspektor Ochrony Danych Osobowych, jego Zastpca oraz - na zaproszenie GIODO - Andrs Jri, Parlamentarny Rzecznik Ochrony Danych z Wgier, wzili udzia w dyskusji panelowej Effective Protection of Presonal Data in Poland the Consequences for the Marketing Sector. 10. V edycja seminarium Jako danych w systemach informatycznych zakadw ubezpiecze zorganizowanego przez Polsk Izb Ubezpiecze (Warszawa, 25 marca 2009 r.). Na seminarium prezentowane byy zagadnienia dotyczce zarzdzania systemami

informatycznymi oraz dziaania ukierunkowane na uzyskanie wysokiej jakoci danych w tych systemach. Prezentowane byy rwnie prace powoanej w sektorze ubezpieczeniowym Komisji ds. Standaryzacji Informacji oraz OBD PIU. Przedstawiciel GIODO w swoim wystpieniu pt. Zalecenia standaryzacyjne dotyczce bezpieczestwa wymiany danych osobowych drog elektroniczn zwrci uwag na rne podejcia do problemu okrelania warunkw, jakie powinny spenia systemy informatyczne oraz porwna wymagania okrelone w przepisach o ochronie danych osobowych oraz w przepisach o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne z wymaganiami okrelonymi w normach midzynarodowych ISO/IEC, ktre stosowane s rwnie w Polsce. Wskaza w szczeglnoci na zalecenia dotyczce stosowania tych norm. Zwrci uwag na zalecenia okrelone w normie PN-ISO/IEC 17799:2005 oraz PN-ISO/IEC 27001, ktre mog by wykorzystane jako przewodnik do sposobu realizacji obowizku administratorw danych wynikajcych z art. 36 ustawy o ochronie danych osobowych oraz realizacji zada okrelonych Rozporzdzeniu Ministra Spraw Wewntrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz

108

warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024). 11. III Konferencja Call Contact Center Bdmy w kontakcie (Warszawa,1 kwietnia 2009 r.). Obrady III Konferencji Call Contact Center Bdmy w kontakcie zorganizowanej przez tygodnik Computerworld koncentroway si wok istotnych problemw firm prowadzcych telefoniczn sprzeda i obsug klienta. Wystpienie przedstawiciela Biura GIODO pozwolio na przyblienie uczestnikom konferencji istoty planowanych zmian w ustawie o ochronie danych osobowych. 12. Sesja Naukowa X Konferencji Okrgego Stou pt. Polska w drodze do Spoeczestwa Informacyjnego; bezpieczestwo w warunkach powstajcego Spoeczestwa Informacyjnego (Warszawa, 15 maja 2009 r.). Stowarzyszenie Elektrykw Polskich i Przemysowy Instytut Telekomunikacji w ramach obchodw wiatowego Dnia Telekomunikacji i Spoeczestwa Informacyjnego204 zorganizowali Konferencj Okrgego Stou. Honorowy patronat nad Konferencj sprawowa Marszaek Sejmu - Bronisaw Komorowski, za Minister Infrastruktury Cezary Grabarczyk - obj patronatem honorowym cao obchodw wiatowego Dnia Telekomunikacji i Spoeczestwa

Informacyjnego w 2009 r. Konferencja miaa charakter sesji naukowej powiconej bezpieczestwu w warunkach powstajcego Spoeczestwa Informacyjnego, w ramach ktrej poruszane byy tematy zwizane z komputeryzacj systemw walki, dowodzenia i logistyki w nowoczesnej armii, wojskowe techniki dla bezpieczestwa narodowego i obrony cywilnej, bezpieczestwo sieciowe jako fundament bezpieczestwa infrastruktury krytycznej, a take zwizane z tym aspekty prawne i moralne. 13. III Konferencja Holistyczne zarzdzanie danymi osobowymi. Praktyka marketingu a zarzdzanie danymi osobowymi" zorganizowana przez Global Information Security Sp. z o.o. (Mikoajki, 21 maja 2009 r.). W spotkaniu tym, w ktrym uczestniczyli Generalny Inspektor Ochrony Danych Osobowych i jego zastpca, przedstawione zostay zagadnienia zwizane z prawnymi aspektami dziaalnoci marketingowej w kontekcie administrowania i zarzdzania danymi osobowymi.

Zgodnie z decyzj przywdcw pastw podjt w listopadzie 2005 r. w Tunisie podczas wiatowego Szczytu Spoeczestwa Informacyjnego i postanowieniami konferencji Midzynarodowego Zwizku Telekomunikacyjnego (ITU) w 2006 r. (Antalaya, Turcja) postanowiono dzie 17 maja obchodzi na caym wiecie jako wiatowy Dzie Telekomunikacji i Spoeczestwa Informacyjnego. Data 17 maja upamitnia utworzenie 17 maja 1865 r. Midzynarodowego Zwizku Telekomunikacyjnego (ITU), wyspecjalizowanej organizacji Narodw Zjednoczonych. W 2009 r. obchody wiatowego Dnia Telekomunikacji i Spoeczestwa Informacyjnego przebiegay pod ogoszonym przez Midzynarodowy Zwizek Telekomunikacyjny hasem Bezpieczestwo dzieci w cyberprzestrzeni i odbyway si od 12 do 15 maja 2009 r.

204

109

14.

V Kongres Ochrony Informacji Niejawnych, Biznesowych i Danych Osobowych Krajowego Stowarzyszenia Ochrony Informacji Niejawnych (Kazimierz Dolny, 3 czerwca 2009 r.). Tematyka Kongresu obejmowaa najnowsze zagadnienia dotyczce ochrony danych w kontekcie prawnych i praktycznych uwarunkowa zwizanych z ochron informacji niejawnych, biznesowych oraz danych osobowych. W kongresie udzia wzi Zastpca GIODO, ktry zabra gos w panelu tematycznym pt. Aktualne problemy, wyzwania i zagroenia ochrony informacji w firmie/instytucji w aspekcie bezpieczestwa pastwa.

15.

Konferencja naukowa Bezpieczestwo w Internecie (Warszawa, 16 czerwca 2009 r.). Organizatorem konferencji, nad ktr honorowy patronat sprawowa Generalny Inspektor Ochrony Danych Osobowych, by Dziekan Wydziau Prawa i Administracji Uniwersytetu Kardynaa Stefana Wyszyskiego w Warszawie. Na konferencji przedstawiony zosta referat na temat portali spoecznociowych w kontekcie ochrony danych osobowych. W trakcie spotkania Generalny Inspektor Ochrony Danych Osobowych oraz Prorektor UKSW podpisali

Porozumienie o wsppracy w zakresie ochrony prywatnoci i danych osobowych. 16. Letnie konwersatorium nt. ochrony danych osobowych zorganizowane przez Krajowe Stowarzyszenie Ochrony Informacji Niejawnych [KSOIN] w porozumieniu z Generalnym Inspektorem Ochrony Danych Osobowych (Kazimierz Dolny, 21 sierpnia 2009 r.). Adresatami konwersatorium byli administratorzy danych osobowych [ADO], administratorzy bezpieczestwa informacji [ABI] oraz kadra kierownicza i pracownicy dziaw przetwarzajcych dane osobowe. Celem konwersatorium byo ugruntowanie wiedzy w zakresie przepisw dotyczcych ochrony danych osobowych, a take doskonalenie umiejtnoci opracowania dokumentacji dotyczcej ochrony danych osobowych, opracowania i wdraania polityki bezpieczestwa, instrukcji zarzdzania systemem informatycznym, wprowadzania niezbdnych zmian w jednostce organizacyjnej dostosowujcych jej dziaania do wymaga prawnych z dziedziny ochrony danych osobowych oraz wymiana dowiadcze i uwag na temat roli, zada i kompetencji ADO i ABI. Zajcia programowe prowadzone byy przez pracownikw GIODO oraz innych ekspertw zajmujcych si na co dzie ochron danych osobowych

i bezpieczestwem informacji. 17. III Konferencja Bezpieczestwo dzieci i modziey w Internecie 29-30 wrzenia 2009 r.) zorganizowana przez Fundacj Dzieci Niczyje i Akademick Sie Komputerow. To ju trzecia edycja tej imprezy zorganizowanej w ramach programu Komisji Europejskiej Safer Internet Plus wspfinansowanego ze rodkw Unii Europejskiej. Honorowy patronat nad konferencj obj Generalny Inspektor Ochrony Danych Osobowych, ktry wygosi na niej wykad pt. Portale spoecznociowe a ochrona danych osobowych. Z myl o najmodszych (Warszawa, oraz Naukow

110

uytkownikach Internetu opracowana zostaa ulotka informacyjna Ja i mj komputer jestemy bezpieczni, ktra w przystpny sposb przedstawia podstawowe zasady bezpiecznego korzystania z sieci w obszarze Mj bezpieczny komputer, Mj bezpieczny Internet, Moje bezpieczne dane. W ulotce tej wykorzystane zostay rysunki uczniw warszawskich szk podstawowych, ktrzy brali udzia w I edycji konkursu plastycznego pt. Prywatno wok mnie zorganizowanego przez GIODO w 2007 r. 18. Cykl wykadw powiconych problematyce ochrony danych osobowych, Wszechnica Polska Szkoa Wysza Towarzystwa Wiedzy Powszechnej w Warszawie (Warszawa, w okresie od 8 padziernika 2009 r. do 7 lutego 2010 r.). Na mocy porozumienia zawartego w dniu 4 sierpnia 2009 r. pomidzy GIODO a Rektorem Wszechnicy Polskiej Szkoy Wyszej TWP o wsppracy w zakresie ochrony danych osobowych i prawa do prywatnoci, w semestrze zimowym roku akademickiego 2009/2010 dyrektorzy Biura GIODO oraz ich zastpcy przeprowadzili 50 godzin zaj na studiach stacjonarnych, kierunek Bezpieczestwo Bezpieczestwo wewntrzne, wewntrzne i 48 20 godzin godzin na na studiach studiach niestacjonarnych, niestacjonarnych, kierunek kierunek

Administracja. W sumie 118 godzin. Tematyka spotka ze suchaczami obejmowaa takie zagadnienia, jak charakterystyk podstawowych poj ustawy o ochronie danych osobowych, przetwarzanie danych osobowych, zadania administratora danych oraz prawa podmiotu danych, rejestracja zbiorw danych osobowych, ochrona danych osobowych na forum Unii Europejskiej: podstawy prawne, zasady i ramy wsppracy, kontrola przestrzegania przepisw ustawy o ochronie danych osobowych, techniczno-organizacyjne aspekty ochrony danych osobowych w systemach informatycznych, narzdzia i systemy informatyczne suce do przetwarzania danych osobowych. 19. Tydzie Zapobiegania Kradziey Tosamoci. Dzie Otwarty w Biurze GIODO (Warszawa, 14 padziernika 2009 r.). W zwizku z obchodzonym w dniach 11-18 padziernika 2009 r. Tygodniem Zapobiegania Kradziey Tosamoci, w dniu 14 padziernika 2009 r. w Biurze GIODO zorganizowany zosta Dzie Otwarty, podczas ktrego odbyy si wykady ekspertw, konkursy z nagrodami, a take udzielane byy bezpatne porady prawne. Celem akcji byo zwrcenie uwagi na problem kradziey tosamoci, a zwaszcza na jej przyczyny i konsekwencje, a dziki temu podnoszenie wiedzy i wiadomoci w tym zakresie. 20. VI Oglnopolska Konferencja Pomoc dzieciom ofiarom przestpstw zorganizowana przez Fundacj Dzieci Niczyje (Warszawa, 27 padziernika 2009 r.). Tematem przewodnim tej Konferencji byo stworzenie ram prawnych i organizacyjnych niesienia pomocy dzieciom, ktre dowiadczyy rnych form przemocy, a take ochrona praw dzieci

111

uczestniczcych w procedurach prawnych. Prezentowane byy projekty i inicjatywy praktycznej pomocy dzieciom ofiarom przestpstw i ich rodzinom oraz profesjonalne wydawnictwa dotyczce tej problematyki. Przedstawiciel GIODO wzi udzia w panelu dyskusyjnym Ochrona danych osobowych a prawne ograniczenia moliwoci pomocy dzieciom. 21. Konferencja informacyjno-promocyjna w ramach oglnopolskiego programu ,,Twoje dane twoja sprawa. Skuteczna ochrona danych osobowych. Inicjatywa edukacyjna skierowana do uczniw i nauczycieli (Gliwice, 28 padziernika 2009 r.). Adresatami Konferencji, nad ktr honorowy patronat objli Rzecznik Praw Dziecka i Prezydent Miasta Gliwice, byli przedstawiciele placwek owiatowych zainteresowanych problematyk ochrony danych osobowych i prywatnoci. Na spotkaniu tym, oprcz wystpienia GIODO, grupie zoonej z 22 gimnazjalistw zostaa zaprezentowana lekcja pokazowa na temat ochrony danych osobowych. Zajcia zakoczone zostay procedur omwienia i ewaluacji. 22. III edycja FORUM IAB 2009 (Warszawa, 4-5 listopada 2009 r.). Organizatorem Forum by Zwizek Pracodawcw Brany Internetowej IAB Polska, za patronat honorowy nad tym spotkaniem obj Minister Gospodarki. Forum IAB pokazao, jakim silnym medium jest w Polsce Internet. Na spotkaniach dyskutowane byy przysze rozwizania prawne majce wpyw na rozwj reklamy internetowej, w tym reklamy z wykorzystaniem serwisw spoecznociowych i telewizji. 23. VII Forum ADO/ABI Outsourcing procesw przetwarzania danych osobowych zorganizowane przez Centrum Promocji Informatyki Sp. z o.o. (Warszawa, 17 listopada 2009 r.). W programie spotkania znalazy si takie tematy, jak: pojcie danych osobowych w wietle ostatnich stanowisk zajmowanych przez waciwe organy w Polsce i w innych krajach Unii Europejskiej, status podmiotw przetwarzajcych dane osobowe w grupach kapitaowych, wykrelenie z rejestru zbiorw, zagadnienia prawidowego wykonania obowizkw dotyczcych struktur baz danych oraz funkcjonalnoci zarzdzajcych nimi aplikacji, powierzenie przetwarzania danych, outsourcing informatyczny a przetwarzanie danych osobowych, praktyczne aspekty outsourcingu funkcji administratora bezpieczestwa informacji i inne. Na spotkaniu tym dyrektor Departamentu Informatyki Biura GIODO wygosi referat pt. Prawidowe wykonanie obowizkw dotyczcych struktur baz danych oraz funkcjonalnoci zarzdzajcych nimi aplikacji odnotowanie i raportowanie czynnoci zwizanych

przetwarzaniem danych osobowych w systemie informatycznym ( 7 rozporzdzenia MSWiA z dnia 29.04.2004 r.).

112

24.

III Kongres Prawa Owiatowego (Warszawa, 3 grudnia 2009 r.). Na Kongresie tym, ktrego organizatorem by Instytut Bada w Owiacie, przedstawiona zostaa prezentacja Generalnego Inspektora Ochrony Danych Osobowych pt. Ochrona danych osobowych w owiacie.

6.2.6 Internet

W roku 2009 nastpia gruntowna przebudowa serwisu informacyjnego Biura GIODO. Opracowano nowy ukad graficzny serwisu wraz z nowym podziaem na sekcje informacyjne. Modyfikacje polegay na: zmianie ukadu zawartoci, ktra miaa na celu popraw przejrzystoci i dostpnoci treci, modyfikacji treci, uruchomieniu nowych funkcjonalnoci, uproszczeniu sposobu przekazywania informacji, poprawie nawigacji.

Zaoeniem wprowadzonych zmian byo stworzenie bardziej przyjaznej dla uytkownikw strony internetowej, a take uatwienie korzystania z niej. Realizacja tego przedsiwzicia wymagaa od strony programowej wprowadzenia szeregu zmian w istniejcych ju moduach programowych, jak rwnie opracowania wielu nowych moduw, np. moduu prezentacji strony gwnej i systemu nawigacji, moduu prezentacji specyficznych podstron dla okrelonych rodzajw zestaww informacji (np. wyrokw sdowych, decyzji GIODO, sygnalizacji GIODO itd.), a take opracowanie 4 nowych podstron tematycznych dla prezentacji grup tematycznych: Jeli chcesz zoy skarg, Elektroniczna Skrzynka Podawcza, Rejestracja zbiorw danych osobowych oraz Porady i wskazwki. Nowy podzia na sekcje informacyjne wymaga ponadto przeprowadzenia zmian w strukturze bazy danych, opisie poszczeglnych materiaw informacyjnych oraz opracowania nowych moduw prezentacji. W ramach aktualizacji treci serwisu internetowego Biura GIODO w 2009 r. zamieszczono 758 nowych artykuw oraz 339 zacznikw w postaci plikw PDF. Dodatkowo dokonano 2546 modyfikacji istniejcych ju artykuw. Wikszo modyfikacji zwizana bya ze zmian przyporzdkowania poszczeglnych materiaw do waciwych sekcji informacyjnych. W zwizku z bardzo dynamiczn rozbudow serwisu internetowego Biura GIODO, ktry na koniec 2009 r. zawiera blisko 2700 artykuw oraz blisko 1600 zacznikw, rozpoczto prac nad zaprojektowaniem i stworzeniem nowego bardziej elastycznego i wydajnego mechanizmu do prezentacji danych. Prace te obejmoway zmiany w konstrukcji gwnego kontrolera systemu,

113

opracowanie nowego sposobu budowania linkw oraz opracowanie funkcji tworzcej nawigacj. Dodatkowo opracowano nowe funkcje obiektu strona i funkcji decydujcej o ukadzie podstrony. a) Elektroniczna Skrzynka Podawcza (ESP) Na stronie internetowej GIODO od 2007 r. funkcjonuje Elektroniczna Skrzynka Podawcza, dziki ktrej system informatyczny Biura GIODO dostosowany zosta do wymogw Rozporzdzenia Prezesa Rady Ministrw z dnia 29 wrzenia 2005 r. w sprawie warunkw organizacyjnotechnicznych dorczania dokumentw elektronicznych podmiotom publicznym (Dz. U. Nr 200, poz. 1651). Zakupione w zwizku z tym oprogramowanie zintegrowane zostao ze stron podmiotow Biuletynu Informacji Publicznej GIODO. W efekcie na stronie internetowej umieszczono formularz gwny do przekazywania pism drog elektroniczn oraz 6 wyspecjalizowanych formularzy tematycznych o nazwach: Wniosek o wydanie zawiadczenia o zarejestrowaniu zbioru danych osobowych, Skarga na nieprawidowoci w procesie przetwarzania danych osobowych, Wniosek o wyjanienie zakresu stosowania przepisw o ochronie danych osobowych, Wniosek o wyraenie zgody na przekazanie danych osobowych do pastwa trzeciego, Wyjanienie w sprawie wskazanej przez GIODO, Inne podanie (wniosek). Elektroniczna Skrzynka Podawcza [ESP-GIODO] jest rodkiem komunikacji elektronicznej sucym do skadania poda, wnioskw i skarg do Generalnego Inspektora Ochrony Danych Osobowych w formie elektronicznej, przy wykorzystaniu powszechnie dostpnej sieci

teleinformatycznej. ESP-GIODO automatycznie wytwarza urzdowe powiadczenie odbioru dokumentw elektronicznych, zgodnie z warunkami okrelonymi w ww. rozporzdzeniu. Korzystanie z ESP-GIODO w zakresie niektrych spraw jest moliwe tylko dla tych interesantw, ktrzy posiadaj bezpieczny podpis elektroniczny weryfikowany przy uyciu kwalifikowanego certyfikatu, o ktrym mowa w art. 5 ustawy z dnia 18 wrzenia 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450 z pn. zm.), wywoujcy skutki prawne okrelone ustaw. Na stronie internetowej GIODO znajduje si wykaz wnioskw, ktre mona skada za porednictwem ESP bez wymogu posiadania kwalifikowanego certyfikatu (tzn. nie wymagaj podpisu elektronicznego). W Biurze GIODO opracowany te zosta projekt modyfikacji formularzy udostpnianych w ramach Elektronicznej Skrzynki Podawczej oraz integracji systemw e-GIODO z ESP oraz ESP z ePUAP-em, tj. elektroniczn Platform Usug Administracji Publicznej.205

205

ePUAP stanowi cz projektu elektronicznej Platformy Usug Administracji Publicznej, realizowanego w ramach Centrum Projektw Informatycznych MSWiA. Zadaniem portalu jest udostpnianie informacji na temat usug publicznych

114

b) Rozszerzenie

funkcjonalnoci

elektronicznej

platformy

komunikacji

Generalnym

Inspektorem Ochrony Danych Osobowych (platforma e-GIODO) W roku 2009 dokonano kilku, bardzo istotnych z punktu widzenia funkcjonalnoci, modyfikacji platformy e-GIODO. Najwaniejsze z nich to: 1. Wprowadzenie nowej wersji interaktywnego formularza wniosku zgoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, zmodyfikowanego stosownie do wzoru zgoszenia opublikowanego w Rozporzdzeniu Ministra Spraw Wewntrznych i Administracji z dnia 11 grudnia 2008 r. (Dz. U. z 2008 r. Nr 229, poz. 1536). 2. Wymiana komponentu sucego do elektronicznego podpisywania wysyanych wnioskw bezporednio w oknie przegldarki z wersji uzalenionej technologicznie od rodowiska Net Framework firmy Microsoft na wersj otwart. 3. Wprowadzenie funkcjonalnoci wysyania do administratorw przesyajcych wnioski,

tzw. Urzdowego Powiadczenia Przedoenia [UPP]. Funkcjonalno ta zostaa zrealizowana poprzez uycie do przekazywania wnioskw wysyanych z eGIODO narzdzi zastosowanych w Elektronicznej Skrzynce Podawczej. c) Udzia GIODO w pracach Komitetu Technicznego nr 182 ds. Ochrony Informacji w Systemach Teleinformatycznych W roku 2009, podobnie jak w latach ubiegych, Generalny Inspektor Ochrony Danych Osobowych uczestniczy w pracach Komitetu Technicznego nr 182 ds. Ochrony Informacji w Systemach Teleinformatycznych przy Polskim Komitecie Normalizacyjnym [PKN]. Dziaalno GIODO bya zwrcona szczeglnie na prace podejmowane przez Komitet JTC/SC27w ramach grupy roboczej WG 5 - Identity management and privacy Technologies. W roku 2009 w ramach ww. komitetu KT-182 przygotowywano midzy innymi dziewi projektw norm. Poza udziaem w dyskusjach dotyczcych uzgodnienia treci ww. norm, GIODO bra udzia

w wypracowaniu polskiego stanowiska w gosowaniu nad projektem normy ISO/IEC CD 24745 Information Technology Security techniques Biometric template protection, opracowanej w ramach prac Komitetu JTC/SC27 przez grup robocz WG 5.

6.2.7 Inne informacje

a) Porozumienie pomidzy GIODO a Zwizkiem Bankw Polskich W ramach obchodw III Dnia Ochrony Danych Osobowych 28 stycznia 2009 r. odbya si konferencja Zwizku Bankw Polskich pt. Dobre praktyki przetwarzania danych osobowych

realizowanych drog elektroniczn. Informacje zawarte na portalu odnosz si do formy organizacyjno-prawnej, moliwoci systemu, sposobu korzystania oraz innych kwestii zwizanych z platform.

115

w bankach spojrzenie praktykw, podczas ktrej podpisane zostao porozumienie GIODO ze Zwizkiem Bankw Polskich na rzecz podnoszenia standardw ochrony danych osobowych i prawa do prywatnoci w dziaalnoci bankowej. Podpisanie dokumentu stao si podstaw

do rozpoczcia zainicjowanego przez Generalnego Inspektora Ochrony Danych Osobowych procesu wsppracy z sektorem bankowym w zakresie wprowadzenia dobrych praktyk przetwarzania danych osobowych w bankach i instytucjach kredytowych. Porozumienie podpisali Micha Serzycki - GIODO oraz Prezes ZBP - Krzysztof Pietraszkiewicz.

b) Porozumienie pomidzy GIODO a JM Prorektorem Uniwersytetu Kardynaa Stefana Wyszyskiego w Warszawie W dniu 16 czerwca 2009 r. w Warszawie, podczas obrad konferencji naukowej Bezpieczestwo w Internecie zorganizowanej przez Dziekana Wydziau Prawa i Administracji Uniwersytetu Kardynaa Stefana Wyszyskiego w Warszawie, Micha Serzycki, Generalny Inspektor Ochrony Danych Osobowych oraz JM Prorektor UKSW ks. prof. dr hab. Henryk Skorowski podpisali

Porozumienie o wsppracy w zakresie ochrony prywatnoci i danych osobowych, w ktrym zobowizali si do wsppracy w zakresie ochrony prywatnoci i danych osobowych.

c) Porozumienie pomidzy GIODO a JM Rektorem Wszechnicy Polskiej Szkoy Wyszej Towarzystwa Wiedzy Powszechnej w Warszawie W dniu 4 sierpnia 2009 r. Generalny Inspektor Ochrony Danych Osobowych podpisa Porozumienie ze Szko Wysz Towarzystwa Wiedzy Powszechnej w Warszawie o wsppracy

w zakresie ochrony danych osobowych i prawa do prywatnoci. Zgodnie z Porozumieniem, na uczelni bd prowadzone zajcia z ochrony danych osobowych. Jest to kolejna inicjatywa edukacyjna, poniewa GIODO ju od dawna wsppracuje przy realizacji zaj akademickich m.in. z Akademi Leona Komiskiego (studia podyplomowe Ochrona Danych Osobowych) oraz z Uniwersytetem Kardynaa Stefana Wyszyskiego (Podyplomowe Studium z zakresu Ochrony Informacji Niejawnych i Danych Osobowych).

d) Porozumienie pomidzy GIODO a Samorzdowym Orodkiem Doradztwa Metodycznego i Doskonalenia Nauczycieli w Kielcach W dniu 20 padziernika 2009 r. Generalny Inspektor Ochrony Danych Osobowych podpisa porozumienie z Samorzdowym Orodkiem Doradztwa Metodycznego i Doskonalenia Nauczycieli w Kielcach o wsppracy w zakresie dziaa edukacyjnych na rzecz podnoszenia poziomu wiadomoci w zakresie ochrony prywatnoci i danych osobowych. W wyniku porozumienia rozpoczty zosta program pilotaowy, ktry ma na celu opracowanie oglnopolskiego programu,

116

w ramach ktrego do szk zostan wprowadzone lekcje o tematyce dotyczcej ochrony danych osobowych.

e) Newsletter Prywatno w wiecie. Przegld wydarze. W celu zagwarantowania systematycznego otrzymywania informacji dotyczcych ochrony prywatnoci i danych osobowych za granic, od wrzenia 2008 r. pracownicy Biura GIODO otrzymuj tumaczenia artykuw z Newslettera Prywatno w wiecie. Przegld wydarze. Informujcych o najwaniejszych i inicjatywach podejmowanych na wiecie w zwizku z ochron danych osobowych i przestrzeganiem prawa do prywatnoci W 2009 r. dokona tumacze i przekaza 97 artykuw o cznej liczbie 230 stron.

7. Uczestnictwo w pracach midzynarodowych organizacji i instytucji zajmujcych si problematyk ochrony danych osobowych
Jednym z zada Generalnego Inspektora jest uczestnictwo w pracach midzynarodowych organizacji i instytucji zajmujcych si problematyk ochrony danych osobowych. Zadanie to realizowane jest przede wszystkim poprzez udzia Generalnego Inspektora oraz jego przedstawicieli w pracach grup roboczych, konferencjach, seminariach organizowanych zarwno w kraju, jak i za granic, a take w rnych formach wsppracy z innymi organami ochrony danych osobowych. Do najwaniejszych zada GIODO w ramach wsppracy midzynarodowej naley: 1. udzia w pracach Grupy Roboczej Art. 29 ds. ochrony danych osobowych, 2. wyznaczanie czonkw Wsplnego Organu Nadzorczego zajmujcego si zagadnieniami ochrony danych osobowych w zwizku z utworzeniem tzw. Obszaru Schengen (JSA Schengen) i uczestnictwo w roli obserwatora w posiedzeniach tego organu, 3. wybr czonkw Wsplnego Organu Nadzorczego nad Europolem (JSB Europol), ich zastpcw oraz kandydatw na czonka Komitetu Rewizyjnego oraz jego zastpc, 4. udzia w pracach grupy koordynacyjnej do spraw nadzoru nad systemem Eurodac, 5. uczestnictwo w pracach Komitetu Konsultacyjnego ds. Konwencji o ochronie osb w zwizku z automatycznym przetwarzaniem danych osobowych, 6. wyznaczanie czonkw Wsplnego Organu Nadzorczego waciwego w sprawach ochrony danych osobowych w zwizku z wykorzystywaniem systemu informacyjnego dla odpraw celnych (JSA Customs), 7. udzia w pracach Grupy roboczej ds. policji i wymiaru sprawiedliwoci, 8. wsppraca w ramach Grupy organw ochrony danych osobowych Europy rodkowej i Wschodniej, 117

9. udzia w pracach Grupy roboczej ds. ochrony danych osobowych w Telekomunikacji, 10. udzia w organizowanych cyklicznie Midzynarodowych Konferencjach Rzecznikw Ochrony Danych Osobowych i Prywatnoci, Wiosennych Konferencjach Europejskich Organw Ochrony Danych oraz w Warsztatach Rozpatrywania Spraw, 11. wsppraca z rzecznikami ochrony danych innych krajw, 12. wsppraca z Data Protection Review i czonkostwo w Radzie Doradczej tego ukazujcego si co cztery miesice periodyku internetowego, publikowanego przez madrycki organ ochrony danych.206

W dziaalnoci midzynarodowej Generalnego Inspektora naley rwnie wyrni udzielanie przez niego odpowiedzi na napywajce z zagranicy pytania dotyczce interpretacji i stosowania przepisw polskiego prawa o ochronie danych osobowych.

W omawianym roku sprawozdawczym, podobnie jak w latach poprzednich, wrd rnych form dziaalnoci midzynarodowej podstawowe znaczenie miaa wsppraca Generalnego Inspektora z europejskimi rzecznikami ochrony danych osobowych na forum Unii Europejskiej. Odnosia si ona przede wszystkim do zagadnie zwizanych z przetwarzaniem danych osobowych w I i III filarze UE. Na szczeglne podkrelenie zasuguje zwaszcza wsppraca Generalnego Inspektora z w ramach Grupy Roboczej Art. 29 ds. ochrony danych osobowych, ktra zostaa ustanowiona na podstawie art. 29 dyrektywy 95/46/WE. Czci Grupy Roboczej Art. 29 s rnego rodzaju podgrupy powoywane w celu analizy szczegowych zagadnie dotyczcych ochrony danych osobowych oraz przygotowywania dokumentw na posiedzenia plenarne. Grupa Robocza Art. 29 w swoim Programie prac na lata 2008-2009 podkrelia konieczno rozwaenia kilku podstawowych kwestii, jak: zwikszenie oddziaywania dyrektywy 95/46/WE i roli Grupy Roboczej Art. 29, wpywu nowych technologii na kwestie ochrony danych osobowych (w szczeglnoci zastosowanie chipw RFID czy elektronicznych systemw pobierania opat za przejazd), transfer danych osobowych do innych krajw oraz zagadnienia dotyczce ochrony prywatnoci i jurysdykcji w wymiarze wiatowym.207 W roku sprawozdawczym 2009 Generalny Inspektor Ochrony Danych Osobowych uczestniczy w Brukseli w czterech posiedzeniach wspomnianej Grupy. Na 69. posiedzeniu, ktre odbyo si w dniach 10-11 lutego 2009 r. omawiane byy zagadnienia zwizane z wyszukiwarkami. Grupa Robocza Art. 29 spotkaa si z przedstawicielami

206 207

Najnowsze wydanie i archiwalne numery periodyka Data Protection Review mona znale w Internecie pod adresem

www.dataprotectionreview.eu

Dokumenty przyjte przez Grup dostpne s na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych http://www.giodo.gov.pl/463/j/pl/ oraz na stronie Komisji Europejskiej http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2008_en.htm

118

operatorw usug wyszukiwarek, ktrzy zobowizali si do wsppracy z organami ochrony danych w celu usprawnienia swoich praktyk ochrony prywatnoci. Dyskusja koncentrowaa si na trzech gwnych tematach: okresie przechowywania danych, skutecznej i nieodwracalnej anonimizacji oraz waciwym ustawodawstwie. Grupa z zadowoleniem przyja zobowizanie dostawcw usug wyszukiwarek do stworzenia wsplnych standardw branowych dla wyszukiwania on-line w oparciu o europejskie ustawodawstwo w zakresie ochrony danych i prywatnoci. Na kolejnych dwch posiedzeniach (7-8.04.2009 r. i 16-17.06.2009 r.) kontynuowane byy prace nad Midzynarodowymi Standardami Ochrony Prywatnoci i Danych Osobowych oraz przyjto opini Grupy Roboczej Art. 29 z dnia 12 czerwca 2009 r. w sprawie portali spoecznociowych. Natomiast 72. posiedzenie Grupy (12-13 padziernika 2009 r.) powicone byo konsultacjom w sprawie przyszoci prywatnoci. W ich ramach kontynuowane byy prace Grupy m.in. nad definicj kluczowych terminw administrator danych/przetwarzajcy dane (artyku 2 dyrektywy 95/46/WE), a take nad uwagami do Raportu Grupy Ekspertw ds. Historii Kredytowych w kwestii szczeglnych gwarancji w odniesieniu do zasad ochrony danych. Przeprowadzona te bya dyskusja na temat Programu Sztokholmskiego (Program dla Obszaru Wolnoci, Bezpieczestwa i Sprawiedliwoci sucy obywatelom) oraz podjta decyzja o wsppracy z Grup Robocz ds. Policji i Wymiaru Sprawiedliwoci na rzecz wydania wsplnej opinii na temat tego Programu. Ponadto Grupa zapoznaa si z aktualnym stanem rzeczy odnonie do nowego porozumienia midzy UE a USA bdcego obecnie przedmiotem negocjacji, a dotyczcego przekazywania danych za porednictwem sieci danych finansowych SWIFT. Na posiedzeniu tym dyskutowane te byy zagadnienia zwizane z ochron danych pasaerw gromadzonych i przetwarzanych przez sklepy wolnocowe na lotniskach i w innych portach. W sprawie tej praktyki opracowana zostanie opinia Grupy na ten temat. Z kolei 73. posiedzenie (30 listopada 1 grudnia 2009 r.) powicone byo midzy innymi usugom portali spoecznociowych po przyjciu Opinii 5/2009 Grupy na ten temat. Dyskusja skoncentrowaa si na trzech najwaniejszych tematach: ochronie niepenoletnich, okresie zatrzymywania danych oraz dostpie do danych przez strony trzecie. Kontynuowane te byy rozmowy w sprawie przyszoci prywatnoci i uwagi do Raportu Grupy Ekspertw ds. Historii Kredytowych. W odniesieniu do nowego tymczasowego porozumienia midzy UE a USA w sprawie przekazywania danych za porednictwem sieci danych finansowych SWIFT (podpisane 30 listopada 2009 r.) Grupa Robocza Artykuu 29 postanowia dokadnie zbada kwestie ochrony danych zwizane z tym porozumieniem. Na wniosek Komisji Europejskiej Grupa Robocza Art. 29 przyjrzaa si sprawie ochrony danych pasaerw gromadzonych i przetwarzanych przez sklepy wolnocowe na lotniskach i w portach w Unii Europejskiej i wydaa zalecenia w sprawie jednolitego stosowania oglnych zasad ochrony danych, ktre powinny by przestrzegane przez sklepy wolnocowe na lotniskach i w portach.

119

W 2009 r. Generalny Inspektor bra udzia w pracach Wsplnego Organu Nadzorczego nad Europolem. Organ ten zajmuje si nadzorem nad przetwarzaniem danych osobowych w ramach Europejskiego Urzdu Policji. Sprawy indywidualne z zakresu przetwarzania danych osobowych przez Europol rozpatrywane s przez Komitet Rewizyjny Wsplnego Organu Nadzorczego, ktrego Generalny Inspektor jest czonkiem. W dniach 3 6 marca 2009 r. zesp kontrolny WON Europolu przeprowadzi coroczn kontrol przetwarzania danych osobowych, ktra miaa miejsce w siedzibie Europolu. Natomiast w dniu 22 czerwca 2010 r. WON zorganizowa spotkanie z organami ochrony danych tych pastw czonkowskich i instytucji, ktre zawary porozumienie operacyjne z Europolem. W spotkaniu uczestniczyli przedstawiciele chorwackich, szwajcarskich i norweskich organw ochrony danych, wsplny organ nadzorczy Eurojustu i Sekretariat Ochrony Danych Interpolu. W trakcie spotkania jego uczestnicy wymienili si dowiadczeniami zwizanymi z nadzorem dziaa Europolu i podkrelili potrzeb dalszej wsppracy. Dua cz prac WON bya zwizana z przyjciem nowych podstaw prawnych Europolu.208 WON przyj nowy regulamin, ktry zosta przesany do zatwierdzenia przez Rad, zgodnie z art. 34 ust. 7 decyzji Rady ustanawiajcej Europejski Urzd Policji [Europol]. Przesa take opini (nr 09/13) w odniesieniu do projektu decyzji zarzdu Europolu w sprawie warunkw dotyczcych przetwarzania danych w celu okrelenia ich istotnoci w oparciu o art. 10 ust. 4 decyzji Europolu. Ponadto WON zajmowa si przysz strategi dziaania oraz rnymi aspektami wdraania zasady dostpnoci. Przyj - na przykad - opini w sprawie poziomu ochrony danych w Kolumbii. Uznano bowiem, e z punktu widzenia ochrony danych nie ma przeszkd, by Europol rozpocz negocjacje z tym pastwem w sprawie przygotowania porozumienia dotyczcego przekazywania danych osobowych przez Europol oraz by w trakcie negocjacji uwzgldni pewne kwestie. Przyj take opini w sprawie poziomu ochrony danych w Byej Jugosowiaskiej Republice Macedonii [BJRM], w ktrej rwnie stwierdzono brak przeszkd, by Europol rozpocz negocjacje z BJRM w sprawie przygotowania porozumienia dotyczcego przekazywania danych osobowych przez Europol. Przyjto rwnie opini w sprawie wdraania przepisw dotyczcych otrzymywania informacji z publicznie dostpnych rde, od osb prywatnych i innych stron dziaajcych prywatnie. Generalny Inspektor kontynuowa rwnie wspprac na forum Wsplnego Organu Nadzorczego Schengen, ktry m.in. przyj raport ze wsplnej kontroli stosowania art. 97 i 98 Konwencji Wykonawczej do Ukadu z Schengen, a take zajmowa si dalszymi dziaaniami wynikajcymi z Raportu z kontroli dotyczcej stosowania art. 96 i 99 Konwencji Wykonawczej do Ukadu z Schengen. Ponadto przygotowano uaktualniony poradnik dotyczcy realizowania prawa dostpu do danych zawartych w Systemie Informacji Schengen [SIS].

Decyzja 2009/371/WSiSW Rady z dnia 6 kwietnia 2009 r. ustanawiajca Europejski Urzd Policji (Europol) (Dz. Urz. UE L 121/37), ktra wchodzc w ycie w styczniu 2010 r. zastpia Konwencj ustanawiajc Europejski Urzd Policji.

208

120

W omawianym okresie aktywno Wsplnego Organu Nadzorczego ds. systemu informacji celnej koncentrowaa si na pracach nad przysz decyzj Rady, ktra ma zastpi dotychczas obowizujc Konwencj w sprawie wykorzystywania technologii informatycznych dla potrzeb celnych, a take pracami nad wdraaniem kwestionariusza samooceny, ktry mgby by stosowany przez suby celne. W 2009 r. Generalny Inspektor Ochrony Danych Osobowych uczestniczy w pracach grupy koordynujcej nadzr nad systemem Eurodac, w ramach ktrych przyjto Drugie sprawozdanie z kontroli dotyczcej sposobu speniania obowizku informacyjnego wobec osb, ktrych dane s zbierane na potrzeby tego systemu oraz oceny wieku osb modocianych ubiegajcych si o azyl. Raport zosta przygotowany na podstawie danych zebranych przez organy ochrony danych w roku poprzednim. W raporcie m.in. stwierdzono, e informacje dostarczane osobom ubiegajcym si o azyl dotyczce ich praw i wykorzystywania ich danych, z reguy s niekompletne, w szczeglnoci jeli chodzi o konsekwencje pobierania odciskw palcw oraz prawa dostpu do danych i ich korygowania. Dostarczane informacje rwnie w szerokim stopniu rni si w poszczeglnych pastwach czonkowskich; due rnice zaobserwowano w praktykach stosowanych wobec osb ubiegajcych si o azyl i nielegalnych imigrantw ta druga grupa przewanie otrzymuje mniej informacji, a w niektrych przypadkach nie otrzymuje ich wcale. Natomiast w odniesieniu do metod okrelania wieku osb ubiegajcych si o azyl (czy to w ramach systemu Eurodac, czy te w szerszym kontekcie procedury azylowej), to stwierdzono, e s one wci tematem dyskusji w wielu pastwach czonkowskich zwaszcza jeli chodzi o ich wiarygodno i moliwo ich zaakceptowania ze wzgldw etycznych. Zwrcono przede wszystkim uwag na brak harmonizacji systemw wykorzystywanych w pastwach czonkowskich do ustalenia wieku maoletnich osb ubiegajcych si o azyl, co rwnie prowadzi do rnorodnych wynikw. Dlatego w raporcie zawarte zostay odpowiednie zalecenia. Natomiast Grupa Robocza ds. Policji i Wymiaru Sprawiedliwoci koncentrowaa si w tym okresie na rnych kwestiach zwizanych z wejciem w ycie przepisw decyzji ramowej 2008/977/JHA o ochronie danych osobowych w trzecim filarze UE, Traktatu Lizboskiego i przygotowaniem Programu Sztokholmskiego. Jednoczenie zajmowano si rnymi aspektami wdroenia Konwencji z Prm czy dialogiem prowadzonym ze Stanami Zjednoczonymi Ameryki na forum Grupy Kontaktowej Wysokiego Szczebla ds. wymiany informacji oraz ochrony prywatnoci i danych osobowych. Grupa Robocza prowadzia rwnie wsplne badania dotyczce istniejcych umw dwustronnych zawieranych z pastwami trzecimi w obszarze wsppracy policyjnej i sdowej w sprawach karnych, a take wdraania postanowie Konwencji o Cyberprzestpczoci. Innym wanym obszarem prac byo przygotowanie katalogu dotyczcego nadzoru i wsppracy. 121

7.1 Midzynarodowe spotkania i konferencje

Generalny Inspektor Ochrony Danych Osobowych oraz pracownicy jego Biura uczestniczyli take w konferencjach i seminariach o charakterze midzynarodowym odbywajcych si w kraju i za granic. Najwaniejsze z nich to:

1.

Wiosenna Konferencja Europejskich Organw Ochrony Danych i Prywatnoci (Edynburg, 23-24 kwietnia 2009 r.).

Organizatorem tej Wiosennej Konferencji by Rzecznik Ochrony Informacji Zjednoczonego Krlestwa. Jej gwnym tematem byo podniesienie poziomu ochrony danych poprzez dyskutowanie kwestii dotyczcych mocnych i sabych stron europejskich przepisw dotyczcych ochrony danych w kontekcie postpujcej globalizacji, a take okrelenie ich podanych skutkw dla obywateli, prawodawcw i administratorw danych. Na Konferencji tej przyjta zostaa Deklaracja w sprawie przewodnictwa i przyszoci ochrony danych w Europie oraz Rezolucja w sprawie umw dwustronnych i wielostronnych pomidzy pastwami czonkowskimi UE i pastwami trzecimi w obszarze wsppracy policyjnej i sdowej w sprawach karnych. Przyjte te zostao stanowisko Europejskiej Konferencji Rzecznikw Ochrony Danych Osobowych w kwestii przyszoci warsztatw rozpatrywania skarg (tzw. warsztatw skargowych - case handling workshop). 2. Konferencja dotyczca przechowywania danych W kierunku oceny dyrektywy o zatrzymywaniu danych - Data Retention Conference (Bruksela, 14 maja 2009 r.). Zorganizowana przez Komisj Europejsk Konferencja dotyczya kwestii zwizanych z wdraaniem i ocen dyrektywy o zatrzymywaniu danych (2006/24/WE). Oglnym celem wydarzenia byo zastanowienie si nad zaletami zatrzymywania danych w ramach mechanizmu wprowadzonego przez wskazan dyrektyw, w szczeglnoci za nad wartoci dodan dyrektywy, a take nad tym, czy dostpno zatrzymywania danych zapewnia organom egzekwowania prawa odpowiednie narzdzie do prowadzenia dochodze, cigania i wykrywania sprawcw powanej przestpczoci. Podczas Konferencji skupiono si take na zwizanych z t kwesti skutkach dla dostawcw usug komunikacyjnych oraz dla konsumentw, ktrych dane s zatrzymywane. 3. XI. Spotkanie Grupy Organw Ochrony Danych Osobowych Europy rodkowej i Wschodniej (Central and Eastern European Data Protection Authorities), zorganizowane w dniach 2-4 czerwca 2009 r. przez rumuski organ ochrony danych osobowych. Gwnym tematem spotkania byo omwienie wyzwa, jakie napotykaj organy ochrony danych osobowych w zwizku z rozwojem nowoczesnych technologii. Podczas dyskusji uczestnicy spotkania koncentrowali si na bezpieczestwie danych osb korzystajcych z rnych narzdzi

122

informatycznych, takich jak fora internetowe, blogi, e-mail, wideonadzr czy portale spoecznociowe. Analizowano rwnie ochron danych umieszczonych w rnego rodzaju bazach, na przykad w systemie informacji kredytowej. Poruszono temat ochrony danych osobowych pracownikw i rozwoju biometrii, a w szczeglnoci umieszczania danych biometrycznych na rnego rodzaju kartach identyfikacyjnych oraz kwestie zwizane z cyfrowymi dokumentami tosamoci. Do staego punktu tych corocznych spotka naley omwienie przez poszczeglnych przedstawicieli organw ochrony danych osobowych najwaniejszych wydarze, z ktrymi zetknli si w swojej codziennej pracy od czasu poprzedniego spotkania. Na spotkaniu podjta zostaa decyzja, aby kolejne 12. spotkanie zorganizowane zostao w 2010 r. w Polsce. Ide corocznych Spotka Grupy Organw Ochrony Danych Osobowych Europy rodkowej i Wschodniej zainicjowa polski organ ochrony danych osobowych w 2001 r. w Warszawie i przez wszystkie lata jego istnienia niezmiennie odgrywa kluczow rol w jego pracach i podejmowanych wsplnie inicjatywach.209 4. 25. plenarne posiedzenie Komitetu Konsultacyjnego Konwencji o Ochronie Osb w zwizku z Automatycznym Przetwarzaniem Danych Osobowych T-PD (Strasburg,2-4 wrzenia 2009 r.). Jednym z gwnych tematw spotkania byy kwestie dotyczce projektu rekomendacji w sprawie ochrony osb w zwizku z przetwarzaniem danych osobowych podczas profilowania. Wsppracujce w ramach forum T-PD organy ochrony danych osobowych stany przed zadaniem opracowania zestawu wytycznych dla projektowanej rekomendacji w celu wyeliminowania zagroe dla prywatnoci mogcych pojawi si podczas tworzenia profili uytkownikw wykorzystujcych nowoczesne technologie w codziennym yciu. Zadanie to jest o tyle wane, e zjawisko profilowania staje si coraz bardziej powszechne. Z profilowaniem zwizane jest najczciej przetwarzanie informacji o charakterze danych osobowych, w tym midzy innymi danych o ruchu w sieci, danych rejestrowanych przez wyszukiwarki internetowe (co pozwala na przeledzenie aktywnoci uytkownikw Internetu oraz ich nawykw,

Pod koniec 2001 r. polski Generalny Inspektor Ochrony Danych Osobowych zainicjowa midzynarodow wspprac midzy organami ochrony danych osobowych z pastw Europy rodkowej i Wschodniej dla wspierania rozwoju ochrony prywatnoci na tym obszarze. W trakcie zorganizowanego 17 grudnia 2001 r. przez Generalnego Inspektora Ochrony Danych Osobowych spotkania rzecznikw z pastw Europy rodkowej i Wschodniej zostaa podpisana Deklaracja Kocowa, w ktrej przedstawiciele organw ochrony danych osobowych z Czech, Wgier, Litwy, Sowacji, Estonii, otwy oraz Polski zadeklarowali ch wsppracy i wzajemnej pomocy w zakresie niezbdnym do zapewnienia odpowiedniej ochrony danych osobowych w swoich krajach. W chwili obecnej w ramach niniejszego forum, oprcz wskazanych powyej pastw, wsppracuje rwnie Bugaria, Chorwacja, Macedonia, Rumunia oraz Sowenia, jako obserwator. Spotkania organw ochrony danych osobowych z pastw Europy rodkowej i Wschodniej, ktrych celem jest wspieranie pastw kandydujcych do Unii Europejskiej oraz bdcych nowymi czonkami, dzielenie si informacjami i dowiadczeniami, podnoszenie poziomu wiadomoci tego, jak wan kwesti jest ochrona danych osobowych, a ponadto, co najwaniejsze, dalsza harmonizacja przepisw krajowych z prawem Unii Europejskiej, przybray posta organizowanych w poszczeglnych pastwach, cyklicznych konferencji i biecej w zalenoci od aktualnych potrzeb wsppracy. Ponadto, w celu uatwienia wsppracy, Generalny Inspektor Ochrony Danych Osobowych stworzy specjaln stron internetow (www.ceecprivacy.org), stanowic rdo informacji na temat danych osobowych w poszczeglnych pastwach czonkowskich Grupy oraz pozwalajc na szybk wymian informacji pomidzy rzecznikami ochrony danych osobowych, w tym poszukiwanie wsplnych rozwiza dla podobnych problemw wystpujcych w tej dziedzinie.

209

123

upodoba konsumenckich i zainteresowa), a take danych geolokalizacyjnych zgromadzonych przez operatorw sieci telefonii komrkowej, systemy wideonadzoru lub systemy identyfikacji za pomoc fal radiowych (RFID). Tego rodzaju praktyki mog prowadzi do powanych narusze w sferze prywatnoci i ochrony danych uytkownikw. Prace nad projektem kontynuowane bd w czasie kolejnej sesji Grupy T-PD planowanej w 2010 roku. 5. 46. Spotkanie Grupy Roboczej ds. Ochrony Danych Osobowych w Telekomunikacji (Berlin, 6-8 wrzenia 2009 r.). Gwnym tematem spotkania byy usugi wiadczone przez operatorw i ich obowizki wobec osb, ktre zaprzestay korzystania z nich. Dyskusja koncentrowaa si gwnie wok tematu zwizanego z praktyk przyznawania konta uytkownika, ktry zaprzesta korzystania z usugi - innej osobie. W takich sytuacjach czsto si zdarza, e do nowego uytkownika konta dochodz informacje, ktrych adresatem powinien by poprzedni uytkownik. Dzieje si tak dlatego, e osoba wysyajca wiadomo nie zostaa poinformowana o zmianie adresu podmiotu, do ktrego swoj korespondencje kieruje. W odniesieniu do tego tematu GIODO zwrci uwag na konieczno zastosowania takich samych zasad, jak w odniesieniu do usug telefonii komrkowej, gdzie np. komunikacja SMS moe by wykorzystywana do przesyania danych poufnych typu: kod jednorazowy do wykonania operacji bankowej, haso dostpu czy klucz do szyfrowania zakodowanej informacji. Innym wanym tematem spotkania byy kwestie zwizane ze stosowaniem narzdzi programowych do tzw. gbokiej analizy pakietw, ktre mog by wykorzystywane do podgldania poufnych informacji przez osoby do tego nieupowanione. 6. Midzynarodowa Konferencja Ponad podziaami jak skutecznie przybi do Bezpiecznej przystani (Waszyngton, 16-18 listopada 2009 r.). Organizatorami tego spotkania byli Administracja Handlu Midzynarodowego oraz Departament Handlu USA przy wsppracy z Komisj Europejsk i Grup Robocz Art. 29 ds. ochrony danych. Podczas konferencji przeanalizowane zostay postpy poczynione w zakresie programu Safe Harbor210 oraz procedur zatwierdzania wicych regu korporacyjnych. Program ten - wypracowany przez Departament Handlu Stanw Zjednoczonych w porozumieniu z Komisj Europejsk ma za zadanie wspiera wymian gospodarcz pomidzy Uni Europejsk a USA, umoliwiajc amerykaskim podmiotom gospodarczym sprostanie wymaganiom Dyrektywy 95/46/WE Parlamentu Europejskiego
210

Od 2005 r. Stany Zjednoczone, Komisja Europejska oraz Grupa Robocza Artykuu 29 ds. Ochrony Danych co roku spotykaj si w celu przeanalizowania postpw poczynionych w zakresie Uregulowa Safe Harbor USA-UE oraz ostatnich wydarze w dziedzinie zgodnoci, ochrony danych i prywatnoci, ktre miay miejsce na poziomie krajowym, regionalnym i globalnym. Konferencja z listopada 2009 r. stanowia kontynuacj zobowiza podjtych przez Stany Zjednoczone i Uni Europejsk w porozumieniu zawartym w 2000 r. w sprawie przekazywania danych osobowych w celach komercyjnych z Unii Europejskiej do Stanw Zjednoczonych. Dyrektywa UE o ochronie danych z 1998 r. upowania pastwa czonkowskie do blokowania tego typu przekazywania danych do krajw, ktrych system egzekwowania przepisw o ochronie prywatnoci nie jest zgodny z wymogami dyrektywy 95/46/WE. Zgodnie z Uregulowaniami Safe Harbor USA-UE, Stany Zjednoczone otrzymuj od Komisji Europejskiej zatwierdzenie adekwatnoci poziomu ochrony danych wycznie dla tych organizacji USA, ktre same przedstawiy deklaracj o przestrzegania zasad Safe Harbor, co pozwala na dokonywanie transferw danych bez uprzedniego zatwierdzenia.

124

i Rady z dnia 24 padziernika 1995 r. w sprawie ochrony osb fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepywu tych danych. Uczestnicy konferencji zapoznali si z nowym paradygmatem przestrzegania zasad ochrony prywatnoci w kontekcie prawa dostpu obywateli do informacji. Wrd innych tematw poruszanych na konferencji znalazy si: transgraniczna wymiana danych podczas pandemii, prywatno w fazie projektowania, strategiczne zarzdzanie informacjami dla przedsibiorstwa, dostawcy usug portali spoecznociowych, reklama behawioralna w tzw. cloud computing,211 globalne standardy ochrony prywatnoci i in.

7.2 Wizyty robocze

W dziaalnoci Generalnego Inspektora tradycyjnie du rol odgrywa wsppraca dwustronna, ktra polega m.in. na wymianie informacji, pomocy przy prowadzeniu postpowa administracyjnych i wizytach roboczych. Uzyskana pomoc niejednokrotnie przyczyniaa si do zebrania materiau dowodowego niezbdnego do rozstrzygania rozpatrywanych spraw administracyjnych. Uzyskane za przez Generalnego Inspektora informacje o charakterze porwnawczym wykorzystywane byy w dalszej jego pracy. W dniach 11-13 marca 2009 r. Generalny Inspektor Ochrony Danych Osobowych goci w Warszawie delegacj wgierskiego organu ochrony danych osobowych. Na spotkaniu omwiona zostaa dziaalno obu Urzdw, aktualne problemy, z jakimi organy ochrony danych spotykaj si w swojej codziennej pracy, oraz przedyskutowano propozycje rozwiza dla omawianych kwestii. Spotkanie GIODO z przedstawicielami wgierskiego rzecznika ochrony danych osobowych poczone byo z odbywajcym si w Warszawie Kongresem Strategiczne Forum Liderw Marketingu, Mediw i Komunikacji. Z kolei na zaproszenie Andrsa Jri, Rzecznika Ochrony Danych i Wolnoci Informacji Wgier, Generalny Inspektor Ochrony Danych Osobowych i jego zastpca, przebywa w dniach 13-14 lipca 2009 r. z dwudniow wizyt w Budapeszcie, gdzie kontynuowane byy rozpoczte w Warszawie rozmowy na temat wsppracy i wymiany dowiadcze w obszarze ochrony danych. Natomiast 7 kwietnia 2009 r. Generalny Inspektor Ochrony Danych Osobowych zoy wizyt w Czeskim Urzdzie Ochrony Danych w Pradze, gdzie bra udzia w dyskusjach dwustronnych na temat przyszych wsplnych dziaa w instytucjach UE.

211

Model sprzeday oprogramowania oparty na pobieraniu opaty wycznie za uytkowanie jego funkcjonalnoci.

125

7.3 Warsztaty Rozpatrywania Spraw

Przedstawiciele Biura Generalnego Inspektora Ochrony Danych Osobowych systematycznie uczestnicz w organizowanych dwa razy w roku warsztatach rozpatrywania spraw, tzw. warsztatach skargowych (case handling workshop). XIX warsztaty skargowe odbyy si w dniach 12-13 marca 2009 r. w Pradze. Ich organizatorem by Rzecznik Ochrony Danych Republiki Czeskiej, ktry zaznajomi uczestnikw warsztatw z dziaalnoci urzdu, podkrelajc, e oprcz ochrony danych osobowych zajmuje si take sprawami z zakresu komunikacji elektronicznej. Na XIX warsztatach omwione zostay kwestie zwizane z dziaalnoci mass mediw, ktre np. w Szwecji wyczone s spod zakresu obowizywania ustawy o ochronie danych osobowych i std konieczno opracowania kodeksu dobrych praktyk i kodeksu etyki. Dyskutowane te byy zagadnienia zwizane z zamieszczaniem rnych publikacji w Internecie, wideonadzorem, korzystaniem z kamer internetowych i zwizanym z tym ograniczeniem czasowym przechowywania utrwalonego materiau. W odniesieniu do spraw zwizanych z ochron danych medycznych w kontekcie stosowania elektronicznych kart zdrowia podkrelano konieczno zapewnienia zrnicowanego dostpu personelu do danych osobowych pacjentw, gdzie np. pracownicy administracyjni placwek suby zdrowia mieliby dostp wycznie do danych demograficznych. Natomiast XX warsztaty rozpatrywania spraw odbyy si w padzierniku 2009 r. w Limassol na Cyprze. Ich uczestnicy zapoznali si z dziaalnoci cypryjskiego organu ochrony danych osobowych, poznali organizacj i struktur biura tego organu, zaznajomili si z nietypowymi

rozwizaniami z zakresu ochrony danych osobowych przyjtymi przez cypryjskiego ustawodawc (w szczeglnoci z instytucj poczenia). Zapoznali si te z systemem informatycznym Policji cypryjskiej. Omawiane byy rwnie zagadnienia najczciej poruszane w skargach, jak odpowiedzialno za przetwarzanie danych na forach dyskusyjnych i na stronach umoliwiajcych dokonanie oceny np.: nauczycieli, lekarzy lub przedsibiorcw, system sankcji karnych za amanie przepisw prawa o ochronie danych osobowych, a take kwestie zwizane z technologi street view i nadzorem wideo. Dyskutowane te byy zagadnienia zwizane z prawem dostpu do danych przez osob, ktrej dane te dotycz, w tym prawo dostpu na nagra dwikowych wykonanych przez centra telefoniczne rnych instytucji (bankw, dostawcw usug telekomunikacyjnych itd.) czy dostpu do danych medycznych, a take prawem do wiedzy o tym, kto jest odbiorc tych informacji. Podczas warsztatw przedstawiciele organw ochrony danych osobowych omwili wane kwestie dotyczce midzy innymi korzystania z wariografw, monitoringu GPS, systemu kontroli telefonii komrkowej w sektorze zatrudnienia czy biometrii w celu identyfikacji pracownikw i kontroli czasu ich pracy oraz przetwarzanie danych osobowych przez instytucje finansowe i mass media.

126

Cz III. Charakterystyka dziaalnoci Generalnego Inspektora Ochrony Danych

Osobowych w 2009 roku

W odniesieniu do przeprowadzonych kontroli zgodnoci przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych naley stwierdzi, e podobnie jak w latach ubiegych znaczna cz kontrolowanych podmiotw nadal miaa problemy z zastosowaniem odpowiednich rodkw technicznych i organizacyjnych majcych na celu zabezpieczenie danych przed ich udostpnieniem bd zabraniem przez osob nieuprawnion, przetwarzaniem z naruszeniem ustawy oraz zmian, utrat, uszkodzeniem lub zniszczeniem, a take z prawidowym opracowaniem dokumentacji opisujcej sposb przetwarzania danych osobowych i polityki bezpieczestwa oraz instrukcji zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych. Uchybienia wystpoway rwnie w procesie przetwarzania danych osobowych przy uyciu systemw informatycznych. W 2009 r. przeprowadzonych zostao 220 kontroli zgodnoci przetwarzania danych z przepisami o ochronie danych osobowych. Od 2007 r. liczba kontroli systematycznie wzrasta (zob. Wykres 25).

250 200 150 100 50 0 2007 167

201

220

2008

2009

Wykres 25: Porwnanie liczby kontroli przeprowadzonych w latach 20072009.

Z kolei Wykres 26 przedstawia procentowe zastawienie kontroli przeprowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych na terenie Warszawy oraz poza ni.

127

100% 80% 60% 40% 20% 0% 2007 2008 2009 49,70% 42,80% 40,91% 50,30% 57,20% 59,09% kontrole w Warszawie kontrole poza Warszaw

Wykres 26: Porwnanie procentowe liczby kontroli przeprowadzonych w Warszawie i poza Warszaw w latach 20072009.

Najwicej kontroli przeprowadzonych zostao z urzdu (128). Ponisza tabela przedstawia liczbowe zestawienie kontroli ze wzgldu na podmiot inicjujcy:

Inicjatywa kontroli Z urzdu Departament Orzecznictwa, Legislacji i Skarg Departament Rejestracji Zbiorw Danych Osobowych Departament Edukacji Spoecznej i Spraw Midzynarodowych Prokuratura Naczelna Izba Lekarska Okrgowy Rzecznik Odpowiedzialnoci Zawodowej Izby Lekarskiej Agencja Bezpieczestwa Wewntrznego Policja Starostwo Powiatowe W zwizku z inn kontrol RAZEM

Liczba kontroli 128 46 16 6 3 1 2 1 1 1 15 220

Czynnociom kontrolnym poddawane byy midzy innymi biura obrotu nieruchomociami, komornicy, portale internetowe oraz pracodawcy. Du grup jednostek kontrolowanych stanowiy rwnie podmioty zaliczone do sektora Inne, obejmujcego te podmioty, ktre ze wzgldu na charakter prowadzonej dziaalnoci nie mogy zosta zakwalifikowane do innej kategorii.

128

W okresie sprawozdawczym szczeglny nacisk pooony zosta na przeprowadzenie tzw. kontroli sektorowych, ktrymi w 2009 r. objto portale internetowe (17 kontroli), biura obrotu nieruchomociami (16 kontroli), komornikw (19 kontroli), urzdy pracy (11 kontroli), podmioty zajmujce si transportem miejskim wydajce spersonalizowane karty miejskie (11 kontroli) oraz pracodawcw (20 kontroli). Ich wyniki zobrazoway sposb podejcia do problematyki ochrony danych osobowych oraz pozwoliy na sformuowanie wnioskw co do zasad i sposobu przetwarzania danych osobowych przez podmioty nalece do danego sektora. Ponadto w 2009 r. sprawdzano, czy podmioty, wobec ktrych Generalny Inspektor wyda decyzje nakazujce usunicie uchybie w procesie przetwarzania danych osobowych, przywrciy stan zgodny z prawem. W tym celu Generalny Inspektor Ochrony Danych Osobowych przeprowadzi 10 kontroli sprawdzajcych wykonanie decyzji administracyjnych. Wykazay one, e zdecydowana wikszo podmiotw poddanych w tym zakresie kontroli wykonaa wydane wobec nich decyzje. Skutkiem jednej z tego typu kontroli212 byo skierowanie do organu powoanego do cigania przestpstw zawiadomienia o popenieniu przestpstwa213 z uwagi na nieprzywrcenie przez jednostk kontrolowan stanu zgodnego z prawem.

W 2009 r. Generalny Inspektor w zwizku z przeprowadzonymi kontrolami wyda cznie 150 decyzji.
200 160 120 80 40 0 2007 2008 2009 130 148 150

Wykres 27: Porwnanie liczby decyzji wydanych w zwizku z kontrolami przeprowadzonymi w latach 20072009.

W okresie sprawozdawczym, w zwizku z obecnoci Polski w strefie Schengen, kontynuowane byy kontrole podmiotw uprawnionych do bezporedniego dostpu do Krajowego Systemu Informatycznego w celu dokonywania wpisw danych SIS oraz w celu wgldu do danych SIS. W 2009 r. takie kontrole przeprowadzono przede wszystkim w sdach (7 kontroli), gdzie ustalono
212 213

Kontrola DIS-K-421/30/09. Zawiadomienie z 15.04.2009 r., nr DIS/ZAW-7/13356/09, do Prokuratury Rejonowej Warszawa Mokotw o popenieniu przestpstwa okrelonego w art. 49 ust. 1 ustawy o ochronie danych osobowych, polegajcego na

129

sposb przetwarzania danych osobowych przez te podmioty w zwizku z realizacj ich uprawnie wynikajcych z przepisw ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej (Dz. U. Nr 165, poz. 1170). Do istotnych kontroli, jakie przeprowadzili w 2009 r. inspektorzy upowanieni przez Generalnego Inspektora Ochrony Danych Osobowych, naleay take kontrole dostawcw usug

telekomunikacyjnych (4 kontrole), przeprowadzone w zwizku z prowadzonym przez Grup Robocz Art. 29 badaniem wdraania przez kraje czonkowskie Unii Europejskiej dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w zwizku ze wiadczeniem oglnie dostpnych usug cznoci elektronicznej lub udostpnianiem publicznych sieci cznoci oraz zmieniajca dyrektyw 2002/58/WE (Dz. Urz. UE L z 2006 r., Nr 105, poz. 54). W 2009 r. skontrolowano 424 systemy informatyczne wykorzystywane do przetwarzania danych osobowych, co obrazuje Wykres 28:

Wykres 28: Liczba skontrolowanych systemw informatycznych w latach 2007-2009.

Stopie wypenienia w poszczeglnych latach (od roku 2007 do 2009) wymogw formalnych, organizacyjnych i technicznych, o ktrych mowa w ustawie o ochronie danych osobowych i rozporzdzeniu Ministra Spraw Wewntrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych, przedstawiony zosta poniej w formie wykresw statystycznych. Poszczeglne zestawienia obrazuj procentowe wyniki kontroli w odniesieniu do oglnej liczby kontroli w danym roku lub oglnej liczby kontrolowanych w danym roku systemw informatycznych. W zestawieniach tych przyjto zasad,

przetwarzaniu w zbiorze danych osobowych potencjalnych klientw (osb, z ktrymi nie zostaa zawarta umowa

130

e stopie realizacji wymaganych funkcjonalnoci systemw informatycznych oceniany by w skali procentowej, w odniesieniu do liczby systemw objtych kontrol. Pozostae wymogi natomiast, odnoszce si np. do dokumentacji procesu przetwarzania czy te do obowizku prowadzenia ewidencji osb upowanionych do przetwarzania danych osobowych, oceniano w skali procentowej w stosunku do liczby kontrolowanych podmiotw. Co do stopnia wypenienia wymogw formalnych i organizacyjnych, jednostk statystyczn stanowi kontrolowany podmiot. Ocenie poddano takie dokumenty, jak: polityk bezpieczestwa oraz instrukcj zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych oraz ewidencj osb upowanionych do przetwarzaniu danych osobowych. Ponadto kontrolowano, czy w podmiocie wyznaczony zosta administrator bezpieczestwa informacji. Stopie wykonania przez kontrolowane podmioty ww. warunkw w roku 2009 przedstawiono na Wykresach 29-31.

Wykres 29: Stopie wykonania obowizku posiadania dokumentacji przetwarzania danych osobowych w latach 200 -2009.

ubezpieczenia), cho ich przetwarzanie nie jest dopuszczalne.

131

Wykres 30: Stopie realizacji obowizku prowadzenia ewidencji osb upowanionych do przetwarzania danych osobowych w latach 2007-2009.

Wykres 31: Stopie realizacji obowizku wyznaczenia osoby wykonujcej zadania administratora bezpieczestwa informacji w latach 20072009.

Zbiorcze

zestawienie

stopnia

wypenienia

wymogw

formalno-organizacyjnych

i personalnych w zakresie dotyczcym prowadzenia dokumentacji przetwarzania danych osobowych, wdroenia do stosowania opracowanej dokumentacji oraz wyznaczenia osoby penicej zadania administratora bezpieczestwa informacji [ABI] w latach 2007-2009 przedstawia Wykres 32.

132

Wykres 32: Stopie realizacji obowizku prowadzenia dokumentacji stanowicej polityk bezpieczestwa, instrukcj zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych, ewidencj osb upowanionych do przetwarzania danych osobowych oraz wypenienie obowizku wyznaczenia osoby penicej zadania administratora bezpieczestwa informacji w latach 20072009.

Jednostk statystyczn w zestawieniach odnoszcych si do stopnia realizacji technicznych warunkw przetwarzania danych stanowi kontrolowany system informatyczny. Poszczeglne warunki uznawano dla kontrolowanego systemu jako wypenione, jeli system posiada wymagan funkcjonalno lub funkcjonalno ta bya realizowana przy uyciu dedykowanych moduw programowych zgodnie z warunkami okrelonymi w 7 ust. 4 rozporzdzenia Ministra Spraw Wewntrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych. Stopie realizacji wymogw o charakterze techniczno-organizacyjnym dla systemw informatycznych objtych kontrol w latach 2007-2009 przedstawiono na Wykresie 33.

133

Wykres 33: Stopie realizacji wymogw technicznych i organizacyjnych w latach 2007 2009.

Kontrola duej liczby rnorodnych systemw informatycznych spowodowaa, e dziaania kontrolne obejmoway szeroki zakres rozwiza technologicznych, od najbardziej rozbudowanych opartych o zaawansowane mechanizmy bazodanowe, po najprostsze, gdzie zbiory danych osobowych przetwarzane byy z wykorzystaniem powszechnie dostpnych aplikacji biurowych (edytorw tekstu, arkuszy kalkulacyjnych). Jak ju o tym wspomniano, w 2009 r. skontrolowano 424 systemy informatyczne suce do przetwarzania danych osobowych, tj. o 214 mniej ni w 2008 r. Gwn przyczyn mniejszej liczby systemw informatycznych objtych kontrolami bya wiksza ich integracja. Widoczne byo to szczeglnie na przykadzie skontrolowanego w 2009 roku sektora Komornicy. W sektorze tym prawie u wszystkich komornikw uytkowany by jeden, wielomoduowy system informatyczny, ktry wspomaga zarwno prowadzenie poszczeglnych spraw egzekucyjnych, jak i inne czynnoci wykonywane w kancelariach komorniczych, w tym rejestracj pism przychodzcych i wychodzcych. Daje si zauway, e coraz czciej administratorzy uywaj specjalistycznych systemw informatycznych, ktre czsto su do przetwarzania kilku rnych zbiorw danych. W odniesieniu do skontrolowanych w 2009 r. systemw informatycznych ustalono, e udzia poszczeglnych systemw, w zalenoci od przyjtego poziomu bezpieczestwa, przedstawia si jak na Wykresie 34.

134

Wykres 34: Podzia na poziomy bezpieczestwa zastosowane dla systemw informatycznych skontrolowanych w 2009 r.

Jak wynika z zaprezentowanego wyej podziau, znaczna cz (tj. 85 %) skontrolowanych w 2009 r. systemw informatycznych sucych do przetwarzania danych osobowych posiada dostp do publicznej sieci Internet, co ma istotny wpyw na bezpieczestwo w procesie przetwarzania danych osobowych. Ponad 70 % systemw informatycznych poddanych kontroli w 2009 r. zarzdzanych byo w sposb samodzielny przez uytkujce je podmioty. Okoo 7 % skontrolowanych systemw informatycznych uytkowanych byo na zasadzie cakowitego outsourcingu, gdzie proces przetwarzania danych osobowych (oprogramowanie oraz sprzt teleinformatyczny) administrator danych powierzy w caoci do administrowania podmiotom zewntrznym.

Wykres 35: Procentowy udzia outsourcingu systemw informatycznych objtych kontrolami w 2009 r.

135

Analizujc systemy informatyczne pod wzgldem kolokacji danych (fizycznej lokalizacji danych) naley zauway, e u wikszoci skontrolowanych podmiotw dane osobowe zapisywane byy w jednym, centralnym miejscu, np. na serwerze/serwerach znajdujcych si w jednym budynku, zazwyczaj w siedzibie kontrolowanego podmiotu. Ilociowe wyniki w tym zakresie przedstawiono na poniszym wykresie.

Wykres 36: Procentowy udzia centralnego przetwarzania danych w systemach informatycznych objtych kontrolami w 2009 r.

Jak ilustruje Wykres 37, w 2009 r. ustalono, e okoo 80% skontrolowanych systemw informatycznych stanowiy systemy wielostanowiskowe. Pozostae systemy informatyczne byy systemami jednostanowiskowymi.

Wykres 37: Udzia systemw informatycznych jedno- i wielostanowiskowych w oglnej liczbie systemw objtych kontrolami w 2009 r.

Oceniajc wyniki przeprowadzonych kontroli stwierdzi naley, e znaczna cz kontrolowanych jednostek miaa problemy z zastosowaniem odpowiednich rodkw technicznych 136

i organizacyjnych w celu zabezpieczenia danych przed ich udostpnieniem osobom nieupowanionym, zabraniem przez osob nieuprawnion, przetwarzaniem z naruszeniem ustawy oraz zmian, utrat, uszkodzeniem lub zniszczeniem. Ponad 12 % kontrolowanych podmiotw miaa take problem z prawidowym opracowaniem dokumentacji opisujcej sposb przetwarzania danych osobowych. Wiele zastrzee wzbudzay take stosowane rodki techniczne i organizacyjne zapewniajce ochron przetwarzanych danych osobowych odpowiedni do zagroe i kategorii danych objtych ochron, tj. polityka bezpieczestwa i instrukcja zarzdzania systemem informatycznym sucym

do przetwarzania danych osobowych. Nieprawidowoci w tym zakresie stwierdzono w szczeglnoci w toku kontroli pracodawcw. Liczne uchybienia wystpoway rwnie w procesie przetwarzania danych osobowych przy uyciu systemw informatycznych. Trudnoci z prawidowym wypenieniem obowizkw okrelonych w przepisach rozporzdzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych, miay podmioty z wikszoci sektorw opisanych w sprawozdaniu. Duo mniej problemw jednostki kontrolowane miay natomiast z prawidowym wykonaniem podstawowych obowizkw okrelonych w przepisach o ochronie danych osobowych. Nieprawidowoci w tym zakresie dotyczyy m.in. niedopenienia obowizku zgoszenia do rejestracji Generalnemu Inspektorowi prowadzonych zbiorw danych osobowych, niedopenienia obowizku dokonania aktualizacji zgoszonych zbiorw danych oraz zbierania w szerszym zakresie danych osobowych ni wynika to z przepisw prawa lub w zakresie nieadekwatnym do celu przetwarzania. Z porwnania stopnia realizacji w latach 2007-2009 poszczeglnych wymogw ustawy i rozporzdzenia wynika, e w roku 2009 odnotowano, w porwnaniu do roku 2008, w wikszoci przypadkw tendencj wzrostow w zakresie realizacji wymaga formalno-organizacyjnych czy te wymaga o charakterze technicznym. Tendencje spadkowe w porwnaniu do wynikw z roku 2008 dotycz m.in.: braku lub niewaciwego wdroenia mechanizmw kontroli dostpu do danych przetwarzanych w systemach informatycznych, braku bd niewaciwego wdroenia funkcjonalnoci dotyczcej zapewnienia przez system informatyczny odnotowania informacji o rdle danych, w przypadku zbierania informacji nie od osoby, ktrej dane dotycz oraz zapewnienia przez system informatyczny odnotowania informacji o odbiorcach danych, dacie i zakresie udostpnienia. Spadek stopnia realizacji ww. wymogw ksztatowa si na poziomie od 1 % do 4 %. W 2009 r. poziom realizacji obowizkw zwizanych z prowadzeniem dokumentacji stanowicej polityk bezpieczestwa, instrukcj zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych, opracowaniem ewidencji osb upowanionych do przetwarzania danych osobowych, jak rwnie poziom realizacji obowizku wyznaczenia osoby penicej zadania

137

administratora bezpieczestwa informacji by wyszy ni w roku ubiegym i ksztatowa si rednio na poziomie 93 %. W e ich odniesieniu do rozbudowanych najczciej systemw informatycznych zaobserwowano, administrowania

administratorzy stosowali

kompleksowe podejcie do

bezpieczestwem uytkowanych systemw i ochron przetwarzanych danych. Ustalono, e wikszo skontrolowanych w 2009 r. systemw informatycznych pracowao pod kontrol systemu operacyjnego MS Windows lub w rodowisku sieci komputerowej zarzdzanej przez system MS Windows. Nieliczne stacje robocze pracoway pod kontrol systemu Linux lub MacOS. Systemy operacyjne Unix, Linux, BSD uytkowane byy jako systemy operacyjne na mniejszej liczbie serwerw (odpowiednio 6 %, 10 %, 1% ogu skontrolowanych systemw informatycznych). W odniesieniu do poddanych kontroli systemw bazodanowych ustalono, e najczciej spotykanymi bazami byy: MySQL - 20 %, PostgreSQL - 28 % oraz Oracle - 11,6 %. W 2009 r. - podobnie jak w roku 2008 - najczciej stosowanym mechanizmem zabezpieczajcym dostp do danych by standardowy proces logowania, polegajcy na wprowadzaniu przy uyciu klawiatury identyfikatora uytkownika oraz hasa. Proces ten stosowany by w 98 % wszystkich systemw. Pomimo faktu, i skontrolowane systemy informatyczne dysponoway mechanizmem uwierzytelnienia, mechanizm ten nie by we wszystkich przypadkach waciwie stosowany. Niewaciwe w procesie logowania byo m.in. wykorzystywanie jednego identyfikatora logowania przez wicej ni jedn osob, wykorzystywanie wsplnego hasa logowania, nieodpowiednie konstruowanie hasa czy te zmiana hasa rzadziej ni raz na 30 dni. W 2009 r. zaobserwowano ponadto znaczn liczb uchybie polegajcych na niezastosowaniu rodkw kryptograficznej ochrony dla procesu teletransmisji danych poprzez sie publiczn Internet. Uchybienia te polegay na braku lub niewaciwej implementacji zastosowanego mechanizmu kryptograficznego (przewanie protokou https). Obowizki okrelone w przepisach o ochronie danych nie byy wykonywane przez jednostki kontrolowane najczciej z powodu bdnej interpretacji tych przepisw oraz ich niekonsekwentnego stosowania. Czst przyczyn by rwnie, jak wskazywali administratorzy danych, brak odpowiednich rodkw finansowych niezbdnych do pokrycia kosztw zwizanych z wdroeniem rozwiza zapewniajcych prawidowe spenienie wymogw. W niektrych przypadkach przyczyny powyszego stanu rzeczy wynikay take z niewaciwego podejcia osb odpowiedzialnych za przetwarzanie danych osobowych do problematyki ochrony tych danych, a nawet lekcewaenia tych przepisw. wiadczy o tym, w szczeglnoci niewykonywanie tych obowizkw, ktre nie pocigaj za sob nadmiernych kosztw finansowych, na przykad brak ewidencji osb upowanionych do przetwarzania danych osobowych, czy te niewyznaczenie administratora bezpieczestwa informacji. Jednoczenie naley wskaza, e wrd jednostek poddanych w 2009 r. kontroli byy podmioty, dla ktrych ochrona

138

przetwarzanych danych osobowych jest wanym zagadnieniem. Do podmiotw tych nale gwnie urzdy pracy, ktre w zdecydowanej wikszoci zastosoway takie rodki techniczne i organizacyjne, ktre w sposb odpowiedni zabezpieczyy przetwarzane dane osobowe. Na podkrelenie zasuguje fakt, e w wikszoci przypadkw stwierdzone w trakcie kontroli uchybienia byy usuwane przez jednostki kontrolowane w toku postpowania. Natomiast do nielicznych naleay sytuacje skadania przez te jednostki wnioskw o ponowne rozpatrzenie sprawy zakoczonej decyzj Generalnego Inspektora oraz zaskarania decyzji do Wojewdzkiego Sdu Administracyjnego w Warszawie i Naczelnego Sdu Administracyjnego. W 2009 r. przed sdami administracyjnymi zapado 9 orzecze dotyczcych decyzji wydanych na skutek przeprowadzonych kontroli (w tym jedno postanowienie Naczelnego Sdu Administracyjnego o wstrzymaniu wykonania zaskaronej decyzji) oraz jedno dotyczce udostpnienia akt kontroli. Do najistotniejszych rozstrzygni dotyczcych legalnoci przetwarzania danych osobowych naleao orzeczenie Naczelnego Sdu Administracyjnego z 1 grudnia 2009 r. (sygn. akt I OSK 249/09), ktry oddali skarg na decyzj Generalnego Inspektora w przedmiocie nakazu usunicia uchybie w procesie przetwarzania danych poprzez usunicie i zaprzestanie zbierania danych osobowych obejmujcych przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palcw pracownikw. W toku postpowania administracyjnego ustalono, e w celu ewidencji czasu pracy pracodawca skanowa linie papilarne palcw doni pracownikw. Zeskanowany obraz (charakterystyczne punkty linii papilarnych) by nastpnie przetwarzany na zapis cyfrowy (kod cyfrowy). Linie papilarne palca przyoonego przez pracownika do czytnika byy porwnywane z zapisanym kodem w celu ewidencji wej i wyj z pracy. Pracownicy skadali pisemne owiadczenia o wyraeniu zgody na pobranie wzoru linii papilarnych. Sd podzieli stanowisko Generalnego Inspektora wyraone w zaskaronej decyzji i wskaza w uzasadnieniu wyroku, i wyraona na prob pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie danych osobowych narusza prawa pracownika i swobod wyraenia przez niego woli, ze wzgldu na zaleno pracownika od pracodawcy i brak rwnowagi w relacji pracodawca pracownik. Uznanie takiego owiadczenia woli za przesank legalizujc przetwarzanie danych osobowych pracownika stanowio, zdaniem Sdu, obejcie art. 22 Kodeksu pracy, ustanawiajcego katalog danych osobowych, ktrych pracodawca moe da od pracownika. Jednoczenie rozszerzenie zakresu danych prowadzi do naruszenia zasady adekwatnoci wyraonej w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, zgodnie z ktr dane powinny by adekwatne w stosunku do celw, w jakich s przetwarzane. Sd stwierdzi, i przetwarzanie danych biometrycznych w celu ewidencji czasu pracy jest nieproporcjonalne do zamierzonego celu ich przetwarzania.

139

Naczelny Sd Administracyjny wyrokiem z 1 grudnia 2009 r. (sygn. akt II OSK 227/09), potwierdzi rwnie zasadno dokonanego przez Generalnego Inspektora rozstrzygnicia dotyczcego przyznania bankowi przymiotu administratora danych uytkownikw przedpaconych kart patniczych, a take uznania, i przesank przetwarzania takich danych powinna stanowi zgoda wyraona przez uytkownika. Bank nie pozyskiwa zgody na przetwarzanie danych osobowych uytkownikw kart, nie realizowa rwnie wobec nich obowizku informacyjnego wynikajcego z art. 25 ust. 1 ustawy o ochronie danych osobowych, gdy uznawa, i nie przysuguje mu przymiot administratora tych danych. Sd wskaza na dokonanie przez Generalnego Inspektora prawidowej oceny w zakresie uznania banku za administratora danych i koniecznoci speniania przez bank obowizku informacyjnego oraz uzyskania zgody na przetwarzanie danych osobowych. Poddanie weryfikacji sdowej decyzji administracyjnej, w ktrej nakazano zaprzestanie przetwarzania danych osobowych bez podstawy prawnej, opracowanie dokumentacji opisujcej sposb przetwarzania danych osobowych oraz wyznaczenie administratora bezpieczestwa informacji, doprowadzio do wydania 10 czerwca 2009 r. przez Wojewdzki Sd Administracyjny w Warszawie wyroku (sygn. akt II SA/Wa 124/09) oddalajcego skarg stowarzyszenia bdcego stron postpowania. Sd stwierdzi, e stowarzyszenie powinno legitymowa si przynajmniej jedn przesank przetwarzania danych osb niebdcych jego czonkami. Sd uzna, i przesanki legalizujcej przetwarzanie danych w zwizku z prowadzeniem dziaalnoci nieujtej w statucie stowarzyszenia, nie moe stanowi prawnie usprawiedliwiony cel administratora danych, a jedynie zgoda osb, ktrych dane dotycz. Jednoczenie sd podkreli, e nie jest wystarczajce samo powiadomienie o zamiarze przetwarzania danych oraz brak sprzeciwu zainteresowanej osoby. Ponadto fakt udzielenia zgody nie moe budzi wtpliwoci, a co za tym idzie administrator danych powinien wykaza, e zostaa ona faktycznie udzielona. Do wanych orzecze Naczelnego Sdu Administracyjnego naley rwnie wyrok z 5 stycznia 2010 r. (sygn. I OSK 399/09), w ktrym sd, oddalajc skarg na decyzj Generalnego Inspektora, uzna, e dealer samochodowy ma obowizek uzyskania zgody na przetwarzanie danych osobowych od potencjalnych klientw, tj. osb, ktre s zainteresowane kupnem samochodu, a nie bray udziau w jedzie testowej. Przetwarzanie danych na podstawie umowy dealerskiej nie mieci si bowiem w ramach marketingu wasnych produktw lub usug i w zwizku z tym nie moe odbywa si na podstawie 23 ust. 1 pkt 5 ustawy, tzn. jako prawnie usprawiedliwiony cel administratora danych. W porwnaniu z poprzednimi latami, w 2009 r. mona ju zauway niewielki wzrost liczby skarg, ktre wpyny do Biura GIODO. W roku 2008 wpyno 986 skarg, za w 2009 1049, czyli o 63 skargi wicej. Niemniej jednak ich ocena pod ktem znajomoci zasad ochrony danych osobowych niezmiennie prowadzi do wniosku, i zagadnienia te w dalszym cigu przysparzaj sporo

140

problemw podmiotom z sektora publicznego i prywatnego. Z treci rozpatrywanych w 2009 r. skarg wynika, e podobnie jak w latach ubiegych mona zauway zbyt liberalne podejcie przez administratorw danych do kwestii dostpu do informacji publicznych zawierajcych dane osobowe przetwarzane przez konkretny organ administracji. Realizujc obowizek ujawniania informacji o sprawach publicznych, administratorzy danych czsto pomijali fakt istnienia prawa z ustawy o ochronie danych osobowych i publikowali informacje zawierajce dane osobowe w zbyt szerokim zakresie. Wspomniane przypadki dotyczyy np. ujawniania owiadcze majtkowych funkcjonariuszy publicznych wraz z zawartymi w nich informacjami o wspmaonku, adresie zamieszkania, ewentualnie adresach nieruchomoci stanowicych wasno osoby, ktrej owiadczenie dotyczyo, albo publikacji owiadcze majtkowych za ubiege lata w sytuacji zaprzestania penienia przez skarcego funkcji, w zwizku z ktr owiadczenia te zoy. W opinii GIODO podmioty sektora administracji publicznej nadal maj problemy z przyznawaniem danej informacji miana informacji publicznej i jej ewentualnym udostpnianiem zgodnie/niezgodnie z przepisami prawa. W takich sytuacjach organ ds. ochrony danych osobowych wskazywa, e decyzja w tej materii kadorazowo ley po stronie podmiotu, ktry t informacj dysponuje oraz podlega weryfikacji sdowej. Doda rwnie naley, e podmioty publiczne (najczciej organy samorzdowe) nadal wskazuj przepisy ustawy o ochronie danych osobowych jako podstaw odmowy udzielania petentom wielu informacji o charakterze publicznym. Tego typu sytuacje s wskazaniem dla GIODO do przeprowadzenia dziaa edukacyjnych z udziaem pracownikw tych podmiotw. Znaczna liczba skarg dotyczya rwnie kwestii niewaciwego zabezpieczenia danych osobowych. W wikszoci przypadkw, podobnie jak w poprzednich okresach sprawozdawczych, przyczyn narusze przepisw w tym zakresie byo zarwno niedostateczne techniczne zabezpieczenie przetwarzania danych, jak i ignorowanie bd bdne interpretowanie przepisw dotyczcych ochrony danych osobowych przez pracownikw zatrudnionych bezporednio przy ich przetwarzaniu. Skutkiem tego rodzaju dziaa byo najczciej ujawnianie danych osobowych osobie nieuprawnionej. Przykadem tego rodzaju spraw byy skargi na dziaania komornikw sdowych i naczelnikw urzdw skarbowych przesyajcych wezwania pozbawione koperty, a take na operatorw

telekomunikacyjnych czy na pracownikw urzdw miejskich, ktrzy dostarczajc niezabezpieczon korespondencj wobec nieobecnoci adresata zastawiali j ssiadowi bd w drzwiach mieszka. Zdarzay si te skargi na przypadki znakowania kopert z korespondencj, tak jak to byo w przypadku jednej z firm ubezpieczeniowych, ktra zamiecia na kopercie listu skierowanego do skarcego, oznaczenie opiekun nieletniego sprawcy. W takich przypadkach organ korzysta ze swojej ustawowej kompetencji i wystpowa do administratorw danych z wnioskami o wszczcie postpowa dyscyplinarnych wobec osb odpowiedzialnych za sprzeczne z przepisami prawa

141

przetwarzanie danych osobowych, a take wysya sygnalizacje, ktrych celem byo zapewnienie naleytego poziomu ochrony danych osobowych przez administratora. Spord skarg kierowanych pod adresem bankw i innych instytucji finansowych najwicej odnosio si do przetwarzania danych osobowych przez Biuro Informacji Kredytowej, do ktrego skarcy zwracali si o nakazanie zaktualizowania danych osobowych bd ich usunicie, a take spenienia przez podmioty z tego sektora obowizku informacyjnego z art. 33 ustawy o ochronie danych osobowych i wiksz dbao o naleyte zabezpieczenie danych osobowych przed dostpem do nich osb nieuprawnionych. W odniesieniu do tego ostatniego zaznaczy naley, e w 2009 r. pojawia si nowa praktyka stosowana przez banki telefoniczna weryfikacja danych kredytobiorcy u jego pracodawcy. Generalny Inspektor Ochrony Danych Osobowych informowa, e zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych, na pracodawcy jako administratorze danych osobowych - spoczywa obowizek zabezpieczenia danych osobowych przed ich udostpnieniem osobom nieupowanionym. W przypadku telefonicznej weryfikacji danych dotyczcych osoby wystpujcej z wnioskiem o przyznanie kredytu, np. w zakresie wysokoci jej wynagrodzenia, pracodawca nie moe z ca pewnoci stwierdzi, i osoba telefonujca do niego w celu zweryfikowania danych rzeczywicie jest przedstawicielem banku, a wic osob upowanion do pozyskania tego typu informacji. W opinii GIODO taka praktyka stosowana przez banki jest niedopuszczalna z punktu wiedzenia ochrony danych osobowych i wskaza rwnie na pismo Narodowego Banku Polskiego - Generalnego Inspektora Nadzoru Bankowego z dnia 6 kwietnia 2001 r. (NB/BPN/I/214/01) skierowane do osb kierujcych bankami, ktre zawiera stwierdzenie, i przepisy ustawy - Prawo bankowe i ustawy o ochronie danych osobowych nie przewiduj telefonicznej formy pozyskiwania danych informacji. Banki nie mog wic uzalenia przyznania kredytu od udzielenia informacji w tej formie. Podobnie jak w poprzednich okresach sprawozdawczych, tak i w 2009 r. nadal napyway skargi na administratorw przetwarzajcych dane osobowe w celach marketingowych bez zgody osoby, ktrej dane te dotyczyy, lub pomimo wniesienia przez ni sprzeciwu, na wsplnoty i spdzielnie mieszkaniowe udostpniajce dane osobowe najemcw osobom nieupowanionym poprzez wywieszanie ich na klatkach schodowych, tablicach gosze czy te poprzez publikowanie w uchwaach oraz na praktyki wykonywania zdj i kopii dokumentw tosamoci przez firmy ubezpieczeniowe i pozyskiwanie przez nie danych osobowych klientw w zbyt szerokim zakresie. W dalszym cigu Generalny Inspektor Ochrony Danych Osobowych by adresatem skarg dotyczcych niespenienia, albo spenienia w ograniczonym zakresie, bd po upywie ustawowego 30-dniowego terminu, obowizku informacyjnego z art. 33 ustawy o ochronie danych osobowych. Analiza tych skarg doprowadzia do wniosku, e podobnie jak w latach ubiegych, administratorzy danych ignorowali (nie wypeniali) wspomnianego obowizku informacyjnego bd realizowali go

142

w sposb niedbay, wiadczcy o lekcewaeniu ustawowych regulacji dotyczcych analizowanej problematyki. W takich sprawach Generalny Inspektor Ochrony Danych Osobowych konsekwentnie wydawa decyzje nakazujce jego spenienie. W podsumowaniu naley stwierdzi, e przyczyn niewielkiego wzrostu liczby skarg, ktre wpyny do GIODO w 2009 r. naley upatrywa przede wszystkim we wzrocie wiadomoci spoeczestwa co do zasad ochrony danych osobowych i jego aktywnoci w dochodzeniu przysugujcych mu praw.

Istotn rol w strzeeniu praworzdnoci w obszarze ochrony danych osobowych jest wynikajce z art. 19 ustawy o ochronie danych osobowych uprawnienie Generalnego Inspektora do kierowania (w przypadku uzasadnionego podejrzenia popenienia przestpstwa) do organu powoanego do cigania przestpstw, zawiadomienia o popenieniu przestpstwa.214 W omawianym okresie sprawozdawczym Generalny Inspektor 27 razy skorzysta z tego uprawnienia. Niestety, w dalszym cigu utrzymuje si dua liczba przypadkw koczenia postpowa przygotowawczych bez sformuowania aktu oskarenia. Podobnie jak w latach ubiegych, najczciej odmawiano wszczcia postpowania przygotowawczego bd wszczte umarzano, powoujc art. 17 1 pkt. 2 i 3 Kodeksu postpowania karnego. W uzasadnieniu wskazywano, e czyn, o ktrym zawiadamia GIODO, nie zawiera znamion czynu zabronionego albo jego spoeczna szkodliwo bya znikoma. Z analizy treci uzasadnie takich postanowie nasuwa si jednak wniosek, i podobnie jak w latach poprzednich, organy cigania wykazyway si nieznajomoci przepisw o ochronie danych osobowych oraz bezzasadn ocen przypadkw zamania tej ustawy jako czynw o znikomej spoecznej szkodliwoci. Dlatego do Sejmu RP wniesiony zosta prezydencki projekt ustawy o zmianie ustawy o ochronie danych osobowych wyposaajcy organ ds. ochrony danych osobowych w bardziej skuteczne instrumenty egzekwowania prawa. Z kolei analiza projektw aktw normatywnych przesyanych w 2009 r. do zaopiniowania przez Generalnego Inspektora Ochrony Danych Osobowych prowadzi do wniosku, i podmioty inicjujce proces legislacyjny czy to z sektora publicznego, czy prywatnego niezmiennie, od wielu lat obowizywania prawa o ochronie danych osobowych, zainteresowane s pozyskiwaniem coraz szerszych uprawnie z zakresu przetwarzania danych lub takiego formuowania przepisw, z ktrych wynika dowolno zakresu przetwarzanych danych w zalenoci od swobodnego uznania administratora.

Zgodnie z treci art. 19 ustawy o ochronie danych osobowych: w razie stwierdzenia, e dziaanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej bdcej administratorem danych wyczerpuje znamiona przestpstwa okrelonego w ustawie, Generalny Inspektor kieruje do organu powoanego do cigania przestpstw zawiadomienie o popenieniu przestpstwa, doczajc dowody dokumentujce podejrzenie.

214

143

Nieprawidowoci najczciej pojawiajce si w opiniowanych projektach aktw prawnych najczciej dotyczyy braku doprecyzowania zakresu przetwarzania danych, np. poprzez uywanie oglnych sformuowa, jak odpowiednie zawiadczenia wydawane w okrelonych pastwach albo inne rodzaje dokumentw, regulowanie kwestii ochrony danych osobowych w aktach o randze niszej ni ustawa,215 tendencja do coraz wikszej ingerencji w prawo do ochrony danych osobowych, argumentowana koniecznoci usprawnienia dziaalnoci danej instytucji, np. w odniesieniu do instytucji finansowych - zniesienia barier dla celw oceny zdolnoci kredytowej i analizy ryzyka kredytowego, pobierania od osoby, ktrej dane dotycz, opaty za udzielenie jej przez administratora danych informacji, o ktrych mowa w art. 33 ust. 1 ustawy o ochronie danych osobowych, a take niezachowania szczeglnej ostronoci w kwestii przetwarzania danych tzw. szczeglnie chronionych. Generalny Inspektor Ochrony Danych Osobowych sceptycznie odnis si take do propozycji wprowadzenia jednolitego europejskiego numeru identyfikacyjnego dla celw kredytowych zawartej w jednym z opiniowanych projektw. Powysze mogoby bowiem doprowadzi do podobnych skutkw, jak stworzenie oglnoeuropejskiej bazy kredytowej. Zdaniem organu, przyjte rozwizania powinny raczej zmierza w kierunku weryfikowania tosamoci klienta w oparciu o ju istniejce w danym pastwie czonkowskim rejestry zawierajce dane osobowe. Natomiast w zwizku z pracami legislacyjnymi nad innym projektem,216 Generalny Inspektor zaoponowa nie tylko przeciwko niektrym z zawartych w tym projekcie propozycjom unormowa, ale rwnie trybowi ich wprowadzenia do dokumentu. Zwrci bowiem uwag, e pomimo i projektodawcy zapowiedzieli skierowanie do Generalnego Inspektora Ochrony Danych Osobowych pytania w przedmiocie opiniowanego projektu, to jednak tego nie zrobili i bez konsultacji zamiecili przedmiotow regulacj. W tym miejscu naley jednak bezwzgldnie podkreli istnienie zauwaalnej tendencji do coraz czstszego uwzgldniania zgaszanych przez Generalnego Inspektora zastrzee do poszczeglnych projektw, tak w drodze prowadzonej korespondencji, jak i w wyniku uczestnictwa w posiedzeniach konferencji uzgodnieniowych i komisji prawniczych. Na arenie midzynarodowej naley odnotowa wci aktywny udzia Generalnego Inspektora w procesie utrwalania dorobku prawnego Schengen. System Informacyjny Schengen ustanowiony zosta jako rekompensata zniesienia kontroli obywateli polskich na granicach wewntrznych Unii Europejskiej. Gwarantuje on, e kade pastwo bdce stron Konwencji Wykonawczej do Ukadu z Schengen [KWS] bdzie posiadao zestaw informacji pozwalajcych na dostp przy uyciu
215

Ustawa bowiem jest zasadniczym rdem prawa, na co wskazuje Konstytucja Rzeczypospolitej Polskiej ustanawiajca zasad wycznoci regulacji ustawowej.

144

zaawansowanych rodkw wyszukiwania do wpisw dotyczcych osb i ich majtku. Jest to istotne z punktu widzenia usprawnienia kontroli granicznej oraz innych rodzajw kontroli, np. policyjnej czy celnej prowadzonej w danym kraju oraz w celu wydawania wiz, dokumentw pobytowych i wykonywania przepisw prawa o cudzoziemcach. Z chwil wczenia Polski w dniu 21 grudnia 2007 r. do systemu Schengen zadania Generalnego Inspektora Ochrony Danych Osobowych zostay poszerzone o kontrol procesu przetwarzania danych osobowych przy uyciu Krajowego Systemu Informatycznego, sucego do przekazywania oraz dostpu do danych gromadzonych w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej. W 2009 r. Generalny Inspektor Ochrony Danych Osobowych bra aktywny udzia w pracach Biura Komitetu Konsultacyjnego Konwencji o Ochronie Osb w zwizku z Automatycznym Przetwarzaniem Danych Osobowych (T-PD) nad projektem rekomendacji w sprawie ochrony osb w zwizku z przetwarzaniem danych osobowych podczas profilowania (Draft Recommendation on the Protection of Individuals with regard to Automatic Processing of Personal Data in the framework of Profiling). Zjawisko profilowania polegajce na pozyskiwaniu oraz analizowaniu informacji na temat uytkownikw wykorzystujcych nowoczesne technologie staje si coraz bardziej powszechne. Z profilowaniem zwizane jest najczciej przetwarzanie informacji o charakterze osobowym, w tym midzy innymi danych o ruchu w sieci, danych rejestrowanych przez wyszukiwarki internetowe, pozwalajcych na przeledzenie aktywnoci uytkownikw w sieci oraz ich nawykw, upodoba konsumenckich lub zainteresowa, danych geolokalizacyjnych zgromadzonych przez

operatorw sieci telefonii komrkowej lub systemy video nadzoru bd systemy identyfikacji za pomoc fal radiowych (RFID). Tego rodzaju praktyki mog prowadzi do powanych narusze w sferze prywatnoci i ochrony danych uytkownikw. W zwizku z powyszym organy ochrony danych osobowych wsppracujce w ramach forum T-PD postanowiy opracowa zestaw wytycznych zawartych w projektowanej obecnie rekomendacji w celu wyeliminowania zagroe dla prywatnoci mogcych pojawi si podczas tworzenia profili uytkownikw. W trakcie prac nad projektem rekomendacji Generalny Inspektor Ochrony Danych Osobowych opowiedzia si za wyczeniem z jej zakresu kwestii dotyczcych przetwarzania danych osobowych w celach zwizanych z obronnoci i bezpieczestwem wewntrznym oraz uregulowaniem ich w innym, odpowiednim akcie (np. w Rekomendacji (87) 15 o wykorzystywaniu danych osobowych w sektorze policji). GIODO, opiniujc zacznik do wspomnianego projektu rekomendacji, zaproponowa rozszerzenie zakresu informacji, ktre powinny by przekazywane osobom, ktrych dane dotycz, o informacje na temat odbiorcw tych danych, a take przyznanych uprawnie osb majcych na celu ochron ich prywatnoci, jak rwnie zwrci uwag na kwestie terminologiczne.
216

Projekt ustawy o centralnej ewidencji pojazdw i centralnej ewidencji kierowcw oraz o zmianie niektrych innych ustaw (projekt z dnia 1 czerwca 2009 r.) DOLiS-033-325/08.

145

W 2009 r. do Generalnego Inspektora wpyny 54 wnioski o udzielenie zgody na przekazanie danych osobowych do pastwa trzeciego, czyli o 26 wnioskw wicej ni w roku 2008. Jednoczenie Generalny Inspektor wyda 63 decyzje administracyjne. W porwnaniu z poprzednimi latami jest to najwikszy wzrost liczby decyzji wydanych przez Generalnego Inspektora w tym zakresie.
90 60 30 0 2007 2008 2009 12 63

12

Wykres 38: Zestawienie porwnawcze liczby decyzji dotyczcych wyraenia zgody na przekazanie danych osobowych do pastwa trzeciego wydanych przez Generalnego Inspektora Ochrony Danych Osobowych w latach 2007-2009.

W 61 sprawach Generalny Inspektor zezwoli na przekazanie danych, w tym w 3 sprawach rwnoczenie czciowo umorzy postpowanie ze wzgldu na przekazywanie danych do Kanady. Kraj ten bowiem zgodnie z decyzj Komisji Europejskiej z dnia 20 grudnia 2001 r. w sprawie

odpowiedniej ochrony danych osobowych zapewnionej w ustawie kanadyjskiej o ochronie informacji osobowych i dokumentw elektronicznych - zapewnia adekwatny poziom ochrony danych osobowych.217 W jednej sprawie GIODO czciowo umorzy postpowanie ze wzgldu na rezygnacj wnioskodawcy z czci wniosku,218 w innej umorzy postpowanie ze wzgldu na to, e odbiorca danych nalea do amerykaskiego programu bezpiecznej przystani,219 natomiast w kolejnej sprawie umorzenie postpowania byo spowodowane wycofaniem zoonego wniosku.220 Znaczca cz wnioskw dotyczya m.in. przekazywania danych pracownikw, klientw, dostawcw (oraz innych podobnych kategorii osb) w ramach jednej midzynarodowej grupy kapitaowej/korporacji, w celu ujednolicenia procesw zarzdzania zasobami ludzkimi, prowadzenia rachunkowoci lub zwikszeniem bezpieczestwa danych poprzez zastosowanie jednolitych praktyk oraz procedur (bd zlecenie takich zada podmiotom trzecim tzw. outsourcing). Zmienia si te i znacznie powikszya liczba pastw, do ktrych administratorzy danych zamierzali przekazywa dane. Wrd nich najczciej wymienianie byy Stany Zjednoczone Ameryki oraz Republika Indii.
217 218

DESiWM/DEC-976/35238/09, DESiWM/DEC1146/42078/09, DESiWM/DEC-1291/47885/09. DESiWM/DEC-1219/45176/09. 219 DESiWM/DEC-270/11420/09.

146

Wnioski dotyczyy take: Arabskiej Republiki Egiptu, Boliwariaskiej Republiki Wenezueli, Brytyjskiej Wyspy Dziewiczej, Chiskiej Republiki Ludowej (oraz Specjalnego Regionu Administracyjnego Hongkongu), Federacji Rosyjskiej, Federacji Malezji, Federacyjnej Republiki Brazylii, Republiki Indonezji, Islamskiej Republiki Pakistanu, Jamajki, Japonii, Kanady, Krlestwa Marokaskiego, Krlestwa Tajlandii, Nowej Zelandii, Pastwa Izraela, Republiki Argentyskiej, Republiki Chile, Republiki Chiskiej, Republiki Chorwacji, Republiki Dominikaskiej, Republiki Ekwadoru, Republiki Filipin, Republiki Gwatemali, Republiki Kolumbii, Republiki Korei, Republiki Kostaryki, Republiki Kuby, Republiki Panamy, Republiki Peru, Republiki Poudniowej Afryki, Republiki Salwadoru, Republiki Singapuru, Republiki Turcji, Socjalistycznej Republiki Wietnamu, Wolnego Stowarzyszonego Pastwa Portoryko, Wschodniej Republiki Urugwaju, Zjednoczonych Emiratw Arabskich oraz Zwizku Australijskiego. Generalny Inspektor jest uprawniony do udzielenia zgody na przekazanie danych osobowych do pastwa trzeciego, pod warunkiem zapewnienia przez administratora danych odpowiedniego zabezpieczenia w zakresie ochrony prywatnoci oraz praw i wolnoci osoby, ktrej dane dotycz. Mona to osign przede wszystkim poprzez przyjcie odpowiednich zobowiza umownych, do ktrych naley zaliczy miedzy innymi standardowe klauzule umowne przyjte przez Komisj Europejsk221 oraz wice reguy korporacyjne.222 Znaczna liczba midzynarodowych transferw danych odbywa si w ramach Europejskiego Obszaru Gospodarczego i nie ma wtedy koniecznoci stosowania przepisw rozdziau 7 ustawy o ochronie danych osobowych, ktre reguluj przekazywanie danych do pastwa trzeciego. Ponadto administratorzy danych mog rwnie skorzysta z moliwoci

DESiWM/DEC-887/32565/09. Komisja Europejska, na mocy art. 26 ust. 4 dyrektywy 95/46/WE, jest uprawniona do uznania w drodze decyzji, e okrelone standardowe klauzule umowne zapewniaj odpowiedni ochron danych osobowych oraz praw i wolnoci jednostek. Decyzje te wymagaj, aby Pastwa Czonkowskie nie odmawiay uznania zabezpiecze ustanowionych w standardowych klauzulach umownych okrelonych w decyzjach za zapewniajce odpowiedni poziom ochrony danych osobowych. Nie wycza to jednak obowizku spenienia pozostaych wymogw naoonych przez waciwe przepisy krajowe. Komisja Europejska wydaa trzy takie decyzje: decyzj KE z dnia 15 czerwca 2001 r. 2001/497/WE w sprawie standardowych klauzul umownych w zwizku z przekazywaniem danych osobowych do pastw trzecich na podstawie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 padziernika 1995 r. w sprawie ochrony osb fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepywu tych danych (Dz. Urz. WE L 181/19 z 4.07.2001); decyzj z dnia 27 grudnia 2004 r. 2004/915/WE zmieniajc decyzj 2001/497/WE w zakresie alternatywnego zestawu standardowych klauzul umownych dotyczcych przekazywania danych osobowych do pastw trzecich (Dz. Urz. WE L 385/19 z 29.12.2004). Powoane decyzje wprowadziy dwa zestawy klauzul umownych, ktre administrator danych moe wykorzysta w przypadku przekazywania danych do innego administratora danych w pastwie trzecim. Trzecia decyzja KE z dnia 27 grudnia 2001 r. 2002/16/WE w sprawie wzorcowych klauzul umownych w zwizku z przekazywaniem danych osobowych przetwarzanych w krajach trzecich na podstawie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 padziernika 1995 r. w sprawie ochrony osb fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepywu tych danych (Dz. Urz. UE L 006 z 10.01.2002) wprowadzia standardowe klauzule umowne majce zastosowanie do przekazywania danych osobowych w przypadku powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy o ochronie danych osobowych. 222 Wice reguy korporacyjne s odrbnym instrumentem prawnym, ktry szczegln rol moe odegra w przypadku przekazywania danych osobowych w ramach midzynarodowych korporacji. Jest to stosunkowo nowe rozwizanie prawne, ktre z jednej strony moe zapewni wiksz elastyczno, z drugiej za zagwarantowa w ramach korporacji jednolity, a zarazem wysoki poziom ochrony praw osb, ktrych dane dotycz, bez wzgldu na poziom ochrony danych osobowych zapewniony na terytorium poszczeglnych pastw.
221

220

147

zastosowania innych przesanek upowaniajcych ich do przekazywania danych do pastwa trzeciego (wymienionych w art. 47 ust. 1, 2 lub 3 ustawy o ochronie danych osobowych), przy zastosowaniu ktrych zgoda Generalnego Inspektora nie jest wymagana. W omawianym okresie sprawozdawczym do Generalnego Inspektora wpyway wnioski, w ktrych administratorzy danych najczciej powoywali si na zastosowanie wspomnianych standardowych klauzul umownych, ustanowionych przez Komisj Europejsk. Administratorzy danych nie korzystali natomiast z innych rozwiza umownych. Jak dotd nie wpyny do Generalnego Inspektora formalne wnioski o wyraenie zgody na przekazanie danych do pastwa trzeciego na podstawie wicych regu korporacyjnych, aczkolwiek GIODO, wraz z innymi organami ochrony danych osobowych, uczestniczy w kilku procedurach koordynacyjnych majcych na celu wypracowanie przez midzynarodowe korporacje wicych regu korporacyjnych. Zadeklarowanie przez wnioskodawc zastosowania standardowych klauzul umownych okrelonych decyzjami Komisji Europejskiej powoduje konieczno porwnania przez Generalnego Inspektora przyjtych przez wnioskodawc rozwiza z treci standardowych klauzul umownych. Ponadto Generalny Inspektor szczegowo bada okolicznoci planowanego transferu danych (w tym rwnie przyjte przez odbiorc danych rodki organizacyjno-techniczne). Administratorzy danych czsto na podstawie standardowych klauzul umownych

przygotowywali wasne umowy. I cho byy one rnie nazywane umowy globalne, umowy ramowe czy te umowy wewntrz-korporacyjne, to jednak w warstwie merytorycznej nie odbiegay one od standardowych klauzul umownych. W niektrych sytuacjach standardowe klauzule umowne stanowiy cz bd zacznik do ww. umw. Byy te nieliczne podmioty, ktre w ramach umowy globalnej zaczay zarwno standardowe klauzule umowne pomidzy administratorami oraz klauzule dotyczce powierzenia przetwarzania danych.223 W tym miejscu warto wspomnie o kwestii modyfikacji standardowych klauzul umownych, ktra bya rozpatrywana w ramach jednego z postpowa.224 Co do zasady standardowe klauzule umowne zatwierdzone przez Komisj Europejsk stanowi narzdzie umoliwiajce przedsibiorcom przeprowadzanie midzynarodowych transferw danych przy jednoczesnym zapewnieniu niezbdnych gwarancji praw i wolnoci osb, ktrych dane dotycz. Przewidziane zabezpieczenia wynikaj w caoci z postanowie zapisanych w standardowych klauzulach umownych. Jeli podmiot decyduje si na wykorzystanie czci, a nie caoci klauzul, wwczas trac one przymiot klauzul zatwierdzonych przez Komisj Europejsk. Niektre z nadesanych wnioskw byy obarczone brakami formalnymi. Do najczciej spotykanych naleay te, w ktrych osoba podpisana pod wnioskiem nie bya naleycie umocowana
223 224

Np. DESiWM/DEC-133/6101/09, DESiWM/DEC-1291/47885/09. DESIWM/DEC-1146/42078/09.

148

do reprezentowania spki (czego potwierdzeniem by wycig z rejestru przedsibiorcw lub penomocnictwo podpisane przez osob wymienion w rejestrze), brak byo zacznikw w postaci odpisu wycigu z rejestru przedsibiorcw, i/lub penomocnictwa (czasem take dowodu uiszczenia opaty skarbowej w wysokoci 17 z za penomocnictwo), do wniosku nie zosta zaczony dowd zapaty opaty skarbowej w wysokoci 10 z za wydanie decyzji przez Generalnego Inspektora oraz przesanie wniosku lub dokumentacji w jzyku obcym, podczas gdy zgodnie z ustaw z dnia 7 padziernika 1999 r. o jzyku polskim (Dz. U. 1999 r. Nr 90, poz. 999 z pn. zm.), jzyk polski jest jzykiem urzdowym na terytorium Rzeczpospolitej Polskiej. W zwizku z tym wszelkie dokumenty skadane do Biura Generalnego Inspektora Ochrony Danych Osobowych powinny by tumaczone na jzyk polski, cho nie musz to by tumaczenia przysige. Zgodnie z art. 48 ustawy o ochronie danych osobowych, Generalny Inspektor, wyraajc zgod na przekazanie danych osobowych do pastwa spoza Europejskiego Obszaru Gospodarczego, ktre nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowizuj na terytorium Polski, musi oceni, czy administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatnoci oraz praw i wolnoci osb, ktrych dane dotycz. Oceny tej dokonuje z uwzgldnieniem tych samych przesanek, co przy oglnej ocenie poziomu ochrony w danym pastwie trzecim (art. 25 ust. 2 dyrektywy 95/46/WE). W ramach tej oceny Generalny Inspektor bierze pod uwag rodki prawne majce na celu zagwarantowanie praw i wolnoci osb, ktrych dane dotycz, w tym m.in. umw bdcych podstaw przekazania danych (np. standardowe klauzule umowne), a take rodki organizacyjno-techniczne, ktre odbiorca danych w pastwie trzecim zastosuje w celu zabezpieczenia przekazywanych danych. Na terytorium Rzeczpospolitej Polskiej aktem prawnym okrelajcym minimalny poziom ochrony urzdze i systemw informatycznych sucych do przetwarzania danych osobowych jest rozporzdzenie Ministra Spraw Wewntrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych (Dz. U. z 2004 r. Nr 100, poz. 1024). W zwizku z powyszym administrator danych, poza przygotowaniem odpowiedniej podstawy prawnej, musi rwnie sprawdzi, czy odbiorca danych spenia minimalne wymagania okrelone w tym rozporzdzeniu. Dlatego jeli we wniosku, w zaczniku do umowy o przekazanie danych bd w innym dokumencie zaczonym do wniosku (np. polityce prywatnoci) wystpowa bd oglne sformuowania dotyczce przyjtych przez odbiorc danych rodkw organizacyjno-technicznych, nie zostan one uznane za wystarczajce do wydania zgody przez Generalnego Inspektora na transfer danych do pastwa trzeciego.225

225

Np. Zacznik A: Zasady przekazywania danych do alternatywnych standardowych klauzul umownych stanowicych zacznik do decyzji Komisji Europejskiej 2004/915/WE z dnia 27 grudnia 2004 r. zmieniajca decyzj Komisji Europejskiej 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych

149

Najczciej wystpujcym brakiem merytorycznym dotyczcym przyjtych przez odbiorc danych rodkw organizacyjno-technicznych byo niespenienie wymogw posiadania przez system informatyczny funkcjonalnoci w zakresie odnotowywania informacji, o ktrej mowa w 7 rozporzdzenia MSWiA, oraz wymogw zwizanych z uwierzytelnianiem uytkownikw

(w przypadku, gdy do uwierzytelniania uytkownika wykorzystywane jest haso - co do jego dugoci, zoonoci i czstotliwoci zmiany). Inne wady merytoryczne w tym zakresie to brak informacji o tym, czy dane osobowe bd przekazywane przy uyciu rodkw teletransmisji wykorzystujcych sieci publiczne oraz zwizane z tym zabezpieczenia, informacji na temat sposobu zabezpieczenia transferu danych, rodkw kryptograficznej ochrony m.in. wobec danych wykorzystywanych

do uwierzytelnienia, informacji na temat rodkw zabezpieczenia przed zagroeniami pochodzcymi z sieci zewntrznej, polityki bezpieczestwa i instrukcji zarzdzania systemem informatycznym oraz zabezpieczenia danych osobowych przetwarzanych na komputerach przenonych.

W przedmiocie zgosze zbiorw danych osobowych do rejestracji, do istotnych spraw zwizanych z ochron danych osobowych, ktre miay miejsce w 2009 r., zaliczy naley przede wszystkim wprowadzenie od 10 lutego 2009 r. nowego wzoru zgoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Wzr ten wprowadzony zosta na mocy rozporzdzenia Ministra Spraw Wewntrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536). Gwnym celem modyfikacji wzoru zgoszenia byo uproszczenie czci E zgoszenia dotyczcej informacji o rodkach technicznych i organizacyjnych zastosowanych w celu zabezpieczenia danych. Po prawie rocznym okresie stosowania tego wzoru zgoszenia mona stwierdzi, i cel ten zosta osignity. Gwnym tego przejawem jest wyrane zmniejszenie liczby nieprawidowo wypenionych zgosze gwnie w czci E, co z kolei przekada si na przyspieszenie postpowania rejestracyjnego. Wprowadzenie nowego wzoru zgoszenia jest przede wszystkim uatwieniem dla administratorw danych w spenieniu obowizku rejestracyjnego. Zmianie ulega bowiem forma prezentowania informacji w czci D i E formularza zgoszenia, a wic informacji o sposobie zbierania i udostpniania danych oraz opisu rodkw technicznych i organizacyjnych zastosowanych w celach okrelonych w art. 36-39 ustawy. Naley zwrci uwag, e wraz z wprowadzeniem nowego formularza zgoszenia zmieni si tylko sposb przekazywania informacji o zbiorach, natomiast nie zmieni si zakres informacji, jakie powinny znale si w zgoszeniu, ktry okrelony jest w art. 41 ust. 1 ustawy. Zatem wprowadzenie

dotyczcych przekazywania danych osobowych do pastw trzecich, na mocy dyrektywy 95/46/WE (Dz.Urz. WE L 385/19, z 29.12.2004) przedstawia jedynie oglny zarys niektrych przyjtych przez odbiorc danych rodkw organizacyjno-

150

nowego formularza zgoszenia nie nioso za sob obowizku aktualizacji dokonanego ju zgoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Nie wszyscy administratorzy prawidowo zinterpretowali t zasad, co skutkowao przesyaniem Generalnemu Inspektorowi Ochrony Danych Osobowych formularzy zgosze zdaniem administratorw w trybie art. 41 ust. 1 ustawy, z ktrych w istocie nie wynikay adne zmiany w zgoszonym do rejestracji zbiorze danych. Wprawdzie wprowadzenie nowego wzoru zgoszenia spowodowao zmniejszenie liczby nieprawidowo wypenionych zgosze, wymagajcych prowadzenia postpowania

wyjaniajcego, ktre przedua proces rejestracji zbioru, to jeszcze wielu administratorw nadsya zgoszenia, w stosunku do ktrych zachodzi koniecznoci prowadzenia takich postpowa. Ujawniane nieprawidowoci dotyczyy w zasadzie wszystkich elementw ujtych w zgoszeniu, wrd najczciej powtarzajcych si uchybie naley wymieni nieadekwatny (zbyt szeroki), w stosunku do celu przetwarzania, zakres danych osobowych pozyskiwanych do zbioru. Do charakterystycznych bdw popenianych w 2009 r. przez administratorw w zwizku z realizacj obowizku zgoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych naley zaliczy wypenienie jednego formularza zgoszenia dla kilku zbiorw. Tymczasem tre art. 41 ust. 1 ustawy wskazuje, i jedno zgoszenie powinno obejmowa swym zakresem tylko jeden zbir danych osobowych. Przykadem administratorw, amicych zasad <<jedno zgoszenie jeden zbir>> byy jednostki samorzdu terytorialnego (gminy, powiaty), ktre zgaszay do rejestracji zbir utworzony w zwizku z wdroeniem elektronicznego systemu obiegu dokumentw. Jednake prowadzone w tych sprawach postpowania wykazay, e zastosowanie przez te podmioty elektronicznego systemu obiegu dokumentw nie skutkowao powstaniem nowego zbioru danych osobowych, a przesane zgoszenia dotyczyy wielu zbiorw danych osobowych prowadzonych przez te podmioty z wykorzystaniem ww. sytemu. Naley rwnie zasygnalizowa, e w roku sprawozdawczym 2009 r., tak jak w roku 2008, wrd wnioskw o rejestracj pochodzcych od podmiotw prywatnych dominoway zgoszenia od przedsibiorcw, ktrzy przetwarzajc dane osobowe, wykorzystuj sie Internet. Najwicej zgosze do rejestracji, ktrych prowadzenie jest zwizane z funkcjonowaniem sieci Internet, dotyczyo sklepw internetowych oraz serwisw zwizanych z porednictwem w zatrudnieniu. Do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zgaszane byy rwnie zbiory danych dotyczce tzw. newsletterw, za pomoc ktrych administratorzy powiadamiaj swoich klientw m.in. o nowociach w swojej ofercie.

technicznych. W zwizku z tym nie jest moliwa ocena, czy rodki te zapewniaj adekwatny poziom ochrony praw i wolnoci osb, ktrych dane dotycz.

151

Cz IV. Wnioski i planowane kierunki dziaa Generalnego Inspektora Ochrony Danych Osobowych
Ustawowym obowizkiem Generalnego Inspektora Ochrony Danych Osobowych jest coroczne skadanie Sejmowi sprawozdania ze swej dziaalnoci, w ktrym analiza spraw dotyczcych narusze ochrony danych, wynikw przeprowadzonych kontroli, wydanych opinii, przedsiwzi legislacyjnych i innych dziaa ujtych w art. 12 ustawy o ochronie danych osobowych, stanowi podstaw do formuowania wnioskw na temat stanu przestrzegania prawa o ochronie danych osobowych w Polsce. Sygnalizowana jest w nich konieczno, na przykad zmiany jakiej praktyki w celu dostosowania jej do przepisw o ochronie danych osobowych, bd te konieczno podjcia dziaa w celu dostosowania obowizujcych przepisw prawa do zasad okrelonych w ustawie o ochronie danych osobowych. W szczeglnoci wobec wyzwa nowych technologii ochrona prywatnoci i danych osobowych nabiera specyficznego wymiaru. Oczywiste jest na przykad to, e zarwno administrator danych, jak i podmiot danych powinni zadba o bezpieczestwo danych osobowych, ale z drugiej nie mona nie bra pod uwag postpu cywilizacyjnego i osigni nowoczesnych technologii, ktre mdrze zastosowane mog okaza si bardzo pomocne w codziennym yciu. Dlatego m.in. w zwizku z docierajcymi do GIODO sygnaami dotyczcymi niedostosowania obowizujcych przepisw prawa pracy do potrzeb zarwno pracodawcw, jak i pracownikw, Micha Serzycki zwrci si do rnych rodowisk z prob o opini dotyczc kierunkw koniecznych zmian w przepisach prawa pracy w kontekcie ochrony danych osobowych i prawa do prywatnoci. Po ich analizie wystpi za do Ministerstwa Pracy i Polityki Spoecznej z prob o rozwaenie propozycji podjcia prac legislacyjnych nad zmian przepisw regulujcych przetwarzanie danych osobowych pracownikw i kandydatw do pracy przez pracodawcw. Niemniej, w opinii Generalnego Inspektora, poprzedzi je powinna publiczna debata na temat dopuszczalnego zakresu danych pozyskiwanych przez pracodawcw. Tym bardziej e obowizujce przepisy prawa pracy stwarzaj powane trudnoci interpretacyjne, a temat ten wywouje due zainteresowanie spoeczne. Potrzebne jest za opracowanie i wprowadzenie takich uregulowa prawnych, ktre wywa interesy obu stron stosunku pracy pracodawcom zapewni waciw kontrol pracownikw, a pracownikom zagwarantuj prawo do ochrony ich prywatnoci. Niezmiennie przez wszystkie lata sprawowania urzdu, Generalnego Inspektora wci niepokoi tendencja do pozyskiwania przez rne podmioty danych osobowych w zbyt szerokim zakresie w stosunku do celu ich przetwarzania i tworzenie megabaz takich danych. 152

Jako przykad poda mona uregulowania dotyczce planowanego na 2011 r. powszechnego spisu ludnoci i mieszka, ktrego przebieg bdzie przedmiotem szczeglnego zainteresowania GIODO. Generalny Inspektor Ochrony Danych Osobowych w ramach swoich kompetencji prowadzi szeroko zakrojone dziaania informacyjno edukacyjne. Edukowanie uzna bowiem za jeden ze swoich konsekwentnie realizowanych priorytetw, a wzrost wiadomoci spoeczestwa w zakresie ochrony danych osobowych sta si jego kluczowym zadaniem. Jest wic organizatorem i uczestnikiem wielu konferencji krajowych i midzynarodowych, podejmuje liczne inicjatywy upowszechniajce wiedz (np. wydawanie broszur na temat ochrony danych i prywatnoci, tworzenie specjalnych zakadek na portalach tematycznych i spoecznociowych). Ponadto organizuje bezpatne szkolenia i warsztaty adresowane gwnie do przedstawicieli administracji rzdowej i samorzdowej. Od czasu objcia funkcji GIODO w lipcu 2006 r. w szkoleniach tych udzia wzio kilkanacie tysicy osb. Natomiast dziki uruchomieniu przez GIODO platformy e-learningowej wszyscy zainteresowani mog samodzielnie podnosi swoje kwalifikacje. Generalny Inspektor Ochrony Danych Osobowych, majc wiadomo istnienia

zapotrzebowania na wykwalifikowan kadr specjalistw w dziedzinie ochrony danych osobowych, od wielu lat wsppracuje ze szkoami wyszymi, jak np. Uniwersytet Kardynaa Stefana Wyszyskiego, Akademia Leona Komiskiego w Warszawie, np. WSZECHNICA POLSKA Szkoa Wysza Towarzystwa Wiedzy Powszechnej w Warszawie, Wysza Szkoa Finansw i Administracji w Gdasku i Wysza Szkoa Biznesu National-Louis University w Nowym Sczu. W ramach zawartych z tymi szkoami porozumie podejmowane s rnego rodzaju inicjatywy, jak organizacja studiw podyplomowych, konferencji, debat i seminariw promujcych tematyk prywatnoci i ochrony danych osobowych. Generalny Inspektor wsppracuje rwnie z rnymi organizacjami, jak np. samorzdowe orodki doskonalenia zawodowego nauczycieli, z ktrymi prowadzi na zasadzie partnerstwa program pilotaowy Twoje dane twoja sprawa. Program ten skierowany jest do nauczycieli i uczniw szk gimnazjalnych, a jego celem jest zwikszenie ich wiedzy na temat ochrony danych osobowych i prawa kadego czowieka do prywatnoci. Program przewiduje przeszkolenie kadry nauczycielskiej szk objtych pilotaem, by mc nastpnie wczy zagadnienia zwizane z ochron danych osobowych do programu zaj szkolnych. W szkoach wytypowanych do projektu, w ramach pilotau, powstan konspekty zaj dla nauczycieli i uczniw, raport ewaluacyjny podjtych dziaa oraz opracowany zostanie edukacyjny program oglnopolski. Na arenie midzynarodowej na podkrelenie zasuguje rwnie wci wysoka aktywno Generalnego Inspektora Ochrony Danych Osobowych, ktry poprzez uczestnictwo w rnych formach wsppracy zarwno w I, jak i w III filarze Unii Europejskiej, zaangaowany jest w proces przygotowywania istotnych dla ochrony danych osobowych dokumentw. Przeprowadza rwnie 153

inspekcje oraz inne czynnoci wyjaniajce w ramach skoordynowanych dziaa kontrolnych. Ju w 2001 r. polski Generalny Inspektor Ochrony Danych Osobowych zainicjowa midzynarodow wspprac midzy organami ochrony danych osobowych z pastw Europy rodkowej i Wschodniej dla wspierania rozwoju ochrony prywatnoci na tym obszarze. Gwnym celem tego forum jest m.in. wytyczanie kierunkw przyszych rozwiza problemw dotyczcych ochrony danych osobowych z uwzgldnieniem specyfiki tego obszaru geograficznego oraz wymiana dowiadcze dotyczcych interpretacji i stosowania przepisw o ochronie danych osobowych. Ponadto GIODO uczestniczy w pracach Grupy Roboczej Art. 29 ds. ochrony danych osobowych, w tym m.in. w pracach Grupy Roboczej ds. Policji i Wymiaru Sprawiedliwoci i Grupie Roboczej ds. Telekomunikacji (tzw. Grupie Berliskiej). Zaangaowany jest te w prace grupy koordynacyjnej do spraw nadzoru nad systemem Eurodac oraz w prace Komitetu Konsultacyjnego ds. Konwencji o ochronie osb w zwizku z automatycznym przetwarzaniem danych osobowych. Co roku bierze udzia w Midzynarodowej Konferencji Rzecznikw Ochrony Danych Osobowych i Prywatnoci, Wiosennej Konferencji Europejskich Organw Ochrony Danych oraz w Warsztatach Rozpatrywania Spraw. W ramach wszystkich swoich zada wsppracuje z rnymi partnerami zarwno na poziomie midzynarodowym (Rada Europy, Komisja Europejska, organy ochrony danych osobowych z innych pastw, w tym przede wszystkim pastw Europy rodkowej i Wschodniej) oraz krajowym (organy administracji publicznej, organizacje pozarzdowe oraz szkoy wysze). To midzy innymi te dziaania przyczyniy si do tego, e Polacy - wedug bada Eurobarometru226 przeprowadzonych w 2008 r. stali si najbardziej wiadomi swoich praw do ochrony danych osobowych w caej Europie. Wanym zadaniem na 2010 r. stojcym przed Generalnym Inspektorem Ochrony Danych Osobowych bdzie zorganizowanie w Polsce XII. Spotkania Grupy Organw Ochrony Danych Osobowych Pastw Europy rodkowej i Wschodniej (Central and Eastern European Data Protection Authorities). Jest to ju drugie spotkanie czonkw tej grupy organizowane przez polski organ ds. ochrony danych osobowych. W 2008 r. w Kazimierzu Dolnym odbyo si dziesite, jubileuszowe Spotkanie Rzecznikw Ochrony Danych Osobowych Pastw Europy rodkowej i Wschodniej. Powierzenie organizacji tych spotka polskiemu organowi do spraw ochrony danych osobowych naley traktowa jako wyraz uznania dla jego pozycji na tym forum. Ponadto Biuro Generalnego Inspektora Ochrony Danych Osobowych zostao

wyselekcjonowane do realizacji wizyty studyjnej finansowanej z rodkw Unii Europejskiej w ramach

Sondae Eurobarometru, orodka bada opinii publicznej prowadzonych na zlecenie Komisji Europejskiej, przeprowadzane s regularnie we wszystkich pastwach Unii Europejskiej, krajach kandydujcych, a take na terytorium Cypru Pnocnego. Ich wyniki publikowane s w postaci oglnodostpnych raportw. Raporty krajowe powstaj dwa razy w roku. Caociowe wyniki bada s dostpne na stronie internetowej: http://ec.europa.eu/public_opinion/archives/flash_arch_en.htm.

226

154

Programu Wizyt Studyjnych, bdcego czci Programu Uczenie si przez cae ycie (Lifelong Learning Programme). Ju sam tytu projektu Zagadnienia ochrony danych osobowych i prywatnoci w edukacji wskazuje, e jego celem bdzie wymiana informacji i dowiadcze na temat sposobu i metod przekazywania dzieciom i modziey wiedzy z dziedziny ochrony danych osobowych. W trakcie spotkania podjta zostanie ocena moliwoci wprowadzenia programw edukacyjnych dotyczcych ochrony danych osobowych do szk podstawowych, gimnazjw i licew

oraz przedyskutowane zostan najbardziej efektywne formy prowadzenia edukacji w tym obszarze. Uczestnikami wizyty bd reprezentanci europejskich organw ochrony danych osobowych oraz instytucji zajmujcych si edukacj, w tym przedstawiciele europejskich organw ochrony danych osobowych, przedstawiciele instytucji i rodowisk (zwizki, zrzeszenia) zwizanych z edukacj i doradztwem, nauczyciele szk podstawowych, gimnazjw i licew, decydenci w zakresie programw edukacyjnych z Ministerstwa Edukacji Narodowej, przedstawiciele lokalnych

i regionalnych wadz zwizanych z edukacj, a take przedstawiciele rodowisk, ktre monitoruj zagroenia pynce z korzystania Internetu. Natomiast w odniesieniu do kwestii wdraania dyrektywy 95/46/WE i dyrektywy 2002/58/WE oraz innych zmian legislacyjnych, wskaza naley, e z chwil uzyskania przez Polsk czonkostwa w Unii Europejskiej weszy w ycie przepisy ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osb zajmujcych kierownicze stanowiska pastwowe (Dz. U. Nr 33, poz. 285). Ustawa ta wprowadzia liczne zmiany w przepisach ustawy o ochronie danych osobowych, a jej uchwalenie miao na celu wdroenie do polskiego porzdku prawnego postanowie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 padziernika 1995 r. o ochronie osb fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepywu tych danych. Ponadto w 2009 r. w Sejmie zoony zosta prezydencki projekt ustawy o zmianie ustawy o ochronie danych osobowych, ktrego celem jest wyposaenie organu ds. ochrony danych osobowych w bardziej skuteczne instrumenty egzekwowania prawa. Z postanowie ww. dyrektywy, na ktrej wzorowana bya polska ustawa o ochronie danych osobowych, wynika bowiem konieczno wprowadzenia skutecznych rozwiza w kwestii egzekwowania tego prawa. Art. 24 dyrektywy 95/46/WE obliguje pastwa czonkowskie do podjcia dziaa zmierzajcych do zapewnienia penej realizacji praw i obowizkw, ktre zostay w niej okrelone, wic jedynie co do celu jaki naley osign, a pozostawiajc swobod w wyborze drogi do jego osignicia. W sprawie wdroenia do polskiego porzdku prawnego dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz ochrony prywatnoci w sektorze komunikacji elektronicznej, w uzasadnieniu rzdowego projektu ustawy Prawo telekomunikacyjne (aktualnie: ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne) stwierdza si, e projekt ten w peni implementuje regulacje Unii Europejskiej w tej materii.

155

Zacznik nr 1 Wykaz najwaniejszych wystpie Generalnego Inspektora Ochrony Danych Osobowych w roku 2009 o charakterze generalnym do centralnych organw pastwa i do innych podmiotw z sektora publicznego
Lp. Nazwa podmiotu, do ktrego skierowano wystpienie Data wystpienia/ Sygnatura sprawy Przedmiot wystpienia Wystpienie dotyczce koniecznoci wprowadzenia rozwiza, ktre uniemoliwi przetwarzanie w aktach postpowa wszczynanych z urzdu danych osobowych osb informujcych o okolicznociach bdcych podstaw do wszczcia takich postpowa. Wystpienie dotyczce zawajcej interpretacji przepisu art. 51 ust. 1 ustawy o ochronie danych osobowych jaka pojawia si w praktyce orzeczniczej sdw powszechnych. Wystpienie o wskazanie notariuszom na konieczno respektowania przepisw o ochronie danych osobowych przy umieszczaniu w aktach notarialnych danych jedynie w zakresie okrelonym w przepisach prawa. Wystpienie o podjcie dziaa w celu dostosowania treci formularza Karta zapisu dziecka do przedszkola na rok szkolny 2008/2009 do wymogw ustawy o ochronie danych osobowych. Wystpienie o rozwaenie moliwoci wprowadzenia w obowizujcych przepisach prawa zmian, ktre spowoduj usunicie wtpliwoci w ustaleniu obowizkw inwestorw skadajcych do waciwych organw administracji wnioski o ustalenia warunkw zabudowy lub lokalizacji inwestycji celu publicznego. Wystpienie o podjcie odpowiednich dziaa majcych na celu zapewnienie legalnoci udostpniania danych osobowych przez podlege Prezydentowi zakady gospodarstwa nieruchomociami na rzecz innych podmiotw, stosownie do wymogw ustawy o ochronie danych osobowych. Wystpienie, w ktrym zostaa zwrcona uwaga na dokonan przez NSA w wyroku z dnia 25 listopada 2008 r. interpretacj przesanki dopuszczalnoci przetwarzania danych osobowych okrelonej w art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Wystpienie o podjcie stosownych dziaa celem wyeliminowania w przyszoci wypadkw udostpnienia danych osobowych czonkw zaoycieli stowarzysze zwykych.

1.

Prezydent Miasta Gdaska

27.01.2009 r. DOLiS-035-81/09/2520

2.

Prezes Izby Karnej Sdu Najwyszego

30.01.2009 r. DOLiS-440-175/07/3043/09

3.

Prezes Krajowej Rady Notarialnej

02.02.2009 r. DOLiS-035-145/09/2968

4.

Prezydent Miasta Tychy

10.02.2009 r. DOLiS-440-679/08/4313/09

5.

Minister Infrastruktury

18.02.2009 r. DOLiS-440-502/08/5373/09

6.

Prezydent m.st. Warszawy

10.03.2009 r. DOLiS-440-228/07/8374/09

7.

Prezes Naczelnego Sdu Administracyjnego

16.03.2009 r. GI-DS-430/161/06/ 8944/09/DOLiS

8.

Prezydent Miasta Szczecina

26.03.2009 r. DOLiS-440-516/08/10812

156

9.

Powiatowy Inspektor Nadzoru Budowlanego w Kronie

09.04.2009 r. DOLiS-035-278/09/12786

Wystpienie dotyczce procesu dorczania stronom postpowania administracyjnego Zawiadomie o zoeniu listu poleconego w postpowaniu administracyjnym, poprzez ich umieszczanie w sposb naruszajcy przepisy ustawy Kodeks postpowania administracyjnego i ustawy o ochronie danych osobowych. Wystpienie, w ktrym zostaa zwrcona uwaga na praktyk fotografowania przez stranikw miejskich osb zatrzymanych w izbach wytrzewie. Wystpienie dotyczce problemu ustalania przez zakady opieki zdrowotnej tosamoci (danych osobowych) osb, ktrych tosamo w momencie przyjcia do placwki opieki zdrowotnej nie bya znana.

10.

Komendant Stray Miejskiej w odzi

09.04.2009 r. DOLiS-035-543/09/12794

11.

Minister Zdrowia

16.04.2009 r. DOLiS-035-550/09/13516

12.

Prezes Sdu Rejonowego w Skierniewicach

Wystpienie w sprawie zobowizania komornika 24.04.2009 r. sdowego do nieudostpniania danych osobowych DOLiS-440-873/08/14723/09 o duniku pozyskanych w toku innego postpowania egzekucyjnego jego wierzycielowi. Wystpienie o weryfikacj ustale dokonanych w toku postpowania przygotowawczego, zakoczonego zatwierdzonym przez prokuratur postanowieniem o umorzeniu dochodzenia w sprawie podejrzenia umoliwienia dostpu do danych osobowych. Wystpienie o uwzgldnienie wymogw ustanowionych przepisami o ochronie danych osobowych, w procesie przekazywania podmiotowi zewntrznemu obsugi pac pracownikw Banku.

13.

Minister Sprawiedliwoci

04.05.2009 r. DOLiS-0351503/08/15826/09

14.

Bank Gospodarstwa Krajowego

07.05.2009 r. DOLiS-440-243/09/16350

15.

Komendant Gwny Policji

Wystpienie dotyczce koniecznoci wprowadzenia 15.05.2009 r. do porzdku prawnego przepisw stanowicych DOLiS-035-996/08/14620/09 podstaw do wymiany przez polsk Policj informacji dotyczcych DNA z innymi pastwami. Wystpienie dotyczce koniecznoci wprowadzenia 15.05.2009 r. do porzdku prawnego przepisw stanowicych DOLiS-035-996/08/17621/09 podstaw do wymiany przez polsk Policj informacji dotyczcych DNA z innymi pastwami. Podjcie dziaa w zakresie objcia nadzorem postpowania przygotowawczego, prowadzonego przez waciw jednostk prokuratury w sprawie dotyczcej niewykonania przez towarzystwo ubezpieczeniowe decyzji nakazujcej przywrcenie stanu zgodnego z prawem. Podjcie stosownych dziaa w ramach posiadanych kompetencji w sprawie dotyczcej niewykonania przez towarzystwo ubezpieczeniowe decyzji nakazujcej przywrcenie stanu zgodnego z prawem. Podjcie stosownych dziaa w ramach posiadanych kompetencji w sprawie dotyczcej niewykonania przez towarzystwo ubezpieczeniowe decyzji nakazujcej przywrcenie stanu zgodnego z prawem.

16.

Ministerstwo Spraw Wewntrznych i Administracji

17.

Minister Sprawiedliwoci Prokurator Generalny

22.05.2009 r. DIS-K-421/30/09

18.

Komisja Budetu i Finansw Publicznych Senatu RP

22.05.2009 r. DIS-K-421/30/09

19.

Komisja Nadzoru Finansowego

22.05.2009 r. DIS-K-421/30/09

157

20.

Rzecznik Ubezpieczonych

22.05.2009 r. DIS-K-421/30/09

Podjcie stosownych dziaa w ramach posiadanych kompetencji w sprawie dotyczcej niewykonania przez towarzystwo ubezpieczeniowe decyzji nakazujcej przywrcenie stanu zgodnego z prawem. Podjcie stosownych dziaa w ramach posiadanych kompetencji w sprawie dotyczcej niewykonania przez towarzystwo ubezpieczeniowe decyzji nakazujcej przywrcenie stanu zgodnego z prawem. Podjcie stosownych dziaa w ramach posiadanych kompetencji w sprawie dotyczcej niewykonania przez towarzystwo ubezpieczeniowe decyzji nakazujcej przywrcenie stanu zgodnego z prawem. Podjcie stosownych dziaa w ramach posiadanych kompetencji w sprawie dotyczcej niewykonania przez towarzystwo ubezpieczeniowe decyzji nakazujcej przywrcenie stanu zgodnego z prawem. Wystpienie w sprawie upubliczniania danych osobowych dzieci i ich rodzicw w przedszkolach poprzez wywieszanie list zawierajcych te dane na drzwiach wejciowych do przedszkoli. Wystpienie o podjcie odpowiednich dziaa majcych na celu zaprzestanie upubliczniania danych osobowych dzieci i ich rodzicw w przedszkolach poprzez wywieszanie list zawierajcych te dane na drzwiach wejciowych do przedszkoli. Wystpienie o wskazanie rektorom uczelni wyszych na konieczno przestrzegania zasad przewidzianych w przepisach prawa w zwizku z przetwarzaniem danych osobowych absolwentw uczelni w celach marketingowych. Wystpienie o niepodawanie do publicznej wiadomoci niejawnych czci owiadcze majtkowych. Wystpienie dotyczce udostpniania danych adresowych funkcjonariuszy policji ze zbioru PESEL w zwizku z wzywaniem przez sdy osb pozywajcych ww. do wskazywania adresw ich zamieszkania celem nadania biegu sprawie cywilnej. Podjcie dziaa w zwizku z nieprawidowym postpowaniem z dokumentacj archiwaln (na ktr skadaj si akta osobowe pracownikw i dokumenty finansowo-ksigowe), wytworzon przez Kombinat Budownictwa Komunalnego Wojewdztwa Sieradzkiego Zakadu Produkcji Materiaw Budowlanych w ask Kolumna, Wojewdzkie Przedsibiorstwo Prefabrykatw w ask Kolumna, Przedsibiorstwo Produkcyjno Handlowe Prefabrykaty Sp. z o. o. w ask Kolumna a obecnie przechowywan w warunkach grocych jej zniszczeniem oraz dostpem osb nieuprawnionych.

21.

Komisja Finansw Publicznych Sejmu RP

22.05.2009 r. DIS-K-421/30/09

22.

Urzd Ochrony Konkurencji i Konsumentw

22.05.2009 r. DIS-K-421/30/09

23.

Marszaek Sejmu RP

22.05.2009 r. DIS-K-421/30/09

24.

Prezydent Miasta Biaegostoku

29.05.2009 DOLiS-035-665/09/19637

25.

Prezydent m.st. Warszawy

01.06.2009 r. DOLiS-035-807/09/20001

26.

Minister Nauki i Szkolnictwa Wyszego

01.06.2009 r. DOLiS-035-634/09/19906

27.

Wjt Gminy ary

22.06.2009 r. DOLiS-035-852/09/22467

28.

Minister Sprawiedliwoci

29.06.2009 r. DOLiS-440-37/09/23567

29.

Archiwum Pastwowe w Warszawie

06.07.2009 r. DIS-K-421/71/09

158

30.

Prezydent Miasta Gdaska

10.07.2009 r. DOLiS-035-1156/09/25062

Wystpienie dotyczce koniecznoci wprowadzenia rozwiza, ktre uniemoliwi przetwarzanie w aktach postpowa wszczynanych z urzdu danych osobowych osb informujcych o okolicznociach bdcych podstaw do wszczcia takich postpowa. Wystpienie dotyczce dostarczania korespondencji osobom, ktrych sprawy zaatwiane s w urzdzie, bez kopert, tj. niewaciwego zabezpieczenia danych. Wystpienie o zwrcenie instytucjom, nad ktrymi Przewodniczcy KNF sprawuje nadzr, w tym szczeglnoci bankom, uwagi na konieczno respektowania przepisw ustawy Prawo bankowe w odniesieniu do tajemnicy bankowej, w sytuacji gdy podmioty te ulegaj czeniu, podziaowi lub przeksztaceniu w rozumieniu przepisw ustawy Kodeks spek handlowych i jednoczenie przestrzegania zasad okrelonych w ustawie o ochronie danych osobowych. Wystpienie o zmian praktyki urzdu polegajcej na udostpnianiu na jego stronach internetowych dokumentacji projektowej zawierajcej dane osobowe. Wystpienie o podjcie niezbdnych dziaa w celu zapewnienia zgodnoci przetwarzania danych osobowych z obowizujcymi przepisami w zwizku z uzyskaniem informacji o udostpnianiu przez Prezydenta Miasta Gdyni danych osobowych w zakresie daty zameldowania na pobyt stay bez dochowania naleytej starannoci, czy osoba wnioskujca o te dane jest uprawniona do ich otrzymania.

31.

Prezydent Miasta Krakowa

23.07.2009 r. DOLiS-035-1018/09/26754

32.

Przewodniczcy Komisji Nadzoru Finansowego

30.07.2009 r. DOLiS-440-868/08/27821

33.

Prezydent Miasta Koobrzegu

05.08.2009 r. DOLiS-035-1376/09/28595

34.

Prezydent Miasta Gdyni

07.08.2009 r. DOLiS-440-427/09/28915

35.

Minister Sprawiedliwoci

Wystpienie o zwrcenie szczeglnej uwagi na 10.08.2009 r. konieczno respektowania przepisw ustawy DOLiS-440-756/08/29280/09 o ochronie danych osobowych przy udostpnianiu danych osobowych z Krajowego Rejestru Karnego. 31.08.2009 r. DOLiS-035-1247/09/31521 Wystpienie osobowych. w sprawie zabezpieczenia danych

36.

Prezes Zakadu Ubezpiecze Spoecznych

37.

Dyrektor Generalny Ministerstwo Kultury i Dziedzictwa Narodowego

16.09.2009 r. DOLiS-440-396/09/33711

Wystpienie o podjcie odpowiednich dziaa majcych na celu zagwarantowanie zgodnoci przetwarzania danych osobowych pracownikw i byych pracownikw Ministerstwa z przepisami ustawy o ochronie danych osobowych. Wystpienie o podjcie odpowiednich dziaa majcych na celu zagwarantowanie zgodnoci przetwarzania danych osobowych wiadczeniobiorcw z przepisami ustawy o ochronie danych osobowych, przekazanych przez wiadczeniodawcw NFZ.

38.

Minister Zdrowia

15.10.2009 r. DOLiS-440-374/09/ 37706,37818

159

39.

Archiwum Pastwowe w Warszawie

16.10.2009 r. DIS-K-421/107/09

Podjcie dziaa w zwizku z nieprawidowym postpowaniem z dokumentacj archiwaln (na ktra skadaj si akta osobowe pracownikw i dokumenty finansowo-ksigowe), wytworzon przez Przedsibiorstwo Prefabrykacji Przemysu Wglowego PREFBET S.A. w Katowicach, a obecnie przechowywan w warunkach grocych jej zniszczeniem oraz dostpem osb nieuprawnionych. Wystpienie w sprawie przekazywania danych osobowych pacjentw wymagajcych opieki lekarskiej w niedziele i wita zakadom opieki zdrowotnej, ktre maj podpisane stosowne umowy z NFZ. Wystpienie dotyczce wtpliwoci odnonie legalnoci praktyki polegajcej na udostpnianiu z Krajowej Ewidencji Podatnikw na rzecz organw podatkowych danych osobowych.

40.

Prezes Narodowego Funduszu Zdrowia

29.10.2009 r. DOLiS-035-1534/09/39900

41.

Minister Finansw

17.11.2009 r. DOLiS-440-582/09/42413

42.

Prokurator Generalny RP

Wystpienie o podjcie dziaa majcych na celu wyeliminowanie stosowanej przez prokuratury 26.11.2009 r. praktyki polegajcej na wpisywaniu na zwrotnym DOLiS-440-184/08/43888/09 potwierdzeniu odbioru pism informacji wskazujcych na charakter, w jakim uczestniczy w prowadzonym postpowaniu adresat. 10.12.2009 r. DOLiS-035-2228/09/46160 15.12.2009 r. DOLiS-035-2338/09/46881 Wystpienie w sprawie zaprzestania wydawania przez ZUS legitymacji ubezpieczeniowych. Wystpienie dotyczce zmiany brzmienia przepisw ustawy o Inspekcji Weterynaryjnej. Opinia w zakresie zgodnoci zapisw zawartych w 17 Zakadowego Ukadu Zbiorowego Pracy z dnia 25 lutego 1998 r. obowizujcego w Totalizatorze Sportowym Sp. z o. o. w Warszawie z przepisami ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 1998 r. Nr 21 poz. 94 z pn. zm.), w szczeglnoci z art. 9 i 221 ww. ustawy. Opinia w sprawie zgodnoci dziaalnoci agencji zatrudnienia Centrum Porednictwa ELIZABETH Matki Zastpcze Surogatki w Piasecznie z przepisami ustawy z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy (Dz. U. z 2008 r. Nr 69, poz. 415 z pn. zm.).

43.

Prezes Narodowego Funduszu Zdrowia Minister Rolnictwa i Rozwoju Wsi

44.

45.

Gwny Inspektor Pracy

15.12.2009 r. DIS-K-421/156/09

46.

Marszaek Wojewdztwa Mazowieckiego

29.12.2009 r. DIS-K-421/132/09

160

Zacznik nr 2 Wykaz najwaniejszych wystpie Generalnego Inspektora Ochrony Danych Osobowych w roku 2009 do podmiotw prywatnych
Nazwa podmiotu, do ktrego skierowano wystpienie Data wystpienia/ Sygnatura sprawy

Lp.

Przedmiot wystpienia Wystpienie o respektowanie przepisw ustawy o ochronie danych osobowych przy podejmowaniu dziaa bdcych przedmiotem dziaalnoci Wsplnoty Mieszkaniowej w zwizku z zamieszczeniem przez ni na tablicy ogosze w miejscu publicznie dostpnym danych osobowych. Wystpienie o respektowanie przepisw ustawy o ochronie danych osobowych w zwizku z niekontrolowanym rozsyaniem e-maili przeznaczonych dla jednego odbiorcy take do innych osb/podmiotw (niezabezpieczenie danych i obowizek dooenia szczeglnej starannoci w celu ochrony interesw osb, ktrych dane dotycz). Wystpienie w sprawie stosowania video-nadzoru (o zaniechanie tej praktyki). Wystpienie o zaniechanie praktyki polegajcej na wykorzystywaniu danych osobowych czonkw Spdzielni niezgodnie z celem, dla ktrego zostay pozyskane oraz udostpnianiu tych danych osobom nieupowanionym. Wystpienie o uwzgldnienie w dziaalnoci Spki zasad wynikajcych z przepisw o ochronie danych osobowych, w szczeglnoci w odniesieniu do przetwarzania danych w celach marketingowych. Wystpienie o nieudostpnianie danych osobowych w zakresie szerszym ni niezbdny dla realizacji zamierzonego celu. Wystpienie o przestrzeganie przez Spk przepisw ustawy o ochronie danych osobowych przy rozpatrywaniu reklamacji skadanych przez klientw. Wystpienie o podjcie stosownych dziaa majcych na celu wyeliminowanie nieprawidowoci polegajcych na udostpnieniu na stronie internetowej www.orbis.pl danych osobowych. Wystpienie o dostosowanie do przepisw ustawy o ochronie danych osobowych formularza karty rejestracyjnej Karty Tak Tak. Wystpienie o podjcie dziaa uczulajcych Skarbnic Narodow Sp. z o.o. - czonka Stowarzyszenia Marketingu Bezporedniego - na respektowanie przepisw ustawy o ochronie danych osobowych.

1.

Wsplnota Mieszkaniowa Osowska 45

13.01.2009 r. DOLiS-440-616/08/930/09

2.

Agora S.A.

19.01.2009 r. DOLiS-035-48/09/1463

3.

Spdzielnia Mieszkaniowa Zachta

21.01.2009 r. DOLiS-035-1640/08/1815

4.

Spdzielnia Mieszkaniowa Lokatorsko-Wasnociowa Dno

22.01.2009 r. DOLiS-440-716/08/2014/09

5.

ITI Neovision Sp. z o.o.

30.01.2009 r. DOLiS-440-763/08/2985/09

6.

Okrgowy Zarzd Polskiego Zwizku Dziakowcw w Koszalinie

10.02.2009 r. DOLiS-440-812/08/4406/09

7.

Sferis Sp. z o.o.

17.02.2009 r. DOLiS-440-517/08/5280/09

8.

Orbis S.A.

25.02.2009 r. DOLiS-440-941/08/6300/09

9.

Polska Telefonia Cyfrowa Sp. z o.o.

25.02.2009 r. DOLiS-440-766/08/6460/09

10.

Stowarzyszenie Marketingu Bezporedniego

16.03.2009 r. DOLiS-440-303/08/8960/09

161

11.

Krajowa Rada Spdzielcza

Wystpienie o wprowadzenie rozwiza, ktre uniemoliwi ujawnienie w protokoach lustracji 24.03.2009 r. spdzielni mieszkaniowych danych osb DOLiS-440-877/08/10453/09 informujcych o okolicznociach podlegajcych badaniu w trakcie przeprowadzanej lustracji. Wystpienie o respektowanie przepisw ustawy o ochronie danych osobowych, w szczeglnoci w odniesieniu do przetwarzania danych w celach marketingowych, obowizku informacyjnego, take w zwizku z przesyaniem informacji handlowej drog elektroniczn. Wystpienie w sprawie nieprawidowej klauzuli zgody zawartej we wniosku o zaoenie lokaty/otwarcie rachunku terminowych lokat oszczdnociowych w aspekcie przekazywania danych osobowych innym podmiotom oraz w sprawie obowizku informacyjnego. Wystpienie w sprawie nieprawidowej klauzuli zgody - nieprecyzyjne sformuowanej i uzaleniajcej skorzystanie z usug administratora od zgody na marketing. Wystpienie dotyczy take obowizku informacyjnego. Wystpienie o podjcie stosownych dziaa majcych na celu prawidowe dopenienie obowizku informacyjnego. Wystpienie o dostosowanie do przepisw ustawy klauzuli zgody zamieszczonej na stronach internetowych www.wakacje.pl (jej doprecyzowanie) i dopenienie obowizku informacyjnego.

12.

TUI Poland Sp. z o.o.

07.04.2009 r. DOLiS-035-181/09/12215

13.

Bank Pocztowy S.A.

09.04.2009 r. DOLiS-035-286/09/12791

14.

Nowa Itaka Sp. z o.o.

09.04.2009 r. DOLiS-035-180/09/12809

15.

Sony Poland Sp. z o.o.

09.04.2009 r. DOLiS-035-351/09/12898

16.

Wakacje.pl S.A.

16.04.2009 r. DOLiS-035-179/09/13596

17.

Bank Zachodni WBK S.A.

Wystpienie dotyczce respektowania zasad wynikajcych z przepisw ustawy o ochronie danych 15.05.2009 r. osobowych celem wyeliminowanie nieprawidowoci DOLiS-440-861/08/17642/09 w procesie przetwarzania danych osobowych klienta archiwalnego. 26.05.2009 r. DOLiS-440-143/09/19041 Wystpienie o uwzgldnienie w dziaalnoci Banku przepisw ustawy o ochronie danych osobowych, zwaszcza jej art. 36 ust. 1. Wystpienie o podjcie dziaa zwracajcych bankom uwag na konieczno respektowania przepisw ustawy o ochronie danych osobowych, zwaszcza jej art. 36 ust. 1. Wystpienie o podjcie dziaa majcych na celu wyeliminowanie w nieprawidowoci polegajcej na przetwarzaniu danych w celach marketingowych pomimo wniesienia sprzeciwu w tym zakresie. Wystpienie o odstpienie od praktyki polegajcej na telefonicznym potwierdzaniu prawdziwoci podanych przez kredytobiorcw danych osobowych. Wystpienie o odstpienie od praktyki polegajcej na zatrzymywaniu dowodu tosamoci w zastaw za wypoyczenie wzka-koszyka sucego do przewozu dziecka w centrum handlowym.

18.

Kredyt Bank S.A.

19.

Zwizek Bankw Polskich

26.05.2009 r. DOLiS-440-143/09/19043

20.

Polkomtel S.A.

9.06.2009 r. DOLiS-440-156/09/21050

21.

Euro Bank S.A.

18.06.2009 r. DOLiS-035-305/09/22146

22.

PHU Trans Bis Wietecki Robert

23.06.2009 r. DOLiS-035-347/09/22697

162

23.

Eller Service S.C. Rafa Peisert, Iwona Kwiatkowska

23.06.2009 r. DOLiS-035-903/09/22810

Wystpienie dotyczce respektowania zasad wynikajcych z przepisw ustawy o ochronie danych osobowych celem wyeliminowanie nieprawidowoci w procesie przetwarzania danych osobowych dotyczcych stosowania regulaminu zamieszczonego na stronie www.pobieraczek.pl (obowizek informacyjny, nieprecyzyjna klauzula zgody). Wystpienie o dostosowanie do przepisw ustawy o ochronie danych osobowych treci formularza Krtkiej ankiety produktowej. Wystpienie w zwizku z pozyskiwaniem za pomoc strony internetowej www.najPraca.pl danych osobowych w zakresie szerszym, ni dopuszczone jest to przepisami prawa a take dotyczce obowizkw administratora danych. Wystpienie o niezwoczne zaprzestanie praktyki polegajcej na umieszczeniu na kopertach wysyanej korespondencji informacji o statusie prawnym adresatw objtych t korespondencj pism. Wystpienie o odstpienie od praktyki polegajcej na zatrzymywaniu dowodu tosamoci w zastaw za wypoyczenie wzka-koszyka sucego do przewozu dziecka w centrum handlowym. Wystpienie dotyczce respektowania zasad wynikajcych z przepisw ustawy o ochronie danych osobowych celem wyeliminowanie nieprawidowoci w procesie przetwarzania danych osobowych pozyskiwanych za pomoc strony internetowej www.heineken.pl w trakcie uczestnictwa w konkursie (obowizek informacyjny, nieprecyzyjna klauzula zgody). Wystpienie o weryfikacj zakresu zbieranych danych osobowych, w zwizku z dochodzeniem roszcze z tytuu pobranych opat za wydanie karty pojazdu (kserowanie dowodw osobistych). Wystpienie o respektowanie przepisw o ochronie danych osobowych (oglne). Wystpienie o respektowanie przepisw o ochronie danych osobowych (oglne). Wystpienie dotyczce respektowania zasad wynikajcych z przepisw ustawy o ochronie danych osobowych celem wyeliminowanie nieprawidowoci w procesie przetwarzania danych osobowych pozyskiwanych za pomoc strony internetowej www.zrodzina.pl (obowizek informacyjny, nieprecyzyjna klauzula zgody). Wystpienie o podjcie dziaa w celu dostosowania treci stosowanych przez Spk wzorcw formularzy umowy sucych do aktualizacji umw sprzeday paliw do wymogw ustawy o ochronie danych osobowych.

24.

PKO BP S.A.

24.06.2009 r. DOLiS-440-208/09/22865

25.

o2.pl Sp. z o.o.

24.07.2009 r. DOLiS-035-974/09/26903

26.

PZU S.A.

28.07.2009 r. DOLiS-440-470/09/27355

27.

Salon Gier ALA

30.07.2009 r. DOLiS-035-348/09/27874

28.

ywiec Sprzeda i Dystrybucja Sp. z o.o.

31.07.2009 r. DOLiS-035-1095/09/28022

29.

4call.pl Sp. z o.o.

31.07.2009 r. DOLiS-035-1047/09/27943

30.

Abi-security Sp. z o.o.

03.08.2009 r. DOLiS-035-1353/09/28230 04.08.2009 r. DOLiS-035-640/09/28389

31.

NetArt Piotr Nowak

32.

GG Network S.A.

10.08.2009 r. DOLiS-035-1397/09/29190

33.

Polskie Grnictwo Naftowe i Gazownictwo S.A.

12.08.2009 r. DOLiS-440-269/09/29594

163

34.

Polskie Linie Lotnicze LOT S.A.

27.08.2009 r. DOLiS-035-1699/08/31166

Wystpienie o realizowanie obowizku informacyjnego w chwili pozyskiwania danych za pomoc strony internetowej https://www.lot.com. Wystpienie o podjcie stosownych dziaa w zwizku z uzyskaniem informacji o udostpnieniu osobie nieupowanionej przez Bank danych osobowych.

35.

Bank Polska Kasa Opieki S.A.

15.10.2009 r. DOLiS-440-558/09/37717

36.

Netia S.A.

Wystpienie o dopenianie przez Spk obowizku 22.10.2009 r. informacyjnego z art. 33 ustawy o ochronie danych DOLiS-440-528/09/38755/09 osobowych. 22.10.2009 r. DOLiS-035-1925/09/35754 Wystpienie o dostosowanie regulaminu dotyczcego pozyskiwania danych osobowych przy dorczaniu przesyek do stosowanej przez t firm praktyki pozyskiwania danych ich odbiorcw. Wystpienie o odstpienie od praktyki pozyskiwania (spisywania) danych osobowych klientw w sytuacji pacenia przez nich elektroniczn kart patnicz. Wystpienie o podjcie odpowiednich dziaa majcych na celu wyczulenie pracownikw na niedopuszczenie do sytuacji udostpniania danych osobowych klientw osobom nieupowanionym. Wystpienie dotyczce dostosowania procesu przetwarzania danych osobowych pracownikw do przepisw Kodeksu Pracy (w aspekcie zakresu danych) oraz ustawy o ochronie danych osobowych (w aspekcie zgody na pozyskiwanie danych). Wystpienie dotyczce pozyskiwania danych osobowych w zwizku z wydawaniem Karty Kibica, oraz nieprawidowoci w regulaminie tego dotyczcym.

37.

DHL Express (Poland) Sp. z o.o.

38.

abka Polska S.A.

18.11.2009 r. DOLiS-035-572/09/42634

39.

Alior Bank S.A.

26.11.2009 r. DOLiS-440-368/09/43963

40.

Pliva Krakw Zakady Farmaceutyczne S.A.

14.12.2009 r. DOLiS-035-2337/09/46621

41.

Zielonogrski Klub ulowy Sportowa Spka Akcyjna

19.12.2009 r. DOLiS-035-339/09/2231

42.

Legia Warszawa S.S.A.

Wystpienie o prawidowe wykonanie obowizku 21.12.2009 r. informacyjnego z art. 33 ust. 1 ustawy o ochronie DOLiS-440-544/08/47724/09 danych osobowych.

164

Zacznik nr 3 Wykaz kontroli przeprowadzonych w 2009 r.

Data / Sygnatura kontroli 12-14.01.2009 r. DIS-K-421/1/09 12-14.01.2009 r. DIS-K-421/2/09 12-15.01.2009 r. DIS-K-421/3/09 13-16.01.2009 r. DIS-K-421/4/09 19-23.01.2009 r. DIS-K-421/5/09 Nazwa i miejsce podmiotu kontrolowanego Polska Telefonia Komrkowa Centertel Sp. z o.o. Warszawa, ul. Skierniewicka 10A Spdzielnia Mieszkaniowa Nowe Miasto, Warszawa, ul. Bonifraterska 14 RWE Polska S.A. Warszawa, Wybrzee Kociuszkowskie 41 Magorzata Komor i Wsplnicy Klubu Delfin s.c. Gdask, ul. Maachowskiego 1 Rainbow Tours S.A. d, ul. Piotrkowska 270 Inicjatywa kontroli Departament Orzecznictwa Legislacji i Skarg z urzdu Departament Orzecznictwa Legislacji i Skarg z urzdu z urzdu Departament Orzecznictwa Legislacji i Skarg Departament Orzecznictwa Legislacji i Skarg w zwizku z kontrol DIS-K421/7/09 Rozstrzygnicie oraz/lub data i sygnatura decyzji 30.06.2009 r. Decyzja DIS/DEC-585/23652/09 16.04.2009 r. Decyzja DIS/DEC-307/13545/09 10.04.2009 r. Decyzja DIS/DEC-286/13004/09 nie stwierdzono uchybie 13.05.2009 r. Decyzja DIS/DEC-390/17359/09 09.04.2010 r. Decyzja DIS/DEC-394/15034/10 przywrcono stan zgodny z prawem

L.p.

1.

2.

3.

4. 5. 6.

19-23.01.2009 r. Nasza Klasa Sp. z o.o. Wrocaw, DIS-K-421/6/09 ul. Dembowskiego 57/5 19-22.01.2009 r. DIS-K-421/7/09 Varena Group Sp. z o.o. Warszawa, Pl. Konstytucji 2/49

7.

Sylwester Kiedrowicz prowadzcy dziaalno 23.01.2009 r. gospodarcz pod nazw 8. DIS-K-421/15/09 E-Grupa Sylwester Kiedrowicz, Warszawa, ul. Milanowska 9 Marek Wrbel prowadzcy dziaalno gospodarcz pod 26-28.01.2009 r. 9. nazw NETim Usugi DIS-K-421/8/09 Informatyczne Marek Wrbel, Wrocaw, ul. Marka Haski 6/1 Elektroniczne Systemy 26-30.01.2009 r. 10. Sprzeday Sp. z o.o., Wrocaw, DIS-K-421/9/09 ul. Supiskiego 1 11. 26-28.01.2009 r. DIS-K-421/10/09 Freshmind Sp. z o.o. Warszawa, ul. Okrzei 23/42 wistak.pl Sp. z o.o. Warszawa, Al. Solidarnoci 61

przywrcono stan zgodny z prawem

Naczelna Izba Lekarska w zwizku z kontrol DIS-K421/159/08 Departament Orzecznictwa Legislacji i Skarg z urzdu Departament Orzecznictwa Legislacji i Skarg

nie stwierdzono uchybie

15.04.2009 r. Decyzja DIS/DEC-300/13355/09 27.05.2009 r. Decyzja DIS/DEC-443/19249/09

26-29.01.2009 r. 12. DIS-K-421/11/09 26-27.01.2009 r. DIS-K-421/12/09

nie stwierdzono uchybie

13.

Telekomunikacja Polska S.A. Warszawa, ul. Twarda 18 Niepubliczny Zakad Opieki Zdrowotnej Lumed Sp. z o.o. Lubaczw, ul. Kociuszki 16

nie stwierdzono uchybie 30.06.2009 r. zawiadomienie o przestpstwie, 29.07.2009 r. Decyzja DIS/DEC-746/27492/09 11.05.2009 r. Decyzja DIS/DEC-366/16756/09

26-30.01.2009 r. 14. DIS-K-421/13/09

z urzdu

15.

Przedsibiorstwo Produkcyjne 26-27.01.2009 r. Kabin azienkowych Sp. z o.o. DIS-K-421/14/09 Nowe Lipiny, ul. Niska 1

z urzdu

165

16.

03-05.02.2009 r. DIS-K-421/16/09 04-06.02.2009 r. DIS-K-421/17/09 04-06.02.2009 r. DIS-K-421/18/09

17. 18. 19. 20. 21. 22.

Zakad Gospodarowania Nieruchomociami w Dzielnicy m.st. Warszawy, Warszawa, ul. Szwoleerw 5 Agito S.A. Warszawa, ul. Jagielloska 82 Philipiak Polska Sp. z o.o. Warszawa, ul. Straacka 63/65

Departament Orzecznictwa Legislacji i Skarg z urzdu Departament Orzecznictwa Legislacji i Skarg z urzdu w zwizku z kontrol DIS-K421/196/08 z urzdu w zwizku z kontrol DIS-K421/196/08 z urzdu z urzdu z urzdu Departament Edukacji Spoecznej i Wsppracy Midzynarodowej Departament Edukacji Spoecznej i Wsppracy Midzynarodowej Departament Edukacji Spoecznej i Wsppracy Midzynarodowej z urzdu

07.08.2009 r. decyzja DIS/DEC-796/28953,28993/09 10.04.2009 r. Decyzja DIS/DEC-287/13013/09 04.11.2009 r. decyzja DIS/DEC-1109/40731/09 22.06.2009 r. Decyzja DIS/DEC-545/22484/09 09.06.2009 r. Decyzja DIS/DEC-514/21093/09 w toku nie stwierdzono uchybie

04-06.02.2009 r. Ministerstwo Sprawiedliwoci, DIS-K-421/19/09 Warszawa, Al. Ujazdowskie 11 09-11.02.2009 r. DIS-K-421/20/09 INCO-VERITAS S.A. Warszawa, ul. Wsplna 25

09-13.02.2009 r. Szef Urzdu ds. Cudzoziemcw, DIS-K-421/21/09 Warszawa, ul. Koszykowa 16 11-13.02.2009 r. DIS-K-421/22/09 11-13.02.2009 r. DIS-K-421/23/09 11-13.02.2009 r. DIS-K-421/24/09 16-18.02.2009 r. DIS-K-421/25/09 Strabag Sp. z o.o. Warszawa, ul. Brechta 7 Tomasz Branecki Agencja Jartom, Warszawa, ul. Kopernika 30 Contenta com.pl Sp. z o.o. Warszawa, ul. Puawska 90 lok.4 International Data Group Poland S.A. Warszawa, ul. Jordanowska 12 Unilever Polska Sp. z o.o. Warszawa, ul. Postpu 18A

23. 24. 25.

nie stwierdzono uchybie 30.04.2009 r. Decyzja DIS/DEC-352/15651/09 28.12.2009 r. decyzja DIS/DEC-1327/48391/09

26.

17-26.02.2009 r. DIS-K-421/26/09

11.09.2009 r. Decyzja DIS/DEC-911/33162/09

27.

17-26.02.2009 r. DIS-K-421/27/09

Unilever Polska S.A. Warszawa, ul. Postpu 18A

11.09.2009 r. Decyzja DIS/DEC-907/33129/09

28.

17-26.02.2009 r. DIS-K-421/28/09

Unilever Poland Services Sp. z o.o. Warszawa, ul. Postpu 18A

11.09.2009 r. Decyzja DIS/DEC-908/33134/09

Grayna Kozowska prowadzca 18-20.02.2009 r. dziaalno gospodarcz pod 29. DIS-K-421/29/09 nazw ART-DOM, Warszawa, ul. Targowa 15/60A 18-19.02.2009 r. Link4 Towarzystwo Ubezpiecze 30. DIS-K-421/30/09 S.A. Warszawa, ul. Postpu 15 Mirosaw wistak prowadzcy 25-27.02.2009 r. dziaalno gospodarcz pod 31. DIS-K-421/31/09 nazw Assertor, Warszawa, ul. Inynierska 11 Brandt S.A. Warszawa, 25-27.02.2009 32. DIS-K-421/32/09 ul. Zakopiaska 5 lok. 2 25-27.02.2009 r. GoldenLine Sp. z o.o. Warszawa, 33. DIS-K-421/33/09 ul. Skrzetuskiego 17A 25-27.02.2009 r. Presco Media Sp. z o.o. 34. DIS-K-421/34/09 Warszawa, ul. Garaowa 5 35. 03-06.03.2009 r. DIS-K-421/35/09 Adesko Sp. z o.o. Warszawa, ul. Ateska 61

nie stwierdzono uchybie 15.04.2009 r. zawiadomienie o przestpstwie nie stwierdzono uchybie

z urzdu

z urzdu

z urzdu z urzdu z urzdu Departament Orzecznictwa Legislacji i Skarg

nie stwierdzono uchybie 30.06.2009 r. Decyzja DIS/DEC-583/23647/09 nie stwierdzono uchybie 05.06.2009 r. Decyzja DIS/DEC-497/20695/09

166

03-06.03.2009 r. 36. DIS-K-421/36/09 03-06.03.2009 r. DIS-K-421/37/09

Ministerstwo Spraw Zagranicznych, Warszawa, Al. Szucha 23

w zwizku z 16.04.2009 r. kontrolami DIS-K421/149/08 i DIS- pismo do Ministra Spraw Zagranicznych K-421/193/08 z urzdu z urzdu z urzdu nie stwierdzono uchybie 22.05.2009 r. Decyzja DIS/DEC-411/18722/09 27.05.2009 r. Decyzja DIS/DEC-444/19255/09 13.05.2009 r. Decyzja DIS/DEC-389/17355/09

Lebied i Lebied, Joanna Lebied, Tomasz Lebied sp.j. Warszawa, ul. Estrady 65 09-11.03.2009 r. Szybko.pl Sp. z o.o. Warszawa, 38. ul. Rakowiecka 39A/16 DIS-K-421/38/09 09-13.03.2009 Home Broker S.A. Warszawa, 39. DIS-K-421/39/09 ul. Domaniewska 39 Dorota Jeska prowadzca dziaalno gospodarcz pod 10-13.03.2009 r. 40. nazw Nieruchomoci Dorota DIS-K-421/40/09 Jeska, Warszawa, ul. Pasa Ursynowski 7 37. 41. 10-13.03.2009 r. DIS-K-421/41/09 Mainframe Sp. z o.o. Raszyn, ul. Zielona 18

z urzdu

12-13.03.2009 r. 42. DIS-K-421/42/09

43.

11-12.03.2009 r. DIS-K-421/43/09

44.

16-19.03.2009 r. DIS-K-421/44/09 17-20.03.2009 r. DIS-K-421/45/09

45.

46.

17-20.03.2009 r. DIS-K-421/46/09

47.

16-20.03.2009 r. DIS-K-421/47/09 18-20.03.2009 r. DIS-K-421/48/09

w zwizku z kontrol DIS-K421/19/09 Krajmed Laryngologia i Okrgowy Chirurgia Plastyczna Nosa Rzecznik Niepubliczny Zakad Opieki Odpowiedzialnoci Zdrowotnej, Warszawa, Zawodowej Izby Lekarskiej ul. Wabrzyska 11 Okrgowy Rzecznik Centrum Medyczne Damiana Sp. z o.o. Warszawa, Odpowiedzialnoci ul. Wabrzyska 46 Zawodowej Izby Lekarskiej Departament Rzecznik Praw Obywatelskich, Orzecznictwa Warszawa, Al. Solidarnoci 77 Legislacji i Skarg Trader.com (Polska) Sp. z o.o. Warszawa, z urzdu ul. Towarowa 22 Wojciech Kamiski prowadzcy dziaalno gospodarcz pod Departament nazw Wojciech Kamiski APP Orzecznictwa Wakat, Warszawa, Legislacji i Skarg ul. Walecznych 64 Burmistrz Miasta ywiec Prokuratura Urzd Miejski w ywcu, Rejonowa w ywiec, ul. Rynek 2 Bielsku - Biaej MetLife Towarzystwo Ubezpiecze na ycie S.A. Warszawa, ul. Puawska 17 w zwizku z kontrol DIS-K421/1/09 Agencja Bezpieczestwa Wewntrznego Departament Orzecznictwa Legislacji i Skarg z urzdu Departament Orzecznictwa Legislacji i Skarg z urzdu

22.06.2009 r. Decyzja DIS/DEC-546/22486/09 24.06.2009 r. zawiadomienie o przestpstwie, 31.08.2009 r. Decyzja DIS/DEC-877/31613/09 24.06.2009 r. zawiadomienie o przestpstwie DIS/ZAW-13/22899/09, 31.08.2009 r. Decyzja DIS/DEC-877/31613/09 nie stwierdzono uchybie 22.05.2009 r. Decyzja DIS/DEC-410/18720/09

18.082009 r. Decyzja DIS/DEC-827/30231/09

ustalenia przekazano do Prokuratury Rejonowej w Bielsku - Biaej

48.

nie stwierdzono uchybie 07.08.2009 r. Decyzja DIS/DEC-795/28947/09 16.07.2009 r. Decyzja DIS/DEC-635/25711/09 30.06. r.2009 r. Decyzja DIS/DEC-586/23654/09 nie stwierdzono uchybie 30.10.2009 r. decyzja DIS/DEC-1086/39944/09

49.

24-27.03.2009 r. Urzd Miejski w Biskupcu, DIS-K-421/49/09 Biskupiec, Al. Niepodlegoci 2 Tomasz Klimczak prowadzcy dziaalno gospodarcz pod nazw Pless Intermedia, Pszczyna, ul. Batorego 27 Polanowscy Nieruchomoci Sp. z o.o. Warszawa, ul. Marszakowska 83 lok. 55 HomeNet Technologies Sp. z o.o. Biaystok, ul. witojaska 13/2 Grupa Stereo S.A. Warszawa, ul. Rydygiera 8

23-26.03.2009 r. 50. DIS-K-421/50/09 23-26.03.2009 r. DIS-K-421/51/09 24-27.03.2009 r. DIS-K-421/52/09 24-26.03.2009 r. DIS-K-421/53/09

51.

52. 53.

167

54.

25-27.03.2009 r. DIS-K-421/54/09

55. 56. 57.

30.03.-03.04.2009 DIS-K-421/55/09 01-03.04.2009 r. DIS-K-421/56/09 01-03.04.2009 r. DIS-K-421/57/09 01-03.04.2009 r. DIS-K-421/58/09

58.

59.

06-09.04.2009 r. DIS-K-421/59/09

Tomasz Zienkiewicz prowadzcy dziaalno gospodarcz pod Departament nazw Tomasz Zienkiewicz, Orzecznictwa Warszawa, Legislacji i Skarg ul. Dzieci Warszawy 27B/29 Pozna Indoor Karting Departament Sp. z o.o. Pozna, Orzecznictwa ul. Bolesawa Krzywoustego 72 Legislacji i Skarg HSBC Bank Polska S.A. z urzdu Warszawa, Pl. Pisudskiego 2 Maxon Nieruchomoci Sp. z o.o. Warszawa, z urzdu ul. Okopowa 58/72 Atrium 21 Agencja Nieruchomoci Sp. z o.o. z urzdu Warszawa, ul. Batorego 20 Stowarzyszenie Rodzicw i Departament Opiekunw Dzieci Rejestracji Zbiorw Niepenosprawnych Wsplna Danych Troska, Skierniewice, Osobowych ul. Jagielloska 28 Laboratorium Dialab Jacek Borowicz, Podkowa Lena Owczarnia, ul. Letniskowa 1 Piotr Mwiski, Dziadowo, ul. Karowicza 6/52 PMICOMBERA Sp. z o.o. Warszawa, ul. Filomatw 27 Departament Orzecznictwa Legislacji i Skarg z urzdu

22.10.2009 r. decyzja DIS/DEC-1055/38764/09

24.08.2009 r. Decyzja DIS/DEC-829/30716/09 24.10.2009 r. Decyzja DIS/DEC-990/36524/09 nie stwierdzono uchybie

nie stwierdzono uchybie

07.08.2009 r. Decyzja DIS/DEC-794/28936/09 24.06.2009 r. zawiadomienie o przestpstwie, 31.08.2009 r. Decyzja DIS/DEC-876/31611/09 ustalenia wykorzystane w postpowaniu DIS-K-421/78/09 11.09.2009 r. Decyzja DIS/DEC-909/33136/09

07-08.04.2009 r. 60. DIS-K-421/60/09 61. 06.04.2009 r. DIS-K-421/61/09

07-09.04.2009 r. 62. DIS-K-421/62/09 08-09.04.2009 r. DIS-K-421/63/09

63. 64.

15-17.04.2009 r. DIS-K-421/64/09 20-23.04.2009 r. 65. DIS-K-421/65/09 66. 20-24.04.2009 r. DIS-K-421/66/09 20-23.04.2009 r. DIS-K-421/67/09 20-23.04.2009 r. DIS-K-421/68/09 20-23.04.2009 r. DIS-K-421/69/09

67.

68. 69.

70.

22-23.04.2009 r. DIS-K-421/71/09

71.

27-30.04.2009 r. DIS-K-421/72/09 28-30.04.2009 r. DIS-K-421/73/09

72.

Departament Rejestracji Zbiorw Danych Osobowych CPU-Service A. i Z. Maryniak w zwizku z sp.j. Warszawa, kontrol DIS-Kul. Modliska 199 421/41/09 Emmerson S.A. Warszawa, z urzdu Al. Jana Pawa II 27 Telekomunikacja Polska S.A. z urzdu Warszawa, ul. Twarda 18 Starostwo Foxberg Sp. z o.o. Powiatowe w Czstochowa, ul. Krtka 27A Nowym Tomylu Polska Telefonia Cyfrowa Sp. z o.o. Warszawa, z urzdu Al. Jerozolimskie 181 Polska Telefonia Komrkowa Centertel Sp. z o.o. Warszawa, z urzdu ul. Skierniewicka 10A Polkomtel S.A. z urzdu Warszawa, ul. Postpu 3 Mirosaw Prdzyski prowadzcy dziaalno gospodarcz pod nazw Przedsibiorstwo Handlowo z urzdu Usugowe ALPOL, ask Kolumna, ul. Armii Ludowej 10 Geoformat sp.j. Florek Paszkowscy, Krakw, z urzdu ul. Kronikarza Galla 17/3 CP Roman Fortuna Sp. z o.o. Warszawa, ul. Grzybowska 80/82 z urzdu

nie stwierdzono uchybie 23.06.2009 r. Decyzja DIS/DEC-555/22716/09 ustalenia wykorzystane do opracowania raportu dla Grupy Roboczej Art. 29 15.09.2009 r. Decyzja DIS/DEC-919/33569/09 ustalenia wykorzystane do opracowania raportu dla Grupy Roboczej Art. 29 ustalenia wykorzystane do opracowania raportu dla Grupy Roboczej Art. 29 ustalenia wykorzystane do opracowania raportu dla Grupy Roboczej Art. 29

06.07.2009 r. pismo do Archiwum Pastwowego w Warszawie

nie stwierdzono uchybie 30.10.2009 r. decyzja DIS/DEC-1087/39964/09

168

73.

27-30.04.2009 r. DIS-K-421/74/09

74.

27-30.04.2009 r. DIS-K-421/75/09

Sd Rejonowy w Sokoowie Podlaskim, Sokow Podlaski, ul. ks. Bosco 3 Dorota Chojnacka i Krzysztof Chojnacki prowadzcy dziaalno gospodarcz pod nazw Global House Nieruchomoci s.c., d, ul. Zachodnia 70 lok. 113 Multikino S.A. Warszawa, ul. Wiertnicza 166

z urzdu

30.06.2009 r. Decyzja DIS/DEC-587/23662/09

z urzdu

nie stwierdzono uchybie

75.

28-30.04.2009 r. i 05-06.05.2009 DIS-K-421/76/09

Lidia Sotysik prowadzca dziaalno gospodarcz pod 04-08.05.2009 r. 76. nazw Przedsibiorstwo DIS-K-421/77/09 Informatyczne KAMSOFT, Katowice, ul. 1-go Maja 133 Anna Brzozowska prowadzca 06-08.05.2009 r. dziaalno gospodarcz pod 77. DIS-K-421/78/09 nazw eStore, Czstochowa, ul. Czecha 2C/10 Skarbnica Narodowa 11-13.05.2009 r. Sp. z o.o. Warszawa, 78. DIS-K-421/79/09 Al. Jana Pawa II 29 11-15.05.2009 r. 79. DIS-K-421/80/09 11-14.05.2009 r. DIS-K-421/81/09 11-15.05.2009 r. DIS-K-421/82/09 18-20.05.2009 r. DIS-K-421/83/09 18-20.05.2009 r. DIS-K-421/84/09 18-21.05.2009 r. DIS-K-421/85/09 Tomasz Majdan prowadzcy dziaalno gospodarcz pod nazw Atago Soft, Zielona Gra, ul. Pikna 2 dzki Urzd Wojewdzki, d, ul. Piotrkowska 104 Madkom Sp. z o.o. Gdynia, Al. Zwycistwa 96/98 Carrefour Polska Sp. z o.o. Warszawa, ul. Targowa 72 Sd Okrgowy Warszawa Praga, Warszawa, Al. Solidarnoci 127 Akson sp.j. Padjasek Krysowski, Katowice, ul. Zioowa 47

Departament Orzecznictwa Legislacji i Skarg Departament Edukacji Spoecznej i Wsppracy Midzynarodowej z urzdu Departament Orzecznictwa Legislacji i Skarg Departament Edukacji Spoecznej i Wsppracy Midzynarodowej z urzdu Departament Orzecznictwa Legislacji i Skarg z urzdu z urzdu z urzdu

12.10.2009 r. decyzja DIS/DEC-1002/37026/09

17.09.2009 r. Decyzja DIS/DEC-931/33969/09

15.01.2010 r. decyzja DIS/DEC-28/1778/10 30.09.2009 r. Decyzja DIS/DEC-985/35481/09

brak przetwarzania danych osobowych

80. 81. 82. 83.

13.11.2009 r. decyzja DIS/DEC-1139/41929/09 13.05.2010 r. Decyzja DIS/DEC-576/19843/10 01.02.2010 r. decyzja DIS/DEC-119/4291/10 23.09.2009 r. pismo do Ministra Sprawiedliwoci 16.07.2009 r. Decyzja DIS/DEC-636/25715/09 11.09.2009 r. Decyzja DIS/DEC-910/33153/09

84.

20-22.05.2009 r. 85. DIS-K-421/86/09

86.

18-22.05.2009 r. DIS-K-421/87/09 20-26.05.2009 r. DIS-K-421/88/09

87.

88.

25-27.05.2009 r. DIS-K-421/89/09

89.

26-28.05.2009 r. DIS-K-421/90/09

Departament OME EQUE Robert Wasik, Rejestracji Zbiorw Warszawa, Danych ul. Osmaczyka 22/141 Osobowych Departament Vattenfall Business Services Rejestracji Zbiorw Poland Sp. z o.o. Gliwice, Danych Wybrzee Armii Krajowej 19B Osobowych Departament Zarzd Transportu Miejskiego, Orzecznictwa Warszawa, ul. Senatorska 37 Legislacji i Skarg Departament Readers Digest Przegld Edukacji Spoecznej i Sp. z o.o. Warszawa, ul. Tamowa 7 Wsppracy Midzynarodowej Departament Grnolski Zakad Rejestracji Zbiorw Elektroenergetyczny S.A. Danych Gliwice, ul. Barlickiego 2 Osobowych

25.11.2009 r. decyzja DIS/DEC-1175/43655/09 03.07.2009 r. Decyzja DIS/DEC-598/24248/09

22.10.2009 r. decyzja DIS/DEC-1056/38787/09

28.09.2009 r. Decyzja DIS/DEC-972/35149/09

169

26-29.05.2009 r. 90. DIS-K-421/91/09 25-28.05.2009 r. 91. DIS-K-421/92/09 25-28.05.2009 r. 92. DIS-K-421/93/09 27-29.05.2009 r. 93. DIS-K-421/94/09 01-03.06.2009 r. 94. DIS-K-421/95/09 02-04.06.2009 r. 95. DIS-K-421/96/09

Departament Vattenfall Distribution Poland Rejestracji Zbiorw S.A. Gliwice, ul. Portowa 14A Danych Osobowych Gestamp Polska Sp. z o.o. Wrzenia, ul. Dziakowcw 12 Sd Okrgowy w Siedlcach, Siedlce, ul. Sdowa 2 Sd Okrgowy w Warszawie, Warszawa, Al. Solidarnoci 127 Naczelnik Urzdu Skarbowego w Siemianowicach lskich, Siemianowice lskie, ul. wierczewskiego 84 Polfactor S.A. Warszawa, ul. Krlewska 14 z urzdu

18.09.2009 r. Decyzja DIS/DEC-934/34058/09 04.11.2009 r. decyzja DIS/DEC-1106/40727/09 23.09.2009 r. pismo do Ministra Sprawiedliwoci 23.09.2009 r. pismo do Ministra Sprawiedliwoci 17.08.2009 r. Decyzja DIS/DEC-812/30026/09 16.07.2009 r. Decyzja DIS/DEC-634/25708/09

z urzdu

z urzdu

z urzdu

z urzdu

Krystyna Zdziechowska Departament 03-05.06.2009 r. prowadzca dziaalno Rejestracji Zbiorw wnioski przekazano do Departamentu 96. DIS-K-421/97/09 gospodarcz pod nazw Femaris Rejestracji Zbiorw Danych Osobowych Danych Pharma Consulting, Piaseczno, Osobowych ul. Czarnieckiego 29 Generali Powszechne Departament 03-05.06.2009 r. 18.08.2009 r. 97. DIS-K-421/98/09 Towarzystwo Emerytalne S.A. Orzecznictwa Decyzja DIS/DEC-826/30202/09 Warszawa, ul. Postpu 15B Legislacji i Skarg 08.06.2009 r. Ministerstwo Finansw, 98. DIS-K-421/99/09 z urzdu nie stwierdzono uchybie Warszawa, ul. witokrzyska 12 15-17.06.2009 r. 99. DIS-K-421/100/09 15-17.06.2009 r. DIS-K-421/101/09 Gemius S.A. Warszawa, ul. Wooska 7 Easycall.pl Sp. z o.o. Warszawa, ul. Poniecka 2/16 Departament Orzecznictwa Legislacji i Skarg Departament Orzecznictwa Legislacji i Skarg 28.09.2009 r. Decyzja DIS/DEC-973/35153/09 28.09.2009 r. Decyzja DIS/DEC-971/35147/09 16.09.2009 r. Decyzja DIS/DEC-926/33785/09 18.09.2009 r. Decyzja DIS/DEC-933/34056/09

100.

16-19.06.2009 r. Naczelnik Urzdu Skarbowego 101. DIS-K-421/102/0 w Zawierciu, Zawiercie, z urzdu 9 ul. Lena 8 Niepubliczny Zakad Opieki Prokuratura 15-17.06.2009 r. Zdrowotnej Hipokrates, 102. Rejonowa w DIS-K-421/103/09 Piotrkw Trybunalski Piotrkowie Tryb. ul. Wolborska 7A TNT Express Worldwide 17-19.06.2009 r. 103. (Poland) Sp. z o.o. Warszawa, z urzdu DIS-K-421/104/09 ul. Wiraowa 35 22-24.06.2009 r. DPD Polska Sp. z o.o. 104. z urzdu DIS-K-421/105/09 Warszawa, ul. Mineralna 15 Bank Ochrony rodowiska S.A. Departament 22-26.06.2009 r. 105. Warszawa, Orzecznictwa DIS-K-421/106/09 Al. Jana Pawa II 12 Legislacji i Skarg 106. 22-24.06.2009 r. DIS-K-421/107/09 22-25.06.2009 r. DIS-K-421/108/09 Prefbet I Sp. z o.o. Dbrowa Grnicza, ul. Fabryczna 1 AEGON Towarzystwo Ubezpiecze na ycie S.A. Warszawa, ul. Wooska 5 Komisariat Policji

nie stwierdzono uchybie 30.09.2009 r. Decyzja DIS/DEC-984/35479/09 nie stwierdzono uchybie 16.10.2009 r. pismo do Archiwum Pastwowego w Warszawie 03.12.2009 r. decyzja DIS/DEC-1204/44968/09 12.10.2009 r. decyzja DIS/DEC-1000/37021/09

Departament Orzecznictwa Legislacji i Skarg Departament Aviva Towarzystwo Ubezpiecze 29.06.-03.07.2009 Rejestracji Zbiorw 108. Oglnych S.A. Warszawa, DIS-K-421/109/09 Danych ul. Prosta 70 Osobowych 107.

170

109.

22.06.2009 r. DIS-K-421/110/09 29.06.-01.07.2009 DIS-K-421/111/09 29.06.-01.07.2009 DIS-K-421/112/09 06-09.07.2009 r. DIS-K-421/113/09

Abdank Sp. z o.o. Warszawa, ul. Brzoskwiniowa 13 Bibby Financial Services Sp. z o.o. Warszawa, ul. Rotmistrza Pileckiego 63 Hilton Baird Polska Sp. z o.o. Warszawa, ul. Puawska 39/78 Miejskie Przedsibiorstwo Komunikacyjne Lublin Sp. z o.o. Lublin, Al. Kranicka 25

z urzdu

28.07.2009 r. zawiadomienie o przestpstwie 27.11.2009 r. decyzja DIS/DEC-1189/44066/09 15.09.2009 r. decyzja DIS/DEC-920/33576/09 d31.03.2010 r. decyzja DIS/DEC-343/13671/10

110.

z urzdu

111.

z urzdu Departament Orzecznictwa Legislacji i Skarg

112.

Departament 07-10.07.2009 r. Active Pharma Sp. z o.o. Rejestracji Zbiorw nie stwierdzono uchybie 113. DIS-K-421/114/09 Legionowo, ul. Struaska 7A Danych Osobowych Warszawskie Zakady 08-10.07.2009 r. Farmaceutyczne Polfa S.A. 114. z urzdu przywrcono stan zgodny z prawem DIS-K-421/115/09 Warszawa, ul. Karolkowa 22/24 Grodziskie Zakady 08-10.07.2009 r. 27.10.2009 r. Farmaceutyczne Polfa 115. z urzdu DIS-K-421/116/09 decyzja DIS/DEC-1068/39457/09 Sp. z o.o. Grodzisk Maz., ul. ks. J. Poniatowskiego 5 23.09.2009 r. 13-15.07.2009 r. Sd Apelacyjny w Warszawie, 116. z urzdu pismo do Ministra Sprawiedliwoci DIS-K-421/117/09 Warszawa, Pl. Krasiskich 2/4/6 13-15.07.2009 r. Sd Okrgowy w Toruniu, 23.09.2009 r. 117. z urzdu DIS-K-421/119/09 Toru, ul. Piekary 51 pismo do Ministra Sprawiedliwoci 20-23.07.2009 r. Sidemka S.A. Warszawa, 17.11.2009 r. 118. z urzdu DIS-K-421/120/09 ul. Matuszewska 14 decyzja DIS/DEC-1148/42379/09 Departament Powiatowy Urzd Pracy 20-23.07.2009 r. 18.02.2010 r. Rejestracji Zbiorw 119. w Kielcach, Kielce, decyzja DIS/DEC-178/7025/10 DIS-K-421/121/09 Danych ul. Kolberga 4 Osobowych 21-23.07.2009 r. Boiron Sp. z o.o. Piaseczno, 120. z urzdu nie stwierdzono uchybie DIS-K-421/122/09 ul. Raszyska 13 20-23.07.2009 r. Sd Okrgowy w odzi, 23.09.2009 r. 121. z urzdu DIS-K-421/123/09 d, Pl. Dbrowskiego 5 pismo do Ministra Sprawiedliwoci 20-23.07.2009 r. Sd Apelacyjny w odzi, d, 23.09.2009 r. 122. z urzdu DIS-K-421/124/09 Pl. Dbrowskiego 5 pismo do Ministra Sprawiedliwoci Bank Handlowy w Warszawie w zwizku z 24 i 27.07.2009 r. ustalenia wykorzystane w postpowaniu 123. S.A. Warszawa, kontrol DIS-KDIS-K-421/125/09 DIS-K-421/103/08 ul. Senatorska 16 421/103/08 Sanofi Aventis Sp. z o.o. 27-29.07.2009 r. 03.12.2009 r. 124. Warszawa, ul. Bonifraterska 17 z urzdu DIS-K-421/126/09 decyzja DIS/DEC-1208/45000/09 125. 28-30.07.2009 r. Ministerstwo Sprawiedliwoci, DIS-K-421/127/09 Warszawa, Al. Ujazdowskie 11 Link4 Towarzystwo Ubezpiecze S.A. Warszawa, ul. Postpu 15 z urzdu Departament Rejestracji Zbiorw Danych Osobowych z urzdu Prokuratura Rejonowa w Grudzidzu z urzdu 23.09.2009 r. pismo do Ministra Sprawiedliwoci 15.12.2009 r. decyzja DIS/DEC-1258/46983/09 12.10.2009 r. decyzja DIS/DEC-1001/37022/09 03.12.2009 r. decyzja DIS/DEC-1207/44995/09 03.12.2009 r. decyzja DIS/DEC-1205/44971/09

29.07.-04.08.2009 126. DIS-K-421/128/09 28-31.07.2009 r. DIS-K-421/129/09

ING Commercial Finance Polska S.A. Warszawa, ul. Chmielna 85/87 Regionalny Szpital 03-06.08.2009 r. Specjalistyczny im. Biegaskiego 128. DIS-K-421/130/09 w Grudzidzu, Grudzidz, ul. Sikorskiego 32 ZKM Veolia Transport Tczew 04-07.08.2009 r. Sp. z o.o. Tczew, 129. DIS-K-421/131/09 ul. Armii Krajowej 86 127.

171

130.

131.

132. 133. 134. 135.

136.

137. 138. 139. 140.

141.

142.

143.

144.

145.

146.

Pani Elbieta Szymaska prowadzca dziaalno Departament gospodarcz pod nazw 10-13.08.2009 r. Rejestracji Zbiorw Centrum Porednictwa DIS-K-421/132/09 Danych Elizabeth Matki Zastpcze Osobowych Surogatki, Piaseczno, ul. Nad Perek 21/20 Przedsibiorstwo Komunikacji Departament 10-13.08.2009 r. Miejskiej Sp. z o.o. Jaworzno, Orzecznictwa DIS-K-421/133/09 ul. Krakowska 9 Legislacji i Skarg Specjalistyczna Spdzielnia 10-12.08.2009 r. Pracy Skarbiec, Warszawa, z urzdu DIS-K-421/134/09 ul. Strzelecka 30/32 10-12.08.2009 r. Korurs Sp. z o.o. Warszawa, z urzdu DIS-K-421/135/09 ul. Gierdziejewskiego 17 10-13.08.2009 r. Prografix Sp. z o.o. Dbica, z urzdu ul. Drogowcw 16 DIS-K-421/136/09 17-20.08.2009 r. Starostwo Powiatowe w Lborku, z urzdu DIS-K-421/137/09 Lbork, ul. Czogistw 5 Przedsibiorstwo Informatyczne 17-20.08.2009 r. KAMSOFT Lidia Sotysiak z urzdu DIS-K-421/138/09 Kamiska, Katowice, ul. 1-go Maja 133 17-18.08.2009 r. Kredyt Bank S.A., z urzdu DIS-K-421/139/09 Warszawa, ul. Kasprzaka 2/8 17-21.08.2009 r. Zarzd Transportu Miejskiego, z urzdu DIS-K-421/140/09 Gdask, ul. Na Stoku 49 24-25.08.2009 r. Anmark B. Kryska i Wsplnicy z urzdu DIS-K-421/141/09 sp.j. Warszawa, ul. Fasolowa 1 Starostwo Powiatowe w w zwizku z 24-27.08.2009 r. Wejherowie, Wejherowo, kontrol DIS-KDIS-K-421/142/09 ul. 3-go Maja 4 421/82/08 Adam Suchanecki prowadzcy dziaalno gospodarcz pod nazw AS-INTER-BOX 24-26.08.2009 r. Drukarnia i Wytwrnia z urzdu DIS-K-421/143/09 Opakowa Kartonowych do ywnoci, Warszawa, ul. Obozowa 84 Violetta Szczepaska acwik, Komornik Sdowy przy Sdzie 25-28.08.2009 r. Rejonowym dla odzi z urzdu DIS-K-421/144/09 rdmiecia, d, ul. Prchnika 7 Julian Banachowicz, Komornik Sdowy przy Sdzie Rejonowym 31.08.-03.09.2009 z urzdu dla Warszawy Pragi Pnoc, DIS-K-421/145/09 Warszawa, ul. Ostrobramska 101 Piotr Adamczyk, Komornik 31.08.-03.09.2009 Sdowy przy Sdzie Rejonowym z urzdu DIS-K-421/146/09 dla Warszawy rdmiecia, Warszawa, ul. Somiskiego 1 Miosz Naworski, Piotr Wilczek, Mateusz Feldman i Marek 07-10.09.2009 r. Juszczyski wsplnicy 4 Web z urzdu DIS-K-421/147/09 Solutions s.c. Wrocaw, ul. Manganowa 4A/26 Leszek Cabaj, Komornik Sdowy 07-10.09.2009 r. przy Sdzie Rejonowym w z urzdu DIS-K-421/148/09 Legionowie, Legionowo, ul. Kopernika 19

29.12.2009 r. pismo do Marszaka Wojewdztwa Mazowieckiego oraz do Gwnego Inspektora Pracy

06.05.2010 r. decyzja DIS/DEC-550/18830/10 12.10.2009 r. Decyzja DIS/DEC-999/37016/09 30.10.2009 r. decyzja DIS/DEC-1088/39966/09 25.01.2010 r. decyzja DIS/DEC-93/3187/10 18.02.2010 r. decyzja DIS/DEC-179/7035/10 15.12.2009 r. decyzja DIS/DEC-1261/46988/09 nie stwierdzono uchybie 15.01.2010 r. decyzja DIS/DEC-29/1781/10 30.10.2009 r. decyzja DIS/DEC-1089/39969/09 15.01.2010 r. decyzja DIS/DEC-30/1786/10

nie stwierdzono uchybie

nie stwierdzono uchybie

21.12.2009 r. decyzja DIS/DEC-1277/47648/09

15.12.2009 r. decyzja DIS/DEC-1259/46985/09

15.02.2010 r. decyzja DIS/DEC-164/6413/10

13.11.2009 r. decyzja DIS/DEC-1141/41947/09

172

07-10.09.2009 r. 147. DIS-K-421/149/09

148.

149.

150. 151. 152.

153.

154.

155.

156.

157. 158. 159. 160.

Miejskie Przedsibiorstwo Komunikacyjne w Siedlcach Sp. z o.o. Siedlce, ul. Starzyskiego 20 Jacek Bogiel, Komornik Sdowy 14-17.09.2009 r. przy Sdzie Rejonowym dla DIS-K-421/150/09 Warszawy Woli, Warszawa, ul. Karolkowa 58A Miejskie Przedsibiorstwo 14-17.09.2009 r. Komunikacyjne Sp. z o.o. DIS-K-421/151/09 Inowrocaw, ul. ks. Wawrzyniaka 33 Komunikacja Miejska Pock 14-17.09.2009 r. Sp. z o.o. Pock, DIS-K-421/152/09 ul. Przemysowa 17 10-11.09.2009 r. Zarzd Transportu Miejskiego, DIS-K-421/153/09 Warszawa, ul. Senatorska 37 Prezydent Miasta Rybnika, 15-18.09.2009 r. Rybnik, DIS-K-421/154/09 ul. Bolesawa Chrobrego 2 Grzegorz Olekw prowadzcy 21-25.09.2009 r. dziaalno gospodarcz pod DIS-K-421/155/09 nazw Inter Group, Nysa, ul. Jeziorna 2 lok. 1 Totalizator Sportowy 21-23.09.2009 r. Sp. z o.o. Warszawa, DIS-K-421/156/09 ul. Targowa 25 ukasz ukaszewicz prowadzcy dziaalno gospodarcz pod 21-23.09.2009 r. nazw TeamQuest ukasz DIS-K-421/157/09 ukaszewicz, Warszawa, Al. Jerozolimskie 49 lok. 3 Prezydent Miasta Krakowa, 28-30.09.2009 r. Krakw, Pl. Wszystkich DIS-K-421/158/09 witych 3/4 EFG Eurobank Ergasias S.A. 22-24.09.2009 r. Oddzia w Polsce, Warszawa, DIS-K-421/159/09 ul. Mokotowska 19 21-25.09.2009 r. Grimp Sp. z o.o. Zielona Gra, DIS-K-421/160/09 ul. Lisowskiego 7 21-25.09.2009 r. QLS Sp. z o.o. Zielona Gra, DIS-K-421/161/09 ul. Lisowskiego 9A 21-24.09.2009 r. DIS-K-421/162/09 ENEA S.A., Pozna, ul. Nowowiejskiego 11

z urzdu

30.04.2010 r. Decyzja DIS/DEC-544/18387/10

z urzdu

nie stwierdzono uchybie

z urzdu

18.01.2010 r. decyzja DIS/DEC-28/1981/10 27.04.2010 r. Decyzja DIS/DEC-516/17652/10 Sprawa zakoczona pismo z dn. 03.03.2010 r. w toku

z urzdu z urzdu z urzdu

z urzdu Departament Orzecznictwa Legislacji i Skarg Departament Orzecznictwa Legislacji i Skarg

01.02.2010 r. Zawiadomienie o przestpstwie 15.12.2009 r. pismo do Gwnego Inspektora Pracy

wnioski przekazano do Departamentu Orzecznictwa Legislacji i Skarg

Departament 22.12.2009 r. Orzecznictwa decyzja DIS/DEC-1290/48005/09 Legislacji i Skarg Departament Orzecznictwa nie stwierdzono uchybie Legislacji i Skarg 29.12.2009 r. z urzdu decyzja DIS/DEC-1328/48578/09 29.12.2009 r. z urzdu decyzja DIS/DEC-1329/48580/09 Departament 15.12.2009 r. Orzecznictwa decyzja DIS/DEC-1262/46989/09 Legislacji i Skarg 13.11.2009 r. decyzja DIS/DEC-1140/41931/09

161.

162.

163.

164.

Artur Krlasik, Komornik 29.09.-02.10.2009 Sdowy przy Sdzie Rejonowym z urzdu DIS-K-421/163/09 w Woominie, Woomin, ul. Legionw 8 Agnieszka Bekisz prowadzca Departament dziaalno gospodarcz pod 28-29.09.2009 r. nazw Doradztwo Finansowe, Orzecznictwa DIS-K-421/164/09 Warszawa, Legislacji i Skarg ul. Jana Olbrachta 15 m. 3 Dariusz Dybcio, Komornik 28.09.-01.10.2009 Sdowy przy Sdzie Rejonowym z urzdu DIS-K-421/165/09 dla Warszawy Mokotowa, Warszawa, ul. Puawska 12/1 Polski Zwizek Dziakowcw 28-29.09.2009 r. Departament Okrgowy Zarzd Mazowiecki, 01.10.2009 r. Orzecznictwa Warszawa, DIS-K-421/166/09 Legislacji i Skarg ul. Dywizjonu 303 nr 7

wnioski przekazano do Departamentu Orzecznictwa Legislacji i Skarg

23.11.2009 r. decyzja DIS/DEC-1173/43215/09

23.02.2010 r. decyzja DIS/DEC-189/7691/10

173

165.

06.10.2009 r. DIS-K-421/167/09 06-09.10.2009 r. DIS-K-421/168/09

Google Poland Sp. z o.o. Warszawa, ul. E. Plater 53 Powiatowy Urzd Pracy w Woominie, Woomin, ul. Warszawska 5A Powiatowy Urzd Pracy w Nowym Dworze Mazowieckim, Nowy Dwr Mazowiecki, ul. Sowackiego 6 Prezydent Miasta Tczewa, Tczew, Pl. Pisudskiego 1

Departament Orzecznictwa Legislacji i Skarg z urzdu

22.12.2009 r. decyzja DIS/DEC-1289/47989/09 nie stwierdzono uchybie

166.

167.

06-09.10.2009 r. DIS-K-421/169/09

z urzdu

nie stwierdzono uchybie

168.

05-08.10.2009 r. DIS-K-421/170/09 06-09.10.2009 r. DIS-K-421/171/09

w zwizku z kontrol DIS-K421/131/09

23.02.2010 r. Decyzja DIS/DEC-188/76881/10

169.

170.

171.

172.

173.

174.

175.

Wojewdzki Urzd Pracy w Warszawie, Warszawa, z urzdu nie stwierdzono uchybie ul. Mynarska 16 Powiatowy Urzd Pracy w 12-15.10.2009 r. Wyszkowie, Wyszkw, z urzdu nie stwierdzono uchybie DIS-K-421/172/09 ul. Kociuszki 15 Marek Michalewicz, Komornik 12-14.10.2009 r. Sdowy przy Sdzie Rejonowym 09.12.2009 r. z urzdu DIS-K-421/173/09 decyzja DIS/DEC-1237/46117/09 dla Warszawy oliborza, Warszawa, ul. Wrocawska 2A Anna Bachaska, Komornik 13-15.10.2009 r. Sdowy przy Sdzie Rejonowym z urzdu nie stwierdzono uchybie DIS-K-421/174/09 w Otwocku, Otwock, ul. Andriollego 40/6 Maciej Gierszewski, Komornik Sdowy przy Sdzie Rejonowym 14-16.10.2009 r. 23.11.2009 r. z urzdu w Nowym Dworze DIS-K-421/175/09 decyzja DIS/DEC-1174/43217/09 Mazowieckim, Nowy Dwr Mazowiecki, ul. Nacza 37 13-16.10. 2009 r. Departament MNI Premium S.A. Warszawa, 21-22.10.2009 r. Orzecznictwa w toku ul. urawia 8 DIS-K-421/176/09 Legislacji i Skarg Piotr Bawicki prowadzcy dziaalno gospodarcz pod Departament 16.10.2009 r. nazw DATA Piotr Bawicki, przywrcono stan zgodny z prawem Orzecznictwa Warszawa, DIS-K-421/177/09 Legislacji i Skarg ul. Skarbka z Gr 17D/28 19-22.10.2009 r. DIS-K-421/178/09

Powiatowy Urzd Pracy w Legionowie, Legionowo, ul. Sikorskiego 11 Powiatowy Urzd Pracy 19-22.10.2009 r. w Otwocku, Otwock, 177. DIS-K-421/179/09 ul. Grna 11 Krzysztof Pawkowski, Komornik Sdowy przy Sdzie Rejonowym 21-23.10.2009 r. 178. w Piasecznie, Piaseczno, DIS-K-421/180/09 ul. Powstacw Warszawy 21A 176. Jakub Jaboski, Komornik Sdowy przy Sdzie Rejonowym 21-23.10.2009 r. 179. w Wyszkowie, Wyszkw, DIS-K-421/181/09 ul. Daszyskiego 21 Maria Wasilewska, Komornik 21-23.10.2009 r. Sdowy przy Sdzie Rejonowym 180. DIS-K-421/182/09 w Pruszkowie, Pruszkw, ul. Kraszewskiego 44/5

z urzdu

nie stwierdzono uchybie

z urzdu

nie stwierdzono uchybie

z urzdu

przywrcono stan zgodny z prawem

z urzdu

15.12.2009 r. decyzja DIS/DEC-1263/46990/09

z urzdu

12.01.2010 r. decyzja DIS/DEC-7/1147/10

174

Ireneusz Grobelny, Komornik 26-28.10.2009 r. Sdowy przy Sdzie Rejonowym 181. DIS-K-421/183/09 dla Warszawy Pragi Poudnie, Warszawa, ul. Targowa 33 Powiatowy Urzd Pracy 26-29.10.2009 r. 182. w Pruszkowie, Pruszkw, DIS-K-421/184/09 ul. Andrzeja 29 183. 184. 185. 26-29.10.2009 r. DIS-K-421/185/09 28-30.10.2009 r. DIS-K-421/186/09 Provident Polska S.A. Warszawa, ul. Polna 11

z urzdu

15.01.2010 r. decyzja DIS/DEC-31/1788/10

z urzdu

nie stwierdzono uchybie

186.

187.

188.

189.

190.

191.

192.

193.

194.

195.

196. 197. 198.

Agora S.A., Warszawa, ul. Czerska 8/10 Powiatowy Urzd Pracy 27-30.10.2009 r. w Piasecznie, Piaseczno, z urzdu DIS-K-421/187/09 ul. Szkolna 20 Magdalena Zgutczyska prowadzca dziaalno Departament 04-06.11.2009 r. gospodarcz pod nazw Orzecznictwa DIS-K-421/188/09 Arsedo Poland, Legislacji i Skarg Warszawa, ul. Guszca 6 Renata Delert, Komornik 04-06.11.2009 r. Sdowy przy Sdzie Rejonowym z urzdu DIS-K-421/189/09 dla Warszawy Pragi Pnoc, Warszawa, ul. Lborska 8/10 Piotr Tyc, Komornik Sdowy 05-06.11.2009 r. przy Sdzie Rejonowym dla z urzdu 09.11.2009 r. Warszawy rdmiecia, DIS-K-421/190/09 Warszawa, ul. niadeckich 17 w zwizku z 04-05.11.2009 r. Polski Zwizek Dziakowcw, kontrol DIS-KDIS-K-421/191/09 Warszawa, ul. Towarowa 7A 421/166/09 Happy Holiday Travel Duo 12-13.11.2009 r. Sp. z o.o. Warszawa, z urzdu DIS-K-421/192/09 ul. Czackiego 3/5 Spdzielnia Mieszkaniowa 09-10.11.2009 r. Nowe Miasto, Warszawa, z urzdu DIS-K-421/193/09 ul. Bonifraterska 14 Departament 17-18.12.2009 r. Info Veriti Polska Sp. z o.o. Orzecznictwa DIS-K-421/194/09 Warszawa, ul. Serwituty 23 Legislacji i Skarg Powiatowy Urzd Pracy 16-19.11.2009 r. w Misku Mazowieckim z urzdu DIS-K-421/195/09 Misk Mazowiecki, ul. Warszawska 222 Magdalena Gulcz prowadzca dziaalno gospodarcz pod Departament 17-19.11.2009 r. nazw Centrum Terapii Orzecznictwa DIS-K-421/196/09 Poznawczo Behawioralnej Legislacji i Skarg Magdalena Gulcz, Warszawa, ul. Wilcza 28/20 Maciej Simbierowicz, Komornik 18-20.11.2009 r. Sdowy przy Sdzie Rejonowym z urzdu DIS-K-421/197/09 dla Warszawy Woli, Warszawa, ul. Zota 81 Spdzielnia Budowlano 23-24.11.2009 r. Mieszkaniowa Batory, z urzdu DIS-K-421/198/09 Warszawa, ul. Bruna 32 23-24.11.2009 r. Cinema City Poland Sp. z o.o. z urzdu DIS-K-421/199/09 Warszawa, ul. Fosa 37 Spdzielnia Mieszkaniowa 23-24.11.2009 r. 3 Maja, Warszawa, z urzdu DIS-K-421/200/09 Al. 3 Maja 5/4

Departament Orzecznictwa nie stwierdzono uchybie Legislacji i Skarg 01.02.2010 r. z urzdu decyzja DIS/DEC-118/4289/10 nie stwierdzono uchybie

13.05.2010 r. Decyzja DIS/DEC-575/19830/10

nie stwierdzono uchybie

17.03.2010 r. Decyzja DIS/DEC-276/11299/10 12.01.2010 r. decyzja DIS/DEC-14/1248/10 wykonano decyzj DIS/DEC-317/14294/09 wykonano decyzj DIS/DEC-307/13545/09 W toku

nie stwierdzono uchybie

03.03.2010 r. decyzja DIS/DEC-236/9120/10

nie stwierdzono uchybie

wykonano decyzj DIS/DEC-858/35334/08 wykonano decyzj DIS/DEC-582/25214/08 wykonano decyzj DIS/DEC-748/31712/08

175

Powiatowy Urzd Pracy w Grodzisku Mazowieckim, Grodzisk Maz., ul. Daleka 11A Spdzielnia Mieszkaniowa 23-24.11.2009 r. 200. Grczewska, Warszawa, DIS-K-421/202/09 ul. Doroszewskiego 4 199. 24-27.11.2009 r. DIS-K-421/201/09 201. 25-27.11.2009 r. DIS-K-421/203/09 EuroLot S.A. Warszawa, ul. 17 Stycznia 39

z urzdu

nie stwierdzono uchybie wykonano decyzj DIS/DEC-775/33105/08

z urzdu

202.

203.

204.

205.

206.

207.

208.

209.

210.

211.

212.

213.

214.

215.

Departament Orzecznictwa nie stwierdzono uchybie Legislacji i Skarg Info Veriti Polska Sp. z o.o. w zwizku z 17-19.11.2009 r. Obsuga Serwisu Internetowego kontrol DIS-Kw toku DIS-K-421/204/09 sp.j. Warszawa, ul. Serwituty 23 421/194/09 Departament 12.03.2010 r. 02-04.12.2009 r. Marcin Bielicki, Warszawa, Rejestracji Zbiorw decyzja DIS/DEC-259/10562/10 DIS-K-421/205/09 ul. Waowa 7/30 Danych Osobowych Marcin Piekos, Komornik Sdowy przy Sdzie Rejonowym 02-04.12.2009 r. z urzdu nie stwierdzono uchybie dla Warszawy Mokotowa, DIS-K-421/206/09 Warszawa, ul. Cybernetyki 13 Polski Zwizek Dziakowcw w zwizku z 08-09.12.2009 r. Okrgowy Zarzd Mazowiecki, 23.02.2010 r. kontrol DIS-KDIS-K-421/208/09 decyzja DIS/DEC-189/7691/10 Warszawa, 421/166/09 ul. Dywizjonu 303 nr 7 Stowarzyszenie Mieszkacy 03-04.12.2009 r. Osiedla Grabina, Michaw z urzdu w toku DIS-K-421/209/09 Grabina, ul. Grabowa 7 Handelo Sp. z o.o. Departament 07-10.12.2009 r. 27.04.2010 r. Michaowice, Orzecznictwa DIS-K-421/210/09 decyzja DIS/DEC-511/17640/10 ul. 11 Listopada 13 Legislacji i Skarg Departament Blueberry Communication 08.12.2009 r. Rejestracji Zbiorw nie stwierdzono uchybie Group Sp. z o.o. Warszawa, DIS-K-421/211/09 Danych ul. Jelinka 27 Osobowych Departament 07-10.12.2009 r. Naftor Sp. z o.o. Warszawa, wnioski przekazano do Departamentu Orzecznictwa DIS-K-421/212/09 ul. Smoleskiego 2 Orzecznictwa Legislacji i Skarg Legislacji i Skarg Operator Logistyczny Paliw Departament 09-11.12.2009 r. Pynnych Sp. z o.o. Orzecznictwa nie stwierdzono uchybie DIS-K-421/213/09 Warszawa, ul. Chabiskiego 8 Legislacji i Skarg 10-11.12.2009 r. Unicomp-WZA Sp. z o.o. 14.12.2009 r. z urzdu nie stwierdzono uchybie Warszawa, ul. Bacha 34A DIS-K-421/214/09 Departament 14-18.12.2009 r. Votum-RehaPlus S.A. Rejestracji Zbiorw w toku DIS-K-421/215/09 Krakw, ul. Golikwka 6 Danych Osobowych 15-16.12.2009 r. Home Broker S.A. Warszawa, zakoczona z urzdu DIS-K-421/216/09 ul. Domaniewska 39A wykonano w caoci decyzj GIODO Departament Quality Audit House 14-18.12.2009 r. Rejestracji Zbiorw nie stwierdzono uchybie Sp. z o.o. d, DIS-K-421/217/09 Danych ul. Zawiszy Czarnego 8/10 Osobowych Zarzd Transportu Miejskiego 14-18.12.2009 r. w Poznaniu, Pozna, z urzdu w toku DIS-K-421/218/09 ul. Grunwaldzka 104 Miejskie Przedsibiorstwo Komunikacyjne w Poznaniu Sp. z o.o. Pozna, ul. Gogowska 131/133

14-18.12.2009 r. 216. DIS-K-421/219/09

z urzdu

nie stwierdzono uchybie

176

217.

14-18.12.2009 r. DIS-K-421/220/09 14-18.12.2009 r. DIS-K-421/221/09

218.

Wykop Sp. z o.o. Pozna, ul. Zakrt 8 Szpital Specjalistyczny w. Wojciecha Samodzielny Publiczny Zakad Opieki Zdrowotnej, Gdask, Al. Jana Pawa II 50 Grono.net S.A., Warszawa, ul. Szturmowa 2A

z urzdu Departament Orzecznictwa Legislacji i Skarg

02.04.2010 r. decyzja DIS/DEC-366/14077/10

06.05.2010 r. decyzja DIS/DEC-551/18832/10

17-18.12.2009 r. 219. DIS-K-421/222/09

w zwizku z kontrolami DIS-Knie stwierdzono uchybie 421/62/08 i DIS-K421/81/08 z urzdu nie stwierdzono uchybie

Jolanta Poajewska, Komornik 18 i 21-22.12.2009 Sdowy przy Sdzie Rejonowym 220. DIS-K-421/223/09 dla m.st. Warszawy, Warszawa, ul. Wojciechowskiego 17

177

Zacznik nr 4 Wykaz orzecze Wojewdzkiego Sdu Administracyjnego w Warszawie i Naczelnego Sdu Administracyjnego wydanych w 2009 r. w sprawach prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych
Data/ sygnatura orzeczenia WSA w Warszawie lub NSA 16.01.2009 r. II SA/Wa 1550/07 20.01.2009 r. II SA/Wa 1003/08 20.01.2009 r. II SA/Wa 763/08 22.01.2009 r. II SA/Wa 1710/08 23.01.2009 r. II SA/Wa 917/08 28.01.2009 r. I OSK 8/09 03.02.2009 r. II SA/Wa 1156/08 04.02.2009 r. II SA/Wa 615/08 09.02.2009 r. II SA/Wa 222/08 10.02.2009 r. I OSK 1743/07 12.02.2009 r. II SA/Wa 1721/08 13.02.2009 r. II SA/Wa 16/09 17.02.2009 r. II SA/Wa 688/08 17.02.2009 r. II SA/Wa 1711/08 Sygnatura rozstrzygnicia GIODO GI-DEC-DOLiS154/07/4023 DOLiS/DEC300/08/12622,12625, 12626,12628,12630,1 2632,12633 DOLiS/DEC230/08/911,9115, 9117 DEC/DOLiS629/08/26650 DOLiS/DEC257/08/10742 DOLiS/DEC354/08/14530 DOLiS/DEC345/08/14201,14206, 14209 DOLiS/DEC180/08/6930,6935 GI-DEC-DOLiS272/07/7160,7161 GI-DEC-DOLiS451/06/1307,1308 DOLiS/DEC609/08/26029,26032 DOLiS/DEC710/08/29509,29512 GI-DS-430867/05/3397/07/ DOLiS DEC/DOLiS629/08/26649 Rozstrzygnicie WSA w Warszawie lub NSA odrzucenie skargi kasacyjnej

L.p.

Przedmiot sprawy Skarga kasacyjna na postanowienie WSA w Warszawie w sprawie skargi na decyzje GIODO w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Wniosek o wstrzymanie zaskaronej decyzji wykonania

1.

2.

oddalenie skargi uchylenie zaskaronej decyzji odmowa wstrzymania zaskaronej decyzji uchylenie zaskaronej decyzji oddalenie zaalenia

3.

4.

5.

Skarga na decyzj w przedmiocie nakazania usunicia danych osobowych ze zbioru danych Zaalenie na postanowienie WSA w Warszawie o odmowie wstrzymania wykonania decyzji GIODO Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie udostpniania danych osobowych Wniosek o wstrzymanie wykonania zaskaronej decyzji Wniosek o przywrcenie terminu do wniesienia skargi na postanowienie w przedmiocie odmowy przywrcenia terminu Skarga na decyzj w przedmiocie ochrony danych osobowych

6.

7.

oddalenie skargi

8.

oddalenie skargi uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji oddalenie skargi odmowa wstrzymania zaskaronej decyzji przywrcenie terminu do wniesienia skargi oddalenie skargi

9.

10.

11.

12.

13.

14.

178

15.

18.02.2009 r. I OSK 174/08 18.02.2009 r. II SA/Wa 1568/08 23.02.2009 r. II SAB/Wa 1/09

GI-DEC-DOLiS 109/07/2885 DOLiS/DEC535/08/23778,23782, 23786 DOLiS/DEC8/09/301,305

Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie nakazania usunicia danych osobowych Skarga na bezczynno GIODO w przedmiocie przetwarzania danych osobowych Opracowanie i wdroenie polityki bezpieczestwa, zmodyfikowanie instrukcji zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych w zakresie dotyczcym czstotliwoci zmiany hasa uytkownika, tak, aby zawieraa postanowienie wskazujce na zmian hasa nie rzadziej ni raz na 30 dni, zapewnienie, aby system informatyczny o nazwie WF-MAG zapewnia dla kadej osoby, ktrej dane osobowe s przetwarzane w tym systemie, sporzdzenie i wydrukowanie raportu zawierajcego w powszechnie zrozumiaej formie informacje o dacie pierwszego wprowadzenia danych do systemu oraz identyfikatorze uytkownika wprowadzajcego te dane. Przetwarzanie danych osobowych uytkownikw imiennych przedpaconych kart patniczych na podstawie zgody wyraonej przez uytkownikw ww. kart, realizacja obowizku informacyjnego, o ktrym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, wobec uytkownikw imiennych przedpaconych kart patniczych. Zapewnienie, aby system informatyczny sucy do przetwarzania danych zapewnia odnotowanie, sporzdzenie i wydrukowanie dla kadej osoby, ktrej dane s przetwarzane w tym systemie, raportu zawierajcego w powszechnie zrozumiaej formie informacje o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, ktrych dane osobowe zostay udostpnione, dacie i zakresie tego udostpnienia. Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie nakazania wyeliminowania nieprawidowoci w procesie przetwarzania danych osobowych. Wniosek o przywrcenie terminu do wniesienia skargi na postanowienie w przedmiocie odmowy przywrcenia terminu Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych

oddalenie skargi kasacyjnej uchylenie zaskaronej decyzji umorzenie postpowania przed WSA w Warszawie

16.

17.

18. 26.02.2009 r. I OSK 499/08 GI-DEC-DIS46/07/340

oddalenie skargi kasacyjnej

19.

26.03.2009 r. I OSK 227/07

DIS/DEC421/17115/08

wstrzymanie wykonania decyzji

20.

28.08.2009 r. I OSK 1472/08

DIS/DEC217/8459/08

oddalenie skargi kasacyjnej

21.

22.

27.02.2009 r. II SA/Wa 1252/07 02.03.2009 r. II SA/Wa 1177/08 02.03.2009 r. II SA/Wa 688/08 03.03.2009 r. II SA/Wa 1495/08 06.03.2009 r. II SA/Wa 1554/08

GI-DEC-DOLiS 109/07/2885 DOLiS/DEC375/08/15721,15725 GI-DS-430867/05/3397/07/DOLi S DOLiS/DEC515/0822854,22857 DOLiS/DEC511/08/22299,22300, 22301

oddalenie skargi

oddalenie skargi przywrcenie terminu do wniesienia skargi uchylenie zaskaronej decyzji stwierdzenie niewanoci zaskaronej decyzji

23.

24.

25.

179

26.

27.

10.03.2009 r. II SA/Wa 1706/08 10.03.2009 r. II SA/Wa 1707/08 12.03.2009 r. II SA/Wa 526/08 12.03.2009 r. II SA/Wa 1408/08 18.03.2009 r. I OSK 544/08 19.03.2009 r. II SA/Wa 1349/08 23.03.2009 r. I OSK 376/08 02.04.2009 r. II SA/Wa 230/09 02.04.2009 r. I OSK 377/08 03.04.2009 r. I OZ 271/09 09.04.2009 r. II SA/Wa 1711/08 10.04.2009 r. II SA/Wa 1823/07 15.04.2009 r. II SA/Wa 1568/08 24.04.2009 r. I OSK 500/08 04.05.2009 r. II SA/Wa 1818/07 04.05.2009 r. I OZ 375/09 05.05.2009 r. II SA/Wa 363/09 13.05.2009 r. II SA/Wa 1706/08 13.05.2009 r. II SA/Wa 1707/08

DOLiS/DEC630/08/26741,26742, 26745,26748 DOLiS/DEC630/08/26741,26742, 26745,26748 DOLiS/POST37/08/2663,2664 DOLiS/DEC468/08/20369,20373, 20376 GI-DEC-DOLiS98/07/2672,2673,267 4 DOLiS/DEC479/08/20756,20759 GI-DS430/559/06/3118,311 9/07/DOLiS DOLiS/DEC807/08/34464,34466 GI-DS430/558/06/3116,311 7/07/DOLiS DOLiS/DEC629/08/26650 DOLiS/DEC629/08/26649 GI-DEC-DOLiS148/07/3926,3927 DOLiS/DEC535/08/23778,23782, 23786 GI-DEC-DOLiS186/07/4985,4986,49 87 GI-DEC-DOLiS186/07/4985,4986,49 87 DOLiS/DEC710/08/29509,29512 DOLiS/DEC806/08/34210,34212, 34214 DOLiS/DEC630/08/26741,26742, 26745,26748 DOLiS/DEC630/08/26741,26742, 26745,26748

Skarga na decyzj w przedmiocie nakazania udostpnienie danych osobowych. Skarga na decyzj w przedmiocie nakazania udostpnienie danych osobowych. Skarga na postanowienie w przedmiocie odmowy przywrcenia terminu Skarga na decyzj w przedmiocie odmowy uwzgldnienia wniosku Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie umorzenia postpowania w sprawie ochrony danych osobowych Skarga na decyzj w przedmiocie odmowy uwzgldnienia wniosku Skarga na decyzj w przedmiocie nakazu udostpniania danych osobowych dziennikarza Skarga na decyzj w przedmiocie odmowy uwzgldnienia wniosku o przesanie kserokopii i odpisu materiau dowodowego Skarga na decyzj w przedmiocie nakazania usunicia danych osobowych ze zbioru danych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie nakazania usunicia danych osobowych. Skarga kasacyjna od wyroku WSA w Warszawie w sprawie skargi na decyzje GIODO w przedmiocie przetwarzania danych osobowych. Skarga na decyzj w przedmiocie przetwarzania danych osobowych Zaalenie na postanowienie WSA w Warszawie o odmowie wstrzymania wykonania zaskaronej decyzji GIODO Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie nakazu udostpnienia danych osobowych. Skarga na decyzj w przedmiocie nakazu udostpnienia danych osobowych

28.

29.

30.

31.

32.

uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji uchylenie zaskaronego postanowienia uchylenie zaskaronej decyzji uchylenie zaskaronego wyroku uchylenie zaskaronej decyzji uchylenie zaskaronego wyroku oddalenie skargi uchylenie zaskaronego wyroku WSA w Warszawie oddalenie zaalenia oddalenie skargi uchylenie zaskaronego WSA w Warszawie uchylenie zaskaronej decyzji oddalenie skargi kasacyjnej

33.

34.

35.

36.

37.

38.

39.

40.

oddalenie skargi oddalenie zaalenia umorzenie postpowania przed WSA w Warszawie uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji

41.

42.

43.

44.

180

45.

13.05.2009 r. II SA/Wa 1554/08 14.05.2009 r. II SA/Wa 1430/08 15.05.2009 r. II SA/Wa 365/09 18.05.2009 r. II SA/Wa 567/09 21.05.2009 r. II SA/Wa 1347/08 27.05.2009 r. II SA/Wa 1614/08 29.05.2009 r. I OZ 533/09 01.06.2009 r. II SA/Wa 364/09 03.06.2009 r. II SA/Wa 86/09 08.06.2009 r. II SA/Wa 230/09 09.06.2009 r. II SA/Wa 248/09 10.06.2009 r. II SA/Wa 1233/08

DOLiS/DEC511/08/22299,22300, 22301 DOLiS/DEC481/08/21011,21015, 21019 DOLiS/DEC711/08/29649,29651, 29656,29658,29660 DOLiS/DEC109/09/4751,4752 DOLiS/DEC488/08/21517,21518, 21519,21520 DOLiS/DEC546/08/24129,24321 DOLiS/DEC598/08/25416 DOLiS/DEC806/08/34210,34212, 34214 DOLiS/POST351/08/32706,32709 DOLiS/DEC807/08/34464,34466 DOLiS/DEC903/08/35920,35923 DOLiS/DEC393/08/16167

Skarga kasacyjna od wyroku WSA w Warszawie w sprawie skargi na decyzje GIODO w przedmiocie ochrony danych osobowych. Skarga na decyzj w przedmiocie odmowy uwzgldnienia wniosku Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie umorzenia postpowania Skarga na decyzj w przedmiocie nakazu udostpnienia danych osobowych Zaalenie na postanowienie WSA w Warszawie o odmowie wstrzymania wykonania zaskaronej decyzji GIODO Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na postanowienie w przedmiocie stwierdzenia nie dopuszczalnoci wniosku o ponowne rozpatrzenie sprawy Skarga na decyzj w przedmiocie nakazu udostpnienia danych dziennikarza Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie nakazania usunicia danych osobowych ze zbioru danych Zaprzestanie przetwarzania danych bez podstawy prawnej, opracowanie w formie pisemnej polityki bezpieczestwa oraz instrukcji zarzdzania systemem informatycznym sucym do przetwarzania danych, wyznaczenie administratora bezpieczestwa informacji. Skarga na decyzj w przedmiocie odmowy stwierdzenia niewanoci decyzji w sprawie usunicia uchybie w procesie przetwarzania danych osobowych Skarga na decyzj w przedmiocie nakazania usunicia danych osobowych ze zbioru danych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie skargi na decyzje GIODO w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Wniosek o wstrzymanie zaskaronej decyzji GIODO wykonania

oddalenie skargi kasacyjnej

46.

oddalenie skargi umorzenie postpowania przed WSA w Warszawie oddalenie skargi uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji oddalenie skargi uchylenie zaskaronego postanowienia oddalenie skargi uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji

47.

48. 49.

50.

51.

52.

53. 54. 55.

56.

57.

10.06.2009 r. II SA/Wa 124/09

DIS/DEC752/32101/08

uchylenie zaskaronej decyzji

58.

20.06.2009 r. II SA/Wa 234/09 22.06.2009 r. II SA/Wa 1165/08 22.06.2009 r. II SA/Wa 412/09 24.06.2009 r. I OSK 440/08 25.06.2009 r. II SA/Wa 1710/08 26.06.2009 r. I OSK 667/09

DOLiS/DEC904/08/35949 GI-DOLiS430/210/07 GI-DEC-DOLiS148/07/3926,3927 GI-DEC-DOLiS113/07/2904,2905,29 06 DOLiS/DEC629/08/26650 DOLiS/DEC515/08/22854,22857

uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji oddalenie wniosku

59.

60.

61.

62. 63.

181

64.

30.06.2009 r. I OSK 808/08 01.07.2009 r. II SA/Wa 1765/08 02.07.2009 r. I OSK 674/06

GI-DEC-DOLiS24/07/579,580,581,58 2,583,584,585 DOLiS/DEC663/08/27697,27698, 27699,27705 GI-DEC-DOLiS199/07/5336,5337,53 38

Skarga kasacyjna na postanowienie WSA w Warszawie w sprawie skargi na decyzje GIODO w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie odmowy wznowienia postpowania Skarga kasacyjna od wyroku WSA w Warszawie w sprawie skargi na decyzje GIODO w przedmiocie nakazania usunicia danych osobowych Zaalenie na postanowienie WSA w Warszawie odrzucajce zaalenie na postanowienie WSA w Warszawie o odrzuceniu skargi kasacyjnej na decyzj GIODO w przedmiocie przetwarzania danych osobowych Skarga na postanowienie GIODO w przedmiocie odmowy uwzgldnienia wniosku. Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie nakazania usunicia danych osobowych Skarga na decyzj w przedmiocie umorzenia postpowania Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie nakazania udostpnienia danych osobowych Skarga na decyzj w przedmiocie udostpniania danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie skargi na postanowienie GIODO w przedmiocie zwrotu skargi w sprawie przetwarzania danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie skargi na decyzje GIODO w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych

oddalenie skargi kasacyjnej uchylenie zaskaronej decyzji oddalenie skargi kasacyjnej

65.

66.

67.

06.07.2009 r. I OZ 626-628/09

GI-DEC-DOLiS154/07/4023

oddalenie zaalenia

68.

07.07.2009 r. II SA/Wa 340/09 08.07.2009 r. II SA/Wa 1644/08 08.07.2009 r. II SA/Wa 645/07 09.07.2009 r. II SA/Wa 1685/08 10.07.2009 r. II SA/Wa 1979/07 13.07.2009 r. II SA/Wa 65/09 16.07.2009 r. II SA/Wa 527/08 20.07.2009 r. II SA/Wa 1614/08 24.07.2009 r. II SA/Wa 31/09 24.07.2009 r. II SA/Wa 364/09

GI-DS430/559/06/3118,311 9/07/DOLiS DOLiS/DEC543/08/24258,24262 GI-DEC-DOLiS24/07/579,580,581,58 2,583,584,585 DOLiS/DEC605/08/25845,25846 GI-DEC-DOLiS199/07/5336,5337,53 38 DOLiS/DEC731/08/31085,31088 DOLiS/DEC75/08/2351 DOLiS/DEC546/08/24129,24321 DOLiS/DEC701/08/29206,29213, 29215,29217 DOLiS/DEC806/08/34210,34212, 34214

oddalenie skargi

69.

oddalenie skargi

70.

oddalenie skargi

71.

oddalenie skargi uchylenie zaskaronej decyzji oddalenie skargi oddalenie skargi uchylenie zaskaronej decyzji umorzenie postpowania w sprawie odrzucenie skargi

72. 73. 74. 75.

76.

77.

78.

27.07.2009 r. I OSK 748/08

GI-DOLiS430/131/07/4446

uchylenie zaskaronego wyroku

79.

27.07.2009 r. I OSK 633/08 31.07.2009 r. II SA/Wa 324/09 03.08.2009 r. II SA/Wa 1801/07

GI-DEC-DOLiS176/07/4650,4651,46 52 GI-DEC-DOLiS98/07/2672,2673,267 4 GI-DEC-DOLiS176/07/4650,4651,46 52

oddalenie skargi kasacyjnej

80.

oddalenie skargi

81.

oddalenie skargi

182

82.

05.08.2009 r. II SA/Wa 1726/08 06.08.2009 r. II SA/Wa 940/09 06.08.2009 r. II SA/Wa 304/09

DOLiS/POST329/08/29221 DOLiS/DEC285/09/12865,12867 DOLiS/DEC64/09/2530,2532

Skarga na postanowienie w przedmiocie zwrotu skargi wobec nie uiszczenia nalenoci tytuem opaty skarbowej Skarga na decyzj w przedmiocie nakazania udostpniania danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie odmowy stwierdzenia niewanoci decyzji w sprawie usunicia uchybie w procesie przetwarzania danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie nakazania usunicia danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie odmowy wznowienia postpowania Skarga na decyzj w przedmiocie nakazania usunicia danych osobowych ze zbioru danych Skarga na decyzj w przedmiocie ochrony danych osobowych Zapewnienie, aby system informatyczny sucy do przetwarzania danych zapewnia odnotowanie, sporzdzenie i wydrukowanie dla kadej osoby, ktrej dane s przetwarzane w tym systemie, raportu zawierajcego w powszechnie zrozumiaej formie informacje o dacie pierwszego wprowadzenia danych do systemu. Zapewnienie, aby system informatyczny sucy do przetwarzania danych zapewnia odnotowanie, sporzdzenie i wydrukowanie dla kadej osoby, ktrej dane s przetwarzane w tym systemie, raportu zawierajcego w powszechnie zrozumiaej formie informacje o dacie pierwszego wprowadzenia danych do systemu. Przyznanie statusu administratora danych. Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie udostpniania danych osobowych

83.

84.

uchylenie zaskaronego postanowienia wstrzymanie wykonania zaskaronej decyzji uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji

85.

13.08.2009 r. II SA/Wa 234/09 18.08.2009 r. II SA/Wa 1550/07 20.08.2009 r. II SA/Wa 1165/08 27.08.2009 r. II SA/Wa 1710/08 31.08.2009 r. II SA/Wa 1165/08 02.09.2009 r. II SA/Wa 1233/08 08.09.2009 r. II SA/Wa 1554/08

DOLiS/DEC904/08/35949

86.

GI-DEC-DOLiS154/07/4023 GI-DEC-DOLiS430/210/07 DOLiS/DEC629/08/26650 DOLiS/DEC663/08/27697,27698, 27699,277705 DOLiS/DEC393/08/16167 DOLiS/DEC511/08/22299,22300, 22301

oddalenie skargi uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji uchylenie zaskaronej decyzji stwierdzenie niewanoci zaskaronej decyzji

87.

88.

89.

90.

91.

92.

08.09.2009 r. I OSK 1377/08

DIS/DEC-172/6400, 6404/08

uchylenie zaskaronego wyroku i oddalenie skargi

93.

08.09.2009 r. I OSK 1378/08

DIS/DEC216/8457/08

uchylenie zaskaronego wyroku i oddalenie skargi

94.

08.09.2009 r. I OSK 1379/08 09.09.2009 r. II SA/Wa 365/09 10.09.2009 r. II SA/Wa 257/09 16.09.2009 r. II SA/Wa 31/09

DIS/DEC215/8454/08 DOLiS/DEC711/08/29649,29651, 29656,29658,29660 DOLiS/DEC-1/09/8,9 DOLiS/DEC701/08/29206,29213, 29215,29217

oddalenie skargi umorzenie postpowania w sprawie oddalenie skargi umorzenie postpowania w sprawie

95. 96.

97.

183

98.

17.09.2009 r. I OSK 1049/08

GI-DEC-DOLiS276/07/7245,7246, 7247 GI-DEC-DOLiS223/07/5896,5897 W sprawie nie byo wydanej decyzji. Zakoczona zostaa poprzez skierowanie pisma do podmiotu wnioskujcego GI-DEC-DOLiS276/07/7245,7246, 7247 DOLiS/DEC1/174,178/08 DOLiS/DEC664/08/27777 DOLiS/DEC23/09/897,905 DOLiS/DEC1/174,178/08 GI-DEC-DOLiS184/07/4906,4907 DOLiS/DEC16/09/635 DOLiS/DEC53/1776,1777,1778/ 08 DOLiS/DEC117/09/5738,5745/09 DOLiS/DEC205/09/9095/9096 GI-DEC-DOLiS264/07/6789,6790, 6791 DOLiS/DEC768/09/28679 GI-DEC-DOLiS254/07/6562,6563, 6564

99.

18.09.2009 r. I OSK 1049/08

Skarga kasacyjna od wyroku WSA w Warszawie w sprawie skargi na decyzj GIODO w przedmiocie przetwarzania danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie skargi na decyzj GIODO w przedmiocie przetwarzania danych osobowych

oddalenie skargi kasacyjnej uchylenie zaskaronego wyroku zobowizanie GIODO do rozpoznania wniosku o udostpnienie informacji publicznej oddalenie skargi

100.

23.09.2009 r. II SAB/Wa 57/09

Bezczynno w przedmiocie dostpu do informacji publicznej.

101.

02.10.2009 r. II SA/Wa 336/08 05.10.2009 r. I OSK 1521/08 05.10.2009 r. II SA/Wa 1764/08 14.10.2009 r. II SA/Wa 359/09 15.10.2009 r. II SA/Wa 335/08 16.10.2009 r. II SA/Wa 1428/08 22.10.2009 r. II SA/Wa 312/09 24.10.2009 r. I OSK 1115/08 27.10.2009 r. II SA/Wa 561/09 27.10.2009 r. II SA/Wa 1540/09 29.10.2009 r. I OSK 1245/08 03.11.2009 r. I OSK 1670/09 04.11.2009 r. II SA/Wa 330/09

Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie skargi na decyzj GIODO w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie odmowy stwierdzenia niewanoci decyzji Skarga na decyzj w przedmiocie umorzenia postpowania w sprawie udostpniania danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga w przedmiocie wznowienia postpowania w sprawie zakoczonej prawomocnym wyrokiem WSA w Warszawie Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie skargi na decyzj GIODO w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie umorzenia postpowania w sprawie udostpniania danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga kasacyjna od wyroku WSA w Warszawie w sprawie skargi na decyzj GIODO w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie odmowy uwzgldnienia wniosku o nakazie sprostowania danych o stanie zdrowia

102.

oddalenie skargi kasacyjnej

103.

oddalenie skargi

104. 105. 106.

oddalenie skargi oddalenie skargi oddalenie skargi

107.

oddalenie skargi uchylenie zaskaronego wyroku oddalenie skargi

108.

109.

110.

oddalenie skargi

111.

oddalenie skargi kasacyjnej umorzenie postpowania w sprawie zawieszenie postpowania przed WSA w Warszawie

112.

113.

184

114.

05.11.2009 r. II SA/Wa 754/09 05.11.2009 r. II SA/Wa 229/08 19.11.2009 r. II SA/Wa 297/09 20.11.2009 r. II SA/Wa 16/09 26.11.2009 r. II SA/Wa 1093/09 26.11.2009 r. II SA/Wa 725/09 27.11.2009 r. II SA/Wa 1393/09 01.12.2009 r. I OSK 249/09 01. 12. 2009 r. II OSK 227/09 03.12.2009 r. II SA/Wa 357/09 09.12.2009 r. II SA/Wa 249/09 11.12.2009 r. II SA/Wa 545/09 15.12.2009 r. II SA/Wa 1582/09 18.12.2009 r. II SA/Wa 1602/09

DOLiS/DEC199/09/8964,8966 GI-DEC-DOLiS264/07/6789/6790, 6791 DOLiS/DEC914/08/36153,36156, 36157,36158,36160 DOLiS/DEC710/08/29509,29512 DOLiS/POST119/09/17216,17218, 17233 DOLiS/DEC163/098406/8407/841 2/8415/8418 DOLiS/DEC531/09/22131 DIS/DEC254/10616/08

Skarga kasacyjna od wyroku WSA w Warszawie w sprawie skargi na decyzj GIODO w przedmiocie udostpniania danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na decyzj w przedmiocie nakazu zaprzestania pozyskiwania danych osobowych Skarga na postanowienie GIODO w przedmiocie odmowy przywrcenia terminu do wniesienia wniosku o ponowne rozpatrzenie sprawy. Skarga na decyzj w przedmiocie odmowy uwzgldnienia wniosku w sprawie przetwarzania danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Zaprzestanie przetwarzania danych osobowych obejmujcych przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych pracownikw Spki. Przyznanie statusu administratora danych. Skarga na decyzj w przedmiocie przetwarzania danych osobowych Skarga na postanowienie w przedmiocie uchybienia terminu do zoenia wniosku o ponowne rozpatrzenie sprawy. Skarga na decyzj w przedmiocie odmowy uwzgldnienia wniosku w sprawie usunicia danych osobowych Skarga na decyzj w przedmiocie ochrony danych osobowych Skarga na decyzj w przedmiocie przetwarzania danych osobowych

oddalenie skargi kasacyjnej oddalenie skargi kasacyjnej oddalenie skargi uchylenie zaskaronej decyzji uchylenie zaskaronego postanowienia uchylenie zaskaronej decyzji oddalenie skargi

115.

116.

117.

118.

119.

120.

121.

uchylenie wyroku i oddalenie skargi oddalenie skargi

122.

DIS/DEC421/17115/08 DOLiS/DEC79/09/4073,4101, 4106 DOLiS/POST370/08/35735,35739, 35741,35747,35754,3 5756,35758 DOLiS/DEC97/09/4397,4399, 4403 DOLiS/DEC677/09/26243,26244/ 09 DOLiS/DEC53/1776,1777,1778/ 08

123.

oddalenie skargi

124.

oddalenie skargi

125.

oddalenie skargi

126.

oddalenie skargi uchylenie zaskaronej decyzji

127.

185

Zacznik nr 5

Informacje przekazane przez organy cigania w sprawach skierowanych w 2009 r. przez Generalnego Inspektora Ochrony Danych Osobowych zawiadomie o popenieniu przestpstwa

Informacja Umorzenie dochodzenia Umorzenie dochodzenia w czci Umorzenie dochodzenia i podjcie go na nowo na skutek interwencji Generalnego Inspektora Umorzenie dochodzenia i odmowa podjcia go na nowo Wszczcie dochodzenia Odmowa wszczcia dochodzenia Wszczcie ledztwa i jego umorzenie Zawieszenie dochodzenia Skierowanie sprawy do sdu Skazania oraz postanowienia o warunkowym umorzeniu postpowania Brak informacji

Rok 2007 17 5 5 2 2 5 -

Rok 2008 18 -

Rok 2009 11 1

8 5

2 3 3 -

186

Zacznik nr 6 Wykaz szkole przeprowadzonych przez GIODO w 2009 r.

L.p. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32.

Data szkolenia 22.01.2009 r. 03.02.2009 r. 05.02.2009 r. 12.02.2009 r. 26.02.2009 r. 10.03.2009 r. 13.03.2009 r. 19.03.2009 r. 20.03. 2009 r. 27.03.2009 r. 31.03.2009 r. 03.04.2009 r. 21.04.2009 r. 22.04.2009 r. 28.04.2009 r. 05.05.2009 r. 11.05.2009 r. 13.05.2009 r. 14.05.2009 r. 14.05.2009 r. 20.05.2009 r. 26.05.2009 r. 27.05.2009 r. 01.06.2009 r. 09.06.2009 r. 15.06.2009 r. 17.06.2009 r. 19.06.2009 r. 22.06.2009 r. 25.06.2009 r. 26.06.2009 r. 07.07.2009 r.

Miejscowo Warszawa Krakw Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Czstochowa Warszawa Warszawa d Szczawnica d Warszawa Warszawa Otwock Warszawa Krakw Otwock d Warszawa Warszawa d Warszawa Warszawa Warszawa

Podmiot szkolony pracownicy Ministerstwa Spraw Zagranicznych wyjedajcy na placwki zagraniczne Forum Sekretarzy Samorzdw Polski Poudniowej Narodowy Fundusz Zdrowia Narodowy Fundusz Zdrowia Narodowy Fundusz Zdrowia Ministerstwo Spraw Zagranicznych Narodowy Fundusz Zdrowia Ministerstwo Infrastruktury Narodowy Fundusz Zdrowia Narodowy Fundusz Zdrowia Ministerstwo Infrastruktury Narodowy Fundusz Zdrowia Narodowy Fundusz Zdrowia Sd Okrgowy w Czstochowie Narodowy Fundusz Zdrowia Ministerstwo Infrastruktury Sd Apelacyjny w odzi Sd Okrgowy w Nowym Sczu Sd Apelacyjny w odzi Ministerstwo Infrastruktury Ministerstwo Spraw Zagranicznych funkcjonariusze celni Ministerstwo Infrastruktury Urzd Marszakowski Wojewdztwa Maopolskiego funkcjonariusze celni Sd Rejonowy dla odzi rdmiecia w odzi Ministerstwo Sprawiedliwoci Ministerstwo Finansw Sd Rejonowy dla odzi rdmiecia w odzi Ministerstwo Spraw Zagranicznych Ministerstwo Finansw Narodowy Fundusz Zdrowia

187

33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56.

14.07.2009 r. 21.07.2009 r. 08.09.2009 r. 14.09.2009 r. 18.09.2009 r. 22.09.2009 r. 29.09.2009 r. 05.10.2009 r. 20.10.2009 r. 28.10.2009 r. 04.11.2009 r. 05.11.2009 r. 13.11.2009 r. 17.11.2009 r. 17.10.2009 r. 23.11.2009 r. 22-24.11.2009 r. 27.11.2009 r. 01.12.2009 r. 03.12.2009 r. 08.12.2009 r. 08.12.2009 r. 10.12.2009 r. 14.12.2009 r.

Warszawa Warszawa Warszawa Toru Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Rynia Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa Warszawa

Narodowy Fundusz Zdrowia Narodowy Fundusz Zdrowia Urzd m. st. Warszawy Zwizek Rewizyjny Spdzielni Mieszkaniowych z siedzib w Toruniu Urzd m. st. Warszawy funkcjonariusze celni Kancelaria Sejmu Urzd m. st. Warszawy funkcjonariusze celni Ministerstwo Spraw Zagranicznych Urzd Komisji Nadzoru Finansowego Komenda Stoeczna Policji Kancelaria Senatu Ministerstwo Spraw Wewntrznych i Administracji (administracja gruziska) Krajowe Stowarzyszenie Ochrony Informacji Niejawnych Kancelaria Sejmu samorzdowe orodki doskonalenia zawodowego nauczycieli (Gliwice i Kielce) Kancelaria Sejmu funkcjonariusze celni Urzd m. st. Warszawy Ministerstwo Spraw Zagranicznych Kancelaria Sejmu Urzd m. st. Warszawy Kancelaria Prezesa Rady Ministrw

188

Zacznik nr 7 Wykaz decyzji Generalnego Inspektora Ochrony Danych Osobowych wydanych w 2009 roku w sprawach o wyraenie zgody na przekazanie danych osobowych za granic
Data wydania decyzji/ postanowienia 05.01.2009 05.01.2009 10.02.2009 23.02.2009

l.p.

Nazwa podmiotu

Sygnatura decyzji/ postanowienia DESiWM/DEC-2/122/09 zgoda na przekazanie danych osobowych DESiWM/DEC-3/123/09 zgoda na przekazanie danych osobowych DESiWM/DEC-85/4216/09 zgoda na przekazanie danych osobowych DESiWM/DEC-133/6101/09 zgoda na przekazanie danych osobowych DESiWM/DEC-270/11420/09 umorzenie postpowania (odbiorca naley do amerykaskiego programu bezpiecznej przystani) DESiWM/DEC-268/11399/09 zgoda na przekazanie danych osobowych DESiWM/DEC-269/11402/09 zgoda na przekazanie danych osobowych DESiWM/DEC-297/12981/09 zgoda na przekazanie danych osobowych DESiWM/DEC-333/15006/09 umorzenie postpowania (wycofanie wniosku) DESiWM/DEC-364/16479/09 DESiWM/DEC-364/16480/09 zgoda na przekazanie danych osobowych (jedna decyzja, dwa numery) DESiWM/DEC-406/18293/09 zgoda na przekazanie danych osobowych DESiWM/DEC-440/19191/09 zgoda na przekazanie danych osobowych DESiWM/DEC-441/19192/09 zgoda na przekazanie danych osobowych DESiWM/DEC-486/20151/09 zgoda na przekazanie danych osobowych DESiWM/DEC-485/20147/09 zgoda na przekazanie danych osobowych DESiWM/DEC-484/20145/09 zgoda na przekazanie danych osobowych DESiWM/DEC-483/20143/09 zgoda na przekazanie danych osobowych DESiWM/DEC-482/20182/09 zgoda na przekazanie danych osobowych DESiWM/DEC-481/20184/09 zgoda na przekazanie danych osobowych DESiWM/DEC-480/20193/09 zgoda na przekazanie danych osobowych

1. 2. 3. 4.

UPS Polska Sp. z o.o. UPS SCS Polska Sp. z o.o. Samsung Electronics Polska Sp. z o.o. Clifford Chance, Janicka, Namiotkiewicz, Dbowski i Wsplnicy Sp. K. Sun Microsystems Poland Sp. z o.o.

5.

09.03.2009

6. 7. 8. 9.

31.03.2009 31.03.2009 10.04.2009 27.04.2009

Bristol-Myers Squibb Polska Sp. z o.o. Bristol-Myers Squibb Services Sp.z o.o. Hewitt Associates Sp. z o.o. Kraton Polymers US LLC

10.

07.05.2009

Mio Technology UK Ltd. Sp. z o.o. Oddzia w Polsce C.H. Robinson Poland Sp. z o.o. Aon Affinity Polska Sp. z o.o. Aon Polska Sp. z o.o. Otis Sp. z o.o. Polskie Zakady Lotnicze Sp. z o.o. Wytwrnia Sprztu Komunikacyjnego PZL-Rzeszw S.A. Pratt & Whitney Kalisz Sp. z o.o. Carrier Polska Sp. z o.o. Carrier Rental Systems Polska Sp. z o.o. Carrier Transicold Polska Sp. z o.o.

11. 12. 13. 14. 15. 16. 17. 18. 19. 20.

20.05.2009 26.05.2009 26.05.2009 02.06.2009 02.06.2009 02.06.2009 02.06.2009 02.06.2009 02.06.2009 02.06.2009

189

21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32.

03.06.2009 09.06.2009 09.06.2009 09.06.2009 09.06.2009 09.06.2009 09.06.2009 09.06.2009 16.06.2009 08.09.2009 08.09.2009 08.09.2009

RGA International Reinsurence Company Limited Sp. z o.o. Carrier Transicold Polska Sp. z o.o. Carrier Rental Systems Polska Sp. z o.o. Carrier Polska Sp. z o.o. Otis Sp. z o.o. Polskie Zakady Lotnicze Sp. z o.o. Wytwrnia Sprztu Komunikacyjnego PZL-Rzeszw S.A. Pratt & Whitney Kalisz Sp. z o.o. Flextronics Logistics Poland Sp. z o.o. Linde Gaz Polska Sp. z o.o. Linde Gaz Polska Sp. z o.o. JOBS.PL S.A.

33.

28.09.2009

McCain Poland Sp. z o.o.

34. 35. 36. 37. 38. 39. 40.

12.10.2009 12.10.2009 12.10.2009 12.10.2009 12.10.2009 12.10.2009 12.10.2009

Carrier Rental Systems Polska Sp. z o.o. Wytwrnia Sprztu Komunikacyjnego PZL-Rzeszw S.A. Carrier Polska Sp. z o.o. Carrier Transicold Polska Sp. z o.o. Otis Sp. z o.o. Polskie Zakady Lotnicze Sp. z o.o. Pratt & Whitney Kalisz Sp. z o.o.

41.

16.11.2009

LexisNexis Polska Sp. z o.o.

42. 43. 44. 45. 46. 47.

30.11.2009 30.11.2009 30.11.2009 30.11.2009 30.11.2009 30.11.2009

Unilever Polska S.A. Unilever Polska S.A. Unilever Polska S.A. Unilever Polska S.A. Unilever Polska S.A. Unilever Polska S.A.

DESiWM/DEC-495/20299/09 zgoda na przekazanie danych osobowych DESIWM/DEC-512/21046/09 zgoda na przekazanie danych osobowych DESIWM/DEC-511/21047/09 zgoda na przekazanie danych osobowych DESIWM/DEC-510/21049/09 zgoda na przekazanie danych osobowych DESIWM/DEC-509/21019/09 zgoda na przekazanie danych osobowych DESIWM/DEC-508/21018/09 zgoda na przekazanie danych osobowych DESIWM/DEC-507/21017/09 zgoda na przekazanie danych osobowych DESIWM/DEC-506/21016/09 zgoda na przekazanie danych osobowych DESiWM/DEC-525/21822/09 zgoda na przekazanie danych osobowych DESIWM/DEC-888/32602/09 zgoda na przekazanie danych osobowych DESIWM/DEC-889/32607/09 zgoda na przekazanie danych osobowych DESIWM/DEC-887/32565/09 umorzenie postpowania (rezygnacja wnioskodawcy) DESIWM/DEC-976/35238/09 zgoda na przekazanie danych osobowych; umorzenie postpowania w zakresie przekazania danych do Kanady DESIWM/DEC-1003/37104/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1004/37114/09 zgoda na przekazanie danych DESIWM/DEC-1009/37078/09 zgoda na przekazanie danych DESIWM/DEC-1008/37080/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1007/37084/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1006/37086/09 zgoda na przekazanie danych DESIWM/DEC-1005/37090/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1146/42078/09 zgoda na przekazanie danych osobowych; umorzenie postpowania w zakresie przekazania danych do Kanady DESIWM/DEC-1197/44453/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1196/44460/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1195/44464/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1194/44469/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1193/44474/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1192/44476/09 zgoda na przekazanie danych osobowych

190

48. 49.

30.11.2009 30.11.2009

Unilever Polska S.A. Unilever Polska S.A.

50.

04.12.2009

Reader's Digest Przegld Sp. z o.o.

51. 52. 53. 54. 55. 56. 57. 58. 59.

04.12.2009 04.12.2009 04.12.2009 04.12.2009 04.12.2009 04.12.2009 04.12.2009 04.12.2009 10.12.2009

Unilever Poland Services Sp. z o.o. Unilever Poland Services Sp. z o.o. Unilever Poland Services Sp. z o.o. Unilever Poland Services Sp. z o.o. Unilever Poland Services Sp. z o.o. Unilever Poland Services Sp. z o.o. Unilever Poland Services Sp. z o.o. Unilever Poland Services Sp. z o.o. Loyalty Partner Polska Sp. z o.o. AT&T Global Network Services Polska Sp. z o.o. Siemens Sp. z o.o. Eurogaz-Gdynia Sp. z o.o. Eurogaz-Gdynia Sp. z o.o.

60.

22.12.2009

61. 62. 63.

22.12.2009 28.12.2009 28.12.2009

DESIWM/DEC-1191/44477/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1190/44478/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1219/45176/09 zgoda na przekazanie danych osobowych; postpowanie czciowo umorzone (rezygnacja wnioskodawcy z czci wniosku) DESIWM/DEC-1218/45177/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1217/45178/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1216/45179/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1215/45182/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1214/45184/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1213/45186/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1212/45188/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1211/45189/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1248/46344/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1291/47885/09 zgoda na przekazanie danych osobowych; umorzenie postpowania w zakresie przekazania danych do Kanady DESIWM/DEC-1292/48027/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1325/48358/09 zgoda na przekazanie danych osobowych DESIWM/DEC-1326/48363/09 zgoda na przekazanie danych osobowych

191