Obowiązki administratora danych osobowych (cz. I)

1.       Obowiązek wynikający z art. 15 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[1]

Odnośnie obowiązku umożliwienia kontroli inspektorom Biura Generalnego Inspektora Ochrony Danych Osobowych, wynikającego z art. 15 ust 1 ustawy, administrator jest zobowiązany do udostępnienia pomieszczeń, w których zlokalizowany jest zbiór danych oraz pomieszczeń, w których przetwarzane są dane. Inspektorzy mają prawo wstępu do pomieszczeń w godzinach od 6°° do 22°°. Administrator jest zobowiązany do udzielenia im wszelkich wyjaśnień ustnych lub pisemnych i umożliwienia inspektorom wglądu do wszelkiej dokumentacji i wszelkich danych mających bezpośredni związek z przedmiotem kontroli.

Przedmiotem kontroli przestrzegania przepisów o ochronie danych osobowych inspektorów zazwyczaj są następujące kwestie:

1. przesłanki legalności przetwarzania danych osobowych,
2. przesłanki legalności przetwarzania danych szczególnie chronionych,
3. zakres i cel przetwarzania danych,
4. merytoryczna poprawność danych i ich adekwatność do celu przetwarzania,
5. obowiązek informacyjny,
6. zgłoszenie zbioru do rejestracji,
7. przekazywanie danych do państwa trzeciego,
8. powierzenie przetwarzania danych osobowych,
9. zabezpieczenie danych.

2.       Obowiązek wynikający z art. 24 i 25 ustawy

W związku z obowiązkiem informacyjnym wynikającym z art. 24 i 25 Uodo administrator danych musi poinformować osobę, której dane dotyczą o pełnej nazwie i adresie swojej siedziby, jeżeli zaś administratorem danych jest osoba fizyczna musi poinformować o swoim imieniu i nazwisku oraz o miejscu zamieszkania. Osoba, której dane dotyczą musi zostać poinformowana o celu zbierania danych i o osobach czy instytucjach, którym te dane będą udostępniane. Na administratorze ciąży również odpowiedzialność uświadomienia osoby, której dane dotyczą o prawie dostępu do treści jej danych i możliwości poprawiania danych, dobrowolności albo obowiązku podania danych, a jeżeli wynika to z obowiązku o podstawie prawnej.

W przypadku art. 24 Uodo, dane dotyczą osoby, od której administrator uzyskał je bezpośrednio. W takiej sytuacji administrator danych jest zobowiązany poinformować daną osobę w zasadzie przed rozpoczęciem zbierania danych. W ustawie nie ma zawartych ścisłych wytycznych dotyczących formy przekazania tych informacji. Skoro zaś ustawodawca nie narzuca żadnej formy, należy uznać, iż jest ona w zasadzie dowolna, czyli informacje mogą być udzielone np. ustnie. Jednakże ze względu na wartości dowodowe dobrze byłoby, gdyby administrator udzielał takiej informacji w formie pisemnej, ponieważ w momencie ewentualnych sporów, to na administratorze ciąży ciężar udowodnienia, że dopełnił wszelkich formalności. Poinformowanie nie może zostać zastąpione np. ogłoszeniem czy też informacją umieszczoną w regulaminie, jeśli osoba nie ma możliwości bezpośrednio zapoznania się z jego treścią. Zainteresowana osoba musi mieć indywidualny dostęp do informacji przekazywanych przez administratora. Informacje te muszą być przekazywane w sposób czytelny. Osoba, od której administrator uzyskuje dane musi mieć możliwość świadomego podjęcia decyzji czy chce udostępnić te dane danemu administratorowi, jeżeli przekazanie danych wynika z obowiązku danej osoby musi ona mieć również tego świadomość.

Należy pamiętać, że udzielenie takiej informacji jest obowiązkiem administratora danych i jest nie zależne od tego czy dana osoba zechce zapoznać się z tymi informacjami, musi mieć możliwość zapoznania się z nimi.

Wyjątkiem, od przedstawionych obowiązków powiadomienia osoby zainteresowanej jest sytuacja gdzie przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą lub spełnienie wymagań wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celów badania, a ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą. Nie informuje się też osoby zainteresowanej jeżeli jest ona już w posiadaniu tych informacji.

W przypadku art. 25 Uodo, mamy do czynienia z sytuacją, gdzie administrator danych wszedł w posiadanie danych osobowych z innych źródeł nie bezpośrednio od osoby, której dane dotyczą. Na mocy tego przepisu jest on zobowiązany do przekazania informacji tej osobie, bezpośrednio po utrwaleniu zebranych danych dotyczących tej osoby, zawierającej takie same elementy, jak przy informowaniu osoby, od której osobiście uzyskiwał dane, ale dodatkowo musi poinformować zainteresowaną osobę o źródle danych i uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 Uodo, tzn. o prawie do złożenia sprzeciwu wobec przetwarzania danych w celach marketingowych lub przekazywania ich innym podmiotom oraz o możliwości zażądania zaprzestania przetwarzania danych ze względu na szczególną sytuację osoby, której one dotyczą.

W sytuacji, o której mowa w art. 25 ustawy, administrator danych nie musi informować osoby, której dane dotyczą, o uzyskaniu tych danych w następujących sytuacjach:

1. przepisy innej ustawy dopuszczają zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,
2. dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie obowiązku informacyjnego wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,
3. dane są przetwarzane na podstawie przepisów prawa przez administratora danych, będącego organem państwowym, organem samorządu terytorialnego, państwową lub komunalną jednostką organizacyjną, jak również podmiotem niepublicznym realizującym zadania publiczne będące zadaniami własnymi organów państwowych, organów samorządu terytorialnego, państwowych lub komunalnych jednostek organizacyjnych,
4. osoba, której dane dotyczą, posiada już te informacje.

Dla realizacji obowiązku informacyjnego nie ma znaczenia sposób zbierania danych (drogą pisemną, telefonicznie czy też kontaktach bezpośrednich) ani sposób ich utrwalania, ani postać zbioru, do którego są wprowadzane tzn. czy jest to zbiór prowadzony metodą tradycyjną – manualnie, czy też dane przetwarzane są w systemie informatycznym. Nie ma też znaczenia czy zbiór już istnieje, czy dopiero powstanie na podstawie gromadzonych danych.

W związku z realizacją obowiązków informacyjnych należy również zwrócić uwagę, że ustawodawca w art. 54 ustawy przewiduje sankcje karne dla administratora danych, który nie wywiąże się z obowiązku informacyjnego, w postaci grzywny, ograniczenia wolności albo pozbawienia wolności do roku.

3.       Obowiązek wynikający z art. 33 ustawy

Powiązany z obowiązkiem informacyjnym jest obowiązek wynikający z art. 33 Uodo, nakazujący administratorowi danych udzielanie informacji o zakresie przetwarzanych danych osobowych. Art. 33 ust. 1 ustawy stanowi, iż na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować tę osobę o przysługujących jej prawach oraz dostarczyć, odnośnie jej danych osobowych, widomości, dotyczących:

1. informacji czy dany zbiór istnieje,
2. ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska,
3. informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
4. informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,
5. informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,
6. informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
7. informacji o przesłankach podjęcia rozstrzygnięcia indywidualnej sprawy osoby, której dane dotyczą, podjętego podczas zawierania lub wykonywania umowy i uwzględniającego wniosek osoby, której dane dotyczą[2].

Należy podkreślić, że realizacji uprawnień kontrolnych administrator może odmówić osobie, której dane dotyczą, gdy udostępnienie informacji spowodowałoby ujawnienie wiadomości stanowiących tajemnicę państwową, zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa albo istotne naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób.

Wymienionych informacji na wniosek zainteresowanej osoby udziela się na piśmie. Zainteresowana osoba może skorzystać z prawa do informacji nie częściej niż raz na 6 miesięcy. Również w przypadku tego obowiązku sankcje karne określa art. 54 ustawy. Należy pamiętać, że prawo do informacji danej osoby nie stanowi prawa do wglądu w dokumentację.

4.       Obowiązek wynikający z art. 26 ustawy

Kolejny obowiązek administratora danych jest oparty na art. 26 ust. 1 ustawy i dotyczy konieczności zapewnienia szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane dotyczą.

Z powyższego przepisu wynika, że dane muszą być przetwarzane poprawnie i adekwatnie do celu. Jest to istotne i z tego względu, że administratorzy często przetwarzają tzw. „dane wrażliwe”, które powinny być otoczone szczególną ochroną. Administrator ma obowiązek przetwarzać dane zgodnie z obowiązującymi przepisami prawa. Dane mogą być zbierane tylko dla oznaczonych i zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu jeżeli byłoby to niezgodne z tymi celami[3].

Przetwarzane dane muszą być adekwatne w stosunku do celów, w jakich są przetwarzane. Niedopuszczalne jest przetwarzanie danych w zakresie większym niż to konieczne dla realizacji celu, w jakim są zbierane. Relewantność (adekwatność) danych powinna być oceniania najpóźniej w momencie ich zbierania. Zatem administrator danych ma obowiązek dokonania w tym względzie oceny. Zakres danych osobowych adekwatnych do celu przetwarzania oceniać trzeba każdorazowo z uwzględnieniem określonego stosunku prawnego, w związku z którym administrator danych przetwarza dane osobowe[4].

Ponadto dane muszą być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, niedłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (zasada ograniczenia czasowego). Po osiągnięciu celu dane powinny zostać usunięte, zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora, np. przekazane do archiwum państwowego. W tym celu administrator danych jest zobowiązany do stałego nadzorowania zawartości swoich zbiorów pod kątem konieczności usuwania danych zbędnych, albo do których przetwarzania przestał być upoważniony ustawowo lub w drodze umowy.

Administrator danych jest obowiązany również zapewnić merytoryczną poprawność danych osobowych. Chodzi o to, aby były one zgodne z prawdą, pełne, kompletne i aktualne. W tym celu konieczne jest, aby w procesie przetwarzania danych administrator danych każdorazowo oceniał wiarygodność źródła pozyskania danych, wypracował tryb weryfikowania prawdziwości danych oraz ustalił zasady postępowania w przypadku stwierdzenia ich nieprawdziwość. Ponadto o dokonanym uaktualnieniu lub sprostowaniu danych administrator jest obowiązany bez zbędnej zwłoki poinformować innych administratorów, którym udostępnił zbiór danych[5]. Naruszeniem przedmiotowej zasady jest zbieranie danych ze źródeł niewiadomego pochodzenia, które nie gwarantują ich poprawności. Również względy natury technicznej (np. konstrukcja programów informatycznych, za pomocą których przetwarzane są dane osobowe) nie mogą decydować o przetwarzaniu danych nieprawdziwych, niekompletnych czy nieaktualnych[6].

Należy pamiętać, że administrator danych jest podmiotem ponoszącym odpowiedzialność za przetwarzanie danych osobowych. Zgodnie z brzmieniem art. 18 Uodo może on zostać zobowiązany w drodze decyzji administracyjnej do przywrócenia stanu zgodnego z prawem w razie naruszenia przepisów o ochronie danych osobowych. Administrator danych ponosi także odpowiedzialność administracyjną za zachowania swoich pracowników dopuszczonych do przetwarzanych danych, a także innych osób, niezależnie od podstawy ich zatrudnienia[7].

5.       Obowiązek wynikający z art. 35 ustawy

Dla osób zainteresowanych ważne jest przede wszystkim to, aby dane osobowe były odpowiedniej jakości i integralności, dlatego też administrator danych jest zobowiązany do uzupełniania, uaktualnienia, sprostowywania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora.

Wyżej wymieniony obowiązek wynika z art. 35 ustawy. W chwili wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest zobowiązany, do naprawienia, bez zbędnej zwłoki, powstałego faktu, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy. Jeżeli administrator danych zaniedbałby realizację tego obowiązku osoba zainteresowana może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o nakazanie dopełnienia tego obowiązku. Z ustawy wynika również jasno, że na administratorze danych ciąży obowiązek przekazania informacji o zmianie danych innym administratorom, którym udostępnił zbiór danych.

Ciąg dalszy: Obowiązki administratora danych osobowych (cz. II)