Nowelizacja UODO z 2004 r.- Nasz komentarz

Documents with binder clips close up

Ustawa o ochronie danych osobowych, zwana dalej ustawą, uchwalona została 29 sierpnia 1997 r. (t.j. Dz. U. z 2002 r., Nr 101, poz. 926), była kilkakrotnie nowelizowana. Jedna z bardziej znaczących nowelizacji miała miejsce w 2001 roku (Dz.U. Nr 100, poz. 1087). Miała ona na celu przede wszystkim zmianę definicji „danych osobowych”. Oprócz tego wprowadzony został mechanizm kontrolujący tzw. rozstrzygnięcia automatyczne. Jednak, jak czytamy w uzasadnieniu do projektu nowelizacji z 2004 r. , „nie doprowadziło to do pełnego dostosowania ustawy do standardów Dyrektywy 95/46 WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych.” Był to jeden z głównych powodów uchwalenia nowelizacji w 2004 r. Niejako „przy okazji” wprowadzono wiele rozwiązań, które są efektem doświadczeń powstałych w trakcie stosowania ustawy. Należy pamiętać, że nowelizacja to nie tylko ustawa, lecz także przepisy wykonawcze. O ile zmiany w innych rozporządzeniach mają charakter głównie porządkowy, o tyle Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) jest zupełnie nowym aktem prawnym.

Część administratorów wprowadza zmiany na bieżąco są też tacy, którzy poprzestali na zarejestrowaniu przed kilkoma laty zbiorów danych. Jak pokazują nasze doświadczenia, wcale nie tak rzadko można spotkać administratorów danych, którzy nie wprowadzili jeszcze jakichkolwiek rozwiązań w zakresie ochrony danych osobowych[ ]. Wynika to czasem z braku środków na ten cel, najczęściej zaś niestety ze zwykłej ignorancji. Z drugiej strony, życie codzienne przynosi niezliczone przykłady łamania podstawowych zasad ochrony danych osobowych. Dotyczy to wszystkich, zarówno administratorów niewielkich zbiorów danych, jak i instytucji dysponujących ogromną ilością informacji. Co gorsza, nieprawidłowości dotyczą coraz częściej tych instytucji, które mają być przykładem dla innych[ ]. Jednak jako pozytywny efekt działania ustawy trzeba odnotować fakt, że przypadków takich jest coraz mniej, a każdy z nich spotyka się ze zdecydowaną reakcją odpowiednich organów[ ]. Wzrasta także świadomość w tym zakresie.

Praktyczne stosowanie Ustawy nadal nie jest łatwe. Dużą pomocą w tej mierze była książka „Ochrona danych osobowych w praktyce – pytania i odpowiedzi”[ ], gdzie główny nacisk położono właśnie na praktyczne aspekty stosowania ustawy. Po jej nowelizacji, a w szczególności zmianie rozporządzeń stajemy przed wyzwaniem, jakim jest sporządzenie nowej dokumentacji. Zmieniony został także formularz zgłoszeniowy, co oznacza konieczność jego aktualizacji. Wszystko to jest doskonałym pretekstem, by każdy z administratorów przyjrzał się bliżej zagadnieniu ochrony danych osobowych. Tym bardziej, że nowelizacja dokonała dużych zmian w zakresie zasad odpowiedzialności administratorów danych i administratorów bezpieczeństwa informacji.

Przygotowane przez nas omówienie zmian przeprowadzi administratorów przez zawiłości przepisów i labirynt wymogów technicznych.

Nowelizacja ustawy

I

Dotychczasowy przepis Przepis obowiązujący
Art. 2 ust. 2

Ustawę stosuje się do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych

Art. 2 ust. 2

Ustawę stosuje się do przetwarzania danych osobowych:

1.     w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,

2.     w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych

Od dawna toczyła się dyskusja na temat ustalenia zakresu przedmiotowego ustawy. Za jeden z jej głównych mankamentów uważano objęcie ochroną w zasadzie jedynie danych przetwarzanych w zbiorach danych. Poza ochroną pozostawały pojedyncze informacje przetwarzane w np. w systemie informatycznym, w tym również informacje zgromadzone w tzw. zestawach danych, ale nie mających postaci na tyle zorganizowanej, by można je było określić mianem zbiorów. Taki stan był szczególnie niebezpieczny właśnie w odniesieniu do przetwarzania danych w systemach informatycznych[ ], gdzie proces ten jest szczególnie szybki. Poza tym niezwykle trudne było i jest jednoznaczne wskazanie granicy pomiędzy zestawem danych a zbiorem[ ]. Powodowało to, wiele problemów. Obecnie ustawodawca jednoznacznie rozstrzygnął, że w przypadku przetwarzania danych w systemie informatycznym ochronie podlega także przetwarzanie danych poza zbiorem, a więc przetwarzanie informacji pojedynczej lub umieszczonej w zestawie danych.

II

Dotychczasowy przepis Przepis obowiązujący
Art. 3

1. Ustawę stosuje się do organów państwowych oraz samorządu terytorialnego, a także do innych państwowych i komunalnych jednostek organizacyjnych oraz podmiotów niepaństwowych realizujących zadania publiczne.

2. Ustawę stosuje się również do osób fizycznych i prawnych oraz jednostek organizacyjnych nie mających osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

3. Ustawę stosuje się do podmiotów określonych w ust. 1 i 2, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, nie mają siedziby albo miejsca zamieszkania na terytorium Rzeczypospolitej Polskiej, a przetwarzają dane przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

4. Ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych.

Art. 3

1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.

2. Ustawę stosuje się również do:

1) podmiotów niepublicznych realizujących zadania publiczne,

2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

Art. 3a

Ustawy nie stosuje się do:

1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,

2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.

2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz.U Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą;

Art. 3 określa zakres podmiotowy ustawy, dodany art. 3a dotyczy wyłączeń (art. 3a ust. 1), lub ograniczeń w jej stosowaniu (art. 3a ust. 2). Dzięki temu następuje ujednolicenie systemu ochrony danych osobowych na obszarze państw członków Europejskiego Obszaru Gospodarczego [ ]. Zapobiega to sytuacji, w której niektórzy administratorzy objęci są podwójnym reżimem prawnym, tj. regulacjami prawnymi obowiązującymi na terytorium państwa pochodzenia, jak i zarówno na terenie Polski (miejsce, gdzie przetwarza się dane przy pomocy środków technicznych tam znajdujących się). Brzmienie znowelizowanych przepisów wyłącza stosowanie ustawy do państw-członków Europejskiego Obszaru Gospodarczego, ograniczając się do podmiotów mających siedzibę lub miejsce zamieszkania na terytorium Polski albo w państwie trzecim [8]. Ponadto w odniesieniu do państw trzecich ustawa przewiduje jeden wyjątek, a mianowicie ustawy nie stosuje się, jeśli środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej służą wyłącznie do przekazywania danych.

Kolejną niezmiernie istotną zmianą jest wprowadzenie tzw. klauzuli prasowej (art. 3a ust.2), której od dawna domagała się Komisja Europejska. Jest to wypełnienie zobowiązania nałożonego przez art. 9 Dyrektywy. Pamiętać należy, że nie jest to wyłączenie bezwzględne, gdyż zgodnie z przyjętą regulacją klauzuli tej nie stosuje się, jeśli „wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą”. Pojawia się tu pojęcie nieostre „istotne naruszenie”, które jak można przypuszczać zostanie wypełnione treścią poprzez orzecznictwo w tym zakresie. Cały ten przepis należy jednak ocenić pozytywnie, a po wprowadzeniu Ustawy o dostępie do informacji publicznej jest to kolejny przepis normalizujący relacje pomiędzy prawem do prywatności a prawem do informacji.

III

Dotychczasowy przepis Przepis obowiązujący
Art. 7 pkt 4

administratorze danych – rozumie się przez to organ, instytucję, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ust. 1 i 2, decydujące o celach i środkach przetwarzania danych osobowych,

Art. 7 pkt 4

administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3,decydujące o celach i środkach przetwarzania danych osobowych,

Art. 7 pkt 6

odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:

a) osoby, której dane dotyczą,

b) osoby upoważnionej do przetwarzania danych,

c) przedstawiciela, o którym mowa w art. 31a,

d) podmiotu, o którym mowa w art. 31,

e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem

Art. 7 pkt 7

państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego

W noweli do ustawy wprowadzono definicje zbieżne z Dyrektywą. Odbiorca danych jest rozumiany identycznie jak w rozumieniu art. 2g Dyrektywy. Warto w tym miejscu zwrócić uwagę na jeden bardzo istotny szczegół. Otóż definicja jednoznacznie rozdzieliła pojęcia „odbiorcy danych” od „podmiotu któremu powierzono dane, na podstawie art. 31 ustawy” [9]. Do tej pory często błędnie utożsamiano „powierzenie” z „udostępnieniem”. Są to jednak dwie zupełnie różne instytucje prawne. Powierzenie to zlecenie wykonania pewnej czynności w ramach przetwarzania danych, udostępnienie zaś to przekazanie danych, skutkiem którego podmiot, któremu dane są przekazane, decyduje o celach i środkach, a więc staje się ich administratorem (klasycznym przykładem udostępnienia jest przekazywanie danych do ZUS). Nowelizacja jednoznacznie rozstrzygnęła ten problem, wyodrębniając wyraźnie te dwie instytucje.

Zdefiniowanie pojęcia „kraju trzeciego” to konsekwencja przyjęcia zasady swobodnego przepływu informacji pomiędzy krajami członkowskimi Unii Europejskiej. Przepływ danych do krajów członkowskich traktowany jest tak jak przetwarzanie na terytorium Polski. Przystępując do Unii Europejskiej, staliśmy się członkiem Europejskiego Obszaru Gospodarczego. Tym samym swobodny przepływ danych obejmie także te kraje.

V

Dotychczasowy przepis Przepis obowiązujący
Art. 12a

Art. 12a

1. Na wniosek Generalnego Inspektora Marszałek Sejmu może powołać zastępcę Generalnego Inspektora. Odwołanie zastępcy Generalnego Inspektora następuje w tym samym trybie.

2. Generalny Inspektor określa zakres zadań swojego zastępcy.

3. Zastępca Generalnego Inspektora powinien spełniać wymogi określone w art. 8 ust. 3 pkt 1, 2 i 4 oraz posiadać wyższe wykształcenie i odpowiednie doświadczenie zawodowe

Wprowadzona zmiana jest wzorowana na regulacji dotyczącej Rzecznika Praw Obywatelskich. W pierwotnej propozycji zmian, złożonej przez Generalnego Inspektora, zakładano powołanie dwóch zastępców. W toku prac nad ustawą (poprawka Senatu) w drodze kompromisu ustalono, że powołany zostanie jeden zastępca. W tej chwili funkcję zastępcy pełni Dyrektor Biura i jak się wydaje, biorąc pod uwagę zakres zadań oraz aktywność Generalnego Inspektora, jest to zupełnie wystarczające rozwiązanie. W uzasadnieniu do projektu zmiany czytamy, że „z jednej strony znacząco wzrasta ilość spraw załatwianych przez Generalnego Inspektora, z drugiej zaś – niezbędny jest udział przedstawiciela niezależnego organu ochrony danych osobowych odpowiednio wysokiej rangi w wielu przedsięwzięciach międzynarodowych”. Jednak jak się wydaje liczba oraz ranga spraw prowadzonych przez Generalnego Inspektora oraz Rzecznika Praw Obywatelskich jest nieporównywalna. Biorąc pod uwagę sytuację ekonomiczną kraju oraz to, że ilość zatrudnionych urzędników (szczególnie najwyższych rangą) nie ma bezpośredniego przełożenia na jakość pracy urzędu, decyzja Senatu wydaje się słuszna. Można nawet zastanawiać się, czy w ogóle potrzebne jest stanowisko zastępcy Generalnego Inspektora.

V

Dotychczasowy przepis Przepis obowiązujący
Art. 13 ust. 2

Generalny Inspektor oraz pracownicy Biura, zwani dalej inspektorami, są obowiązani zapewnić ochronę wiadomościom stanowiącym tajemnicę państwową lub służbową, z którymi się zetknęli w toku kontroli przetwarzania danych.

Art. 13 ust. 2

Uchylony

Wykreślenie art. 13 ust. 2 jest efektem wątpliwości, jakie narodziły się w trakcie prac nad ustawą. Pierwotnie proponowano zmianę przepisu polegająca na dodaniu do katalogu osób tam wymienionych także zastępców Generalnego Inspektora. Jednak uznano, że do GIODO, jako organu ochrony prawa, stosuje się przepisy ustawy o ochronie informacji niejawnych (art. 8 ust. 1 ustawy w związku z art. 1 ust. 2 pkt. 1 lit. f ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95, z późn. zm.). Pracownicy Biura są natomiast pracownikami urzędu państwowego. Jeżeli w związku z czynnościami służbowymi albo wykonywaniem prac zleconych zetkną się oni z informacją, której nieuprawnione ujawnienie mogłoby narazić na szkodę interes państwa, interes publiczny lub prawnie chroniony interes obywateli albo jednostki organizacyjnej, to mamy do czynienia z ustawowym obowiązkiem ochrony tajemnicy służbowej. Powstaje więc, niezależny od ustawy o ochronie danych osobowych, obowiązek ochrony informacji objętych tajemnicą. W konsekwencji przepis art. 13 ust. 2, uznano za superfluum i usunięto całkowicie z tekstu ustawy.

VI

Dotychczasowy przepis Przepis obowiązujący
Art. 14

W celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor lub upoważnieni przez niego inspektorzy mają w szczególności prawo:

1) wstępu, w godzinach od 6 do 22, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,

2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,

3) żądać okazania dokumentów i wszelkich danych mających bezpośredni związek z problematyką kontroli,

4) żądać udostępnienia do kontroli urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,

5) zlecać sporządzanie ekspertyz i opinii.

Art. 14

W celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej „inspektorami”, mają prawo:

1) wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,

2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,

3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,

4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,

5) zlecać sporządzanie ekspertyz i opinii.

Powyższe zmiany dostosowują terminologię do aktualnego stanu prawnego („zastępca Generalnego Inspektora”, „pracownicy biura”). Wprowadzone przepisy umożliwiają także kontrolę pomieszczeń, gdzie przetwarzane są dane zgromadzone w formie pojedynczych informacji (nie stanowią zbiorów danych). Jak pisaliśmy, ustawa objęła swoim zakresem także przetwarzanie danych nie znajdujących się w zbiorach. Może mieć to miejsce wtedy, gdy odbywa się to z wykorzystaniem systemu informatycznego. Najważniejszą zmianą wprowadzona w art. 14 jest przyznanie prawa wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii. Zmiana podyktowana została dotychczasową praktyką – kontrolerzy Biura GIODO niejednokrotnie spotykali się z odmową wglądu do dokumentów i sporządzania kopii. Administratorzy powoływali się na brzmienie przepisów ustawy, gdzie mówiło się jedynie o udostępnianiu, a nie prawie wglądu i sporządzania kopii. Utrudniało to w sposób oczywisty przeprowadzenie kontroli i zebranie dowodów.

VII

Dotychczasowy przepis Przepis obowiązujący
Art. 15 ust. 1

Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności umożliwić dokonanie czynności, o których mowa w art. 14 pkt 1-4.

Art. 15 ust. 1

Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności umożliwić przeprowadzenie czynności oraz spełnić żądania, o których mowa w art. 14 pkt 1-4.

Wyraźne wzmocnienie pozycji organu kontrolnego, jakim jest Generalny Inspektor działający za pośrednictwem swoich Inspektorów. Obowiązek współdziałania ustalony w art. 15 mówi nie tylko o umożliwieniu przeprowadzenia kontroli, ale także spełnieniu żądań. Podłoże tej regulacji jest identyczne jak w przepisie omawianym wyżej. Z drugiej strony, pociągnie to za sobą dodatkowe koszty dla podmiotów kontrolowanych, które będą zobowiązane do sporządzania na swój koszt kopii posiadanych przez siebie dokumentów na potrzeby kontroli.

VIII

Dotychczasowy przepis Przepis obowiązujący
Art. 18 ust. 1

W razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a w szczególności:

1) usunięcie uchybień,

2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

4) wstrzymanie przekazywania danych osobowych za granicę,

5) zabezpieczenie danych lub przekazanie ich innym podmiotom,

6) usunięcie danych osobowych.

Art. 18 ust. 1

przypadku naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

1) usunięcie uchybień,

2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,

5) zabezpieczenie danych lub przekazanie ich innym podmiotom,

6) usunięcie danych osobowych

Zmiany głównie o charakterze redakcyjnym, jednak jedna z nich jest niezmiernie istotna. Z poprzedniej treści przepisu wykreślono słowa „administratorowi danych”. Umożliwia to Generalnemu Inspektorowi wydawanie na podstawie art. 18 ustawy decyzji nie tylko w odniesieniu do administratorów danych, ale także do innych podmiotów, które są w faktycznym posiadaniu danych osobowych. Jest to zatem kolejny przepis wpisujący się w ogólną tendencję wzmocnienia pozycji administratora danych i Generalnego Inspektora w stosunku do podmiotów, którym powierzono dane. Dotychczasowa praktyka wykazała, ze w wielu przypadkach administratorzy danych nie byli w stanie zapewnić odpowiedniego bezpieczeństwa danym właśnie na tym etapie przetwarzania, a Generalny Inspektor nie posiadał jakichkolwiek uprawnień do wydawania decyzji skierowanych do innych podmiotów niż administrator. Powodowało to pewną ułomność w systemie ochrony danych osobowych. Obecnie w proces kontroli może włączyć się Generalny Inspektor, który może wydać decyzję administracyjną skierowaną do wszystkich podmiotów przetwarzających dane.

Dotychczasowy stan prawny powodował pewien rozdźwięk pomiędzy koncepcją administracyjno-prawnej i karnej ochrony danych. Najbardziej znaną sprawą z tego zakresu jest decyzja Generalnego Inspektora, utrzymana przez NSA [10], w której nie uznaje on za administratora danych podmiotu, który w sposób nielegalny nabył bazę danych. Faktem jest, że w dotychczasowym stanie prawnym Generalny Inspektor nie mógł wydawać decyzji skierowanych do innych podmiotów niż administrator danych. Błędna wykładnia polegała tu jednak na tym, że w świetle ustawy o ochronie danych podmiot ten spełniał wszelkie kryteria decydujące o statusie administratora (posiadając dane osobowe, decydował o celach i środkach przetwarzania danych). Tym samym bezprzedmiotowe były rozważania na temat możliwości wydania decyzji, gdyż de facto był to administrator danych. Zupełnie inaczej sprawa przedstawia się na płaszczyźnie karno-prawnej, gdzie dla pociągnięcia do odpowiedzialności karnej wystarczy stwierdzenie popełnienia czynu (co miało miejsce), jego bezprawności i winy (w tym wypadku umyślnej). Nie ma tu znaczenia status osoby popełniającej przestępstwo, przepisy ustawy stanowią, że przestępstwo popełnia ten, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony (art. 49 ustawy).

Patrz komentarz pkt XV

{przerwa}

IX

Dotychczasowy przepis Przepis obowiązujący
Art. 22a Art. 22a

Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia, wzór upoważnienia i legitymacji służbowej, o których mowa w art. 14 pkt 1, uwzględniając konieczność imiennego wskazania inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych.

Delegacja ustawowa do wydania przez Ministra Spraw Wewnętrznych i Administracji rozporządzenia wykonawczego. Warto w tym miejscu przypomnieć, że zgodnie z ustawą kontroli mogą dokonywać wyłącznie Inspektorzy posiadający ważną legitymację oraz imienne upoważnienie do kontroli danego podmiotu wydane przez Generalnego Inspektora.

X

Dotychczasowy przepis Przepis obowiązujący
Art. 23 ust. 1

Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

2) zezwalają na to przepisy prawa,

3) jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane – a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.

Art. 23 ust. 1

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

4)jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Zmiany z jednej strony podyktowane są koniecznością dostosowania przepisów do standardów europejskich, z drugiej strony wynikają z dotychczasowych doświadczeń. Należy pamiętać, że zasadą jest zakaz przetwarzania danych, a wyjątki od tego zakazu określone są w art. 23 oraz 27 ustawy. Jako wyjątki podlegają ścisłej interpretacji. Należy przy tym podkreślić, że przetwarzanie bez podstawy prawnej naraża administratora danych na odpowiedzialność karną. Dlatego też dokonanie zmian w art. 23 ma tak duże znaczenie dla całego procesu przetwarzania danych.

Obecne brzmienie art. 23 ust. pkt 2 jest bliższe praktycznym potrzebom przetwarzania danych, które wynikają z obowiązku mającego swoje źródło w przepisie prawa. Odpowiada to też brzmieniu art. 7 c Dyrektywy („przetwarzanie danych jest konieczne dla zgodności z zobowiązaniem prawnym, któremu administrator danych podlega”). Brzmienie ust. 3 dostosowuje treść ustawy do art. 7b Dyrektywy. Usunięcie z dotychczasowej treści ust. 5 słów „o których mowa w art. 3 ust. 2”, powoduje, że przepis ten stosuje się do wszystkich administratorów danych (a więc nie tylko ze sfery prywatnej, jak to miało miejsce do tej pory). Jest to bardzo elastyczna podstawa prawna i jak należy przypuszczać znaczenie tego przepisu będzie coraz większe.

XI

Dotychczasowy przepis Przepis obowiązujący
Art. 24 ust. 1

W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,

2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

3) prawie wglądu do swoich danych oraz ich poprawiania,

4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Art. 24 ust. 1

W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,

2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

3) prawie dostępu do treści swoich danych oraz ich poprawiania,

4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Jak słusznie zwrócono uwagę w uzasadnieniu do zmian, istnieje istotna różnica pomiędzy prawem „wglądu do danych” a „prawem dostępu do treści danych”. Prawo do kontroli przetwarzania danych nie może oznaczać obowiązku udostępnienia nośników danych. Administrator ma obowiązek poinformowania o treści danych, nie ma natomiast obowiązku każdorazowego udostępnia do wglądu dokumentów zawierających dane. Dotyczy to dokumentów papierowych, jak i elektronicznych. Wgląd do systemu informatycznego mógłby być zagrożeniem nie tylko dla ochrony znajdujących się tam danych, ale także innych informacji będących w dyspozycji administratora (np. tajemnic przedsiębiorcy). Jest to ponadto zgodne z przepisami Dyrektywy (art. 10 pkt c, art. 11pkt c i art. 12), która w tej mierze nie jest tak restrykcyjna jak dotychczasowe przepisy ustawy i mówi wyraźnie o dostępie do danych („the rigt of access to data”) a nie prawie wglądu.

XII

Dotychczasowy przepis Przepis obowiązujący
 Art. 25

1. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,

2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,

3) źródle danych,

4) prawie wglądu do swoich danych oraz ich poprawiania,

5) o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.

2. Przepisu ust. 1 nie stosuje się, jeżeli:

1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,

2) dane przewidziane do zebrania są ogólnie dostępne,

3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,

4) administrator danych nie przetwarza dalej zebranych danych po ich jednorazowym wykorzystaniu,

5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1, na podstawie przepisów prawa,

6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

Art. 25

1. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,

2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,

3) źródle danych,

4) prawie dostępu do treści swoich danych oraz ich poprawiania,

5) o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.

2. Przepisu ust. 1 nie stosuje się, jeżeli:

1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,

2) uchylony

3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,

4) uchylony

5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa

6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

Zmiana art. 25 ust. 1 pkt 4 – patrz uwagi do art. 24 ust. 1 pkt 3.

Dyrektywa nie przewiduje zwolnień z obowiązku informacyjnego, nawet w sytuacji, gdy zebrane dane są powszechnie dostępne oraz zostały wykorzystane jednorazowo. Często dochodziło na tym tle do sporów, a administratorzy próbowali „omijać” obowiązek informacyjny, powołując się na uchylone przepisy. Dlatego oprócz uzasadnienia opartego na ustawodawstwie europejskim, zmiany te gorąco popierał Generalny Inspektor.

Zmiana art. 25 ust. 2 pkt 5 jest bezpośrednim następstwem zmiany treści art. 3 ustawy. Treść dotychczasowego art. 3 ust. 1 odpowiada treści art. 3 ust. 1 oraz 2.

XIII

Dotychczasowy przepis Przepis obowiązujący
Art. 29 ust. 1

W przypadku udostępniania danych osobowych w celach innych niż włączenie do zbioru, administrator danych, o którym mowa w art. 3 ust. 1, udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.

Art. 29 ust. 1

W przypadku udostępniania danych osobowych w celach innych niż włączenie do zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa

Ustawodawca uznał, że nie ma żadnych podstaw do różnicowania administratorów danych. Wykreślając słowa „o którym mowa w art. 3 ust. 1” objął zakresem stosowania wniosku, o którym mowa w art. 29 ust. 1, wszystkich administratorów, bez względu na ich status. Obowiązek udostępniania danych w celach innych niż włączenie do zbioru, czyli np. do systemu informatycznego, w którym przetwarza się dane osobowe poza zbiorem danych osobowych (i tylko pod takim warunkiem), obejmuje od tej chwili wszystkich administratorów, a nie tak jak do tej pory tylko administratorów ze sfery publicznej. Ten sposób udostępnienia dotyczy osób lub podmiotów uprawnionych na mocy przepisów prawa. Nie ogranicza się tutaj jednak, inaczej niż w ust. 2, zakresu żądanych danych do tzw. danych zwykłych. Budzi to pewne wątpliwości podmiotów ze sfery prywatnej, które obawiają się napływu wniosków o udostępnienie danych dotyczących konkretnych osób, odnoszących się np. do stanu zdrowia.

Do podmiotów ze sfery prywatnej stosuje się także regulację przewidzianą w ust. 2. A więc można wnosić wnioski o udostępnienie danych w celach innych niż włączenie do zbioru, jeśli wystąpiła jakaś szczególna umotywowana sytuacja, a podstawy nie mogą stanowić przepisy prawa. Nie uległa zmianie ogólna zasada, że udostępnianie na wniosek, o którym mowa w ust. 2, nie dotyczy danych wrażliwych określonych w art. 27 ust. 1.

XIV

Dotychczasowy przepis Przepis obowiązujący
Art. 30 pkt 2

Administrator danych odmawia udostępnienia danych osobowych ze zbioru danych podmiotom i osobom innym niż wymienione w art. 29 ust. 1, jeżeli spowodowałoby to:

2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,

Art. 30 pkt 2

Administrator danych odmawia udostępnienia danych osobowych ze zbioru danych podmiotom i osobom innym niż wymienione w art. 29 ust. 1, jeżeli spowodowałoby to:

2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,

Wykreślenia z treści art. 30 pkt 2 słowa „mienia” dostosowuje brzmienie tego przepisu do treści art. 13 ust. 1 Dyrektywy.

XV

Dotychczasowy przepis Przepis obowiązujący
 

1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy awartej na piśmie, przetwarzanie danych.

2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych do podjęcia środków zabezpieczających zbiór danych, o których mowa w art. 36-39.

4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Art. 31

1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.

Podmiot, któremu powierzone są dane, często okazuje się najsłabszym ogniwem w systemie ochrony. Administrator, odpowiadając za całość procesu przetwarzania, często nie miał większego wpływu na zleceniobiorcę, który wykonywał takie przetwarzanie danych. Zdarzało się także, że umowy powierzenia, regulujące obowiązki podmiotów, którym powierzono dane, nie były sporządzane w ogóle, lub w ich treści nie było odpowiednich zapisów. Szczególnie dużo takich uchybień wykazywały kontrole przeprowadzane przez Inspektorów GIODO. Dlatego też ustawodawca postanowił dokonać zmian w treści art. 31. I tak, od momentu wejścia w życie nowelizacji, na podmiotach, którym powierzono przetwarzanie danych, spoczywa ustawowy obowiązek nie tylko podjęcia środków zabezpieczających, o których mowa w art. 36-39, ale także spełnienia wymagań określonych w przepisach, o których mowa w art. 39a. Art. 39a stanowi delegację ustawową do wydania rozporządzenia regulującego kwestie związane z dokumentacją przetwarzania danych oraz określenia warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych. Podmioty określone w art. 31 ustawy muszą więc, w takim samym stopniu jak administrator danych, spełnić wszystkie wymogi dotyczące przetwarzania danych oraz co bardzo ważne, ponoszą odpowiedzialność za swoje działania jak administrator danych. Ponadto, na podstawie art. 18 ust. 1 w związku z art. 31 ust. 5, Generalny Inspektor ma prawa kontrolować te podmioty oraz wydawać skierowane do nich decyzje administracyjne.

Patrz komentarz pkt VIII.

XVI

Dotychczasowy przepis Przepis obowiązujący
Art. 31a

Art. 31a

W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim, administrator danych jest obowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej

W odniesieniu do Państw członków Europejskiego Obszaru Gospodarczego obowiązuje zasada swobody przepływu danych, mająca swoje oparcie w jednolitym standardzie ochrony.

Inaczej sytuacja przedstawia się w przypadku państw trzecich, tutaj ustawy nie stosuje się jedynie, gdy środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej służą wyłącznie do przekazywania danych. Obowiązek wyznaczenia swojego przedstawiciela w Polsce przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim ma ułatwić egzekwowanie decyzji Generalnego Inspektora. Zwiększa to bezpieczeństwo danych osobowych, za przetwarzanie których odpowiada konkretny administrator, a w jego imieniu działający w Polsce przedstawiciel.

Patrz uwagi pkt II

XVII

Dotychczasowy przepis Przepis obowiązujący
Art. 32 ust. 1

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:

1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska,

2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,

3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,

4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,

5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,

6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane,

7) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację,

8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych,

9) wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1.

Art. 32 ust. 1

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:

1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska,

2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,

3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,

4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej, uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,

a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2,

6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane,

7) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację,

8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych,

9) wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1.

Zmiana zgodna z brzmieniem art. 12a Dyrektywy, który szczegółowo reguluje uprawnienia osoby, której dane dotyczą. Rozstrzygnięcie, o którym mowa w art. 26a ust 2, dotyczy tzw. automatyzmu decyzji, tj. sytuacji, w których ostateczne rozstrzygnięcie indywidualnej sprawy jest wyłącznie wynikiem operacji na danych, przeprowadzonej w systemie informatycznym, przy czym następuje to bez udziału „czynnika ludzkiego”. Takie rozstrzygniecie jest niedopuszczalne, chyba że podjęte zostało podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą. Prawo do informacji o takiej wyjątkowej sytuacji jest treścią znowelizowanego art. 32 ust. 1 pkt 5a

Cała regulacja zawarta w art. 26a ustawy jest szczególna i przypomina trochę zapobieganie nadmiernej „władzy systemów informatycznych”. W praktyce często jedynym sposobem na działanie zgodne z tym przepisem jest wprowadzenie do procedur punktu, w którym określa się, że ostateczna weryfikacja decyzji (potwierdzenie bądź odrzucenie) należy do konkretnej odpowiedzialnej za to osoby.

Na koniec zwracamy uwagę na jeszcze jeden bardzo istotny szczegół. Otóż cała regulacja dotyczy praw osoby, której dane przetwarzane są w zbiorze. Ponieważ zmienił się zakres ustawy i stosuje się ją także do przetwarzania danych, które nie tworzą zbiorów, a przetwarzane są w systemach informatycznych, to oznacza de facto, że osobom, których dane przetwarzane są w ten sposób, prawa wymienione w art. 32 nie przysługują. Wydaje się, że jest to niezamierzony przez ustawodawcę efekt zmian.

XVIII

Dotychczasowy przepis Przepis obowiązujący
Art. 33

1. Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach, a zwłaszcza wskazać w formie zrozumiałej odnośnie danych osobowych jej dotyczących:

1) jakie dane osobowe zawiera zbiór,

2) w jaki sposób zebrano dane,

3) w jakim celu i zakresie dane są przetwarzane,

4) w jakim zakresie oraz komu dane zostały udostępnione.

2. Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie.

Art. 33

1. Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, a w szczególności podać w formie zrozumiałej:

1) jakie dane osobowe zawiera zbiór,

2) w jaki sposób zebrano dane,

3) w jakim celu i zakresie dane są przetwarzane,

4) w jakim zakresie oraz komu dane zostały udostępnione.

2. Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie.

About Redakcja 244 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.