Odpowiedź na zapytanie w sprawie ochrony tajemnicy służbowej i państwowej oraz ochrony danych osobowych w Telekomunikacji Polskiej SA

V kadencja

Odpowiedź generalnego inspektora ochrony danych osobowych - z upoważnienia ministra -

na zapytanie nr 656

w sprawie ochrony tajemnicy służbowej i państwowej oraz ochrony danych osobowych w Telekomunikacji Polskiej SA

   Szanowny Panie Marszałku! W związku z zapytaniem złożonym przez Pana Posła Artura Zawiszę, skierowanym do Ministra Spraw Wewnętrznych i Administracji, w sprawie ochrony tajemnicy służbowej i państwowej oraz ochrony danych osobowych w Telekomunikacji Polskiej SA (pismo z dnia 14 lutego 2006 r. przekazane do Generalnego Inspektora 11 kwietnia 2006 r.), jako organ zajmujący się sprawami ochrony danych osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U. z 2002 r. Nr 101, poz. 926, ze zm.) składam za pośrednictwem Pana Marszałka wyjaśnienie sprawy będącej przedmiotem interpelacji Pana Posła w zakresie ochrony danych osobowych.

   W związku z zapytaniem złożonym przez Pana Posła do Ministra Spraw Wewnętrznych i Administracji (pismo z dnia 14 lutego br. przekazane do Generalnego Inspektora Ochrony Danych Osobowych 11 kwietnia br.) w sprawie ochrony tajemnicy służbowej i państwowej oraz ochrony danych osobowych w Telekomunikacji Polskiej SA, jako niezależny od rządu organ zajmujący się sprawami ochrony danych osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U. z 2002 r. nr 101, poz. 926, ze zm.) pozwalam sobie przekazać wyjaśnienie w zakresie dotyczącym ochrony danych osobowych w TP SA.

   Przetwarzanie przez Telekomunikację Polską SA danych osobowych jej klientów było przedmiotem zainteresowania Generalnego Inspektora Ochrony Danych Osobowych od początku jego działalności.

   Przeprowadzone przez Generalnego Inspektora w tym zakresie postępowania miały charakter częściowy i głównie dotyczyły naruszenia przepisów o ochronie danych osobowych w konkretnych, jednostkowych sprawach. Generalny Inspektor nie prowadził wobec Telekomunikacji Polskiej SA. postępowania o charakterze generalnym, które wiązałoby się z przeprowadzeniem kompleksowej kontroli procesu przetwarzania danych, niemniej jednak także kontrole cząstkowe (prowadzone w poszczególnych oddziałach TP SA) pozwalały na stwierdzenie, czy w firmie zastosowane zostały wymagane prawem środki techniczne i organizacyjne ochrony danych osobowych.

   Proces zabezpieczania danych przez Telekomunikację Polską SA był badany przez inspektorów Generalnego Inspektora w toku kontroli przeprowadzonych w lutych 2000 r. w Zakładzie Telekomunikacji Polskiej SA z siedzibą w Łodzi przy ul. Kościuszki 10/12, w grudniu 2000 r. w Telekomunikacji Polskiej SA z siedzibą w Warszawie przy ul. Irysowej 28, we wrześniu 2001 r. ponownie w Zakładzie Telekomunikacji Polskiej SA w Łodzi, w czerwcu 2003 r. w Oddziale Telekomunikacji Polskiej SA w Warszawie przy ul. Ciołka 6, w lipcu 2004 r. w Centrali Telekomunikacji Polskiej SA z siedzibą w Warszawie przy ul. Twardej 18 (czynności kontrolnych dokonano w Warszawie przy ul. Pięknej 19a) oraz w styczniu 2006 r. ponownie w Centrali Telekomunikacji Polskiej SA w Warszawie (czynności kontrolnych dokonano w Warszawie przy ul. Pięknej 19b oraz ul. Felińskiego 39).

   W trakcie czynności kontrolnych ustalono, iż Telekomunikacja Polska SA posiada wewnętrzną dokumentację opisującą procedury przetwarzania danych. Wprawdzie z punktu widzenia przepisów o ochronie danych osobowych zawierała ona pewne braki, jednakże były one usuwane w toku kontroli lub po jej zakończeniu poprzez wykonanie decyzji administracyjnej.

   Dla przykładu kontrola zabezpieczenia danych przetwarzanych w systemach informatycznych, przeprowadzona w Zakładzie Telekomunikacji Polskiej SA z siedzibą w Łodzi przy ul. Kościuszki 10/12 wykazała, że sposób postępowania z danymi osobowymi w Telekomunikacji Polskiej SA uregulowany został następującymi dokumentami: uchwałą nr 158/95 w sprawie przedsięwzięć organizacyjnych w zakresie bezpieczeństwa i ochrony informacji w systemach informatycznych Telekomunikacji Polskiej SA, regulaminem postępowania w zakresie bezpieczeństwa i ochrony informacji w systemach informatycznych Telekomunikacji Polskiej SA oraz uchwałą nr 173/98 w sprawie ochrony danych osobowych w Telekomunikacji Polskiej SA.

   W celu realizacji uchwały nr 173/98 dyrektorzy w poszczególnych zakładach TP SA wydawali szczegółowe zarządzenia. (Np. dyrektor Zakładu TP SA w Łodzi wydał zarządzenie nr 24 w sprawie wprowadzenia w Zakładzie Telekomunikacji w Łodzi instrukcji w zakresie bezpieczeństwa i ochrony informacji o systemach informatycznych TP SA, zarządzenie nr 32 w sprawie ochrony danych osobowych w TP SA, zarządzenie nr 40 w sprawie wprowadzenia w Zakładzie Telekomunikacji w Łodzi instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych oraz instrukcje: instrukcję dotyczącą zasad postępowania z zewnętrznymi nośnikami informacji, instrukcję dotyczącą zasad wyboru i trybu zmiany haseł dostępu, instrukcję określającą zasady postępowania przy tworzeniu wydruków oraz postępowania z tymi wydrukami, instrukcję określającą zasady postępowania przy składowaniu informacji i utrzymywaniu kopii archiwalnych systemu, instrukcję określającą zasady ochrony systemów informatycznych przed wirusami komputerowymi, instrukcję planu postępowania awaryjnego. Opracowano również szereg procedur w zakresie bezpieczeństwa przetwarzania danych, w tym m.in. ˝Podstawowe zalecenia w zakresie bezpieczeństwa sieci komputerowej w Zakładzie Łódź˝.)

   Wewnętrznymi przepisami uregulowane zostały także sprawy organizacyjne w celu zabezpieczenia danych osobowych klientów (np. kontrola przeprowadzona w styczniu 2006 r. w siedzibie TP SA w Warszawie przy ul. Felińskiego 39r - kontrolowano zabezpieczenia danych zastosowane w budynku wykazała, że choć brak było zainstalowanego systemu alarmowego, to ochrona wymienionego budynku była całodobowa, klucze do pomieszczeń ww. budynku zdeponowane były przy stanowisku ochrony i przechowywane w metalowej kasetce zamykanej na klucz, stanowisko ochrony posiadało wykaz osób upoważnionych do pobierania kluczy do poszczególnych pomieszczeń, pobieranie i zdawanie kluczy było odnotowywane w książce pobrania i zdania kluczy, a pracownik pobierający/zdający klucz potwierdzał ten fakt własnym podpisem. Ponadto osoby niezatrudnione w Telekomunikacji Polskiej SA wchodzące na teren budynku były wpuszczane do pomieszczeń po okazaniu dokumentu tożsamości i po wpisaniu do książki ewidencji ruchu osobowego, na stanowisku ochrony znajdowała się lista pracowników uprawnionych do przebywania na terenie budynku po godzinach pracy i w dni wolne od pracy, a sprzątanie pomieszczeń odbywało się w obecności pracowników). Takie zabezpieczenia dawały gwarancje spełnienia wymogów organizacyjnych niezbędnych do właściwej ochrony danych osobowych.

   W odniesieniu do kwestii zabezpieczenia danych przed dostępem osób nieupoważnionych stwierdzić zatem można, iż Telekomunikacja Polska SA od początku obowiązywania ustawy o ochronie danych osobowych wprowadzała środki techniczne i organizacyjne niezbędne do zabezpieczenia danych, wynikające z przepisów o ochronie danych osobowych.

   Mimo przygotowania i wykorzystywania stosownych zabezpieczeń organizacyjnych i technicznych do Generalnego Inspektora kierowane były skargi wskazujące na brak należytej staranności w przestrzeganiu przepisów o ochronie danych osobowych przez pracowników TP SA, niewykonywanie umów z klientem, zwłaszcza nierespektowanie zastrzeżenia co do niepublikowania danych w książkach telefonicznych, przekazywanie danych klientów do firm windykacyjnych mimo sporu co do istnienia długu przypisywanego klientom. Wiele ze skarg kierowanych do Generalnego Inspektora wskazywało na lekceważące traktowanie klientów firmy (np. skargi dotyczące niewłaściwego funkcjonowania tzw. błękitnej linii). Wynikiem postępowań administracyjnych było kierowanie zawiadomień do prokuratury o popełnieniu przestępstwa stypizowanego w przepisach karnych ustawy o ochronie danych osobowych.

   M.in. Generalny Inspektor kierował do prokuratury zawiadomienia o popełnieniu przestępstwa z art. 51 ust. 1 i 2 ustawy, polegającego na umyślnym udostępnieniu przez Telekomunikację Polską SA danych osobowych jej klienta podmiotom nieupoważnionym (np. firmie windykacyjnej w sytuacji wątpliwości co do istnienia wierzytelności) czy w sprawach niewykonywania obowiązków administratora danych wynikających z ustawy o ochronie danych osobowych (np. niewykonania obowiązku informacyjnego). We wszystkich przypadkach prowadzone przez organy ścigania postępowania karne przygotowawcze były umarzane bądź to ze względu - jak argumentowano - na brak informacji dostatecznie uzasadniających popełnienie przestępstwa, bądź z uwagi na fakt, iż czyn nie zawiera znamion czynu zabronionego nawet w sytuacjach, gdy do zawiadomienia dołączane były materiały z postępowania administracyjnego, w których przedstawiciele firmy wprost przyznawali się do uchybień będących przyczyną naruszeń prawa do ochrony danych osobowych klientów i do naruszenia tajemnicy telekomunikacyjnej.

   W tym stanie rzeczy można stwierdzić, że z punktu widzenia reakcji organów ścigania na naruszenia prawa dane klientów TP S.A., tak jak i dane osobowe innych obywateli nie są chronione, bowiem nawet za rażące naruszenie ich prawa podmioty dysponujące danymi osobowymi (tzw. administratorzy danych) nie ponoszą żadnej odpowiedzialności. Taka polityka prokuratury przyjęta jako obowiązująca sprawia, że prawo do ochrony danych jest iluzoryczne.

   Rozumiem jednak, że pytanie Pana Posła inspirowane było informacjami, które mogły wzbudzić niepokój co do prawidłowego zabezpieczenia danych osobowych w TP SA. W związku z powyższym uprzejmie proszę o udzielenie informacji, które mogłyby stanowić podstawę do przeprowadzenia kontroli we wskazanym zakresie.

   Łączę wyrazy szacunku

   Generalny inspektor ochrony danych osobowych

   Ewa Kulesza

   Warszawa, dnia 24 kwietnia 2006 r.