Stwierdzenie ustawowe: "ilekroć w ustawie jest mowa o administratorze danych - rozumie się przez to organ, instytucję, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ust. 1 i 2, decydujące o celach i środkach przetwarzania danych osobowych" jest jednocześnie na tyle szerokie, że pozwala na dowolną interpretację, zwłaszcza w odniesieniu do organów administracji rządowej. Działalność tych organów ściśle określają przepisy kompetencyjne, które najczęś-ciej pomijają sprawę przetwarzania danych osobowych. Jednocześnie trudno sobie wyobrazić działalność tych organów bez przetwarzania danych. Kto więc jest administratorem danych osobowych - minister, szef centralnego organu, dyrektor generalny, dyrektor departamentu, wojewoda, kierownik wydziału lub terenowego organu administracji rządowej czy określony pracownik takiej instytucji? Jak ma postępować przy przetwarzaniu danych osobowych np. naczelnik urzędu skarbowego, gdzie zbiory powstają w wyniku wykonywania przepisów i wytycznych ministra finansów ze środków tego ministerstwa?

UOIN zakres podmiotowy określa w ust. 2 art. 1. Generalnie ustawa ma zastosowanie do wszystkich podmiotów sfery państwowej władzy publicznej i organów władzy publicznej, w sferze prywatnej działanie ustawy ograniczono wyłącznie do przedsiębiorców, jednostek naukowych lub badawczo-rozwojowych, ubiegających się o zawarcie lub wykonujących umowy związane z dostępem do informacji niejawnych, dotyczące realizacji zadań opłacanych w całości lub w części ze środków publicznych, w rozumieniu przepisów ustawy z dnia 10 czerwca 1994 r. o zamówieniach publicznych (Dz. U. z 1998 r. Nr 119, poz. 773).

Przyjęte rozwiązania legislacyjne należy w tym przypadku określić jako słuszne i nie budzące wątpliwości. W przypadku UODO wystarczy ograniczyć się wyłącznie do ustawowego podania kategorii podmiotów, natomiast UOIN - choć w wyniku wyliczenia podmiotów - spowodowała, że ustawą zostały objęte praktycznie wszystkie podmioty mające dostęp do informacji wymagających ochrony ze względu na interes państwa.

Jednocześnie tak przyjęte rozwiązania powodują, że wielokrotnie może się zdarzyć, iż podmiot przetwarzający informacje będzie zobowiązany do wypełniania warunków obu ustaw jednocześnie. Obie ustawy zawierają odpowiednie sformułowania zapobiegające konfliktom. UOIN w art. 1 ust. 3 stwierdza, że "przepisy ustawy nie naruszają przepisów innych ustaw o ochronie tajemnicy zawodowej lub innych tajemnic prawnie chronionych". Natomiast UODO w art. 5 napisano: "Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw". Zapis ten wyraźnie wskazuje, że przepisy takich ustaw stanowią lex specialis w stosunku do UODO i dają im prymat nad tą ustawą. Z zapisu tego jednoznacznie więc wynika, że UOIN i jej przepisy wykonawcze mogą w niektórych aspektach zabezpieczenia systemu informatycznego wyłączać zastosowanie UODO i przepisów wykonawczych do niej wydanych.

Kłopotliwe błędy

Kluczowym pojęciem UODO jest definicja danych osobowych określona w art. 6, niestety - jak podkreśla to A. Mednis - błędnie sformułowana. "Osobowy" charakter danych nie może być przypisany żadnej kategorii danych i to, czy pozwolą one na identyfikację osoby, wynika raczej z kontekstu, w jakim się pojawiają. Nie jest możliwe także ustalenie z góry pewnego katalogu danych osobowych, praktycznie w każdej chwili mogą bowiem pojawić się nowe kategorie informacji, pozwalających na identyfikację osób w określonych sytuacjach. Ustawa dotyczy wyłącznie danych o osobach fizycznych, nie chroni informacji o osobach prawnych lub innych jednostkach organizacyjnych.

UOIN zakres podmiotowy określa w definicji tajemnicy państwowej i służbowej zawartej w art. 2 pkt. 1 i 2. O ile pojęcie tajemnicy państwowej nie powinno budzić wątpliwości, o tyle problematyczne wydaje się zdefiniowanie tajemnicy służbowej. Zdefiniowano ją bowiem jako "informację niejawną nie będącą tajemnicą państwową, uzyskaną w związku z czynnościami służbowymi albo wykonywaniem prac zleconych, której nieuprawnione ujawnienie mogłoby narazić na szkodę interes państwa, interes publiczny lub prawnie chroniony interes obywateli albo jednostki organizacyjnej". Literalnie przyjmując zapis ustawowy, pomimo istnienia zapisu art. 1 ust. 3 UOIN, do kategorii informacji niejawnych stanowiących tajemnicę służbową dodaje wszystkie informacje zawierające dane osobowe (interes obywatela chroniony UODO), nie ujawnione do wiadomości publicznej przez przedsiębiorcę tajemnice przedsiębiorstwa, co do których podjął on niezbędne działania w celu zachowania ich poufności (prawnie chroniony interes jednostki organizacyjnej), tajemnice zawodowe określone odrębnymi przepisami rangi ustawowej (skarbowa, bankowa, lekarska itp.). Konsekwencje tak szerokiego zdefiniowania tajemnicy służbowej wystąpią w określeniu obowiązków podmiotów stosujących ustawę.

Jednocześnie obie ustawy dotyczą informacji przetwarzanych nie tylko w systemach teleinformatycznych. Zapis art. 2 ust. 2 UODO oraz definicja systemu informatycznego określona w 1 ust. 1 pkt. 1 rozporządzenia UODO wyraźnie wskazują, że polska ustawa - w przeciwieństwie do większości rozwiązań europejskich i Konwencji nr 108 Rady Europy z 28 stycznia 1981 r. - swoją ochroną obejmuje także informacje osobowe przetwarzane w klasycznych, papierowych systemach zbiorów danych. Art. 1 UOIN wyraźnie natomiast stwierdza, że przedmiotem ochrony jest informacja, niezależnie od formy i sposobu jej wyrażenia.