UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Wejście do strefy Schengen to dla samorządów dodatkowe obowiązki

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Gazeta Samorządu i Administracji 2008-01-07
Wprowadził‚ informację: 2008-01-30 15:49:37
Ostatnio modyfikował: Robert Czapski 2013-11-28 12:56:59

W tym roku po raz kolejny 28 stycznia będziemy obchodzić Dzień Ochrony Danych Osobowych. Jakie tym razem będzie hasło przewodnie tego święta?
W związku z tak doniosłym wydarzeniem, jak wejście Polski do strefy Schengen, w tym roku Dzień Ochrony Danych Osobowych będziemy obchodzić pod hasłem „Ochrona danych osobowych w Systemie Informacyjnym Schengen oraz rola GIODO w Schengen".

Jak Pan ocenia świadomość samorządów w zakresie ochrony danych osobowych?
Piastowałem urząd wiceburmistrza w dzielnicy Wola. Mam w związku z tym najpełniejszą wiedzę, jak w samorządach są przestrzegane zasady ochrony danych osobowych i jak kształtuje się świadomość w tym względzie. Należy podkreślić, że w administracji samorządowej wzrasta świadomość obowiązywania ustawy, a w codziennej praktyce organy administracji samorządowej coraz częściej stosują jej przepisy. Zdarzają się jednak przypadki błędnej interpretacji, czego przykładem może być traktowanie przez niektóre organy samorządu terytorialnego przepisów ustawy o dostępie do informacji publicznej jako przepisów wyłączających unormowania ustawy o ochronie danych osobowych. Jako Generalny Inspektor prowadziłem postępowanie administracyjne w sprawie, w której organ samorządu terytorialnego opublikował na stronach Biuletynu Informacji Publicznej uchwałę rady gminy zawierającą dokładne dane osobowe wraz z adresem zamieszkania osoby wnoszącej do organu skargę. Kwestionowaliśmy takie działanie i nakazałem organowi administracji samorządowej usunięcie ze stron internetowych BIP danych osobowych skarżącego, takich jak adres jego zamieszkania. Zwykle stwierdzone w trakcie kontroli uchybienia są usuwane. Korzystając ze sposobności, chciałbym prosić samorządy o dochowanie szczególnej rozwagi w tej kwestii. Należy dodać, że samorządy nie są w tym względzie odosobnione. Podobne problemy mają również administracja rządowa i sektor prywatny. Ustawa o ochronie danych osobowych funkcjonuje dopiero 10 lat i w bardzo szybkim trybie musimy nadgonić państwa starej Unii, które nierzadko w tym zakresie do końca nie spełniły wszystkich wymagań nałożonych na członków Wspólnoty.

Jakie naruszenia najczęściej popełniają samorządy w zakresie ochrony danych?
Większość kontroli wykazała, że zastosowane przez administratorów danych środki techniczne stosowane przez jednostki kontrolowane w celu zapewnienia ochrony przetwarzanych danych osobowych nie zabezpieczają w sposób wystarczający danych przed ich udostępnieniem osobom nieupoważnionym. Uchybienia występowały też w procesie przetwarzania danych osobowych przy użyciu systemów informatycznych.

Samorządy jako administratorzy danych podlegają kontroli ze strony GIODO. Czy w związku z tym wszystkie informacje o wynikach kontroli przeprowadzonych w jednostkach samorządu terytorialnego mogą być publikowane?
Informacje o wynikach kontroli przeprowadzonych w organach administracji samorządowej przedstawiają szczegółowe ustalenia dotyczące zastosowanych środków i metod w zakresie bezpieczeństwa przetwarzania danych osobowych. Zawierają one przede wszystkim opis środków technicznych i organizacyjnych używanych w celu zapewnienia rozliczalności integralności oraz poufności danych. Ponadto wskazują m.in. mechanizmy kontroli dostępu do danych, stosowane metody i środki uwierzytelniania użytkowników, fizyczne i logiczne zabezpieczenia chroniące przed nieuprawnionym dostępem do danych. Wobec tego informacje o wynikach kontroli przeprowadzonych w organach administracji samorządowej nie mogą być publikowane, ponieważ ich podanie zagrażałoby bezpieczeństwu danych przetwarzanych w zasobie informacyjnym tych organów. Ponadto ich publikowanie oznaczałoby, że zabezpieczenia danych straciłyby sens.

Czy w związku z wejściem Polski do Systemu Informacji Schengen zmienią się obowiązki samorządów w zakresie ochrony danych osobowych?
Ustawa o udziale Rzeczypospolitej w Systemie Informacyjnym Schengen (SIS) oraz Systemie Informacji Wizowej nadała starostom, jako organom samorządowym właściwym w sprawie rejestracji pojazdów, uprawnienie do pośredniego dostępu do Krajowego Systemu Informatycznego w celu wglądu do przetwarzanych w SIS danych dotyczących zgłoszonych do rejestracji pojazdów, wyłącznie w celu sprawdzenia, czy pojazdy te nie zostały skradzione, przywłaszczone lub utracone w inny sposób. Powołana ustawa nałożyła zatem na starostę obowiązek stosowania odpowiednich procedur kontrolnych wskazujących na działania podejmowane w ramach starostwa mające na celu zapewnienie, iż dane przetwarzane w SIS będą wykorzystywane tylko w celu, o którym już mówiłem. Ponadto starosta jest obowiązany do przeszkolenia z zakresu bezpieczeństwa i ochrony danych osobowych wyznaczone przez siebie osoby mające dostęp do Krajowego Systemu Informatycznego i uprawnione do wykorzystywania danych przetwarzanych w SIS. Osobom tym starosta wystawia upoważnienia, których wzór określa rozporządzenie ministra spraw wewnętrznych i administracji w sprawie dostępu do Krajowego Systemu Informatycznego.

Projekt nowelizacji ustawy o ochronie danych osobowych przygotowywany przez Kancelarię Prezydenta RP przewiduje powołanie nowych urzędników, którzy będą realizować zadania GIODO. Jaki będzie zakres oraz zasięg ich działania?
Chodzi tu o możliwość tworzenia w uzasadnionych przypadkach jednostek zamiejscowych Biura Generalnego Inspektora Ochrony Danych Osobowych. Ma to na celu zapewnienie obywatelom łatwiejszego dostępu do organu stojącego na straży zgodnego z prawem posługiwania się dotyczącymi ich informacjami. Zadania biur polegałyby na przyjmowaniu skarg od pokrzywdzonych petentów. Jednak szczegółowy zakres i zasięg ich działania określi statut nadany w drodze rozporządzenia przez prezydenta Rzeczypospolitej Polskiej na wniosek Generalnego Inspektora Ochrony Danych Osobowych.

Projekt nowelizacji przewiduje również wprowadzenie przepisu, który umożliwi kierowanie przez GIODO wystąpień do organów samorządu terytorialnego zmierzających do zapewnienia skutecznej ochrony danych osobowych. W jaki sposób organ będzie musiał się ustosunkować do takiego wystąpienia?
Planowane jest, by każdy podmiot, do którego zostałoby skierowane wystąpienie, byłby obowiązany ustosunkować się do niego w terminie 30 dni od daty jego otrzymania. Dotychczas GIODO nie miał takich uprawnień. Analogicznymi uprawnieniami dysponuje wiele podmiotów, np. Rzecznik Praw Obywatelskich, Rzecznik Ubezpieczonych.

GIODO, według projektu nowelizacji, miałby uprawnienia do nakładania kar pieniężnych. Jaka byłaby ich wysokość?Przewiduje się, że na podmiot, który nie wykonuje decyzji GIODO, mogłaby być nałożona kara pieniężna w wysokości stanowiącej równowartość od 1000 do 100 000 euro. Ponadto na podmioty, które uniemożliwiałyby lub utrudniały przeprowadzenie czynności kontrolnych przez GIODO, można by nałożyć karę pieniężną w wysokości do 300 procent ich miesięcznego wynagrodzenia. Podobnymi wysokościami kar posługuje się obecnie Najwyższa Izba Kontroli.

Z obecnej ustawy mają zniknąć niektóre przepisy, takie jak art. 2 ust. 3 dotyczący tzw. zbiorów doraźnych i art. 29 określający zasady i tryb udostępnienia danych. Jak Pan ocenia te zmiany w kontekście samorządów terytorialnych, które mają status administratora danych?
Prezydencki projekt nowelizacji ustawy o ochronie danych osobowych nie zawiera zmiany polegającej na wyeliminowaniu z porządku prawnego art. 2 ust. 3 ustawy. Odnosząc się natomiast do kwestii związanej z nowelizacją ustawy o ochronie danych osobowych polegającej na usunięciu z jej treści art. 29, należy zauważyć, iż celem powyższej zmiany jest dostosowanie ustawowych regulacji do przepisów Unii Europejskiej. Przyjęto, iż wiarygodne uzasadnienie potrzeby posiadania danych osobowych nie powinno stanowić samodzielnej przesłanki udostępnienia danych osobowych osobie trzeciej. Wyeliminowanie powyższego przepisu z porządku prawnego nie spowoduje wyłączenia możliwości pozyskiwania danych osobowych od administratorów tych danych - w tym od organów administracji samorządowej. Należy, bowiem podkreślić, iż do udostępniania danych osobowych ze zbioru będą miały w dalszym ciągu zastosowanie ogólne zasady przetwarzania danych osobowych, określone w art. 23 ust. 1 oraz art. 27 ust. 2 ustawy. Myślę, że samorządy powinny pozytywnie przyjąć tę zmianę. W ten sposób zmniejszy się krąg osób, które będą mogły powoływać się na przesłankę z art. 29. Ponadto zaproponowane zmiany w nowelizacji idą w dobrym kierunku i są oczekiwane przez wiele środowisk. A korzystając z okazji, chciałbym samorządowcom złożyć najlepsze życzenia w Nowym Roku 2008.

Ostatnie aktualności