Odpowiedź na interpelację w sprawie funkcjonowania systemu ochrony danych osobowych
W nawiązaniu do interpelacji nr 1640 posła na Sejm RP pana Jana Kulasa w sprawie funkcjonowania systemu ochrony danych osobowych, z upoważnienia prezesa Rady Ministrów pana Jerzego Buzka, przedkładam poniżej odpowiedź na pytania 1 i 7. Na pozostałe pytania postawione przez pana posła udzieliła odpowiedzi pani Ewa Kulesza, generalny inspektor ochrony danych osobowych - tekst w załączeniu.
Dotychczasowego systemu ochrony danych osobowych nie można nazwać ˝systemem˝. Stwarzał on bowiem możliwości naruszenia dóbr osobistych i zależał od uczciwości dysponenta zbioru (urzędnika, kierownika kadr w firmie itp.). Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (DzU nr 133, poz. 883) wypełniła standard podobnych aktów prawnych funkcjonujących w państwach Unii Europejskiej. Różnica polega na tym, że w krajach UE prawodawstwo jest spójne z ustawą o ochronie danych osobowych, a w polskim ustawodawstwie istnieje dowolność w interpretacji konkretnych zapisów ustawowych o współdziałaniu organów administracji państwowej i samorządowej oraz innych podmiotów w zakresie udostępnienia danych osobowych. Realizacja przepisów ustawy jest w wielu wypadkach inaczej postrzegana przez podmiot, który je stosuje, a inaczej przez egzekutora przepisów, tj. generalnego inspektora ochrony danych osobowych.
Ustawa o ochronie danych osobowych w art. 45 zawiera delegację dla ministra spraw wewnętrznych i administracji do określenia, w drodze rozporządzenia:
1) podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
2) wzoru wniosku, o którym mowa w art. 29 ust. 3 ustawy,
3) wzoru zgłoszenia, o którym mowa w art. 41 ust. 1 ustawy,
4) wzoru upoważnienia i legitymacji służbowej, o których mowa w art. 14 pkt 1 ustawy.
Delegacja powyższa została zrealizowana przez wydanie rozporządzeń ministra spraw wewnętrznych i administracji:
a) z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 80, poz. 521),
b) z dnia 3 czerwca 1998 r. w sprawie określenia wzorów wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (DzU nr 80, poz. 522).
Według danych Ministerstwa Sprawiedliwości system ochrony danych osobowych zawarty w ustawie o ochronie danych osobowych został uwzględniony w już obowiązujących ustawach:
- o Instytucie Pamięcie Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu,
- tzw. ustawie lustracyjnej.
Stosowanie procedur przewidzianych ustawą lustracyjną ma już miejsce. Na obecnym - początkowym - etapie funkcjonowania tych regulacji można ocenić system ochrony danych osobowych w tych procedurach jako prawidłowy.
W znacznie szerszym stopniu problematyki przetwarzania danych osobowych dotyczy ustawa o Instytucie Pamięci Narodowej. Przewiduje ona specyficzny system ochrony danych podlegających przetwarzaniu w poszczególnych sferach działania instytutu. W praktyce jednak, jak wiadomo, instytut w nowym kształcie organizacyjno-prawnym jeszcze nie funkcjonuje, w związku z czym nie można zweryfikować przyjętych w ustawie rozwiązań, mających na celu ochronę danych osobowych. Ochrona danych osobowych doznaje natomiast dość daleko idących ograniczeń na gruncie ustawy o ochronie informacji niejawnych. Ograniczenia te wiążą się ze ˝sprawdzeniem˝ osób, które mają mieć dostęp do informacji niejawnych. Są to jednak ograniczenia wynikające wprost z ustawy, mające na celu ochronę interesu publicznego w zakresie przewidzianym konstytucją. Ponadto poddanie się owym ograniczeniom, tj. właściwej procedurze sprawdzającej, ma charakter dobrowolny, jako że to sam zainteresowany - świadom obowiązującego prawa - ubiegając się o dostęp do informacji niejawnych, wyraża zgodę na poddanie się postępowaniu sprawdzającemu i wypełnia w związku z tym stosowną ankietę.
W kilku resortach podjęto prace legislacyjne mające na celu dostosowanie aktów prawnych do wymogów ustawy. Inicjatywy ustawodawcze podejmuje również rząd.
W resorcie transportu i gospodarki morskiej zostały podjęte działania legislacyjne związane z funkcjonowaniem ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Dotyczą one ustawy Prawo o ruchu drogowym, której zmiana jest aktualnie przedmiotem uzgodnień międzyresortowych. Proponowane zapisy dotyczyć będą centralnej ewidencji pojazdów oraz właścicieli i posiadaczy pojazdów.
Ponadto w zakresie funkcjonowania ustawy z dnia 2 sierpnia 1997 r. o warunkach wykonywania międzynarodowego transportu drogowego (DzU nr 106, poz. 677 z późn. zm.) Ministerstwo Transportu i Gospodarki Morskiej wystąpiło do generalnego inspektora ochrony danych osobowych z prośbą o ocenę i ewentualną interpretację przepisów ww. ustawy dotyczących trybu wydawania koncesji na wykonywanie międzyresortowego transportu drogowego. Należy bowiem zauważyć, że ze względu na limitowanie zezwoleń zagranicznych, niezbędnych przy wjeździe koncesjonowanego przewoźnika na terytorium obcego państwa, stało się konieczne limitowanie koncesji na wykonanie międzynarodowego transportu drogowego. W związku z powyższym powstała potrzeba utworzenia tzw. banku koncesji, czyli list firm oczekujących na wydanie koncesji. Listy te zostały zamknięte w sierpniu 1997 r. z chwilą wejścia w życie przepisów ustawy o ochronie danych osobowych. Przed tą datą listy przewoźników oczekujących na wydanie koncesji były publikowane - w celu zachowania jawności trybu przyznawania koncesji - w czasopismach o zasięgu ogólnokrajowym. Wyjaśnienia wymaga obecnie kwestia, czy powyższe praktyki są zgodne z ustawą o ochronie danych osobowych.
Ponadto wątpliwości budzi legalność - w świetle przepisów ustawy o ochronie danych osobowych - prowadzenia przez ministra transportu i gospodarki morskiej rejestru udzielonych koncesji na wykonywanie międzynarodowego transportu drogowego. Obowiązek prowadzenia tego rodzaju rejestru nałożyła na ministra transportu i gospodarki morskiej ustawa o warunkach wykonywania międzynarodowego transportu drogowego. Wyjaśnienia wymaga, czy MTiGM może dalej gromadzić dane dotyczące udzielonych koncesji przy zachowaniu dotychczasowego trybu, czy też powinno na to uzyskać zgodę firm, którym udzielone zostały koncesje. Analogiczny problem dotyczy prowadzenia rejestru udzielonych zezwoleń na prowadzenie regulacji międzynarodowej komunikacji autobusowej.
W przygotowywanym w resorcie spraw wewnętrznych i administracji projekcie nowej ustawy o obywatelstwie polskim wprowadzone zostały regulacje dotyczące rejestrów danych o nabyciu i utracie obywatelstwa polskiego. W przedmiotowej regulacji wskazuje się jednocześnie, że dane zgromadzone w rejestrach podlegają ochronie na podstawie odrębnych przepisów, tj. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, oraz dane te mogą być wykorzystywane wyłącznie w celu określonym w ustawie o obywatelstwie polskim. Trwają również prace nad nowelizacją ustawy o ewidencji ludności i dowodach osobistych w celu dostosowania jej do wymogów ustawy o ochronie danych osobowych.
Realizacji konstytucyjnej zasady ochrony danych osobowych oraz zapewnieniu spójności rozwiązań funkcjonujących w systemie prawnym, a dotyczących tej materii, służą m.in. takie inicjatywy ustawodawcze rządu, jak:
- opracowanie przez ministra sprawiedliwości projektu ustawy o krajowym rejestrze karnym, który został już skierowany pod obrady Rady Ministrów,
- przygotowanie projektów nowelizacji różnych ustaw, w tym dotyczących organów ścigania (np. ustawy o Policji czy ustawy o UOP), w zakresie problematyki przetwarzania danych osobowych.
Ustawa o krajowym rejestrze karnym ma na celu ustalenie jednolitych, powszechnie obowiązujących zasad gromadzenia, przechowywania i udostępniania danych o wszelkich orzeczeniach o charakterze karnym, zapadłych w stosunku do danej osoby (od odpowiedzialności za czyny karalna przed sądem rodzinnym począwszy, poprzez sprawy o wykroczenia, w których orzeczono karę aresztu, po odpowiedzialność przed sądem karnym).
Ideą przewodnią tych regulacji jest m.in. ograniczenie kręgu podmiotów uprawnionych do żądania tego rodzaju informacji oraz zakresu udzielanych im informacji do przypadków wynikających z ustaw.
Ministerstwo Finansów sugeruje, aby w najbliższym czasie rząd rozważył celowość pilnego przygotowania rządowego projektu nowelizacji ustawy o ochronie danych osobowych uwzględniającego m.in. rozszerzenie podmiotowego zakresu zwolnienia z obowiązku rejestracji zbiorów danych osobowych o wszystkie zbiory stanowiące tajemnicę państwową i służbową. Ponadto rozważana będzie celowość wprowadzenia obowiązku stosowania przez organy administracji rządowej odpowiednich Polskim Norm (zgodnych z normami międzynarodowymi) dotyczących zabezpieczeń systemów i ochrony danych.
Minister
Janusz Tomaszewski
Warszawa, dnia 27 maja 1999 r.
Załącznik
Szanowny Panie Pośle! W nawiązaniu do interpelacji pana posła w sprawie funkcjonowania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (DzU nr 133, poz. 883) złożonej na ręce pana premiera Jerzego Buzka oraz rozmowy w dniu 23 kwietnia br. uprzejmie informuję, iż:
1. W odniesieniu do pytania nr 2 z interpelacji (˝Czy w świetle ustawy o ochronie danych osobowych wszystkie informacje zebrane przez różne instytucje przed wejściem w życie ustawy tracą ważność i czy wykorzystywanie ich jest niezgodne z prawem?˝) wskazać należy, iż ustawa o ochronie danych osobowych (z wyjątkiem art. 6-11, 13, 45, 55-59) weszła w życie w dniu 30 kwietnia 1998 r. Przepisy powołanego aktu prawnego nie przewidują ˝utraty ważności wszystkich informacji zebranych przez różne instytucje przed wejściem w życie ustawy˝. Od dnia 30 kwietnia 1998 r. stosuje się natomiast w zakresie tych informacji (jeżeli są to dane osobowe w rozumieniu art. 6 ustawy) przepisy ustawy o ochronie danych osobowych. Oznacza to, że od momentu wejścia w życie ustawy tzw. administratorzy danych osobowych mają obowiązek zabezpieczenia zbiorów danych przed udostępnianiem ich osobom nieupoważnionym oraz obowiązek przetwarzania danych zgodnie z zasadami ustawy, aby w ten sposób zagwarantować obywatelom ich konstytucyjnie określone prawo do ochrony danych osobowych.
2. W nawiązaniu do pytania nr 3 (˝Czy i w jakim stopniu opublikowanie danych teleadresowych firm jest zgodne z ustawą o ochronie danych osobowych?˝) stwierdzić trzeba, iż stosownie do treści art. 2 ust. 1 ustawa o ochronie danych osobowych określa ˝zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych˝. Zgodnie z art. 6 ustawy o ochronie danych osobowych przez dane osobowe ˝uważa się każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby˝. A contrario wszelkich innych informacji, w tym danych teleadresowych firm, nie można uznać za dane osobowe i nie stosuje się w ich przypadku ustawy o ochronie danych osobowych.
3. Odpowiadając na pytanie nr 4 pana posła (˝W jakim stopniu ustawa o ochronie danych osobowych i rozporządzenia MSWiA ograniczają zamieszczanie danych adresowych mieszkańców w klatkach schodowych i innych miejscach publicznych?˝), pragnę podkreślić, że pytanie to może obejmować różne sytuacje prawne.
W odniesieniu do spisów lokatorów żaden przepis prawa nie nakłada w chwili obecnej obowiązku wywieszania spisów lokatorów zawierających imię i nazwisko najemcy czy właściciela mieszkania. W tej sytuacji umieszczenie w takim spisie imienia i nazwiska zależy wyłącznie od zgody osoby, której dane dotyczą. Znane z praktyki problemy związane z wywieszaniem list lokatorów w znacznym stopniu wynikają natomiast z niedowładu organizacyjnego, często z niezrozumienia istoty ochrony danych osobowych czy ze złej woli administracji budynków.
W polskim systemie prawnym obowiązują jednakże również przepisy, nakładające obowiązek umieszczenia na zewnątrz informacji, która może zawierać dane osobowe. Przykładem będzie ustawa dnia 23 grudnia 1988 r. o działalności gospodarczej (DzU nr 41, poz. 324 z późn. zm.). Zgodnie z powołaną ustawą ˝Siedziba przedsiębiorcy i miejsce prowadzenia działalności gospodarczej (zakład) powinny być oznaczone na zewnątrz. Oznaczenie (...) powinno zawierać nazwę (firmę) lub imię i nazwisko przedsiębiorcy oraz zwięzłe określenie rodzaju prowadzonej działalności gospodarczej˝ (art. 12). Podobną regulację zawiera art. 42 ustawy z dnia 7 lipca 1994 r. Prawo budowlane (DzU nr 89, poz. 414), który nakazuje inwestorowi umieścić na budowie tablicę informacyjną. Zarządzenie ministra gospodarki przestrzennej i budownictwa z 15 lutego 1994 r. w sprawie dziennika budowy oraz tablicy informacyjnej (MP z 1995 r. nr 2, poz. 29) wydane w wyniku delegacji ustawowej stanowi, iż na tablicy umieszcza się w widocznym miejscu imię i nazwisko oraz adres inwestora, kierownika budowy i inspektora nadzoru inwestorskiego.
4. W odpowiedzi na pytanie nr 5 (˝Jak przełamać impas i blokadę w przygotowaniu, publikowaniu tradycyjnych i tak potrzebnych książek telefonicznych? Na ile obecny system ochrony danych osobowych będzie ograniczał postępy łączności i telefonizacji?˝) stwierdzić trzeba, że przepis art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych dopuszcza przetwarzanie danych osobowych, jeżeli zezwalają na to przepisy prawa. W przypadku publikowania książek telefonicznych takim przepisem jest § 4 ust. 1 pkt 5 rozporządzenia ministra łączności z dnia 8 lutego 1996 r. w sprawie ogólnych warunków świadczenia usług telekomunikacyjnych w sieci telekomunikacji użytku publicznego (DzU nr 20, poz. 93 z późn. zm.), który obliguje operatora sieci telekomunikacyjnej użytku publicznego (czyli Telekomunikacji Polskiej SA) do zapewnienia ˝publicznego dostępu do spisów własnych abonentów, jeśli abonent nie zastrzeże poufności tej informacji˝.
Przepisy prawa, o których mowa powyżej, nie tylko upoważniają, ale wręcz zobowiązują TP SA do zapewnienia publicznego dostępu do spisów abonentów, co było sygnalizowane wielokrotnie Telekomunikacji przez generalnego inspektora (kopia ostatniego pisma do Telekomunikacji w załączeniu)*). Z punktu widzenia obowiązujących przepisów prawa nie można więc mówić o ˝impasie i blokadzie w przygotowywaniu i publikowaniu książek telefonicznych˝. Wątpliwości dotyczące legalności publikowania spisów abonentów w obecnym stanie prawnym były wyłącznie wynikiem informacji przekazywanych mediom przez TP SA dotyczących planów wydawniczych spółki, w które w sposób władczy w żaden sposób nie ingerował generalny inspektor ochrony danych osobowych.
Prawny system ochrony danych osobowych nie ogranicza więc publikacji książek telefonicznych. Szczegółowe zasady ochrony danych osobowych w sektorze telekomunikacyjnym zawarte zostały w rozdz. 6 projektu ustawy Prawo telekomunikacyjne. W celu wyeliminowania jakichkolwiek wątpliwości interpretacyjnych w przyszłości należy rozważyć jedynie dookreślenie w tym akcie prawnym, jakie dane osobowe zawierają się w pojęciu ˝spis abonentów˝.
W celu uniknięcia w przyszłości problemów związanych z interpretacją nieostrych przepisów nowego Prawa telekomunikacyjnego wystąpiłam z pismem (kopia pisma w załączeniu)*) do przewodniczącego sejmowej Komisji Łączności, przedstawiając propozycję zmiany zapisów projektu ustawy w części dotyczącej zakresu spisu abonentów.
5. W odniesieniu do pytania nr 6 (˝Jak przedstawia się polski system ochrony danych osobowych w porównaniu ze sprawdzonymi systemami w państwach Unii Europejskiej?˝) pragnę podkreślić, iż polska ustawa o ochronie danych osobowych jest w zasadniczej części zgodna z konwencją nr 108 Rady Europy z 1981 r. o ochronie osób ze względu na automatyczne przetwarzanie danych osobowych oraz z dyrektywą nr 95/46/EC Parlamentu Europejskiego oraz Rady o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym obiegu tychże danych z 24 października 1995 r. (kopia polskiego tłumaczenia dyrektywy nr 95/46 w załączeniu)*). Zgodność polskiego ustawodawstwa z normami europejskimi jest jednym z elementów oceny przez stronę unijną przygotowania Polski do przystąpienia do Unii Europejskiej.
Według art. 31 ust. 1 dyrektywy wszystkie państwa członkowskie w odniesieniu do przetwarzania danych osobowych w systemach informatycznych winny uchwalić prawa i regulacje administracyjne konieczne do wykonania postanowień niniejszej dyrektywy najpóźniej w ciągu trzech lat od dnia jej przyjęcia, a w odniesieniu do przetwarzania danych osobowych w systemach ˝tradycyjnych˝ - w ciągu lat 12.
W tej sytuacji państwa europejskie albo już w pełni dostosowały swoje ustawodawstwo do postanowień dyrektywy (jak jest np. w Wielkiej Brytanii po uchwaleniu nowej ustawy o ochronie danych osobowych), czy nawet poszły w ochronie danych osobowych dalej niż wymaga tego dyrektywa (np. Szwecja), albo są w trakcie dostosowywania ustawodawstwa do norm europejskich. Z uwagi na to, iż zarówno konwencja nr 108, jak i dyrektywa nr 95/46 zawierają ogólne normy i zasady dotyczące przetwarzania danych osobowych, ustawodawstwa poszczególnych państw mogą pewne kwestie regulować w sposób odmienny (w tym w różny sposób może być ograniczone przez ustawodawcę prawo do ochrony z uwagi na porządek i bezpieczeństwo państwa), jednakże z zachowaniem ogólnej idei obywatelskiego prawa do ochrony danych osobowych.
6. Pozostałe pytania pana posła (pyt. nr 1 i 7) skierowane są bezpośrednio do Rady Ministrów (w przedmiocie przepisów o ochronie danych osobowych, oceny ich stosowania oraz planów legislacyjnych), nie dotyczą zatem generalnego inspektora ochrony danych osobowych, i wydaje się, że odpowiedź ze względu na adresata pytania może być sformułowana wyłącznie przez przedstawiciela Rady Ministrów.
Ze swej strony mogę jedynie poinformować, iż doświadczenia zdobyte w trakcie stosowania ustawy przez blisko roczny okres jej obowiązywania pozwalają na ocenę przepisów i przygotowywanie ich nowelizacji. Jest to tym bardziej konieczne, iż, w ocenie stosujących ustawę, ustawodawca wielu kwestii nie uregulował bądź zamieścił sformułowania nieprecyzyjne, które nie dają się jednoznacznie zinterpretować. Można także stwierdzić, iż w odniesieniu do sfery publicznej ustawodawca poszedł w ochronie danych osobowych dalej, aniżeli wymagałaby tego dyrektywa, co niewątpliwie nie jest także trafnym rozwiązaniem i co wymagałoby pewnej korekty w toku nowelizacji ustawy.
Mam nadzieję, że udzielone panu posłowi odpowiedzi wyjaśniają wątpliwości sygnalizowane przez wyborców.
Pragnę jednocześnie podkreślić, iż wdrażanie nowej w naszym systemie prawnym ustawy nie hamuje rozwoju działalności gospodarczej; ustawa stawia jedynie podmiotom administrującym danymi osobowymi, w tym również podmiotom gospodarczym, określone wymagania, których spełnienie ma obywatelom zagwarantować przestrzeganie przysługującego im z mocy konstytucji prawa do ochrony danych osobowych.
Generalny inspektor ochrony danych osobowych
Ewa Kulesza
Warszawa, dnia 23 kwietnia 1999 r.
- Interpelacja w sprawie prolongaty działania art. 30 ustawy o restrukturyzacji górnictwa węgla kamiennego w latach 2003-2006
- Interpelacja w sprawie planowanych zmian w ustawie o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi w zakresie obniżenia wysokości opłat za zezwolenia na sprzedaż napojów alkoholowych wpływających do budżetów gmin
- Interpelacja w sprawie braku kompetencji podmiotowych i prawnych w realizacji prawa do pomocy w zakresie przekwalifikowania, należnej żołnierzom resortu MSWiA zwolnionym z zawodowej służby wojskowej
- Interpelacja w sprawie współdziałania Ministerstwa Finansów z władzami powiatowymi w pracach nad przygotowaniem budżetów na 1999 r.
- Interpelacja w sprawie wyroku Trybunału Konstytucyjnego z dnia 19 kwietnia 2006 r. sygn. akt K6/06