Global menu

Our global pages

Close

Przetwarzanie danych osobowych podczas postępowania kontrolnego prowadzonego przez Najwyższą Izbę Kontroli

  • Poland
  • Other

01-12-2012

1. Wstęp

Niniejsze opracowanie poświęcone jest uprawnieniom i obowiązkom związanym z dostępem kontrolerów Najwyższej Izby Kontroli do danych osobowych oraz ich przetwarzaniem na potrzeby prowadzonych postępowań kontrolnych. Omówione zostaną podstawy legalizujące przetwarzanie przez NIK danych osobowych i obowiązki wynikające z tego faktu, przewidziane w ustawie z 29 sierpnia 1997 r. (Dz.U. nr 133, poz. 883), dalej „uodo" lub „ustawa". Wejście w życie uodo nałożyło na podmioty przetwarzające dane osobowe liczne obowiązki, a ochrona tych danych zyskała publicznoprawny charakter ze względu na wagę prawa do prywatności jednostki. Uodo ma charakter generalny w tym sensie, że znajduje zastosowanie zawsze tam, gdzie dochodzi do przetwarzania danych osobowych, zarówno w sektorze prywatnym, jak i w sektorze publicznym, z uwzględnieniem klauzuli kolizyjnej wyrażonej w art. 5 uodo, zgodnie z którym, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę niż wynika to z uodo, należy stosować przepisy tych ustaw. Ustawę stosuje się do przetwarzania danych osobowych w zbiorach (tj. w mających strukturę zestawach danych), a także do przetwarzania danych poza zbiorem, o ile do przetwarzania dochodzi w systemie informatycznym.

W orzecznictwie wyrażono również pogląd, że uodo należy stosować także do sytuacji na etapie gromadzenia danych osobowych z zamiarem stworzenia na ich podstawie zbioru (a więc zanim powstanie ostatecznie ich zbiór, a także zanim dane zostaną włączone do zbioru już istniejącego). W praktyce oznacza to bardzo szerokie zastosowanie ustawy: chroni ona bowiem zarówno dane przetwarzane metodami tradycyjnymi (o ile są lub mają być elementem zbioru), jak i dane przetwarzane w systemie informatycznym, nawet jeśli nie są one przetwarzane w zbiorze.

1.1. Podstawowe pojęcia
Zanim przejdziemy do szczegółowego omówienia obowiązków związanych z ochroną danych osobowych, przedstawimy podstawowe pojęcia istotne dla omawianego zagadnienia.

Postępowanie kontrolne
Jest to prowadzone przez NIK postępowanie mające na celu ustalenie stanu faktycznego w zakresie działalności jednostek poddanych kontroli, rzetelne jego udokumentowanie i dokonanie oceny kontrolowanej działalności pod względem legalności, gospodarności, celowości i rzetelności. Kwestia kryterium kontroli ma ogromny wpływ na zakres danych, które mogą być gromadzone w trakcie postępowania.

Kontrolerzy
Kontrolerzy są to pracownicy Najwyższej Izby Kontroli przeprowadzający kontrolę w jednostce kontrolowanej.

Zbiór danych
Zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy podzielony funkcjonalnie.

Pojedyncza informacja o osobie co do zasady nie stanowi zbioru danych w rozumieniu ustawy i, jeśli jest przetwarzana metodą tradycyjną, nie podlega ochronie. Cechą wyróżniającą zbiór danych od innego zestawienia danych jest jego uporządkowany charakter, zapewniający możliwość wyszukania konkretnych danych za pomocą określonego kryterium. Aby określony zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów uodo, wystarczające jest spełnienie jednego kryterium wyszukiwawczego w zestawieniu danych. Dla przykładu, zgodnie ze stanowiskiem GIODO, wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy.

Dane osobowe
Danymi osobowymi są wszelkie informacje Doty czące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na jeden lub kilka specyficznych czynników określających jej cechy fizyczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu oraz działań. Jeśli zatem jesteśmy w posiadaniu danych, które możemy skojarzyć z konkretną osobą (tj. możemy tę osobę wskazać), to wszystkie te dane są danymi osobowymi. Jeśli nie możemy wskazać osoby od razu, ale po dokonaniu pewnych czynności, to również posiadane przez nas dane będą danymi osobowymi, chyba że te czynności wiązałyby się z „nadmiernymi kosztami, czasem oraz działaniami".

Powyższa definicja oznacza, że nie można z góry ustalić katalogu danych mających charakter .osobowy". Wszystkie informacje, które mamy i które możemy skojarzyć  z konkretną osobą, są danymi osobowymi. Mogą to być w szczególności: imię i nazwisko, adres, adres poczty elektronicznej. Musi zostać jednak spełniony warunek możliwej (choćby potencjalnej) identyfikacji osoby, do której dane te się odnoszą. Ta zasada powoduje, że nazwisko nie zawsze będzie informacją osobową: w przypadku popularnych nazwisk, np. Jan Nowak, identyfikacja na podstawie samego imienia i nazwiska może nie być możliwa. Warto również pamiętać, że jeśli osobę możemy wskazać, to danymi osobowymi będą wszystkie informacje, którymi na temat tej osoby dysponujemy (mogą to być więc np. informacje na temat zarobków, znajomości języków, hobby, itp.). Danymi osobowymi mogą być również wizerunek i głos osoby, co ma szczególne znaczenie w kontekście możliwości rejestracji przesłuchania świadka przez kontrolera NIK na podstawie art. 47 ustawy z 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (Dz.U. 2012, poz. 82, dalej „ustawa o NIK").

Dane o szczególnym charakterze („dane wrażliwe")
Za dane wrażliwe uważa się dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Administrator danych
Administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, w tym organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne, decydujące o celach i środkach przetwarzania danych osobowych.

Za administratora danych uznaje się organ państwowy lub samorządowy, państwową lub komunalną jednostkę organizacyjną, podmioty niepubliczne realizujące zadania publiczne, osobę prawną jednostkę organizacyjną nieposiadającą osobowości prawnej lub osobę fizyczną, przetwarzającą dane w związku ze swą działalnością zarobkową, zawodową albo dla realizacji celów statutowych, decydujące o celach i środkach przetwarzania danych osobowych. O celu i środkach przetwarzania danych osobowych przez podmioty publiczne decyduje zazwyczaj ustawodawca, stanowiąc odpowiednie przepisy prawa. Z tego względu podmioty publiczne są zobowiązane do przetwarzania danych osobowych dla realizacji określonych ustawowo celów. Zazwyczaj środki, jakie mają służyć przetwarzaniu danych osobowych, wskazane są w przepisach ustaw lub w wydanych na ich podstawie rozporządzeniach. O tym, czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania.

Dla przykładu, zgodnie ze stanowiskiem GIODO, administratorem danych będzie marszałek województwa zgodnie z przepisami ustawy Prawo o ruchu drogowym, ponieważ decyduje on o celach i środkach przetwarzania danych osobowych psychologów uprawnionych do przeprowadzania badań w zakresie psychologii transportu.

Przetwarzanie danych
Przetwarzaniem danych są wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje wykonywane w systemach informatycznych.

System informatyczny
System informatyczny to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

Zabezpieczenia danych w systemie informatycznym
Przez zabezpieczenie danych w systemie informatycznym rozumie się wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

Pełna treść artykułu jest dostępna tutaj >>

Źródło: dr Arwid Mednis, Karolina Rudzińska, Przegląd Metodyczny 3/2012, Departament Metodyki Kontroli i Rozwoju Zawodowego NIK, grudzień 2012 r.

For more information contact

< Wstecz

Kontakt dla prasy

Renata Misiewicz
Zespół Public Relations 
+48 22 50 50 719
renata.misiewicz@eversheds-sutherland.pl