Z Michałem Serzyckim, Generalnym Inspektorem Ochrony Danych Osobowych, rozmawia Piotr Strzyżyński

 
Co to jest ochrona danych osobowych? Jakie dane podlegają tej ochronie?
Konstytucja RP i przepisy unijne gwarantują obywatelom prawo do prywatności i do ochrony danych osobowych. Skonkretyzowanie naszych praw i obowiązków, jakie spoczywają na przetwarzających dane osobowe, a więc wykonujących na nich jakiekolwiek operacje, ma miejsce w ustawie o ochronie danych osobowych z 29 sierpnia 1997 r. oraz w wydanych na jej podstawie przepisach wykonawczych. Zgodnie z tą ustawą, ochronie podlegają dane osobowe osób fizycznych.
Warto zaznaczyć, że termin „dane osobowe” jest wiernym tłumaczeniem z języka angielskiego, ale obecnie należałoby raczej mówić o „informacji osobowej”. Bo jeżeli mówimy o danych osobowych, to wiele osób automatycznie myśli, że chodzi o takie dane identyfikujące jak imię, nazwisko, PESEL, NIP, adres zamieszkania. A to zdecydowanie zawęża krąg informacji, które można uznać za dane osobowe.
Jeżeli np. powiemy, że chodzi o Jana Nowaka z Warszawy, mieszkającego przy ul. Krochmalnej, to osobom postronnym trudno byłoby ustalić, o jaką konkretnie osobę chodzi. Ale jeśli w jakiejś małej miejscowości, w której wszyscy się znają, mieszka jeden Jan Nowak, to nawet gdy nie podamy adresu, wszyscy będą wiedzieć, o jakiego Nowaka chodzi. Dlatego przy rozstrzyganiu, czy określone informacje stanowią dane osobowe, należy brać pod uwagę wiele czynników decydujących o możliwości identyfikacji osoby.
Przecież jeszcze kilka lat temu IP komputera nie było uważane za daną osobową, a teraz już jest. Dlatego w Europie są tendencje, żeby przy określaniu, co stanowi dane osobowe, wybiegać w przyszłość, tzn. przewidywać, że za 100 lat coś może zostać za nie uznane. Stąd definicja jest tak pojemna. Inaczej musielibyśmy ją co pewien czas rozszerzać i zmieniać.
Oczywiście, trzeba też nadmienić, że prawo do prywatności i ochrony danych osobowych może podlegać ograniczeniom, ale muszą być one ustanowione przepisami rangi ustawowej.
 
Co w urzędach gmin/miast albo w firmach świadczących usługi w zakresie gospodarki komunalnej może być uznawane za zbiór informacji osobowych? Które informacje podlegają ochronie?
Samorządy i firmy świadczące usługi w zakresie gospodarki komunalnej przetwarzają wiele danych osobowych w różnego rodzaju zbiorach, np. ewidencji gruntów i budynków, ewidencji ludności czy zbiorze danych osób, z którymi zawarto umowy na wywóz odpadów.
Trzeba przy tym pamiętać, że każda z tych jednostek działa na podstawie przepisów prawa i w jego granicach. To one określają, jakie dane osobowe i w jakim celu mogą być przez te jednostki przetwarzane.
Ochronie wynikającej z ustawy podlegają wszystkie dane osobowe, choć w myśl przepisów szczególnych w pewnych sytuacjach może być ona zawężona. Przykładem są oświadczenia majątkowe samorządowców, które – zgodnie z przepisami regulującymi działalność jednostek samorządu terytorialnego – muszą być publikowane w Biuletynie Informacji Publicznej, ale z wyłączeniem niektórych informacji, ściśle związanych z prywatnością konkretnej osoby, takich jak chociażby adres zamieszkania.
 
Jakie obowiązki spoczywają na gminach i przedsiębiorstwach prowadzących gospodarkę komunalną w zakresie tej ochrony?
Są one określone przede wszystkim w przepisach ustawy o ochronie danych osobowych i wydanych do niej rozporządzeń. Jednym z najważniejszych jest przestrzeganie zasady legalności, czyli wykazanie się podstawą prawną uprawniającą do przetwarzania danych osobowych. Kolejna kwestia to konieczność dopełnienia obowiązku informacyjnego. Każdy obywatel powinien bowiem wiedzieć, kto i w jakim celu zbiera jego dane oraz na jakiej podstawie prawnej. Powinien być również poinformowany o prawie dostępu do treści swoich danych osobowych i prawie ich poprawiania. Istnieje też obowiązek rejestracji zbiorów danych osobowych. Ciąży on na wszystkich administratorach danych, choć ustawa przewiduje od niego odstępstwa. Nie trzeba np. rejestrować zbiorów danych osobowych prowadzonych w związku z zatrudnieniem. Bardzo ważnym obowiązkiem jest też należyte zabezpieczenie zbiorów danych osobowych, tak by uniemożliwić dostęp do nich osobom niepowołanym.
 
Jakie sankcje są przewidziane za niewypełnienie tych obowiązków?
Stanowi o tym rozdział ósmy ustawy. Zawarte tam przepisy karne mogą mieć zastosowanie do administratorów danych, którzy np. udostępniają dane osobom nieupoważnionym, nie zgłaszają zbioru danych do rejestracji, nienależycie zabezpieczają dane oraz przetwarzają je w zbyt szerokim zakresie.
My nie nakładamy kar finansowych, możemy natomiast skierować sprawę do organów ścigania. Jeżeli one stwierdzą, że rzeczywiście doszło do naruszenia prawa, to mogą nałożyć karę. Niekiedy może być to kara grzywny, a w najbardziej skrajnych przypadkach mówi się o karze pozbawienia wolności do lat trzech.
 
Który spośród pracowników urzędu lub przedsiębiorstwa ponosi odpowiedzialność karną?
Odpowiedzialność karną zawsze ponosi osoba fizyczna, którą możemy nazwać osobą reprezentującą organ bądź kierującą jego pracami. Natomiast wśród komentatorów ustawy o ochronie danych osobowych pojawia się też taki pogląd, że odpowiedzialności za naruszenie przepisów ustawy nie można zawęzić tylko do administratora danych czy do kierującego pracami danej instytucji bądź ją reprezentującego, gdyż odpowiedzialność mogą ponosić wszystkie osoby, które przetwarzają dane osobowe.
W praktyce możemy mieć również do czynienia z sytuacją, w której urząd czy przedsiębiorstwo podpiszą z firmą zewnętrzną zajmującą się ochroną danych osobowych tzw. umowę powierzenia przetwarzania danych. Ale taka umowa w żaden sposób nie zwalnia administratora danych osobowych z odpowiedzialności za ochronę powierzonych innemu podmiotowi danych – odpowiedzialność jest wówczas solidarna.
Trzeba pamiętać, że ustawa o ochronie danych osobowych ustanawia obowiązek wyznaczenia przez administratora danych pracownika, który będzie zajmował się zabezpieczeniem danych i nadzorował przestrzeganie zasad ich ochrony, czyli tzw. administratora bezpieczeństwa informacji. Nie zwalnia to jednak administratora danych z odpowiedzialności.
Kto więc jest administratorem zbioru danych osobowych? W myśl ustawy jest nim ten, kto decyduje o celach i środkach przetwarzania danych osobowych. Dlatego w urzędzie gminy czy miasta administratorem danych będzie najczęściej wójt lub burmistrz, a w spółce komunalnej –  szef firmy, nawet jeśli zlecą oni przetwarzanie danych innym osobom.
Niekiedy jednak przepisy szczególne wobec ustawy o ochronie danych osobowych wprost wskazują, kto jest administratorem danych. Przykładowo Prawo o ruchu drogowym (art. 80a ust. 4) przesądza, że administratorem danych i informacji zgromadzonych w centralnej ewidencji pojazdów jest minister właściwy do spraw wewnętrznych.
 
Mimo wszystko w przypadkach, gdy administrator nie jest wprost wskazany przez odrębne ustawy, mogą rodzić się pewne problemy…
Rzeczywiście, dlatego w momencie rejestracji zbioru danych u Generalnego Inspektora Ochrony Danych Osobowych ten, kto zgłasza zbiór, wskazuje na administratora danych. Natomiast my w czasie postępowania rejestracyjnego możemy jednak stwierdzić, że jest nim kto inny lub wskazać więcej niż jednego administratora.
 
Czy firma prywatna, świadcząca usługi w zakresie np. odbierania odpadów od mieszkańców, też jest zobowiązana do ochrony danych?
Oczywiście, że tak. Każdy, kto przetwarza dane osobowe dla celów zarobkowych, ma obowiązek ochrony danych osobowych, w tym zarejestrowania bazy danych i należytego jej zabezpieczenia. Ponosi też odpowiedzialność za naruszenie przepisów ustawy o ochronie danych osobowych.
 
Jakie stosować procedury, gdy informacje osobowe zostaną znalezione na składowisku odpadów?
Przede wszystkim jego eksploatator powinien powiadomić jednostkę policji lub straży gminnej, tak by mogły one jak najszybciej zabezpieczyć te dane. Później policja wszczyna postępowanie i stara się ustalić, kto jest odpowiedzialny za nienależyte zabezpieczenie zbioru danych osobowych. Takie zgłoszenia bywają kierowane również do nas, ale właściwsze w tych sprawach są lokalne jednostki policji, które mogą szybko zabezpieczyć wyrzucone dokumenty czy dyskietki z danymi.
 
Jak wygląda kwestia ochrony danych osobowych w samorządach?
Samorządy potrzebują jeszcze dokształcania z zakresu należytego postępowania z danymi osobowymi. Jednak na plus można im zapisać to, że jako jedne z nielicznych środowisk dostrzegają potrzebę podnoszenia swojej świadomości w tym względzie, i zgłaszają się do nas z prośbą o poprowadzenie szkoleń. Zainteresowanie nimi jest naprawdę bardzo duże.
 
Czy ochrona danych osobowych wiąże się z dużymi kosztami?
Ustawa mówi, że w celu zabezpieczenia danych osobowych należy stosować odpowiednie środki techniczne i organizacyjne. Jeśli chodzi o zabezpieczenia techniczne, to rzeczywiście niektóre samorządy mogą mieć z tym finansowy problem. Ale jak pokazuje praktyka, na ogół najsłabszym ogniwem systemu zabezpieczenia są ludzie, którzy przetwarzają dane osobowe. To, z jednej strony, poważny problem, ale z drugiej najprościej go wyeliminować, m.in. poprzez kursy doszkalające.
 
Jakie zatem stosować narzędzia ochrony danych?
Przede wszystkim skuteczne. Czasem wystarczy przesunąć monitor, na którym wyświetlane są dane osobowe, tak, by osoby nieuprawnione, np. klienci, nie mieli do nich wglądu. Środki bardziej skomplikowane to np. systemy informatyczne, zabezpieczające zbiory danych w formie elektronicznej. Są to także różnego rodzaju kody dostępu, hasła, które powinny mieć odpowiednią liczbę znaków i być odpowiednio często zmieniane. To również identyfikatory i pełnomocnictwa dla osób, które przetwarzają dane osobowe. Bardzo trudno podać jedno, najlepsze rozwiązanie, które wszędzie będzie można zastosować.
 
Kto ponosi odpowiedzialność w sytuacji, kiedy pewien zbiór informacji jest przekazywany firmie, która niszczy dokumenty?
Na administratorze danych osobowych ciąży obowiązek również należytego ich zniszczenia. Jeżeli chodzi o formę papierową, jest to jednoznaczne, natomiast problemem jest niszczenie twardych dysków. Bo czy można skutecznie wymazać z twardego dysku zapisane tam informacje? Ponoć nie. A jeżeli chodzi o ochronę danych osobowych, mówi się o skutecznym zniszczeniu. W związku z powyższym tutaj rodzi się problem. Czy można np. przekazać do sprzedaży takie komputery, na których skasowane zostały uprzednio przechowywane dane osobowe? Oczywiście, jeżeli administrator uwiarygodni, że zrobił wszystko, co było możliwe, by zabezpieczyć dane, to odpowiedzialność może być zminimalizowana, ale przyjmuje się, że będzie ona leżała zawsze po jego stronie.
 
Czy organizujecie Państwo jakieś szkolenia albo inne formy pomocy dla przedstawicieli samorządów i firm działających w branży komunalnej, tak by ułatwić im odnalezienie się w tej tak skomplikowanej materii?
Jakiś czas temu zaprosiliśmy samorządy, by zgłaszały swoje potrzeby szkoleniowe. Ich odzew przerósł nasze oczekiwania. Mamy nawet pewien problem, by szybko sprostać temu zainteresowaniu. Dlatego wszystkich zainteresowanych zapraszam na naszą stronę internetową oraz do korzystania z platformy edukacyjnej eduGIODO.
Za pewną formę wsparcia można też uznać kontrole. Mają one pozytywną formułę. Przed rozpoczęciem kontroli informujemy o zamiarze jej przeprowadzenia i przewidywanym zakresie. Nie chodzi nam bowiem o to, żeby łapać przestępców, tylko żeby pomagać. Więc jeżeli ktoś przed naszą kontrolą dokona należytych zmian, to przyjmujemy, że odnieśliśmy sukces. Nie jesteśmy brygadą specjalną. Po prostu mamy krzewić pewną wiedzę.
Jednym z moich celów jest bowiem budowanie świadomości i upowszechnianie wiedzy z zakresu ochrony danych osobowych. Mogę nawet stwierdzić, że odniosłem na tym polu sukces. Podkreślić należy, że jeśli chodzi o świadomość społeczeństwa w zakresie ochrony danych osobowych, to wg badań europejskich jeszcze w 2006 r. byliśmy tuż za krajami „starej” Unii. A w ciągu dwóch lat przesunęliśmy się na pierwsze miejsce wśród krajów UE – jest to awans o 18 pozycji.
 
Współpraca: Barbara Kostrzewska