Portal Finanse Firma Klastry Instytucje Promocja Polityka
Artykuły analityczne
2011/04/21 15:59:49
Ochrona danych osobowych w projektach innowacyjnych

Dane osobowe jako podmiot chroniony na mocy wyspecjalizowanych przepisów prawa pojawiły się relatywnie niedawno w prawie krajowym i międzynarodowym. Obydwie kategorie przepisów określają nie tyko kategorię danych zakwalifikowanych do grupy danych osobowych, ale również precyzują obowiązki nałożone na mocy przepisów na podmioty zajmujące się gromadzeniem i przetwarzaniem pozyskanych informacji. Prawo krajowe normuje ponadto funkcjonowanie instytucji Głównego Inspektora Ochrony Danych Osobowych, jak również konsekwencje wynikające z naruszenia istniejących norm.

Wiele projektów innowacyjnych – zarówno tych z zakresu szeroko rozumianej ochrony zdrowia, jak i projektów opartych na zastosowaniu zaawansowanych technik informatycznych zawiera w sobie komponent odnoszący się do przetwarzania pozyskanych w ramach projektu danych – w tym danych osobowych. Nie sposób sobie bowiem wyobrazić na przykład szeroko zakrojonych badań przesiewowych określonej populacji np. pod kątem częstotliwości występowania określonych schorzeń dziedzicznych bez uprzedniego zebrania danych uczestników tych badań lub też uruchomienia witryny internetowej wyszukującej określone informacje dotyczące np. ofert handlowych bez wcześniejszego określenia profilu lub prozaicznej czynności polegającej na założeniu konta aktywnego użytkownika. Dzięki ufności, jaką pokładamy w rozwój techniki oraz dzięki złudnemu poczuciu anonimowości, jakie niesie korzystanie z zasobów Internetu zapominamy bardzo często tym, iż w wielu miejscach ujawniamy nasze dane, które – nie chronione – mogą stać się łatwym łupem nieuprawnionych osób lub instytucji. Jest to szczególnie istotne z punktu widzenia osób uczestniczących w programach badawczych lub też osób korzystających z usług świadczonych on-line.

Dane osobowe

Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Danymi osobistymi w świetle cytowanych przepisów będą więc w szczególności jej adres zamieszkania, numer PESEL, numer NIP, informacja o grupę krwi, przebytych chorobach czy też informacje na temat jej poglądów czy przynależności do określonej grupy społecznej, narodowej, etnicznej lub językowej. Danymi osobowymi będzie informacja na temat numeru telefonu lub telefonów, a także adres e-mail.

W tym miejscu należy podkreślić, iż ustawodawca wyodrębnił w tym zbiorze kategorię tzw. danych wrażliwych (danych sensytywnych), które ze swej natury będą podlegać szczególnej ochronie ze względu na informacje, jakich dotyczą. Danymi sensytywnymi będą te informacje, które będą wskazywać na:

  1. pochodzenie rasowe lub etniczne danej osoby,
  2. przekonania religijne, filozoficzne lub ich brak
  3. przynależność partyjną lub związkową,
  4. stan zdrowia,
  5. kod genetyczny,
  6. nałogi (uzależnienia)
  7. orientację seksualną.

Danymi wrażliwymi będą również informacje o skazaniu w trybie postępowania przed sądem, wydania orzeczeń w postępowaniu sądowym lub administracyjnym, a także wydania orzeczeń o ukaraniu mandatami i grzywnami.

Zgodnie z zastrzeżeniem zawartym w Konwencji Rady Europy nr 108 z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych dane osobowe ujawniające przynależność rasową, poglądy polityczne, przekonania religijne lub inne, dotyczące zdrowia lub życia seksualnego, karnych wyroków skazujących nie mogą być przetwarzane automatycznie, chyba że przewidywane są odpowiednie gwarancje w tym procesie.

Jednakże dostęp do niektórych z w/w kategorii danych osobowych jest szczególnie istotny w procesie prowadzenia badań naukowych np. mających na celu wyodrębnienie grup pacjentów chorych na nowotwór, którzy mogliby poddać się terapii celowanej - czyli zastosowania w ich przypadku preparatów gwarantujących optymalne leczenie choroby nowotworowej. Dotarcie do tych chorych możliwe jest jedynie w przypadku gdy poddali się oni specjalistycznym badaniom genetycznym, zaś ich wyniki badań zostały umieszczone i podlegają przetwarzaniu przez uprawnione do tego podmioty.

Kto jest do gromadzenia danych osobowych?

Polska o ochronie danych osobowych wprowadza trzy podstawowe kategorie podmiotów uprawnionych do przetwarzania danych osobowych. Są to:

  • władze publiczne, mogą pozyskiwać i przetwarzać dane osobowe obywateli w granicach funkcjonowania demokratycznego państwa prawa.

Oznacza to, że władze reprezentujące państwo mogą prowadzić ewidencję obywateli np. poprzez system PESEL czy też NIP przy jednoczesnym zastrzeżeniu, że numery porządkowe stosowane w ewidencji ludności mogą zawierać tylko oznaczenie płci, daty urodzenia, numer nadania oraz liczbę kontrolną i zabrania się nadawania ukrytych znaczeń elementom numerów porządkowych w systemach ewidencjonujących osoby fizyczne, które mogłyby wskazywać np. na pochodzenie, stan zdrowia lub inne cechy wyróżniające dana osobę.

  • inne, niż władze publiczne podmioty będące administratorami danych, czyli jednostki organizacyjne, podmioty lub osoby, decydujące o celach i środkach przetwarzania danych osobowych w zakresie prowadzonej przez siebie działalności zarobkowej, zawodowej lub statutowej

Są to na przykład przedsiębiorcy prowadzący portale społecznościowe, sklepy internetowe czy też świadczący usługi, które można zamówić za pośrednictwem formularzy on- line. Mogą być to również ośrodki badawcze prowadzące np. badania medyczne. o ochronie danych osobowych ogranicza tę kategorię do podmiotów, które znajdują się na terenie Polski, lub zbierają i przetwarzają dane na terenie Polski i, przede wszystkim, mają kompetencje decyzyjne w stosunku do pozyskiwanych i przetwarzanych danych.

chroni dane osobowe, jeśli są one uporządkowane w zestawach, w których następnie dane są udostępnianie według określonych kryteriów, „niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” lub aktach, księgach, skorowidzach, rejestrach i innych zbiorach ewidencyjnych. Ustawę stosuje się również do danych osobowych przetwarzanych w systemach informatycznych, nawet jeśli są to pojedyncze dane.

Pod rządami polskiej ustawy o ochronie danych osobowych możliwe jest wyłącznie udostępnianie danych – nie ma możliwości udostępniania ów zawierających takie dane. Wynika to nie tylko z brzmienia ustawy, ale jest również usankcjonowaną praktyką opartą m.in. na orzeczeniu Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 10 października 2005r., sygn. akt II SA/Wa 825/05, które brzmi: „W ustawie o ochronie danych osobowych brak jest przepisów obligujących administratora do udostępnienia ów zawierających dane osobowe”.

Należy pamiętać, iż zgodnie z przepisami ustawy możliwe jest jednie gromadzenie i przetwarzanie takich danych osobowych, które są niezbędne do realizacji określonego celu. Jest to szalenie istotne, ponieważ gromadzenie danych znacznie przekraczających ramy określonego celu, przechowywanie w zbiorze danych osobowych niezgodnych z celem utworzenia zbioru podlega odpowiedzialności karnej.

  • odbiorcy danych osobowych czyli podmioty, którym udostępnia się dane osobowe, a którymi nie są: osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, podmioty, którym administrator danych powierzył przetwarzanie danych na podstawie umowy.

Są to na przykład podmioty wchodzące w skład handlowego lub współpracujące z administratorem danych przy określonym projekcie. Mogą to być również przedsiębiorstwa prywatne świadczące określone usługi a rzecz ludności bazujące na analizie przekazanych im danych osobowych – np. spisu połączeń telefonicznych i smsowych w formie zestawień zapisanych elektronicznie.

W jaki sposób pozyskuje się dane osobowe

Ustawodawca nałożył na każdy podmiot pozyskujący i przetwarzający dane osobowe obowiązek uzyskania wyraźnej zgody od osoby udzielającej danych, że wyraża na to zgodę. Administrator musi również w sposób wyraźny wskazać cel i zakres gromadzonych danych. Zazwyczaj zgoda osoby fizycznej przybiera formę klauzuli, którą bądź to umieszcza się na dokumentach potwierdzanych przez osobę podpisem bądź ma ona formę odrębnego oświadczenia czy też aktywnego formularza, który musi zostać zatwierdzony przez użytkownika. Musi być ona zredagowana w sposób zrozumiały dla osoby, od której pobiera się stosowne oświadczenie.

Każdemu znana jest formuła zgody na przetwarzanie danych osobowych w procesie rekrutacyjnym: „Wyrażam zgodę na przetwarzanie danych osobowych zawartych w mojej ofercie dla potrzeb procesu rekrutacji. (Zgodnie z Ustawą o Ochronie Danych Osobowych z dnia 29 sierpnia 1997 roku. Dz. Ustaw nr 133 poz. 883".)”. Jest ona właśnie realizacją obowiązku nakładanego przez ustawodawcę na administratora danych – wskazany jest cel i zakres udzielenia danych – „potrzeby procesu rekrutacji” oraz podstawę prawną – „ o Ochronie Danych Osobowych z dnia 29 sierpnia 1997 roku. Dz. Ustaw nr 133 poz. 883”.

Osoby, od których pozyskuje się dane powinno informować się o okolicznościach w jakich niszczy się przekazane dane - np. dokumenty rekrutacyjne osób, których nie wybrano w postępowaniu rekrutacyjnym, anonimizacji danych – czyli usunięcia z ów danych osobowych w sposób trwały. Konieczne jest również wskazanie podmiotu będącego administratorem danych oraz możliwości wglądu w udzielone dane, ich zmiany lub usunięcia ze zbioru. Należy pamiętać również o tym, iż danych osobowych usuniętych ze zbioru danych nie wolno przetwarzać w kopiach zapasowych zbioru. Kopie te powinny odzwierciedlać faktyczną zawartość zbioru, a system informatyczny musi umożliwiać przetwarzanie danych zgodnie z prawem.

Ochrona danych

Ochroną objęte są informacje osobowe już na etapie ich gromadzenia, a więc kiedy zbiór jeszcze nie istnieje, ale wiadomo, że na bazie tych informacji ma być stworzony

Wykorzystywanie danych podlegających szczególnej ochronie omówionych powyżej, co do zasady, jest zabronione z mocy ustawy. Jednakże, w ograniczonym zakresie mogą być one gromadzone i przetwarzane przez podmioty do tego uprawnione na podstawie zgody osoby uprawnione do udzielenia tej zgody, np. w celu ochrony praw i wolności takiej osoby lub w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych, a także w celu prowadzenia badań naukowych i są stworzone pełne gwarancje ochrony danych osobowych.

Dane dotyczące genotypu ludzkiego są danymi podlegającymi szczególnej ochronie – jednakże istnieje możliwość pobierania próbek materiału genetycznego do badań mających na celu zastosowanie właściwej terapii anty nowotworowej lub też wyszukiwania współzależności pomiędzy budową genotypu, a zachorowalnością na określone schorzenia dziedziczne. Podmioty świadczące usługi medyczne polegające na oznaczaniu zmian genotypu predysponujących do zachorowalności na nowotwór stosują w swojej praktyce metody mające na celu zagwarantowanie maksymalnej ochrony danych udzielanych im przez pacjentów, zaś podmioty prowadzące badania kliniczne informują pacjentów ponadto ocelach, ryzyku i niedogodnościach związanych z badaniem klinicznym, warunkach, w jakich ma ono zostać przeprowadzone. Pacjenci są także poinformowani w sposób wyraźny o możliwości i konsekwencjach wycofania się z prowadzonych badań oraz o możliwości skontaktowania ich bezpośrednio z firmami farmaceutycznymi oferującymi produkowane przez siebie leki i preparaty. Zarówno sposób jak i zakres udzielania informacji o pacjentach przez ośrodki badawcze i laboratoria odbywa się zawsze na podstawie umowy regulujących szczegółowo te kwestie. Przykładem takiej współpracy opartej na podstawie stosownych umów może być funkcjonowanie READ GENE SA oraz m.in. AstraZeneca, Kudos i Pharma Net.

Inaczej z pozyskiwaniem i przetwarzaniem danych niezbędnych do przeprowadzenia radzą sobie informatycy oferujący abonentom sieci telefonii komórkowych wybranie optymalnej oferty dla siebie i minimalizacji kosztów wiążących się z połączeniami. Usługi takie świadczy Entellico, którą tworzy grupa młodych poznańskich matematyków, informatyków, ekonomistów i prawników, którzy utworzyli program pozwalający na przetworzenie danych zawartych w bilingach, w matematyczny korzystania z usług telekomunikacyjnych. Ten proces odbywa się na poziomie komputera osoby zainteresowanej usługą. Następnie matematyczny, nie mający już absolutnie żadnej z cech danych osobowych i z którego nie można odczytać żadnych informacji na temat numerów telefonów, czy choćby danych osobowych przesyłany jest do dalszych analiz zgodnie z unikalnymi algorytmami opracowanymi przez zespól Entellico. Tak intensywne prace obliczeniowe są możliwe dzięki wykorzystaniu zaawansowanej technologii, w m.in. potężnej chmury obliczeniowej. „Liczba kombinacji, poddawanych analizie jest ogromna zaś problem obliczeniowy, który każdorazowo jest rozwiązywany uznaje się za jeden z najtrudniejszych problemów algorytmicznych(kategoria problemów NP-zupełnych) jakie są znane współczesnej nauce” można przeczytać na stronie usługodawcy.

Systemy informatyczne

Sąd Najwyższy w postanowieniu z dnia 11 grudnia 2000r. II KKN 438/00, OSNKW 2001/3-4/33 rozróżnił administratora i osobę administrującą danymi osobowymi. Za administratora uznał jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy), natomiast administrującym jest taki podmiot, który zarządza, zawiaduje zbiorem danych lub danymi (art. 50, 51 ,52 ,54 ustawy).

Pojęcie administrującego ma więc szersze znaczenie. Może być nim zarówno administrator, jak i ten, kto takiej roli nie pełni. Administratorem nie jest więc każdy dysponent danych osobowych. Jest nim ten, kto decyduje o celach i środkach przetwarzania, przy czym zasadnicze znaczenie ma rodzaj i charakter nadanych przez prawo kompetencji z zakresu spraw publicznych (cyt za J. Barta, R Markiewicz Ochrona danych osobowych, Wydawnictwo Zakamycze, Kraków 2002 s. 306).

Każdy administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną nośników, na jakich są zapisane dane, przetwarzaniem z naruszeniem zasad określonych w tekście ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Przede wszystkim obowiązkiem administratora danych jest powołanie administratora bezpieczeństwa informacji, który odpowiedzialny jest za przestrzeganie technicznych i organizacyjnych środków bezpieczeństwa mających na celu prawidłowe przetwarzanie i zabezpieczenie danych przed udostępnieniem ich osobie nieuprawnionej.

Administrator danych zobowiązany jest do prowadzenia listy osób upoważnionych do przetwarzania danych osobowych. Następnie wdraża i monitoruje przestrzeganie opracowanej polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Ponadto administrator odpowiedzialny jest za system informatyczny, za pośrednictwem którego przetwarza się i gromadzi dane; system ten został określony przez ustawodawcę jako zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

W celu właściwego zarządzania zabezpieczeniami danych w systemie informatycznym administrator danych, przed przystąpieniem do przetwarzania danych osobowych, jest obowiązany:

  1. określić cele, strategię i politykę zabezpieczenia danych w systemie informatycznym, w którym przetwarzane są dane osobowe,
  2. zidentyfikować i przeanalizować zagrożenia i ryzyko, na które może być narażone przetwarzanie danych osobowych, określić potrzeby w zakresie zabezpieczenia zbiorów danych osobowych i systemów informatycznych, z uwzględnieniem potrzeby kryptograficznej ochrony danych osobowych, w szczególności podczas ich przesyłania za pomocą urządzeń teletransmisji danych,
  3. określić zabezpieczenia adekwatne do zagrożeń i ryzyka,
  4. monitorować działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych i ich przetwarzania,
  5. opracować i wdrożyć program szkolenia w zakresie zabezpieczeń danych w systemie informatycznym,
  6. wykrywać i właściwie reagować na przypadki naruszenia bezpieczeństwa danych osobowych i systemów informatycznych je przetwarzających. 

Podmiot do kontroli

Podmiotem uprawnionym do kontroli przetwarzania danych przez administratorów jest Generalny Inspektor Ochrony Danych Osobowych. Podejmuje on swoje działania z urzędu lub na wniosek podmiotu zainteresowanego – w tym osób fizycznych. Kontrola przeprowadzana jest zawsze zgodnie z przepisami Kodeksu Postępowania Administracyjnego i w jej trakcie inspektorzy mogą w godzinach od 6 do 22, za okazaniem imiennego upoważnienia, wkraczać do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą. Podmiot kontrolowany może zostać zobligowany do złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego, a także do udostępnienia do wglądu wszelkich ów i danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii. Inspektorzy uprawnieni są ponadto do przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. W przypadku wystąpienia wątpliwości inspektorzy przeprowadzający kontrolę mogą zlecać sporządzanie ekspertyz i opinii biegłym specjalistom.

W przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor wydając decyzję administracyjną, może nakazać:

  1. usunięcie stwierdzonych uchybień,
  2. uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
  3. zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
  4. wstrzymanie przekazywania danych osobowych do państwa trzeciego,
  5. zabezpieczenie danych lub przekazanie ich innym podmiotom,
  6. usunięcie danych osobowych.

Na mocy znowelizowanych przepisów ustawy o ochronie danych osobowych od 7 marca 2011 roku Główny Inspektor zyskuje prawo do:

  1. nakładania na skontrolowany podmiot grzywny administracyjnej w celu przymuszenia do wykonania określonego obowiązku do 50.000 zł,
  2. kierowania wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych,
  3. występowania do właściwych podmiotów z inicjatywą ustawodawczą lub zmianami w istniejących aktach prawnych.

Wzmocniona została również pozycja inspektorów dokonujących kontroli – w przypadku, gdy podmiot kontrolowany będzie udaremnia lub utrudnianie wykonywania czynności kontrolnych przez inspektorów GIODO będzie groziła grzywny, ograniczenia wolności albo pozbawienia wolności do dwóch lat.

Europejski Inspektor Ochrony Danych Osobowych

W styczniu 2004 roku powołany na podstawie art. 286 Traktatu ustanawiającego Wspólnotę Europejską oraz Rozporządzenia (WE) 45/2001 z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych w ramach Unii Europejskiej utworzony został niezależny organ kontroli jakim jest Europejski Inspektor Ochrony Danych Osobowych. Głównym celem tej instytucji jest dbałość o to, by instytucje UE w swojej codziennej pracy nie naruszały praw obywateli UE w tym zakresie, oraz doradztwo na rzecz instytucji unijnych w kwestiach związanych z przetwarzaniem danych osobowych. Kontrola przetwarzania danych w instytucjach i organach europejskich odbywa się we współpracy z inspektorami ochrony danych powołanymi w każdej instytucji lub organie Wspólnoty. W związku z tym Europejski Inspektor Ochrony Danych przyjmuje i rozpatruje skargi osób fizycznych oraz prowadzi postępowania z własnej inicjatywy lub na podstawie skargi. Podejmuje także niezbędne środki i informuje osoby zainteresowane o wyniku swoich prac.

W ramach swych kompetencji doradczych Europejski Inspektor Ochrony Danych udziela konsultacji Komisji Europejskiej w przypadku przyjęcia propozycji aktu prawnego dotyczącego ochrony danych osobowych. Instytucje i organy Wspólnoty informują także Europejskiego Inspektora Ochrony Danych o podejmowanych środkach administracyjnych związanych z przetwarzaniem danych osobowych.

W chwili obecnej największe kontrowersje budzi tzw. retencyjna ( 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE), na mocy której w zakresie obowiązków dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznych sieci łączności znalazł się również obowiązek przetrzymywania danych do celu dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie każdego państwa członkowskiego. W obecnej formie niewystarczająco gwarantuje prawo do prywatności, a kraje UE zbyt różnorodnie ją wdrożyły. Należy jednak pamiętać, iż została ona przyjęta na fali walki z terroryzmem po zamachach w Madrycie w 2004 i Londynie w 2005 roku. Zgodnie z dyrektywą dane przechowywane przez operatorów telekomunikacyjnych są wykorzystywane przez policję i prokuratorów podczas śledztw w takich sprawach jak zamachy terrorystyczne. Dane muszą być przechowywane przez okres nie krótszy niż sześć miesięcy oraz nie dłuższy niż dwa lata. Już po przyjęciu jej przez kraje przepisy zakwestionował Trybunał Konstytucyjny w Niemczech, Czechach i na Węgrzech. Austria i Szwecja w ogóle jej nie wdrożyły i prowadzone są przeciwko nim unijne postępowania. Podczas gdy organy ścigania w większości państw, które wdrożyły dyrektywę chwalą ją za skuteczność, Komisja Europejska otrzymała wiele krytycznych uwag ze strony krajowych organów ochrony danych. Wskazywano, że nie zapewnia ona m.in. dostatecznych zabezpieczeń w zakresie przechowywania, udostępniania oraz wykorzystania danych. "Polska należy do krajów, które wdrożyły dyrektywę do prawa narodowego w sposób bardzo restrykcyjny, jeśli nie najbardziej restrykcyjny, ale wciąż polskie prawo mieści się w ramach dyrektywy" - cytuje PAP pragnącego zachować anonimowość urzędnika w Komisji Europejskiej. W Polsce okres przechowywania danych telekomunikacyjnych wynosi dwa lata czyli maksymalny czas retencji dopuszczalny w dyrektywie. Podczas negocjacji w Brukseli w 2006 roku przedstawiciele polskiego rządu apelowali, by dane przechowywać nawet przez 15 lat, ale nie poparły tego inne kraje. Ponadto nie ma kontroli sądowej nad korzystaniem z bilingów i BTS-ów czyli logowania telefonów komórkowych do stacji przekaźnikowych – wylicza dr Adam Bodnar Sekretarz Helsińskiej Fundacji Praw Człowieka. „Jak pokazuje doświadczenie w Polsce że przechowywane dane gromadzone przez operatorów wykorzystywane są nie tylko w śledztwach dotyczących groźnych przestępstw, ale i w postępowaniach cywilnych, np. w sprawach rozwodowych.

Mając więc na uwadze znaczne rozbieżności, co do zakresu gromadzonych danych, czasu ich przechowywania oraz w ogóle wdrożenia przepisów dyrektywy organy UE podjęły działania zmierzające do racjonalizacji i zmiany istniejących już przepisów.

Dokumenty:

Konwencja nr 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych.

Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych.

Rozporządzenie (WE) 45/2001 z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych

z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. nr 101, poz. 926, z późn. zm.)

Rozporządzenie Ministra Spraw Wewnętrznych I Administracjiz dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Rozporządzenie Ministra Spraw Wewnętrznych I Administracjiz dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Strony internetowe:

Generalny Inspektor Ochrony Danych Osobowych WWW.giodo.gov.pl

Europejski Inspektor Ochrony Danych Osobowych http://www.edps.europa.eu/EDPSWEB/edps/EDPS?lang=pl

Read Gene SA www.read-gene.com

Etellico www.killbill.pl

Autor:Martyna Majewska 


powrót | do góry | strona główna | kalendarium | regulamin serwisu | pliki cookies | kontakt
Portal jest współfinansowany przez Unię Europejską w ramach środków Europejskiego Funduszu Społecznego.

© 2005-2018 Polska Agencja Rozwoju Przedsiębiorczości