Strona główna » Bezpieczeństwo informacji

Kategoria: Bezpieczeństwo informacji

Kto wie o Tobie naprawdę dużo?

Proste pytanie, ale być może nie każdy sobie zdaje sprawę z tego, że czasami całkiem istotna wiedza o nim w dużej ilości znajduje się w rękach pojedynczych podmiotów niekoniecznie będących pod bardzo ścisłą kontrolą.

Pierwsza odpowiedź na powyższe pytanie jaka przychodzi do głowy to: szeroko rozumiane państwo. Tak, ono wie dużo w swojej sieci rejestrów, które z każdym rokiem centralizują i porządkują się coraz bardziej. Rejestry częściowo są jawne (CEiGD, KRS), ale w większości pozostają niejawne i są do użytku różnych służb.

Poza państwem interesujące zbiory danych leżą w portalach społecznościowych. Nawet tak stary i niemodny portal jak Nasza Klasa zawiera niebywałe ilości bardzo wartościowych informacji o ludziach. Nie dziwne, że jego właścicielem stał się koncern medialny Ringier Axel Springer Polska – to jest doskonała baza danych dla takiego wydawcy.

Inny wydawca medialny, Agora S.A., zainwestował również w portal społecznościowy, ale o wydźwięku branżowym, zawodowym: Golden Line. Dodatkowo, Agora jest właścicielem przepastnego forum internetowego przy serwisie Gazety Wyborczej. Tam jest morze informacji.

Warto przypomnieć, że wielkie serwisy społecznościowe takie jak Facebook czy Twitter od dawna są wiązane ze służbami specjalnymi USA. Wręcz mówi się o tym, że stworzono je celowo przez specjalne agencje a później tylko upozorowano ich “naturalne pochodzenie” – przykładowo Facebook miałby być przebrandowanym projektem LifeLog. Informacja jest cenna a gdzie jest jej więcej niż w tych serwisach? Kto je posiada, jest bogaczem, ma władzę. Co więcej, serwisy te chcą wyrugować tradycyjne SMS-y i rozmowy telefoniczne, aby nawet ten ruch szedł ustalonym kanałem – co zapewne odbierze wiele możliwości naszym lokalnym służbom specjalnym przymuszając zapewne to podpisywania tajnych umów z USA podobnych do FIVE EYES. Co razem tworzy ogólnoświatową sieć podsłuchu. Można by to włożyć między bajki, gdyby nie informacje ujawniane przez sygnalistów takich jak Edward Snowden.

Całkiem sporo informacji wymyka się też zapisom RODO i istnieje zawartych w różnego rodzaju portalach genealogicznych, wspominkowych. RODO nie chroni bowiem osób zmarłych. Przodujący w tym serwis MyHeritage ma obecnie 1 miliard (!) użytkowników. Liczba zaś danych genealogicznych – sam nie wiem jaka, pewnie gigantyczna.

Innego rodzaju bazy danych tworzą serwisy z darmowymi kontami pocztowymi. Zagraniczny GMail to oczywistość, ale ile danych zgromadziła przez lata Wirtualna Polska, Interia czy Onet? Miliony maili. Tajna korespondencja każdego rodzaju. Hakerzy, którzy stale włamują się na konta, odnajdują tam wszystko.

Właśnie, hakerzy. Czym oni dysponują? Otóż oni mają problem, bo zyskują dostęp do ogromnych ilości danych, ale nie mają infrastruktury (serwerów, komputerów, dysków twardych), aby wszystko to do siebie zabrać. Zazwyczaj więc zadowalają się zbieraniem danych dostępowych do istniejących serwisów. Wraz z rozwojem pojemności dysków będą w stanie gromadzić bardzo dużo. Warto zwrócić uwagę na woluminy wykradanych danych. Aby wykraść 100 mln podstawowych danych kont użytkowników trzeba mieć technologiczną sposobność: bardzo szybkie łącza, pojemne dyski.

Plotka internetowa mówi, że gdy Seth Rich miał dokonać wycieku danych z DNC na rzecz Wikileaks, problemem na drodze była technologia – danych było tak ogromnie dużo, że nie można było tego po prostu nagrać na płytę DVD i wynieść. Podobno specjalnie w tym celu Kim Dotcom powołał swoją usługę internetową MegaUpload, za co później w bezprecedensowy i prawdopodobnie bezprawny sposób został w swojej posiadłości w Australii najechany przez siły specjalne USA, które skonfiskowały cały sprzęt i wywiozły do USA (!). Zanim to się stało, Rich zdążył wysłać dane przez MegaUpload i trafiły one do Wikileaks. Niedługo później Rich został zamordowany (a jego śmierć otacza mnogość kontrowersji) a Julian Assange z Wikileaks rozpoczął swoje dobrowolne uwięzienie w ambasadzie Ekwadoru.

(Jakkolwiek wszystko to jest zaliczane/spychane obecnie do teorii konspiracyjnych, Kim Dotcom wypowiadał się publicznie, że pośredniczył między Richem a Wikileaks a Wikileaks pośrednio – być może niechcący – sugerowało, że Rich jest źródłem danych.)

Generalnie więc tacy luźni, niezorganizowani hakerzy, nie mają zgromadzonej wiedzy – natomiast gromadzą dostępy do takiej.

Narzędzia ciekawskiego internauty

Czasami, gdy zainteresuje mnie jakaś sprawa medialna i chcę się jej bliżej przyjrzeć, zrozumieć jej szerszy kontekst, sięgam do różnego rodzaju publicznych rejestrów, archiwów, wyszukiwarek i innych narzędzi, aby odnaleźć więcej informacji. Znaleźć można zaskakująco dużo, aczkolwiek same narzędzia to nie wszystko – potrzeba wyobraźni i wiedzy, aby zadawać właściwe pytania i rozumieć uzyskane odpowiedzi. Potrzeba też uważności i rzetelności – szczegóły mają znaczenie.

Poniżej zestaw narzędzi, polecam się przyjrzeć każdemu z nich:

  • Google – to oczywiste, ale należy się nauczyć specjalnych filtrów wyszukiwania i wtedy można bardzo wiele wyciągnąć z Internetu;
  • Google Images – niby oczywiste, ale warto umieć korzystać z wyszukiwania obrazem, czyli nie podaję obraz i chcę, aby Google znalazło mu podobne;
  • Biuletyny Informacji Publicznej – zawierają mnogość danych, ale ich przeszukiwanie jest trudne, zazwyczaj trzeba wspomagać się Google;
  • Centralna Ewidencja i Informacja o Działalności Gospodarczej – bardzo otwarty na wyszukiwanie rejestr pozwalający szukać zarówno po precyzyjnych danych jak NIP, KRS, REGON, adres, ale też pozwalający na bardzo ogólne wyszukiwania typu wszystkie firmy, których właściciel ma na imię “Hieronim”, co czyni z CEiDG podstawowym miejscem do różnego rodzaju poszukiwań;
  • Rejestr publiczny KRS – możemy przeglądać wpisy dotyczące przedsiębiorców, stowarzyszeń, fundacji i rozmaitych innych organizacji posługując się numerem KRS, NIP, REGON, nazwą, nazwą miejscowości itp.; zapytania mogą być dosyć otwarte a jedynym ograniczeniem jest to, że liczba wyników musi być mniejsza niż 100;
  • Rejestr REGON Głownego Urzędu Statystycznego – za pomocą numeru REGON lub KRS, lub NIP możemy przeglądać wpisy w tym rejestrze, który jakkolwiek zazwyczaj posiada te same dane do CEiDG, to czasami jednak zawiera coś innego – jest więc naturalnym uzupełniem CEiDG;
  • Baza sprawozdań organizacji pożytku publicznego – jak sama nazwa wskazuje znajdziemy sprawozdania finansowe i merytoryczne za pomocą KRS, REGON, nazwy, miejscowości itp;
  • Repozytorium dokumentów finansowych KRS – po podaniu numeru KRS możemy zapoznać się z dokumentami finansowymi niektórych organizacji;
  • Baza teleadresowa ISBN – jest to baza adresowa wydawców różnych publikacji, wyszukiwać można nie tylko po ISBN, ale po fragmencie nazwy (także poprzedniej!), e-mailu, miejscowości;
  • Internet Archive – archiwum stron internetowych zawierające archiwalne wersje wielu stron (niekoniecznie tych popularnych) sięgające wiele lat wstecz; oprócz tego archiwum zawiera też rozmaite treści multimedialne i książki;
  • Jeffrey’s Image Metadata Viewer – narzędzie online do przeglądania metadanych zawartych w plikach graficznych; można znaleźć daty, współrzędne geograficzne a nawet miniatury zdjęcia zawierające czasami jego obraz sprzed jego ostatniej edycji;
  • Wyszukiwarki biur numerów operatorów komórkowych – niektórzy operatorzy pozwalają uzyskać informacje o numerze telefonu abonenta jeżeli potrafimy szczegółowo go opisać poprzez jego imię, nazwisko, dane adresowe – patrz np. Biuro numerów Play;
  • Czasami użyteczne mogą być strony pozwalające określić operatora danego numeru – jest ich sporo, łatwo je znaleźć;
  • Federacja Bibliotek Cyfrowych – serwis łączy bazy rozmaitych polskich publicznych bibliotek online, a tam można znaleźć rozmaite ciekawe publikacje książkowe, gazety, czasopisma – aczkolwiek przeszukiwanie tego nie jest łatwe i czasami łatwiej użyć Google.
  • Bazy online Instytutu Pamięci Narodowej – są to ograniczone bazy a przy tym trudno je znaleźć wszystkie na ich stronie internetowej, ale czasami warto skorzystać.
  • Bazy WHOIS oraz dane domenowe – to już zaczątek technicznego, informatycznego wyszukiwania informacji; bazy rejestratorów domen oraz serwisy wyciągające dane z serwerów DNS i łączące z adresami IP;
  • Wyszukiwarka danych w Biuletynie Zamówień Publicznych – do przeszukiwania ogłoszeń dotyczących przetargów starych i nowych (m.in. ogłoszenia o wyłonieniu wykonawcy);
  • Rejestr korzyści prowadzony przez Krajowe Biuro Wyborcze;
  • Monitor Polski – materiały sprzed 2000 roku zawierają czasami fragmenty danych osobowych.
  • Różnego rodzaju serwisy wspominania zmarłych, agregatory nekrologów, wyszukiwarki grobów, ale też serwisy parafialne w części ogłoszeń parafialnych i wspomnień zmarłych – bo dane osób zmarłych nie są chronione przez RODO.
  • Wyszukiwarka Wojskowego Biura Historycznego.

Warto dodać, że oprócz powyższych można znaleźć w internecie serwisy, które gromadzą, łączą i prezentują połączone informacje pochodzące z rejestrów publicznych. Takim serwisem jest np. rejestr.io, który w wersji darmowej ma ograniczone, ale wciąż bardzo użyteczne możliwości, a w wersji płatnej m.in. otwiera się na dane historyczne. Ciekawym narzędziem jest analizator tekstów w rejestr.io – wklejamy dowolny tekst a otrzymujemy listę osób z tego tekstu, które figurują w publicznych rejestrach.

Ważna jest umiejętność poruszania się w bazach genealogicznych (jest ich dużo, ale przykładowo: Geneteka, FamilySearch) oraz serwisach wspomagających poszukiwania genealogiczne (np. MyHeritage) – nawet jeżeli szukamy informacji o osobach żywych, których dane zazwyczaj są w takich bazach ukryte. Jeżeli bowiem dołączymy dane z mediów społecznościowych i posłużymy się dedukcją, to możliwe będzie ustalenie dodatkowych powiązań i uzyskanie nowych informacji.

Właśnie – media społecznościowe. To ogromna baza danych. Oprócz wyszukiwania “oficjalnego” warto korzystać z pewnych sztuczek. Aplikacje mobilne Facebooka czy Instagrama mogą pobierać dane kontaktowe z telefonu, który w przypadku systemu Android potrafi być sprzężony z kontem pocztowym, które też może się dalej z czymś łączyć. Takie połączenie różnych zbiorów danych i wysłanie ich do FB albo Instagrama skutkuje tym, że te serwisy ujawniają na różne sposoby profile osób i proponują nam jako znajomych. Stąd, wprowadzenie do kontaktów dowolnego numeru telefonu skutkuje tym, że już godzinę później możemy znaleźć danej osoby profil w mediach społecznościowych nawet jeżeli jest pod nietypowym pseudonimem albo nawet jego widoczność jest ograniczona.

Na koniec dodam, że warto mieć zestaw narzędzi do porządkowania uzyskanej wiedzy. Tutaj naturalnie sprawdzi się wiele typowych narzędzi do edycji tekstu, arkusze kalkulacyjne itp. Ale warto znaleźć narzędzia do graficznego porządkowania. Ja polecam edytor diagramów yEd. Poniżej przykładowy, bardzo rozbudowany i trochę nieporządny diagram, który stworzyłem analizując sprawę Krzysztofa Sadowskiego:

Diagram może nieporządny, ale yEd ma wbudowanych kilka złożonych algorytmów do automatycznego porządkowania, układania w struktury hierarchiczne, klastry itp. Tutaj przykład innego diagramu (dotyczył związków polskich i amerykańskich związanych ze światem mediów, polityki, bankowości) po automatycznym przeporządkowaniu (trochę zbyt gęsto upakowane, ale można to sobie dokonfigurować):

Jakich narzędzi najbardziej mi brak obecnie? Chyba przeszukiwania komentarzy YouTube i porządnej wyszukiwarki do komentarzy na Facebooku.

Jak nie urazić uczuć religijnych wyznawców RODO

Dla osób początkujących, które próbują wejść w sekciarską społeczność złożoną z prawdziwych lub rzekomych IOD-ów, samozwańczych ekspertów-praktyków oraz dumnych prawników-znawców “świętych pism”, oto mały poradnik, aby było jasne jak dochodzi do urażenia uczuć religijnych i jak tego uniknąć.

  • Wszyscy piszą “RODO”, chociaż powinno być “OROD”, bo od “Ogólne Rozporządzenie o Ochronie Danych”, ale użycie skrótu OROD narazi na drwinę;
  • Uczucia religijne wielu zostaną urażone liczbą pojedynczą “dana osobowa” zamiast mnogiej “dane osobowe”;
  • Wielka drażliwość zostanie wzbudzona stosowaniem terminu Inspektor Ochrony Danych Osobowych (IODO) zamiast Inspektor Ochrony Danych (IOD) – ten zupełnie nieistotny problem nazewniczy został wywindowany do takiej rangi, że przemianowano całe organizacje i społeczności, gdy tymczasem rozporządzenie ministerialne co do klasyfikacji zawodów się tym wcale nie przejęło.
  • Wszyscy piszą “umowa powierzenia” zamiast “umowa przetwarzania danych w imieniu administratora”, bo wielu mentalnie pozostało w UODO’97 a inni są leniwi – gdy tymczasem w RODO termin “powierzenie” ma zupełnie inne znaczenie i stosowanie go jest błędem;
  • Wszyscy używają terminu “klauzula informacyjna” wobec informacji administratora na temat przetwarzania danych, chociaż termin ten jest zupełnie niepoprawny z każdej możliwej strony – co więcej, tę niepoprawność nawet próbujemy eksportować za granicę!
  • Niektórzy zamiast “klauzula informacyjna” wolą “obowiązek informacyjny”, co jest wyborem mniejszego zła, ale jednak zła;
  • Wszyscy piszą “ADO” jako że niby skrót od “Administrator Danych Osobowych”, chociaż nie ma takiego terminu w RODO – chodzi po prostu o administratora;

Warto odnotować, że charakterystyczną cechą polskich interpretacji RODO jest to, że gdy RODO nie pasuje do interpretacji to tym gorzej dla RODO. Stąd, ponieważ za czasów Starego Przymierza z 1997 roku umowy powierzenia były mile widziane, to za Nowego Przymierza z 2018 roku w dobrym tonie jest unikać umów przetwarzania w imieniu administratora i wszystko sprowadzać do tzw. relacji ADO-ADO. W ogóle, bo nie tylko w tym wypadku, elegancko jest pomijać przepisy, czytać je połowicznie, wybiórczo, pomijać kwestie gramatyki, przedkładać motywy nad artykuły, opinie nad prawo etc. Wszyscy tak robią: od najmniejszych aż po UODO. No a w złym tonie jest przypominać o przepisach i burzyć spokój uznanych interpretacji. Przykładowo w kontekście sporu ADO-PP vs ADO-ADO nieładnie jest przywoływać np. art. 28 ust. 3 lit. g), który jednak pozwala podmiotom przetwarzającym na pozostawienie sobie danych pomimo decyzji administratora o ich usunięciu. Albo innym przykładem wybiórczego czytania, ale dotyczącym zadań Inspektora, jest powszechna w PL nadinterpretacja art. 39 ust. 1 lit. b), że powinien on zarazem prowadzić szkolenia i “audytować RODO”. Prowadzenie szkoleń wpływa system bezpieczeństwa, więc późniejsze jego audytowanie to de facto audytowanie swojej własnej pracy. (Aczkolwiek tutaj warto wspomnieć, że np. normy ISO już wiele lat temu wycofały się z wymogu, aby audytor nie audytował swojej własnej pracy.)

Oprogramowanie wspomagające inspektorów ochrony danych

Krótka lista poleconego mi przez innych oprogramowania w kolejności alfabetycznej (jeszcze nie sprawdzałem żadnego z tych programów):

Jak widać, sporo produktów powstało. Niektóre usługi kosztują całkiem sporo jeżeli zważyć na to, że zasadniczo IOD jest w stanie swoje obowiązki wykonywać na bazie podstawowych arkuszy kalkulacyjnych, czyli w zasadzie za 0 zł. No ale w tym bałaganie, który nastał, wartością dodaną dobrego oprogramowania jest zapewne nie tylko to, co robi, ale też to, że porządkuje wszystko od A do Z. Początkujący IOD może nie mieć wszystkiego dobrze ułożonego w głowie.

Określeni prawem administratorzy danych osobowych

Po wejściu w życie RODO jakoś wzmógł się problem istniejący już dużo wcześniej a dotyczący tego, kto jest administratorem danych osobowych w sektorze publicznym. Odsyłam do dwóch ciekawych artykułów poruszających ten temat, każdy z trochę innej strony:

Tutaj natomiat chciałbym podzieilć się moimi notatkami z przeglądu rozmaitych aktów prawnych, które często jednak wskazują ADO. Niektóre obszary sektora publiczngo mają to całkiem dobrze poukładane. Niestety, nie dotyczy to gmin, powiatów, województw poza wyjątkami którymi są:

  • wskazanie wójta na ADO w przypadku Karty Dużej Rodziny,
  • wskazanie starosty jako ADO dla oświadczeń dotyczących nieodpłatnej pomocy prawnej,
  • wskazanie wojewody jako ADO dla rejestru uznania za repatrianta oraz rejestru udzielania pomocy repatriantom.

Moje notatki są trochę chaotyczne, czasami zawierają więcej, czasami mniej. W niektórych przypadkach zawierają uzasadnienie dlaczego ktoś lub coś nazwane “administratorem danych” jest “administratorem danych osobowych” a w innych nie. Zalecam je traktować jako pewną wskazówkę i ewentualnie sprawdzać, czy wszystko się zgadza.

Sądy i trybunały

Ustawa z dnia 21 sierpnia 1997 r. – Prawo o ustroju sądów wojskowych:

Sądy wojskowe są administratorami danych osobowych przetwarzanych w postępowaniach sądowych.

Ustawa z dnia 27 lipca 2001 r. – Prawo o ustroju sądów powszechnych :

Administratorami danych osobowych:
1) sędziów i sędziów w stanie spoczynku oraz asesorów sądowych,
2) referendarzy sądowych, asystentów sędziów, dyrektorów sądów oraz ich zastępców, kuratorów sądowych, aplikantów aplikacji sądowej, aplikantów kuratorskich, urzędników oraz innych pracowników sądów,
3) biegłych sądowych, lekarzy sądowych, mediatorów oraz ławników,
4) kandydatów na stanowiska wymienione w pkt 1 i 2
prezesi i dyrektorzy właściwych sądów oraz Minister Sprawiedliwości, w zakresie realizowanych zadań.

Administratorami danych osobowych przetwarzanych w systemach teleinformatycznych obsługujących postępowania sądowe, w systemach teleinformatycznych, w których są prowadzone rejestry sądowe, oraz w systemach teleinformatycznych, w których są prowadzone urządzenia ewidencyjne (sądowe systemy teleinformatyczne), są sądy w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej, prezesi właściwych sądów oraz Minister Sprawiedliwości w ramach realizowanych zadań.

Art. 175db. Administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są sądy.

System teleinformatyczny prowadzi Minister Sprawiedliwości. Administratorami danych osobowych w systemie teleinformatycznym są: Minister Sprawiedliwości, prezesi właściwych sądów oraz Krajowa Rada Sądownictwa, każde w zakresie zadań wykonywanych w postępowaniu w sprawie powołania do pełnienia urzędu na stanowisku sędziowskim.

Art. 57 par. 4

Ustawa z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych:

Sądy administracyjne są administratorami danych osobowych przetwarzanych w postępowaniach sądowych.

Ustawa z dnia 8 grudnia 2017 r. o Sądzie Najwyższym:

Sąd Najwyższy jest administratorem danych osobowych przetwarzanych w postępowaniach sądowych.

Ustawa z dnia 26 marca 1982 r. o Trybunale Stanu:

Trybunał Stanu jest administratorem danych osobowych przetwarzanych w ramach prowadzonych przez niego postępowań.

Ustawa z dnia 30 listopada 2016 r. o organizacji i trybie postępowania przed Trybunałem Konstytucyjnym:

Trybunał jest administratorem danych osobowych przetwarzanych w ramach prowadzonych przez niego postępowań.

Jak widać, brakuje wyżej czegokolwiek o Krajowym Rejestrze Sądowym.

Policja, straże itp.

Ustawa z dnia 6 kwietnia 1990 r. o Policji:

Komendant Główny Policji, Komendant CBŚP, Komendant BSWP, dyrektor Centralnego Laboratorium Kryminalistycznego Policji, komendanci wojewódzcy (Stołeczny) Policji, komendanci powiatowi (miejscy i rejonowi) Policji, Komendant-Rektor Wyższej Szkoły Policji w Szczytnie oraz komendanci szkół policyjnych są administratorami danych osobowych w stosunku do zbiorów danych osobowych utworzonych przez nich w celu realizacji zadań ustawowych.

Komendant Główny Policji prowadzi następujące zbiory danych daktyloskopijnych, których jest administratorem w rozumieniu przepisów o ochronie danych osobowych

Art. 20g. 1. W związku z obsługą zadań, o których mowa w art. 20e ust. 1 pkt 1, Komendant Główny Policji przetwarza w SWD Policji informacje, w tym dane osobowe osób, których dane uzyskano w związku z realizacją zadań, o których mowa w art. 1 ust. 2 i 3, i w tym zakresie jest administratorem w rozumieniu przepisów o ochronie danych osobowych.

Art. 21a. 1. Komendant Główny Policji prowadzi zbiór danych zawierający informacje o wynikach analizy kwasu deoksyrybonukleinowego (DNA), zwany dalej „zbiorem danych DNA”, którego jest administratorem w rozumieniu ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

W odniesieniu do informacji, w tym danych osobowych, przetwarzanych w KSIP Komendant Główny Policji jest administratorem w rozumieniu przepisów o ochronie danych osobowych

1. Policja jest uprawniona do przetwarzania informacji, w tym danych osobowych, w zakresie niezbędnym do prowadzenia postępowań kwalifikacyjnych do służby w Policji, przenoszenia do służby w Policji oraz w zakresie wynikającym z przebiegu stosunku służbowego policjantów, także po jego ustaniu, w tym ma prawo przetwarzać dane osobowe, o których mowa w art. 9 i art. 10 rozporządzenia (UE) 2016/679, z wyłączeniem danych dotyczących kodu genetycznego oraz danych daktyloskopijnych.
(…)
3. Administratorem danych osobowych, o których mowa w ust. 1, w zakresie, w jakim przetwarza te dane, jest Komendant Główny Policji, Komendant CBŚP, Komendant BSWP, dyrektor Centralnego Laboratorium Kryminalistycznego Policji, komendanci wojewódzcy (Stołeczny) Policji, Komendant-Rektor Wyższej Szkoły Policji w Szczytnie oraz komendanci szkół policyjnych

Ustawa z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych:

Komendant Główny Policji jest administratorem danych osobowych, przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Ustawa z dnia 13 kwietnia 2016 r. o bezpieczeństwie obrotu prekursorami materiałów wybuchowych:

Art. 5. 1. Komendant Główny Policji prowadzi ogólnopolski system zgłaszania podejrzanych transakcji lub prób dokonania takich transakcji, zniknięć i kradzieży znacznych ilości substancji wymienionych w załącznikach I i II do rozporządzenia (UE) nr 98/2013 lub w aktach delegowanych wydanych na podstawie art. 12 tego rozporządzenia oraz mieszanin lub substancji zawierających te substancje, zwany dalej „systemem zgłaszania”.

3. Administratorem danych i informacji zgromadzonych w systemie zgłaszania jest Komendant Główny Policji.

Art. 6. 1. W systemie zgłaszania gromadzi się: 1) dane o zgłaszającym: a) imię i nazwisko, b) nazwę i adres wykonywania działalności lub siedziby, c) inne niż w lit. b dane teleadresowe, jeżeli zostały podane;

Ustawa z dnia 12 października 1990 r. o Straży Granicznej:

Komendant Główny Straży Granicznej jest administratorem danych osobowych przetwarzanych przez Straż Graniczną w celu realizacji ustawowych zadań.

1. Straż Graniczna przetwarza dane osobowe w zakresie niezbędnym do prowadzenia postępowań kwalifikacyjnych do służby w Straży Granicznej, przenoszenia do służby w Straży Granicznej oraz w zakresie wynikającym z przebiegu stosunku służbowego funkcjonariuszy Straży Granicznej, także po jego ustaniu, w tym ma prawo przetwarzać dane osobowe, o których mowa w art. 9 i art. 10 rozporządzenia (UE) 2016/679, z wyłączeniem danych dotyczących kodu genetycznego oraz danych daktyloskopijnych.
(…)
3. Administratorem danych osobowych, o których mowa w ust. 1, w zakresie, w jakim przetwarza te dane, jest Komendant Główny Straży Granicznej, Komendant BSWSG, komendant oddziału Straży Granicznej, komendant ośrodka szkolenia Straży Granicznej lub komendant ośrodka Straży Granicznej.”;

Ustawa z dnia 8 grudnia 2017 r. o Służbie Ochrony Państwa:

Administratorem danych osobowych przetwarzanych przez SOP jest Komendant SOP

Ustawa z dnia 26 stycznia 2018 r. o Straży Marszałkowskiej:

Administratorem danych osobowych, o których mowa w ust. 2 pkt 2, jest Komendant Straży Marszałkowskiej.

Ustawa z dnia 29 sierpnia 1997 r. o strażach gminnych:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), przez straż jest komendant straży.

Ustawa z dnia 28 marca 2003 r. o transporcie kolejowym:

Administratorem danych osobowych przetwarzanych przez straż ochrony kolei jest komendant straży ochrony kolei.

Ustawa z dnia 18 kwietnia 1985 r. o rybactwie śródlądowym:

Administratorem danych osobowych przetwarzanych w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest komendant wojewódzki Państwowej Straży Rybackiej.

Administratorem danych osobowych przetwarzanych w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości jest komendant właściwej jednostki Społecznej Straży Rybackiej.

Ustawa z dnia 21 marca 1991 r. o obszarach morskich Rzeczypospolitej Polskiej i administracji morskiej:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest dyrektor urzędu morskiego.

Ustawa z dnia 21 grudnia 2000 r. o żegludze śródlądowej:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest dyrektor urzędu żeglugi śródlądowej.

Ustawa z dnia 20 lipca 2017 r. – Prawo wodne:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest minister właściwy do spraw gospodarki wodnej lub organ wykonujący kontrolę

Ustawa z dnia 20 lipca 1991 r. o Inspekcji Ochrony Środowiska:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest minister właściwy do spraw środowiska, Główny Inspektor Ochrony Środowiska lub wojewódzki inspektor ochrony środowiska

Ustawa z dnia 28 września 1991 r. o lasach:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest minister właściwy do spraw środowiska lub Główny Inspektor Straży Leśnej.

Ustawa z dnia 13 października 1995 r. – Prawo łowieckie:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest minister właściwy do spraw środowiska lub komendant wojewódzki Państwowej Straży Łowieckiej

Ustawa z dnia 6 września 2001 r. o transporcie drogowym:

3. Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy są administratorami danych osobowych przetwarzanych na podstawie ust. 1.

Administratorem danych osobowych przetwarzanych w związku z realizacją czynności określonych w art. 56 ust. 1, w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, jest Główny Inspektor Transportu Drogowego lub wojewódzki inspektor transportu drogowego

Ustawa z dnia 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych:

Komendant Główny Żandarmerii Wojskowej, komendanci terenowych jednostek organizacyjnych oraz komendanci specjalistycznych jednostek organizacyjnych Żandarmerii Wojskowej są administratorami danych osobowych w stosunku do zbiorów danych osobowych utworzonych przez nich i w celu realizacji zadań ustawowych.

Medyczne

Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia:

(Niestety, w słowniku wciąż odwołanie do UODO 1997)

administrator danych – administratora danych, o którym mowa w art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

W ustawie jest mnóstwo precyzyjnego wskazywania ADO:

Administratorem danych przetwarzanych w SIM jest minister właściwy do spraw zdrowia.

Administratorem danych gromadzonych w Centralnym Wykazie Usługobiorców jest minister właściwy do spraw zdrowia

Administratorem danych gromadzonych w Centralnym Wykazie Usługodawców jest minister właściwy do spraw zdrowia

Administratorem danych gromadzonych w Centralnym Wykazie Pracowników Medycznych jest minister właściwy do spraw zdrowia

1. Minister właściwy do spraw zdrowia w celu:
1) monitorowania zapotrzebowania na świadczenia opieki zdrowotnej,
2) monitorowania stanu zdrowia usługobiorców,
3) prowadzenia profilaktyki zdrowotnej lub realizacji programów zdrowotnych albo programów polityki zdrowotnej,
4) monitorowania i oceny bezpieczeństwa, skuteczności, jakości i efektywności kosztowej badań diagnostycznych lub procedur medycznych
– może tworzyć i prowadzić albo tworzyć i zlecać prowadzenie rejestrów medycznych, stanowiących uporządkowany zbiór danych osobowych, w tym jednostkowych danych medycznych.

(…)
Administratorem danych gromadzonych w rejestrach medycznych, o których mowa w art. 19 ust. 1, jest podmiot prowadzący rejestr medyczny

Administratorem danych przetwarzanych w Systemie RUM – NFZ jest Narodowy Fundusz Zdrowia

Art. 22

1. System Statystyki w Ochronie Zdrowia jest systemem teleinformatycznym, w którym są przetwarzane dane statystyczne z zakresu ochrony zdrowia.

(…)

Administratorem danych przetwarzanych w systemie, o którym mowa w ust. 1, jest minister właściwy do spraw zdrowia

Art. 23

Administratorem danych gromadzonych w Systemie Ewidencji Zasobów Ochrony Zdrowia jest minister właściwy do spraw zdrowia

Art. 24

2. System Monitorowania Zagrożeń zawiera dane:
1) zawarte w zgłoszeniach, o których mowa w art. 21 ust. 2, art. 27 ust. 4 i art. 29 ust. 3 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi   (Dz. U. z 2016 r. poz. 18662003 i 2173);
2) o zachorowaniach na grypę i podejrzeniach zachorowań na grypę w postaci ustrukturyzowanej;
3) przetwarzane przez Prezesa Urzędu Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych w związku z wykonywaniem zadań w zakresie zbierania raportów oraz informacji o niepożądanych działaniach produktu leczniczego, badanego produktu leczniczego, produktu leczniczego weterynaryjnego i badanego produktu leczniczego weterynaryjnego.

(…)
6. Administratorem danych określonych w ust. 2:
1) pkt 1 i 2 – są państwowi powiatowi inspektorzy sanitarni oraz państwowi graniczni inspektorzy sanitarni;
2) pkt 3 – jest Prezes Urzędu Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych.

Art. 26

Administratorem danych przetwarzanych w Systemie Monitorowania Dostępności do Świadczeń Opieki Zdrowotnej jest minister właściwy do spraw zdrowia.

Art. 27

Administratorem danych przetwarzanych w Systemie Monitorowania Kosztów Leczenia jest minister właściwy do spraw zdrowia.

Art. 28

5. Administratorem danych przetwarzanych w Zintegrowanym Systemie Monitorowania Obrotu Produktami Leczniczymi jest Główny Inspektor Farmaceutyczny.
6. Administratorem danych w rejestrach obejmujących produkty lecznicze dopuszczone do obrotu na terytorium Rzeczypospolitej Polskiej jest Prezes Urzędu Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych.

Art. 29

Administratorem danych przetwarzanych w Systemie Monitorowania Kształcenia Pracowników Medycznych jest minister właściwy do spraw zdrowia

Art. 30

Administratorem danych przetwarzanych w Systemie Obsługi List Refundacyjnych jest minister właściwy do spraw zdrowia.

Art. 30a

Administratorem danych przetwarzanych w systemie Instrumentu Oceny Wniosków Inwestycyjnych w Sektorze Zdrowia jest minister właściwy do spraw zdrowia

Art. 31a

Ustawa z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa:

14. Administratorem danych zawartych w Rejestrze Asystentów Medycznych jest minister właściwy do spraw zdrowia.

Art. 54a

Ustawa z dnia 6 września 2001 r. Prawo farmaceutyczne:

Art. 4d. 1. Minister właściwy do spraw zdrowia prowadzi rejestr zapotrzebowań realizowanych w ramach importu docelowego oraz rejestr wniosków o refundację w ramach importu docelowego.

5. Administratorem danych zawartych w rejestrach, o których mowa w ust. 1, jest minister właściwy do spraw zdrowia.

Art. 4e. 1. Minister właściwy do spraw zdrowia prowadzi rejestr produktów leczniczych dopuszczonych do obrotu nieposiadających pozwolenia.

4. Administratorem danych zawartych w rejestrze, o którym mowa w ust. 1, jest minister właściwy do spraw zdrowia.

Art. 83. 1. Główny Inspektor Farmaceutyczny prowadzi Rejestr Zezwoleń na Prowadzenie Hurtowni Farmaceutycznej dotyczący produktów leczniczych.

1a. Główny Lekarz Weterynarii w odniesieniu do hurtowni produktów leczniczych weterynaryjnych prowadzi Rejestr Zezwoleń na Prowadzenie Hurtowni Produktów Leczniczych Weterynaryjnych.

4a. Administratorem danych przetwarzanych w rejestrze, o którym mowa w ust. 1, jest Główny Inspektor Farmaceutyczny .

4c. Administratorem danych przetwarzanych w rejestrze, o którym mowa w ust. 1a, jest Główny Lekarz Weterynarii.

Ustawa z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych:

Art. 47e. 1. Zgoda, o której mowa w art. 47d ust. 1 lub 2, jest wydawana na wniosek świadczeniodawcy posiadającego w dniu złożenia wniosku, zawartą umowę o udzielanie świadczeń opieki zdrowotnej w zakresie, o którym mowa w art. 15 ust. 2 pkt 3 (…)

Art. 47h. 1. Minister właściwy do spraw zdrowia prowadzi ewidencję wniosków, o których mowa w art. 47e, oraz ewidencję decyzji administracyjnych w sprawie wydania zgód, o których mowa w art. 47d ust. 1 i 2, zwaną dalej „ewidencją”.

3. Administratorem danych zawartych w ewidencji jest minister właściwy do spraw zdrowia.

Ustawa z dnia 1 lipca 2005 r. o pobieraniu, przechowywaniu i przeszczepianiu komórek, tkanek i narządów:

Art. 19a. 1. Administratorem danych przetwarzanych w rejestrach, o których mowa w art. 7, art. 15, art. 16 i art. 18, oraz liście, o której mowa w art. 17, jest Centrum Organizacyjno-Koordynacyjne do Spraw Transplantacji „Poltransplant”.

Ustawa z dnia 25 czerwca 2015 r. o leczeniu niepłodności:

Art. 37. 1. W celu identyfikacji dawców i biorczyń komórek rozrodczych przekazanych w celu dawstwa innego niż partnerskie oraz dawców i biorczyń zarodków oraz w celu monitorowania procesu medycznie wspomaganej prokreacji tworzy się rejestr dawców komórek rozrodczych i zarodków, zwany dalej „rejestrem”.

7. Administratorem danych gromadzonych w rejestrze jest minister właściwy do spraw zdrowia

Pozostałe podmioty

Ustawa z dnia 5 grudnia 2014 r. o Karcie Dużej Rodziny:

Administratorami danych osobowych przetwarzanych w zakresie niezbędnym do realizacji zadań wynikających z niniejszej ustawy są wójt oraz minister właściwy do spraw rodziny.

Art 21. ust. 2

Ustawa z dnia 5 sierpnia 2015 r. o nieodpłatnej pomocy prawnej oraz edukacji prawnej:

Art. 4. 1. Nieodpłatna pomoc prawna i nieodpłatne poradnictwo obywatelskie przysługują osobie uprawnionej, która nie jest w stanie ponieść kosztów odpłatnej pomocy prawnej.

2. Osoba uprawniona, przed uzyskaniem nieodpłatnej pomocy prawnej lub nieodpłatnego poradnictwa obywatelskiego, składa pisemne oświadczenie, że nie jest w stanie ponieść kosztów odpłatnej pomocy prawnej. Oświadczenie składa się osobie udzielającej nieodpłatnej pomocy prawnej lub świadczącej nieodpłatne poradnictwo obywatelskie.

4. Administratorem danych osobowych zawartych w oświadczeniu, o którym mowa w ust. 2, jest starosta.

Art. 17. 1. Minister Sprawiedliwości może powołać Radę Nieodpłatnej Pomocy Prawnej, Nieodpłatnego Poradnictwa Obywatelskiego oraz Edukacji Prawnej, zwaną dalej „Radą”.

Art 18. 4. Minister Sprawiedliwości jest administratorem danych osobowych osób rekomendowanych oraz osób wchodzących w skład Rady.

Ustawa z dnia 20 marca 2009 r. o bezpieczeństwie imprez masowych:

2a.  Niezależnie od systemów, o których mowa w ust. 2, tworzy się:

1) centralny system identyfikacji uczestników meczów piłki nożnej rozgrywanych w ramach najwyższej ligowej klasy rozgrywkowej rywalizacji mężczyzn;
2) centralny system identyfikacji uczestników meczów piłki nożnej rozgrywanych w drugiej i trzeciej najwyższej ligowej klasie rozgrywkowej rywalizacji mężczyzn.
2b. Administratorami danych osobowych przetwarzanych w systemach, o których mowa w ust. 2a, są właściwe podmioty zarządzające tymi rozgrywkami.

Ustawa z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym:

Administratorem danych osobowych przetwarzanych poprzez Krajowy System Informatyczny (KSI) jest Centralny organ techniczny KSI.”;

Ustawa z dnia 9 kwietnia 2010 r. o Służbie Więziennej:

Art. 25b. 1. Dyrektor Generalny:
1)     prowadzi w systemie teleinformatycznym Centralną Bazę;
2)     jest administratorem informacji, w tym danych osobowych, przetwarzanych w Centralnej Bazie;

Ustawa z dnia 28 stycznia 2016 r. – Prawo o prokuraturze:

§ 5.Prokuratura Krajowa jest administratorem danych przetwarzanych w ogólnokrajowych systemach teleinformatycznych powszechnych jednostek organizacyjnych prokuratury.
§ 6.Powszechne jednostki organizacyjne prokuratury są administratorami danych przetwarzanych w ramach realizowanych zadań, z wyłączeniem danych, o których mowa w § 5.

Art. 13

Ustawa z dnia 9 maja 2018 r. o przetwarzaniu danych dotyczących przelotu pasażera:

Komendant Główny Straży Granicznej jest administratorem danych PNR przetwarzanych w KSI PNR

Art. 13 ust. 2

Ustawa z dnia 20 czerwca 1997 r. – Prawo o ruchu drogowym:

Art. 80a. 1. Tworzy się centralną ewidencję pojazdów, zwaną dalej „ewidencją”.

4. Ewidencję prowadzi minister właściwy do spraw informatyzacji w systemie teleinformatycznym. W rozumieniu niniejszej ustawy minister ten jest administratorem danych i informacji zgromadzonych w ewidencji.

Art. 80a

1. Tworzy się centralną ewidencję kierowców, zwaną dalej “ewidencją”.
2. (uchylony).
3. (uchylony).
4. Ewidencję prowadzi minister właściwy do spraw informatyzacji w systemie teleinformatycznym. W rozumieniu niniejszej ustawy minister ten jest administratorem danych i informacji zgromadzonych w ewidencji.

Art. 100a

1. Tworzy się centralną ewidencję posiadaczy kart parkingowych, o których mowa w art. 8 karta parkingowa osoby niepełnosprawnej, zwaną dalej „ewidencją”.
2. Ewidencję prowadzi minister właściwy do spraw informatyzacji w systemie teleinformatycznym. W rozumieniu niniejszej ustawy minister ten jest administratorem danych i informacji zgromadzonych w ewidencji.

Art. 100f

Ustawa z dnia 17 lutego 2005 r.o informatyzacji działalności podmiotów realizujących zadania publiczne:

Art. 20aa
Minister właściwy do spraw informatyzacji odpowiada za funkcjonowanie systemu teleinformatycznego, który:
1) 38  zapewnia obsługę publicznego systemu identyfikacji elektronicznej, w którym wydawany jest:a) profil zaufany,
b) profil osobisty;
2) umożliwia podmiotom publicznym:a) uwierzytelnienie osoby fizycznej przy użyciu środka identyfikacji elektronicznej, o którym mowa w pkt 1,
b) zapewnienie osobie fizycznej możliwości opatrzenia dokumentu elektronicznego podpisem zaufanym.

Art. 20ac

1.  Minister właściwy do spraw informatyzacji jest administratorem danych przetwarzanych w systemie, o którym mowa w art. 20aa.

Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu:

Art. 55. Centralny Rejestr Beneficjentów Rzeczywistych, zwany dalej „Rejestrem”, jest systemem teleinformatycznym służącym przetwarzaniu informacji o beneficjentach rzeczywistych spółek wymienionych w art. 58.
Art. 56. Organem właściwym w sprawach Rejestru jest minister właściwy do spraw finansów publicznych.
Art. 57. 1. Organ właściwy w sprawach Rejestru jest administratorem danych zgromadzonych w Rejestrze.

Ustawa z dnia 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników:

Szef Krajowej Administracji Skarbowej prowadzi w systemie teleinformatycznym CRP KEP i jest administratorem danych w nim zawartych.

Art. 14. ust. 1

Ustawa z dnia 9 listopada 2000 r. o repatriacji:

Art. 36. Administratorem danych osobowych przetwarzanych w:

1) ewidencji, o której mowa w art. 20m ust. 1, jest kierownik ośrodka;

2) ewidencjach, o których mowa w art. 28a ust. 5, art. 29 ust. 1 i art. 30 ust. 1, jest Pełnomocnik;

3) rejestrze, o którym mowa w art. 33 ust. 1, jest minister właściwy do spraw wewnętrznych i właściwy konsul;

4) rejestrze, o którym mowa w art. 33 ust. 2, jest minister właściwy do spraw wewnętrznych i właściwy wojewoda;

5) rejestrze, o którym mowa w art. 33 ust. 3, jest minister właściwy do spraw wewnętrznych, Pełnomocnik, właściwy wojewoda i właściwy konsul;

6) rejestrze, o którym mowa w art. 34 ust. 1, jest minister właściwy do spraw wewnętrznych.

Ustawa z dnia 4 października 2018 r. o produktach kosmetycznych:

Art. 8. 1. Tworzy się System Informowania o Ciężkich Działaniach Niepożądanych Spowodowanych Stosowaniem Produktów Kosmetycznych, zwany dalej „systemem”.
(…)
3. Główny Inspektor Sanitarny jest administratorem danych osobowych i administratorem systemu.

Art. 11. 1. W przypadku zgłoszenia działania niepożądanego przez użytkownika końcowego do osoby odpowiedzialnej lub dystrybutora, osoba odpowiedzialna lub dystrybutor przetwarza dane osobowe, o których mowa w art. 9 ust. 2 pkt 2–4, i jest ich administratorem.

Ustawa z dnia 7 lipca 2017 r. o Narodowej Agencji Wymiany Akademickiej:

4. Dyrektor jest administratorem danych przetwarzanych w systemie teleinformatycznym Agencji

Ustawa z dnia 21 czerwca 1996 r. o szczególnych formach sprawowania nadzoru przez ministra właściwego do spraw wewnętrznych:

7. Administratorem danych osobowych przetwarzanych przez Biuro jest Inspektor Nadzoru Wewnętrznego.

Ustawa z dnia 6 grudnia 2018 r. o Krajowym Rejestrze Zadłużonych:

2. Minister Sprawiedliwości jest administratorem danych zgromadzonych w Rejestrze oraz danych objętych treścią obwieszczeń.

Ustawa z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji:

§ 1. Rejestr Należności Publicznoprawnych, zwany dalej „rejestrem”, jest prowadzony w systemie teleinformatycznym przez Szefa Krajowej Administracji Skarbowej.

§ 2. Minister właściwy do spraw finansów publicznych może wyznaczyć, w drodze rozporządzenia, inny organ Krajowej Administracji Skarbowej do prowadzenia rejestru, mając na względzie konieczność zapewnienia sprawnego funkcjonowania tego rejestru oraz sprawność procesów wymiany informacji.

§ 3. Administratorem danych zgromadzonych w rejestrze jest organ prowadzący rejestr

Art. 13a

Ustawa z dnia 13 lipca 2006 r. o dokumentach paszportowych:

Art. 46. 1. Tworzy się centralną ewidencję wydanych i unieważnionych dokumentów paszportowych, zwaną dalej „centralną ewidencją”. 2. Centralna ewidencja jest prowadzona przez ministra właściwego do spraw informatyzacji, który jest administratorem danych zgromadzonych w tej ewidencji.

Art. 47. 1. Organy paszportowe prowadzą, w zakresie swoich uprawnień, ewidencje wydanych i unieważnionych dokumentów paszportowych, zwane dalej „ewidencjami paszportowymi”. 2. Organy paszportowe są administratorami danych zgromadzonych w ewidencjach paszportowych.

Ustawa z dnia 9 marca 2017 r. o systemie monitorowania drogowego i kolejowego przewozu towarów:

Art. 4. 1. Środki techniczne służące monitorowaniu przewozu towarów obejmują: 1) rejestr zgłoszeń wraz z modułem gromadzącym i przetwarzającym dane geolokalizacyjne, zwany dalej „rejestrem”;

3. Rejestr prowadzi Szef Krajowej Administracji Skarbowej, który jest administratorem danych przetwarzanych w rejestrze.

Do dyskusji jest, czy rejestr zawiera dane osobowe. Zawiera dane zgłoszeń i dane geolokalizacyjne. Zgłoszenia zawierają imiona, nazwiska, adresy nadań i odbiorów itp.

Ustawa z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych:

Art. 6d. 1. Tworzy się Elektroniczny Krajowy System Monitoringu Orzekania o Niepełnosprawności, zwany dalej „systemem”, w którym przetwarza się dane w celu usprawnienia i podniesienia jakości orzekania o niepełnosprawności oraz realizacji zadań przez zespoły orzekające o niepełnosprawności. 1a. Nadzór nad funkcjonowaniem systemu sprawuje Pełnomocnik

2. Powiatowe zespoły i wojewódzkie zespoły oraz Pełnomocnik są administratorami danych w prowadzonych przez siebie bazach danych systemu.

Ustawa z dnia 15 maja 2015 r. o substancjach zubożających warstwę ozonową oraz o niektórych fluorowanych gazach cieplarnianych:

Art. 7. 1. Tworzy się rejestr przedsiębiorstw i operatorów, którym udzielono autoryzacji na przechowywanie halonów do zastosowań krytycznych, przedsiębiorstw produkujących, stosujących lub wprowadzających na terytorium Rzeczypospolitej Polskiej nowe substancje oraz przedsiębiorstw stosujących substancje kontrolowane w charakterze substratów oraz przedsiębiorstw prowadzących niszczenie substancji kontrolowanych. 2. Rejestr prowadzi minister właściwy do spraw środowiska w postaci elektronicznej przy użyciu systemów teleinformatycznych, w rozumieniu art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570 oraz z 2018 r. poz. 1000, 1544 i 1669). Administratorem danych zgromadzonych w rejestrze jest minister właściwy do spraw środowiska.

3. Karta Urządzenia oraz Karta Systemu Ochrony Przeciwpożarowej zawierają w szczególności: 1) dane urządzenia; 2) nazwę operatora, jego adres i siedzibę oraz numer identyfikacji podatkowej, o ile został nadany, a w przypadku operatora będącego osobą fizyczną prowadzącą działalność gospodarczą − adres wykonywania działalności, a także imię i nazwisko, numer telefonu i adres poczty elektronicznej wszystkich osób kontaktowych wyznaczonych przez operatora, którym został przez niego nadany dostęp do karty, imię i nazwisko osoby, która założyła kartę, i każdej osoby, która dokonała wpisu do karty, datę sporządzenia karty oraz datę dokonania każdego kolejnego wpisu do karty;

6. Administratorem danych zawartych w Centralnym Rejestrze Operatorów jest wyspecjalizowana jednostka.

Ustawa z dnia 5 lipca 2018 r. o tachografach:

Art. 27. 1. Prezes GUM prowadzi ewidencję podmiotów posiadających zezwolenie. 2. Prezes GUM jest administratorem danych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej „rozporządzeniem (UE) 2016/679”, zawartych w ewidencji. W ewidencji gromadzi się następujące dane i informacje: 1) firmę lub imię i nazwisko podmiotu posiadającego zezwolenie oraz jego adres; 2) zakres zezwolenia; 3) miejsca świadczenia usług; 4) dotyczące technika warsztatu: a) imię i nazwisko, b) numer PESEL, a w przypadku osoby nieposiadającej numeru PESEL – numer i nazwę dokumentu potwierdzającego tożsamość oraz nazwę organu, który wydał ten dokument,

Ustawa z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa:

14) portalu podatkowym – rozumie się przez to system teleinformatyczny administracji skarbowej służący do kontaktu organów podatkowych z podatnikami, płatnikami i inkasentami, a także ich następcami prawnymi oraz osobami trzecimi, w szczególności do wnoszenia podań, składania deklaracji oraz doręczania pism organów podatkowych za pomocą środków komunikacji elektronicznej;

§ 4. Minister właściwy do spraw finansów publicznych zapewnia funkcjonowanie portalu podatkowego i jest administratorem danych podatników, płatników, inkasentów, ich następców prawnych oraz osób trzecich korzystających z tego portalu.

Odwołujące się do UODO 1997

Ustawa z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego, niestety odwołuje sie do UODO 1997:

Art. 11. 1. Minister właściwy do spraw administracji publicznej jest administratorem danych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138) przetwarzanych w systemie.

Ustawa z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym:

Art. 4. 1. Tworzy się Rejestr Sprawców Przestępstw na Tle Seksualnym, zwany dalej „Rejestrem”

2. Minister Sprawiedliwości jest administratorem danych osobowych zgromadzonych w Rejestrze w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138).

Ustawa z dnia 2 kwietnia 2009 r. o obywatelstwie polskim:

Art. 59. 1. Minister właściwy do spraw wewnętrznych tworzy i prowadzi w systemie teleinformatycznym centralny rejestr danych o nabyciu i utracie obywatelstwa polskiego, zwany dalej „rejestrem centralnym”. 2. Minister właściwy do spraw wewnętrznych jest administratorem danych przetwarzanych w rejestrze centralnym w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723)2)

Ustawa z dnia 22 sierpnia 1997 r. o publicznej służbie krwi:

Art. 17. 1. Tworzy się system e-krew.

3. Administratorem danych, w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), gromadzonych w systemie e-krew jest minister właściwy do spraw zdrowia.

Ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym:

Art. 1. 1. Tworzy się Krajowy Rejestr Karny, zwany dalej „Rejestrem”.

2. Minister Sprawiedliwości jest administratorem danych osobowych zgromadzonych w Rejestrze w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia ©Kancelaria Sejmu s. 5/28 19.02.2019 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723)2) , zwanej dalej „ustawą o ochronie danych osobowych”.

Ustawa z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej:

Art. 14g. 1. System Wspomagania Decyzji Państwowej Straży Pożarnej, zwany dalej „SWD PSP”, stanowi system teleinformatyczny wspierający wykonywanie zadań krajowego systemu ratowniczo-gaśniczego przez wszystkie jednostki organizacyjne Państwowej Straży Pożarnej, jak również przyjmowanie zgłoszeń alarmowych z centrów powiadamiania ratunkowego, o których mowa w ustawie z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego

Art. 14h. 1. Państwowa Straż Pożarna może przetwarzać dane, uzyskane w związku z obsługą zgłoszenia alarmowego, o której mowa w art. 2 pkt 2 ustawy z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego, w tym dane osoby zgłaszającej i innych osób, których zgłoszenie dotyczy. 2. Komendant Główny Państwowej Straży Pożarnej jest administratorem danych, przetwarzanych w SWD PSP, w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138).

Ustawa z dnia 8 września 2006 r. o Państwowym Ratownictwie Medycznym:

Art. 24a. 1. Minister właściwy do spraw zdrowia: 1) nadzoruje System Wspomagania Dowodzenia Państwowego Ratownictwa Medycznego, zwany dalej „SWD PRM”;

2. Minister właściwy do spraw zdrowia, wojewodowie i dysponenci zespołów ratownictwa medycznego przetwarzają dane zarejestrowane w SWD PRM, w tym nagrania rozmów telefonicznych, dane osobowe osoby zgłaszającej, dane innych osób wskazanych w trakcie przyjmowania zgłoszenia, pozycje geograficzne, dane teleadresowe lub opis zdarzenia, i udostępniają je na wniosek sądu, prokuratury, Policji, Rzecznika Praw Pacjenta lub Narodowego Funduszu Zdrowia.

Art. 24c. 1. Minister właściwy do spraw zdrowia jest administratorem danych w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) oraz innych danych uzyskanych w związku z przyjmowaniem oraz obsługą zgłoszeń alarmowych i powiadomień o zdarzeniach z wykorzystaniem SWD PRM.

Ustawa z z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014–2020:

Art. 69. 1. Tworzy się centralny system teleinformatyczny wspierający realizację programów operacyjnych.

Art. 71. 1. Minister właściwy do spraw rozwoju regionalnego jest administratorem danych osobowych gromadzonych w centralnym systemie teleinformatycznym w rozumieniu przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723)2)

Aktualizacja – zmiany w “ustawie o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679”

W ustawie z dnia 26 stycznia 1982 r. – Karta Nauczyciela (Dz. U. z 2018 r. poz. 967 i 2245):

Art. 85w. 1. Minister właściwy do spraw oświaty i wychowania prowadzi centralny rejestr orzeczeń dyscyplinarnych, zwany dalej „rejestrem”, w którym gromadzi się informacje o nauczycielach prawomocnie ukaranych karami dyscyplinarnymi, o których mowa w art. 76 ust. 1 pkt 3 i 4, oraz informacje o zawieszeniu nauczyciela w pełnieniu obowiązków, o którym mowa w art. 85t ust. 1–3.

4. Administratorem danych zgromadzonych w rejestrze jest minister właściwy do spraw oświaty i wychowania.

W ustawie z dnia 26 października 1982 r. o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi (Dz. U. z 2018 r. poz. 2137 i 2244):

Art. 25b. Wójt (burmistrz, prezydent miasta) jest administratorem danych, o których mowa w art. 25a ust. 1 i 2, przetwarzanych przez powołaną przez niego gminną komisję rozwiązywania problemów alkoholowych.

Ustawa z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej:

Art. 14g. 1. System Wspomagania Decyzji Państwowej Straży Pożarnej, zwany dalej „SWD PSP”, stanowi system teleinformatyczny wspierający wykonywanie zadań krajowego systemu ratowniczo-gaśniczego przez wszystkie jednostki organizacyjne Państwowej Straży Pożarnej, jak również przyjmowanie zgłoszeń alarmowych z centrów powiadamiania ratunkowego, o których mowa w ustawie z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego

Art. 14ha. 1. Komendant Główny Państwowej Straży Pożarnej, komendanci wojewódzcy Państwowej Straży Pożarnej, komendanci powiatowi (miejscy) Państwowej Straży Pożarnej, Rektor-Komendant Szkoły Głównej Służby Pożarniczej i komendanci szkół Państwowej Straży Pożarnejwspóładministratorami danych osobowych przetwarzanych w SWD PSP.

W ustawie z dnia 24 sierpnia 1991 r. o Państwowej Straży Pożarnej (Dz. U. z 2018 r. poz. 1313, 1592 i 1669):

Art. 28b. 1. Państwowa Straż Pożarna jest uprawniona do przetwarzania informacji, w tym przetwarzania danych osobowych, w celu prowadzenia postępowań kwalifikacyjnych do służby w Państwowej Straży Pożarnej, przenoszenia do służby w Państwowej Straży Pożarnej oraz w zakresie wynikającym z przebiegu stosunku służbowego strażaków, także po jego ustaniu, w tym przetwarza dane osobowe, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.20)).

2. Administratorami danych osobowych, o których mowa w ust. 1, są Komendant Główny Państwowej Straży Pożarnej, komendanci wojewódzcy Państwowej Straży Pożarnej, komendanci powiatowi (miejscy) Państwowej Straży Pożarnej, Rektor-Komendant Szkoły Głównej Służby Pożarniczej, komendanci szkół Państwowej Straży Pożarnej, Dyrektor Centrum Naukowo-Badawczego Ochrony Przeciwpożarowej i Dyrektor Centralnego Muzeum Pożarnictwa, zwani dalej „administratorami”, w zakresie, w jakim przetwarzają te dane.

W ustawie z dnia 5 lipca 1996 r. o doradztwie podatkowym (Dz. U. z 2019 r. poz. 283):

Art. 25a. 1. Minister właściwy do spraw finansów publicznych jest administratorem danych przetwarzanych w celach związanych z działalnością Państwowej Komisji Egzaminacyjnej do Spraw Doradztwa Podatkowego oraz organizacją egzaminu na doradcę podatkowego.

Art. 63a. 1. Krajowa Izba Doradców Podatkowych jest administratorem danych przetwarzanych przez organy samorządu doradców podatkowych w celu realizacji zadań lub obowiązków tych organów.

Ustawa z dnia 22 sierpnia 1997 r. o publicznej służbie krwi:

Art. 17. 1. Tworzy się system e-krew.

3. Administratorem danych gromadzonych w systemie e-krew jest minister właściwy do spraw zdrowia.

Ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym:

Art. 1. 1. Tworzy się Krajowy Rejestr Karny, zwany dalej „Rejestrem”.

2. Minister Sprawiedliwości jest administratorem danych zgromadzonych w Rejestrze.”.

Ustawa z dnia 27 lipca 2001 r. o kuratorach sądowych:

Art. 9b. Administratorem danych przetwarzanych w celu wykonania zadań lub obowiązków przez kuratora sądowego jest prezes sądu, w którym kurator sądowy pełni obowiązki służbowe.

Czy adres IP stanowi dane osobowe?

Ten problem wraca co jakiś czas przy okazji internetowych rozmów. Istniał on w czasach poprzedniej Ustawy o ochronie danych osobowych i istnieje dzisiaj w czasach RODO. Skąd w ogóle bierze się to pytanie? W kontekście RODO można je zadać po lekturze definicji danych osobowych oraz Motywu 30:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Art. 4 pkt 1) RODO

Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Motyw 30 RODO

Zanim przedstawię cytaty z wyroku Trybunału Sprawiedliwości UE, które wiele wyjaśniają, przedstawię moją wypowiedź z jednej z internetowych dyskusji w której mniej prawniczym żargonem argumentowałem czemu adres IP w przytłaczającej większości wypadków nie stanowi danych osobowych:

[A]dres IP jest adresem urządzenia a nie użytkownika. Jeżeli jakiś użytkownik “przychodzi z pewnego adresu IP”, to ten adres IP może być adresem każdego z sieciowych urządzeń pośredniczących. W przypadku adresu IP widzianego z perspektywy Internetu niemalże na 100% będzie to adres jakiegoś routera obsługującego setki lub tysiące użytkowników. Dotarcie do konkretnego komputera wymaga nakazów sądowych wobec operatorów internetowych, który odczytują dalsze dane z tego routera podając kolejny adres IP, który być może prowadzi do czyjegoś urządzenia a być może… do kolejnego routera, i do kolejnego routera, i do kolejnego.

Praktycznym przykładem tego, że IP nie stanowi danych osobowych, jest to, że Policja czasami zawzięcie namierza różnego rodzaju złoczyńców (ostatnio modna jest “mowa nienawiści”, groźby przez Internet) aż do konkretnego komputera w konkretnym budynku i… sprawa jest umarzana. Dlaczego? W danym budynku może pracować 10 osób albo mieszkać 5 osobowa rodzina, wszyscy korzystają z tego samego komputera i nikt się nie przyznaje. Mogliby wtedy zadziałać, gdyby mieszkał tam jakiś samotnik, który miałby komputer ORAZ router domowy zabezpieczony tak, że tylko ona sam mógłby się tam zalogować.

Przywołałeś przykład sieci w jednym pokoju. Ten przykład jest o tyle korzystny dla Twojej tezy, że ludzie w jednym pokoju, gdy są podłączeniu do jednej sieci, będą prawdopodobnie widzieć swoje “bezpośrednie IP”, nie będzie widać urządzeń pośredniczących. W dalszym ciągu jednak żadna z osób, gdyby jej przedstawić numer IP, nie potrafiłaby powiedzieć, do którego urządzenia ono należy ani tym samym do jakiej osoby. Dodatkowo że końcowi użytkownicy zazwyczaj mają zmienne IP.

Wobec tego kiedy adres IP ma możliwość być danymi osobowymi? W połączeniu z dodatkowymi informacjami – najlepiej z loginem czy adresem e-mail użytym w którymś momencie podczas korzystania z Internetu. Wówczas adres IP rozszerza możliwości śledzenia działań danej osoby, aczkolwiek i tak jest w tym zupełnie kiepski. Stąd rozwijają się techniki tzw. internetowego fingerprintingu, które próbują skonstruować w sposób matematyczny unikalny numer identyfikacyjny użytkownika biorąc pod uwagę właściwości karty graficznej, rozdzielczości monitora i wiele, wiele innych informacji, które uzyskać można na temat internauty. Dużym problemem dla podmiotów śledzących jest śledzenie pracowników firm, bo Ci przeważnie nie tylko mają wspólny adres IP, ale zazwyczaj też identyczne komputery (firma zakupuje np. 200 sztuk identycznych w ramach przetargu). Nawet na to jednak znajduje się sposoby, np. wykorzystując błędy w protokole WebRTC do przechwycenia dodatkowych wewnętrznych adresów IP.


Teraz kilka cytatów z wyroku TSUE z dnia 19 października 2016 r. w sprawie C‑582/14. Sprawa dotyczyła zbierania adresów IP w logach serwerowych.

Trybunał uznał zasadniczo, że adresy IP użytkowników Internetu stanowią chronione dane osobowe, jako że pozwalają na precyzyjną identyfikację tych użytkowników. Niemniej powyższe twierdzenie Trybunału odnosiło się do przypadku, w którym gromadzenie i identyfikacja adresów IP użytkowników Internetu są dokonywane przez dostawców dostępu do Internetu.

Czyli adresy IP same w sobie są danymi osobowymi, gdy są przetwarzane przez operatorów telekomunikacyjnych. Wynika to z tego, że mają oni możliwości dochodzenia tożsamości użytkowników, której nie ma nikt inny. Dla nikogo innego nie są one danymi osobowymi same w sobie.

bezsporne jest, iż dynamiczny adres IP nie stanowi informacji odnoszącej się do „zidentyfikowanej osoby fizycznej”, jako że taki adres nie ujawnia bezpośrednio tożsamości osoby fizycznej będącej właścicielem komputera, z którego była przeglądana strona internetowa, ani tożsamości innej osoby, która mogłaby korzystać z tego komputera.

Czyli dynamiczny adres IP sam w sobie nie stanowi danych osobowych.

Należy jednak ustalić, czy możliwość połączenia dynamicznego adresu IP z owymi dodatkowymi informacjami będącymi w posiadaniu tego dostawcy dostępu do Internetu stanowi sposób, który może, racjonalnie rzecz biorąc, zostać zastosowany w celu zidentyfikowania osoby, której dane dotyczą.

Czyli adresy IP mogą stać się danymi osobowymi jeżeli ten, kto je przetwarza, dysponuje dodatkowymi informacjami.

dynamiczny adres IP zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w rozumieniu tego przepisu, w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu dla tej osoby.

To jest bardzo interesująca wypowiedź. Dotyczy ona sytuacji takiej, w której “dostawca usług medialnych” (np. serwis internetowy) może w świetle prawa zwrócić się do operatora telekomunikacyjnego (np. Netia, Orange etc.) o uzyskanie dodatkowych informacji o danym adresie IP celem np. wszczęcia postępowania karnego. Jeżeli takie coś jest możliwe prawnie w danym kraju, to wówczas można mówić o tym, że adres IP – nawet dynamiczny – stanowi dane osobowe.

Czy w Polsce w takim razie jest to możliwe? Wedle mojej obecnej wiedzy: nie. Operator może współpracować w tej sprawie np. z Policją, ale nie ze zwykłym “dostawcą usług”. Innymi słowy, dynamiczny adres IP nie jest wtedy daną osobową.

Co jednak w przypadku adresów IP pochodzących spoza Polski? Jeżeli byłyby kraje, z których operatorzy udzielaliby takich informacji wobec ludzi, których obsługują, wówczas naturalnie mielibyśmy dane osobowe.

Rozmaite uzupełniające rozważania na ten temat znalazłem też tutaj i polecam:

Dla kompletności wspomnę tutaj jeszcze o interpretacji GIODO zza czasów poprzedniej ustawy:

adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.

Nagrania i prezentacje PDF z konferencji “po RODO we PRZYPADKI” 13 grudnia

Otwarcie konferencji – Jarosław Feliński, Prezes SIODO

“po RODO we PRZYPADKI” – Jarosław Feliński, Prezes SIODO

“Po RODO wa rzeczywistość” – Przemysław Kuczkowski r.pr., SIODO

“RODO nie RODeO” – Natalia Bender, Wiceprezes SIODO

“RODO a Kultura Bezpieczeństwa” – Prof. Marian Cieślarczyk, WAT

“RODO EDUKACJA” – Jarosław Feliński, Prezes SIODO

“RODO PRZYPADKI” – Justyna Aniszewska, SIODO

“RODO a UODO i prawo resortowe” – Katarzyna Staśkowiak, SIODO

“RODOWANIE” – Przemysław Kanikowski, SIODO

UODO twierdzi, że pracodawca nie może weryfikować dokumentów

Ciekawostka z opublikowanego w zeszły czwartek przez Urząd Ochrony Danych Osobowych “Poradnika dla przedsiębiorców“: otóż, pracodawcy NIE WOLNO sprawdzać dokumentów przedłożonych przez kandydata do pracy dzwoniąc do podmiotów, które te dokumenty wystawiły. Czyli NIE WOLNO mu dzwonić do uczelni, aby zweryfikować dyplom, czy do poprzedniego pracodawcy, aby zweryfikować referencje.

To, co pracodawca może, to ewentualnie “mieć podejrzenia” i na ich podstawie złożyć zawiadomienie o możliwości popełnienia przestępstwa z tytułu art 270 Kodeksu Karnego (“Fałszowanie dokumentu i używanie go za autentyczny”).

Konsekwencje uznania adresu e-mail za dane osobowe

Dane osobowe to kłopotliwa sprawa, bo wymagają szczególnej ochrony, gdy są przetwarzane w celach zarobkowych, zawodowych lub statutowych (czyli innych niż prywatne). W związku z tym ich istnienie lub też nagłe zaistnienie w systemie informatycznym pociąga za sobą rozmaite konsekwencje – pojawia się obowiązek wdrożenia zabezpieczeń i funkcjonalności wymaganych przez prawo. Z perspektywy informatyka-wykonawcy oznacza to przede wszystkim dodatkowe nakłady pracy a dla klienta przekłada się to na wzrost kosztu wykonania systemu oraz konieczność prowadzenia wymaganej prawem dokumentacji, ewidencji, nadawania upoważnień. Jak się okazuje, uniknięcie komplikacji jest wcale niełatwe zważywszy na to, że według Głównego Inspektora Ochrony Danych Osobowych już sam adres e-mail może być danymi osobowymi a system przetwarzający adresy e-mail przetwarza właśnie dane osobowe:

„Specyfiką Internetu jest to, że aby zamówić newsletter danego serwisu należy wpisać na jego stronie swój adres e-mail, który w rozumieniu ustawy o ochronie danych osobowych stanowi dane osobowe.” [źródło]


Można znaleźć znacznie szerszy opis zagadnienia klasyfikacji adresów poczty elektronicznej jako danych osobowych w rozmaitych innych publikacjach – np. w „ABC Zagrożeń Bezpieczeństwa Danych Osobowych w Systemach Informatycznych” (rozdział 2.5). Polecam tę lekturę, bo zawiera ona także ciekawe wypowiedzi na temat traktowania adresów IP, loginów i pseudonimów jako danych osobowych.

W wielkim skrócie: adres e-mail dosyć często może być danymi osobowymi, chociaż w wielu przypadkach tak nie jest. W każdym przypadku konieczne jest indywidualne podejście i analiza. Może być też tak, że pewien adres e-mail stanie się danymi osobowymi po upływie czasu – np. gdy korzystający z niego użytkownik tak dalece go rozpowszechni w Internecie, że ktokolwiek posiadając ten adres poczty i korzystając z wyszukiwarki internetowej będzie w stanie w ciągu minut albo nawet sekund dotrzeć do tożsamości jego właściciela.

Dla informatyka-wykonawcy może oznaczać to komplikacje, gdy jego klient zażyczy sobie, aby jego serwis internetowy zawierał np.:

  • Zapis do newslettera;
  • Obsługę newsletterów lub inną funkcjonalność związaną z mass-mailingiem – np. różnego rodzaju wysyłka powiadomień;
  • Rejestrację kont dla użytkowników, którzy dzięki temu będą mieli dostęp do dalszych funkcjonalności, jeżeli wymagany będzie adres e-mail;
  • Mechanizm potwierdzania decyzji użytkownika poprzez wysyłanie e-mailem linków potwierdzających, tymczasowych haseł, kodów lub tokenów;
  • Mechanizm przypominania hasła wysyłający nowe hasło e-mailem;
  • Wymuszanie podania adresu e-mail jako rodzaj zabezpieczenia przy np. komentowaniu artykułów.

Niektóre z wymienionych wyżej funkcjonalności są, niestety, nie tylko popularne, ale mocno wbudowane w dostępne oprogramowanie open-source, co od razu utrudnia informatykowi-wykonawcy bazowanie na gotowych rozwiązaniach. Musiałby on bowiem zadbać o to, aby dany system lub komponent przystosować do zapewniania poufności, integralności i rozliczalności. Te dwa ostatnie atrybuty w szczególności mogą generować tutaj pracę. W kwestii poufności współczesne systemy raczej zapewniają rozmaite formy zabezpieczeń oraz kontroli dostępu, chociaż i tak trzeba w tym zakresie wszystko sprawdzić i doszlifować. Oprócz tego wymogi prawne nakazują nie tylko zbierać pewne dodatkowe informacje (np. data pierwszego wprowadzenia, data sprzeciwu), ale też wymagają, aby system informatyczny oferował funkcjonalność tworzenia stosownych raportów.

Możliwe są jednak takie rozwiązania, które być może ograniczą do pewnego stopnia koszty czasowe i finansowe przystosowywania systemu i jego komponentów. Po pierwsze, korzystając z zapisów Rozporządzenia MSWiA z 29 kwietnia 2004 roku, możliwe jest stosowanie wielu systemów w takim układzie, w którym niektóre z delegują części obowiązków i wymogów do innych – być może lepiej przystosowanych do ich spełnienia. Jeżeli więc klient posiada już u siebie jakieś systemy, które już korzystają z tej samej bazy danych osobowych albo nawet z bazy szerszej wobec której nowy system będzie zawierał jedynie podzbiór, wówczas jest możliwość ograniczenia prac. Przykładem takiej optymalizacji może być ograniczenie prac w zakresie zarządzania użytkownikami w nowo tworzonym systemie jeżeli klient korzysta z serwera LDAP albo Active Directory (pod warunkiem, że te usługi są odpowiednio zabezpieczone). Chodzi tutaj jednak tylko o niektóre obowiązki i wymogi – w dalszym ciągu trzeba włożyć sporo dodatkowej pracy.

Drugi sposób uzyskania optymalizacji kosztów wiąże się ze świadomym porzuceniem pewnych funkcjonalności oraz maksymalnym usunięciu danych osobowych z systemu. Przykładem niech ponownie będzie baza użytkowników serwisu, która zamiast loginu stosuje adres e-mail (dosyć często spotykane rozwiązanie) – możliwe jest przechowywanie takich loginów w postaci wyniku funkcji skrótu (podobnie jak przechowywane są hasła). W takiej formie login/e-mail nie stanowi już danych osobowych. Konsekwencją tego jest jednak to, że takie funkcjonalności jak mechanizm przypominania hasła czy też mass-mailing do użytkowników serwisu albo będą musiały być zmodyfikowane (np. przypominanie hasła poprzez odpowiedź na pytanie a mass-mailing tylko w wewnętrznych systemie komunikatów), albo będą musiałby być zwyczajnie usunięte lub nie wdrożone. Być może da się tutaj uzyskać różne kompromisowe rozwiązania, które jednak musiałby wcześniej ocenić prawnik – np. rozwiązanie takie, że użytkownik chcąc odzyskać hasło wprowadza swój adres e-mail, którego hash jest porównywany z tym w bazie danych i w przypadku zgodności wprowadzony adres jest jednorazowo używany do operacji wysłania hasła (nie jest on jednak nigdzie zapisywany).