Ochrona danych
osobowych i
informacji
niejawnych
Bezpieczeństwo Wewnętrzne
II ROK Studia stacjonarne
sem. zimowy 2012/2013
Ochrona danych
osobowych i
informacji
niejawnych
Bezpieczeństwo Wewnętrzne
II ROK Studia stacjonarne
sem. zimowy 2012/2013
Zakres podmiotowy
ustawy o ochronie danych
osobowych
a) Podmioty publiczne
organy państwowe (np. NIK, Kancelaria Sejmu, Kancelaria Senatu, ZUS),
organy samorządu terytorialnego (np. wójt, burmistrz, prezydent
miasta),
państwowe i komunalne jednostki organizacyjne (np. miejskie zakłady
oczyszczania, miejskie zakłady komunikacji),
b) Podmioty prywatne
podmioty niepubliczne realizujące zadania publiczne (np. prywatne
zakłady opieki zdrowotnej, prywatne szkoły, itd.),
osoby fizyczne, tj. bez względu na np. ich narodowość, obywatelstwo,
zdolność do czynności prawnych, wiek, itp., osoby prawne (np.
stowarzyszenia, spółdzielnie, fundacje) i jednostki organizacyjne nie
będące osobami prawnymi (np. nie mające osobowości prawnej spółki
prawa handlowego), o ile nie przetwarzają danych w związku z
działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Zakres podmiotowy ustawy o
ochronie danych osobowych –
podmioty tzw. sfery prywatnej
Jeżeli chodzi o podmioty z
tzw. sfery prywatnej
tzw. sfery prywatnej, to art. 3
ust. 2 pkt 2 wskazuje przesłanki na jakich takie podmioty
zobowiązane są do stosowania ustawy o ochronie danych
osobowych, a zatem:
znajduje ona zastosowanie do wszystkich podmiotów
prawa, określając, że są nimi objęte osoby fizyczne i osoby
prawne oraz jednostki organizacyjne niebędące osobami
prawnymi,
posiadające miejsce zamieszkania lub siedziby na
terytorium RP; albo w państwie trzecim, o ile
przetwarzają dane osobowe przy wykorzystaniu środków
technicznych znajdujących się na terytorium
Rzeczypospolitej Polskiej,
przetwarzających dane osobowe w związku z działalnością
zarobkową, zawodową lub dla realizacji celów statutowych.
Wyłączenia podmiotowe
stosowania ustawy o
ochronie danych osobowych
Wyłączenia stosowania ustawy:
osoby nieżyjące – ograniczenia w przetwarzaniu takich
danych mogą jednak występować ze względu na ochronę
powszechnych dóbr osobistych (kult pamięci osoby
zmarłej)- vide definicja ochrony danych osobowych
osoby fizyczne, prawne i jednostki organizacyjne
niebędące osobami prawnymi, o ile nie przetwarzają
danych w związku z działalnością zarobkową, zawodową
lub dla realizacji celów statutowych - a contrario art. 3
ust. pkt 2 ustawy
podmioty mające siedzibę albo miejsca zamieszkania w
państwie trzecim, wykorzystujące środki techniczne
znajdujące się na terytorium Rzeczypospolitej Polskiej
wyłącznie do przekazywania danych – art. 3a ust. 1 pkt
2 ustawy o ochronie danych osobowych
osoby fizyczne, które wykorzystują dane wyłącznie w
celach
osobistych
osobistych lub
domowych
domowych – art. 3a ust. 1 pkt 1
ustawy o ochronie danych osobowych.
Wykorzystanie danych przez
osoby fizyczne wyłącznie dla
celów domowych lub
osobistych
Regulacją ustawy nie będą objęte czynności związane z
dokonywaniem operacji na książkach adresowych
dokonywaniem operacji na książkach adresowych
zlokalizowanych na osobistych komputerach (w
zlokalizowanych na osobistych komputerach (w
programach pocztowych) lub też w telefonach
programach pocztowych) lub też w telefonach
komórkowych.
komórkowych.
Rozwiązanie to należy uznać za słuszne, gdyż w
przeciwnym wypadku każda operacja na danych
osobowych dokonywana w celach osobistych np.
przesłania znajomemu lub otrzymania od niego wizytówki
za pośrednictwem telefonu komórkowego albo adresu e-
mail za pośrednictwem komputera, wiązałaby się z
koniecznością wypełnienia obowiązków określonych w
ustawie.
Działalność portali
społecznościowych
W tym kontekście istotne zagadnienia wiążą się z
działalnością portali społecznościowych, które umożliwiają
nierzadko użytkownikom umieszczenie na stronach
internetowych i upublicznienie ich własnych treści m.in.
danych osobowych.
W takim wypadku osoba, która zamieszcza dane dokonuje
tych działań (zakładając, że nie mają one celu zarobkowego)
w celach osobistych, nie jest więc objęta przepisami ustawy.
Przyjmuje się, że administratorami danych
przetwarzanych na serwisach społecznościowych i
podmiotami zobowiązanymi do przestrzegania
zarówno ustawy o ochronie danych osobowych, jak i
unijnej dyrektywy 95/46, są twórcy tych serwisów.
Osoba dotknięta działaniem osoby fizycznej, która umieściła
(upubliczniła) jej dane na portalu nie może wnosić o
przeprowadzenie kontroli ani o wydanie przez GIODO
odpowiedniej decyzji. Pozostają jej względem takiego
naruszyciela wyłącznie roszczenia cywilne związane z
naruszeniem dóbr osobistych (
KC).
Bardzo często naruszenia prywatności
związane są z tzw. tagowaniem zdjęć,
czyli ujawnianiem, kto znajduje się na
danej fotografii.
Nawet jednak, jeśli
Facebook czy nk.pl
jest
administratorem
danych
osobowych,
poszczególni jego
użytkownicy
powinni - zdaniem
GIODO - ostrożnie
posługiwać się
różnymi
narzędziami
stworzonymi
na potrzeby tego
portalu.
Działalność portali
społecznościowych
Niejednokrotnie zdarza się, że użytkownik publikuje zdjęcie swojej
klasy i oznacza wszystkich uczniów, którzy się na nim znajdują.
Często zaznacza na zdjeciu osobę X, nie zwracając uwagi, że w
rzeczywistości nie jest to ten X, którego "otagował", tworząc link
do jego profilu w serwisie. W tym momencie zostają
naruszone
prawa dwóch osób: tej, która została nieprawidłowo otagowana, bo
to nie ona jest na fotografii, i tej, która faktycznie występuje na
zdjęciu, a której przypisano niewłaściwy profil.
Pomimo, że użytkownicy portali, którzy zamieszczają dane
dokonują tych działań – z reguły – w celach osobistych, a zatem
nie ma do nich zastosowania ustawa o ochronie danych
osobowych, to osoby takie mogą narazić się na odpowiedzialność
cywilnoprawną związaną z naruszeniem dóbr osobistych, jak np.
prawo do prywatności, wizerunku bądź odpowiedzialność karną np.
zniesławienie.
Zakres przedmiotowy
ustawy
Art. 2 ust. 1
Ustawa określa zasady postępowania
przy przetwarzaniu danych osobowych
oraz prawa osób fizycznych, których
dane osobowe są lub mogą być
przetwarzane w zbiorach danych.
Podstawowe znaczenie ma tutaj definicja
zbioru danych.
Zbiór danych
Zgodnie z art. 7 pkt 1 ustawy za zbiór danych - rozumie
się każdy posiadający strukturę zestaw danych o
charakterze osobowym, dostępnych według określonych
kryteriów, niezależnie od tego, czy zestaw ten jest
rozproszony lub podzielony funkcjonalnie.
W nauce prawa zwrócono uwagę, że zestaw informacji,
aby zostać uznanym za zbiór danych osobowych, musi
kumulatywnie spełniać następujące warunki:
- zawierać dane osobowe,
- posiadać określoną, własną strukturę
- zapewniać dostęp do danych osobowych według
określonych kryteriów.
Zbiór danych
Cechą wyróżniającą zbiór danych od innego zestawu
danych jest zatem struktura, czyli takie uporządkowanie,
które daje możliwość wyszukania konkretnych danych
według określonego kryterium.
Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór
w rozumieniu przepisów ustawy o ochronie danych
osobowych, wystarczające jest kryterium umożliwiające
odnalezienie danych osobowych w zestawie.
Możliwość wyszukania według jakiegokolwiek kryterium
osobowego (np. imię, nazwisko, data urodzenia, PESEL)
lub nieosobowego (np. data zamieszczenia danych
w zbiorze) przesądza o uporządkowanym charakterze
zestawu danych i tym samym umożliwia zakwalifikowanie
tego zestawu jako zbioru danych osobowych.
Zbiór danych – przykłady
Zbiór akt postępowania administracyjnego
zawierając dane stron, ich adresy i inne
informacje, spełnia te kryteria i wobec tego jest
zbiorem danych w rozumieniu ustawy. Na
organie administracji (gminie) ciążą zatem takie
same obowiązki, jak na innych administratorach
danych, w szczególności zaś obowiązek
właściwego zabezpieczenia danych.
Wszelkie materiały gromadzone w formie akt, w
tym sądowe, prokuratorskie, policyjne i inne
zawierające dane osobowe, są zbiorem danych
osobowych w rozumieniu art. 7 pkt 1 ustawy.
Rejestr pacjentów przychodni lekarskiej,
ewidencja podatników.
Zakres przedmiotowy ustawy
o ochronie danych
osobowych
Zakres przedmiotowy
a) przetwarzanie danych osobowych w zbiorach
prowadzonych w systemie papierowym
(kartotekach, skorowidzach, księgach, wykazach i
innych zbiorach ewidencyjnych),
b) przetwarzanie danych osobowych w
systemach informatycznych, także w przypadku
przetwarzania danych osobowych poza zbiorem.
Wyłączenia przedmiotowe
stosowania ustawy
:
przetwarzanie danych osobowych w zbiorach doraźnych, tj.
wyłącznie ze względów technicznych, szkoleniowych lub w związku
z dydaktyką w szkołach wyższych, które po wykorzystaniu
podlegają obowiązkowi niezwłocznego usunięcia albo anonimizacji
– nie podlega reżimowi ustawy o ochronie danych osobowych za
wyjątkiem przepisów stanowiących o zabezpieczeniu takich
zbiorów przez okres ich funkcjonowania (rozdział 5 ustawy),
ustawy nie stosuje się do prasowej działalności
dziennikarskiej w rozumieniu prawa prasowego, działalności
literackiej lub artystycznej, za wyjątkiem przepisów
dotyczących zabezpieczeń i umożliwiających organowi ochrony
danych osobowych pozyskanie wyjaśnień oraz złożenie
zawiadomienia o popełnieniu przestępstwa, o ile wolność
wyrażania poglądów i rozpowszechniania informacji nie narusza
istotnie praw i wolności osoby, której dane dotyczą,
jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita,
wyłącza stosowanie ustawy,
jeżeli przepisy odrębnych ustaw, które odnoszą się do
przetwarzania danych, przewidują dalej idącą ich ochronę, niż
wynika to z ustawy o ochronie danych osobowych, stosuje się
przepisy tych ustaw.
Zasady przetwarzania danych
Zasady przetwarzania danych
osobowych
osobowych
Przetwarzanie danych
osobowych –definicja
Ustawodawca polski w art. 7 pkt 2 ustawy o ochronie
danych osobowych definiuje przetwarzanie danych
osobowych jako
jakiekolwiek operacje wykonywane
jakiekolwiek operacje wykonywane
na danych osobowych
na danych osobowych, takie jak:
- zbieranie,
- utrwalanie,
- przechowywanie,
- opracowywanie,
- zmienianie,
- udostępnianie
- usuwanie,
a zwłaszcza te, które wykonuje się w systemach
informatycznych.
Przetwarzanie danych
osobowych – definicja
Ustawa posługuje się szeroką definicją przetwarzania danych
osobowych.
W doktrynie przyjmuje się, że wyliczenie czynności, które mogą
składać się na przetwarzanie danych osobowych, ma
charakter przykładowy.
Oznacza to, że wszelkie operacje wykonywane na danych
osobowych - a nie tylko wymienione w tym przepisie -
stanowią ich przetwarzanie.
Nie budzi natomiast wątpliwości, że czynności wyraźnie w tym
przepisie wskazane mają charakter przetwarzania danych
osobowych.
Wystarczy zatem, aby zrealizowana została którakolwiek z
wymienionych operacji (np. samo zbieranie danych), a nawet
operacja inna niż wymieniona w przepisie mająca za
przedmiot dane osobowe, aby doszło do przetwarzania
danych osobowych.
Przetwarzanie danych
osobowych – definicja
Jak można sądzić kolejność operacji wskazanych w art. 7 pkt
2 nie jest przypadkowa i może być przydatna do ustalenia
ram czasowych przetwarzania danych.
O przetwarzaniu danych osobowych można mówić począwszy
od
zbierania danych
zbierania danych, a
skończywszy na ich usunięciu.
skończywszy na ich usunięciu.
Zarówno przed zbieraniem, jaki i po usunięciu danych
osobowych nie może być mowy o ich przetwarzaniu i tym
samym stosowaniu ustawy o ochronie danych osobowych.
Użyty w art. 7 pkt 2 zwrot „a zwłaszcza te, które wykonuje się
w systemach informatycznych” oznacza tyle, że nawet
wtedy, gdy określonej operacji na danych osobowych nie da
się określić jako zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie, a
może mieć to miejsce zwłaszcza w systemie informatycznym,
to i tak jest on przetwarzaniem w rozumieniu przepisów
ustawy o ochronie danych osobowych.
Zbieranie danych
osobowych
Ustawa o ochronie danych osobowych uznaje zbieranie danych
za jedną z czynności wchodzących w skład pojęcia
przetwarzania danych, wymieniając zbieranie danych na
pierwszym miejscu tego otwartego katalogu.
W ustawie o ochronie danych osobowych nie zdefiniowano
jednak pojęcia „zbieranie danych osobowych”.
Odwołać się w tym miejscu należałoby do słownika języka
polskiego, który definiuje „zbieranie”, jako „gromadzenie w
jednym miejscu, skupianie w posiadaniu”.
Zbieranie danych osobowych stanowi wstępne stadium
przetwarzania danych osobowych.
Jeżeli celem tym jest wyłącznie zapoznanie się z informacjami,
bez ich dalszego przetwarzania, wówczas nie można mówić o
zbieraniu danych osobowych.
Należy przyjąć, że pojęciem „zbieranie” nie jest objęte
odbieranie określonych informacji w trakcie komunikowania się
ludzi
Czy każde faktyczne zapoznanie
się z danymi osobowymi powinno
być kwalifikowane jako ich
zbieranie?
Zbieranie danych osobowych
Nie,
Jeżeli celem tym jest wyłącznie zapoznanie się z informacjami,
bez ich dalszego przetwarzania, wówczas nie można mówić o
zbieraniu danych osobowych.
Jeżeli natomiast odbywa się dalsze przetwarzanie zebranych
informacji, wówczas przyjąć należy, że w istocie dochodzi do
zbierania danych osobowych. Zatem do uznania, że mamy do
czynienia ze zbieraniem danych osobowych, koniecznym jest
wejście w posiadanie danych osobowych z zamiarem ich
dalszego przetwarzania.
Przykłady: udostępnienie przez osoby korzystające z
komunikacji miejskiej odcinka renty (emerytury), legitymacji
studenckiej do wglądu kontrolującym nie jest zbieraniem
danych osobowych objętych zakresem zastosowania ustawy.
Natomiast odnotowywanie już odpowiednich informacji przez
kontrolera może być kwalifikowane jako przetwarzanie
(zbieranie) danych osobowych!!!
Podobnie okazywanie do wglądu sprzedawcy dowodu
osobistego przy zakupie alkoholu.
Utrwalanie danych
osobowych
W przypadku utrwalenia danych osobowych
chodzi o zapisanie informacji (danych
osobowych) na materialnym nośniku.
Przykładem utrwalenia danych osobowych
może być zapisanie ich w zbiorach papierowych
lub też w systemie informatycznym.
Usunięcie danych
osobowych
Zgodnie z definicją ustawową zawartą w art. 7 pkt 3 ustawy
przez usuwanie danych należy rozumieć:
1) zniszczenie danych osobowych,
2) modyfikację danych osobowych, która nie pozwoli na
ustalenie tożsamości osoby, której dane dotyczą.
Co do pierwszej ze wskazanych czynności, to należy ją
utożsamiać z usunięciem bezpowrotnym danych jak
również z fizycznym unicestwieniem nośników danych, tak
by odtworzenie informacji na ich zapisanych nie było
możliwe.
Efektem takiego działania będzie brak możliwości dalszego
dokonywania jakichkolwiek operacji na tych informacjach.
Usunięcie danych
osobowych
Natomiast z modyfikacją, która nie pozwoli na ustalenie
tożsamości osoby zainteresowanej, mamy do czynienia
wówczas, gdy zgodnie z art. 6 ust. 3 ustawy informacja nie
umożliwia określenia tożsamości osoby fizycznej, ponieważ
wymagałoby to nadmiernych kosztów, czasu lub działań.
W praktyce chodzi o sytuacje, gdy dokonywane są na danych
osobowych takie operacje, które spowodują ich
anonimizację.
anonimizację.
Przykładowo: usunięcie części informacji o charakterze
osobowym - umożliwiających połączenie pozostałych informacji
z konkretną osobą fizyczną, które spowodują ich
anonimizację
(pozbawienie informacji cech danych osobowych).
W odróżnieniu od usunięcia (wymazania) danych lub
zniszczenia ich nośników, anonimizacja skutkuje możliwością
dalszego dokonywania operacji na części informacji, które
samodzielnie i łącznie nie będą umożliwiały zidentyfikowania
tożsamości konkretnej osoby fizycznej.
Zasady przetwarzania
danych osobowych
Ochrona danych osobowych polega między
innymi na określeniu, kiedy dozwolone, a
kiedy zabronione jest ich przetwarzanie.
W przepisach ustawy o ochronie danych
osobowych wskazanie podstaw, na których
może opierać się przetwarzanie danych
osobowych, nastąpiło:
- w art. 23 ustawy w odniesieniu do tzw.
danych osobowych zwykłych;
- w art. 27 ustawy w odniesieniu do tzw.
danych osobowych wrażliwych.
Zasady przetwarzania
danych osobowych
W stosunku do danych zwykłych (a
zatem innych niż wrażliwe) nie mamy
do czynienia z zasadą zakazu ich
przetwarzania.
Zatem przetwarzanie takich danych jest
co do zasady dopuszczalne, jednakże
pod warunkami wskazanymi w art. 23.
Zgoda osoby, której dane
dotyczą
Art. 23 ust. 1 pkt 1 ustawy wskazuje jedną z
podstawowych przesłanek legalizujących
przetwarzanie danych osobowych,
jaką jest
jaką jest
zgoda osoby, której dane dotyczą.
zgoda osoby, której dane dotyczą.
Art. 23 ust. 1 pkt 1
Przetwarzanie danych jest dopuszczalne
tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to
zgodę, chyba że chodzi o usunięcie
dotyczących jej danych,
Zgoda osoby, której dane
dotyczą
W art. 7 pkt 5 ustawodawca wyjaśnił, jak należy
rozumieć pojęcie zgody osoby, której dane
dotyczą.
W definicji tej wskazał, że zgoda osoby, której
dane dotyczą powinna być traktowana jako
oświadczenie
oświadczenie
woli
woli, którego treścią jest zgoda
na przetwarzanie danych osobowych tego, kto
składa oświadczenie. Dodatkowo, zgoda
nie
nie
może być domniemana
może być domniemana lub
dorozumienia z
dorozumienia z
oświadczenia woli o innej treści.
oświadczenia woli o innej treści.
Zgoda osoby, której dane
dotyczą
Z definicji tej nie wynikają wprawdzie
szczegółowe zasady formułowania takiej zgody,
jednakże podkreśla się, że z treści zgody na
przetwarzanie danych osobowych powinno
w sposób nie budzący wątpliwości wynikać:
- w jakim celu, w jakim zakresie,
- przez kogo dane osobowe będą przetwarzane.
Wyrażający zgodę musi mieć pełną
świadomość tego, na co się godzi.
Zgoda osoby, której dane
dotyczą
Zgoda nie może być także domniemana
lub dorozumiana z oświadczenia woli o
innej treści.
Nie spełnia tego wymagania podpisanie
oświadczenia o wyrażeniu zgody na
przetwarzanie danych, stanowiącego
dodatkowy element innego zobowiązania
nie zawierającego informacji o celach i
zakresie przetwarzania tych danych.
Oświadczenie woli
Pojęcie z zakresu prawa cywilnego.
Oświadczenie woli określane jest jako czynność konwencjonalna,
regulująca sytuację prawną podmiotów, których dotyczy.
Czynności konwencjonalne to czynności, których sens i znaczenie
wynika z określonych reguł (społecznych, obyczajowych, prawnych).
Oznacza przejaw woli ludzkiej zmierzający do wywołania skutku
prawnego w postaci powstania, zmiany, ustania stosunku prawnego.
Od oświadczeń woli odróżnić należy oświadczenia wiedzy. Choć ze
złożeniem oświadczenia wiedzy ustawodawca łączyć może określone
skutki prawne (np. zawiadomienie o wadach rzeczy), celem osoby
składającej oświadczenie wiedzy nie jest dokonanie czynności prawnej.
W związku z odwołaniem się przez ustawodawcę do cywilnoprawnej
konstrukcji oświadczenia woli, zastosowanie będą miały regulacje
kodeksu cywilnego w zakresie wykładni oświadczeń woli czy wad
oświadczeń woli.
Zgoda osoby małoletniej
Możemy mieć do czynienia z sytuacją wyrażania zgody przez osobę,
która nie ma zdolności do czynności prawnej (np. dzieci poniżej lat 13
lub całkowicie ubezwłasnowolnioną) lub przez osobę, która jest
ograniczoną w zdolności do czynności prawnej (w wieku do 18 roku
życia lub ubezwłasnowolnioną częściowo).
Osoby fizyczne w wieku do lat 13 i ubezwłasnowolnione całkowicie nie
mają rozeznania co do wszystkich skutków wyrażenia zgody na
przetwarzanie danych osobowych, a przede wszystkim (i to może
nawet bardziej istotne) nie ma rozeznania co do przysługujących jej
uprawnień.
Przepisy KC zawierają wyłączenie obowiązku uzyskania zgody
przedstawiciela ustawowego tylko i wyłącznie w przypadku zawarcia
umowy należącej do umów powszechnie zawieranych w drobnych
bieżących sprawach życia codziennego, z zastrzeżeniem , że nie
pociąga za sobą rażącego jej pokrzywdzenia (
KC).
Zgody na przetwarzanie danych osobowych nie można, porównywać
do drobnych bieżących spraw życia codziennego, a więc konieczne jest
uzyskanie zgody przedstawiciela ustawowego.
W przypadku osób z ograniczoną zdolnością do czynności prawnych,
należy odwołać się do przepisu
KC, który wskazuje, że do
ważności czynności prawnej, przez którą osoba ograniczona w
zdolności do czynności prawnych zaciąga zobowiązanie lub
rozporządza swoim prawem, potrzebna jest zgoda jej przedstawiciela
ustawowego.
Zgoda osoby małoletniej
Ważność umowy zależy od potwierdzenia jej przez
przedstawiciela ustawowego. Choć wyrażenie zgody na
przetwarzanie danych osobowych nie stanowi sensu
stricterozporządzenia swoim prawem, to można traktować jej
działanie podobnie, gdyż zakłada pełną świadomość
(rozeznanie) po stronie niepełnoletniej osoby co skutków jej
działań.
Konkludując, jeżeli porównywać wyrażenie zgody na
przetwarzanie danych osobowych do oświadczenia woli
zmierzającego do podjęcia czynności prawnej, należy przyjąć,
że zarówno w stosunku do osób nieposiadających zdolności do
czynności prawnych, jak i osób z ograniczoną zdolnością do
czynności prawnych, dla skuteczności zgody na przetwarzanie
danych wymagana jest zgoda przedstawiciela ustawowego
osoby, której dane dotyczą
Takie rozwiązanie gwarantuje większą ochronę prywatności
osób niepełnoletnich.
Cofnięcie zgody
W doktrynie reprezentowany jest pogląd zgodnie z
którym zgoda na przetwarzanie danych osobowych może
zostać cofnięta przez osobę, która jej udzieliła.
Chociaż pewnych argumentów przeciwko temu
stanowisku dostarcza wykładnia systematyczna
przepisów ustawy o ochronie danych osobowych oraz
przepisów szczególnych odnoszących się do
przetwarzania danych osobowych - w art. 4 ust. 2 pkt 2
ustawy o świadczeniu usług drogą elektroniczną oraz w
art. 174 pkt 3 Prawa Telekomunikacyjnego, gdzie
wyraźnie dopuszczono możliwość odwołania raz
udzielonej zgody, w tym zgody na przetwarzanie danych
osobowych, która w pewnych sytuacjach wymagana jest
przez przepisy tychże ustaw.
Cofnięcie zgody
Można więc argumentować, iż skoro przepisy
szczególne o ochronie danych osobowych w
rozumieniu art. 5 ustawy przyznają osobie, której
dane dotyczą, uprawnienie do odwołania zgody
na przetwarzanie danych osobowych, natomiast
stosownego uprawnienia brak jest w przepisach
ustawy ogólnej, uprawnienie takie nie przysługuje
na gruncie ustawy o ochronie danych osobowych.
Skutkiem cofnięcia zgody na przetwarzanie
danych osobowych będzie brak możliwości
powołania się na tą właśnie podstawę
przetwarzania danych.
Usuwanie danych
osobowych
Szczególna forma przetwarzania danych
osobowych, jaką jest ich usuwanie, nie
wymaga zgody osoby, której dane
dotyczą (wynika to z brzmienia przepisu
art. 23 ust. 1 pkt 1 in fine)
Wobec tego administrator danych nie
musi wykazywać istnienia podstawy
prawnej z art. 23 ust. 1 w przypadku
wykonywania czynności polegających
na usuwaniu danych.
Ochrona żywotnych
interesów osoby, której
dane dotyczą
Artykuł 23 ust. 3 ustawy przewiduje
wyłączenie z obowiązku uzyskania
zgody osoby, której dane dotyczą w
sytuacji, gdy
przetwarzanie danych
przetwarzanie danych
jest niezbędne dla ochrony
jest niezbędne dla ochrony
żywotnych interesów osoby, której
żywotnych interesów osoby, której
dane dotyczą, a uzyskanie zgody
dane dotyczą, a uzyskanie zgody
jest (przynajmniej czasowo)
jest (przynajmniej czasowo)
niemożliwe.
niemożliwe.
Ochrona żywotnych
interesów osoby, której
dane dotyczą
Zasadnicze znaczenie dla zastosowania przepisu art. 23 ust. 3
ustawy o ochronie danych osobowych ma wykładnia pojęcia
"żywotnych interesów".
W literaturze (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., s.
488-489) podkreśla się, że chodzi w tym wypadku o interesy o
dużym znaczeniu jak zdrowie, życie ale nie należy wykluczać
również interesów majątkowych.
Ponadto, przyjmuje się, że za dopuszczalne w takiej sytuacji
można uznać takie przetwarzanie danych, co do którego
zainteresowany - gdyby istniała taka możliwość - udzieliłby
swego zezwolenia (J. Barta, P. Fajgielski, R. Markiewicz,
Ochrona..., s. 489).
Należy również pamiętać, że wyłączenie obowiązku uzyskania
zgody osoby, której dane dotyczą ma charakter wyłącznie
czasowy. Stan uprawnionego przetwarzania danych w oparciu o
ten przepis trwa tak długo, jak nie jest możliwe uzyskanie
właściwego oświadczenia woli od tej osoby.
Niemożność uzyskania zgody może wynikać z np. tegp, że osoba
nieprzytomna, przebywa w nieznanym miejscu pobytu.
Zrealizowanie uprawnienia lub
spełnienie obowiązku
wynikającego z przepisów prawa
Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych
osobowych, przetwarzanie danych osobowych jest
dopuszczalne wtedy, gdy jest to niezbędne dla
zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa.
Warunkiem uznania przetwarzania danych osobowych za
zgodne z prawem w oparciu o przesłankę legalizującą,
wskazaną w art. 23 ust. 1 pkt 2 jest więc łączne
spełnienie następujących warunków:
a) istnienie odpowiedniego przepisu prawa, który
przyznaje podmiotowi uprawnienie lub nakłada na niego
obowiązek,
b) niezbędność przetwarzania danych dla zrealizowania
tego uprawnienia lub spełnienia obowiązku
wynikającego z tego przepisu.
Zrealizowanie uprawnienia
lub wykonanie obowiązku
wynikającego z przepisów
prawa
Jeżeli uprawnienie do przetwarzania danych
osobowych znajduje swoje źródło bezpośrednio
w przepisie prawa nie powinno się występować
o zgodę osoby, której dane dotyczą, na
przetwarzanie jej danych osobowych.
Może to bowiem prowadzić m.in. do mylnego
przekonania o swobodzie w zakresie podania
danych, w sytuacji gdy obowiązek ich podania
wynika z powszechnie obowiązujących
przepisów prawa.
Przetwarzanie danych
osobowych na potrzeby
umowy
Przetwarzanie danych jest dopuszczalne tylko wtedy,
gdy:
3) jest to konieczne do realizacji umowy, gdy osoba,
której dane dotyczą, jest jej stroną lub gdy jest to
niezbędne do podjęcia działań przed zawarciem umowy
na żądanie osoby, której dane dotyczą.
W art. 23 ust. 1 pkt 3 ustawodawca wskazał dwie sytuacje
związane z zawieraniem i wykonywaniem umowy,
legalizujące przetwarzanie danych osobowych:
1) określił, że przetwarzanie danych osobowych jest
dopuszczalne jeżeli jest to konieczne do realizacji
umowy, gdy osoba, której dane dotyczą, jest jej stroną
lub
2) działania takie są legalne gdy jest to niezbędne do
podjęcia działań przed zawarciem umowy na żądanie
osoby, której dane dotyczą .
Czy prawidłową praktyką jest
zamieszczanie w treści umowy
zawieranej z klientem klauzuli zgody
na przetwarzanie danych osobowych
tak, by osoba zgadzająca się na
zaproponowane warunki umowy,
zgadzała się jednocześnie na
przetwarzanie danych osobowych w
celu wykonania tej umowy lub w
innych celach wskazanych przez
administratora?
Nie, gdyż nie można uzależniać
wykonania umowy od wyrażenia zgody
na przetwarzanie danych osobowych
w określonym celu. Ponadto, na
wykorzystywanie danych w celu
zawarcia lub wykonania umowy zgoda
w ogóle nie jest potrzebna.
Do Generalnego Inspektora Ochrony Danych Osobowych zwracają się
osoby, które czują się zmuszane do wyrażania zgody na przetwarzanie ich
danych osobowych. Do takich sytuacji dochodzi najczęściej, przy okazji
zawierania różnego rodzaju umów. Sprzedawcy lub świadczeniodawcy
usług sporządzają kwestionariusze, formularze zawierające w ich treści
klauzulę zgody na przetwarzanie danych osobowych.
Takie klauzule, obejmują zgodę na przetwarzanie danych w celu
wykonania zawieranej umowy, a dodatkowo zgodę na wykonywanie
innych operacji na danych osobowych np. ich przekazywanie
innym podmiotom, udostępnianie, przekazywanie za granicę lub
wykorzystywanie w celach marketingowych.
Z takiej konstrukcji klauzuli zgody wynika, że jeśli klient nie zgodzi się na
wykorzystywanie jego danych osobowych w sposób określony przez firmę
w treści klauzuli, to tym samym nie zgodzi się na ich wykorzystywanie
w celu wykonania umowy.
Formularze zawierające takie klauzule zgody są przedkładane do podpisu
klientowi. Tym samym, klienci, przy okazji wypełniania przygotowanych
przez różne firmy formularzy czy druków, są niejako zmuszani do
wyrażania zgody na wykorzystywanie ich danych osobowych do
określonych w klauzuli zgody celów, pozostając w przekonaniu, że bez
wyrażenia tej zgody nie będą mogli skorzystać z produktów lub usług
świadczonych przez firmę, czyli nie będą mogli zrealizować umowy.
Przetwarzanie danych
osobowych na potrzeby
umowy
Tymczasem, zgodnie z ustawą o ochronie danych osobowych, na
wykorzystywanie danych w celu zawarcia lub wykonania umowy
zgoda w ogóle nie jest potrzebna.
Jeśli firma gromadzi dane swojego przyszłego klienta i ma zamiar
wykorzystywać je jedynie do celu realizacji umowy, którą z nim
zawiera, nie powinna zwracać się o zgodę na przetwarzanie danych.
Natomiast, gdyby firma zamierzała wykorzystać dane swoich klientów
w innym celu niż do realizacji lub wykonania umowy zawartej
z klientem nie spełniając przy tym żadnego z warunków określonych
w art. 23 ust. 1 pkt 2 - 5 ustawy, o taką zgodę powinna się zwrócić.
Podmiot, który przy okazji zawierania umowy zamierza również
pozyskać zgodę na przetwarzanie danych osobowych kontrahenta,
zobligowany jest do wyodrębnienia oświadczenia, którego treścią
jest zgoda na przetwarzanie danych osobowych, od oświadczenia
wyrażającego chęć związania się postanowieniami umowy.
Nie można bowiem utożsamiać woli zawarcia umowy ze złożeniem
oświadczenia woli, na podstawie którego osoba, której dane
dotyczą, zgadza się na wykorzystywanie jej danych osobowych do
innych celów.
Wykonywanie określonych
prawem zadań
realizowanych dla dobra
publicznego
Art. 23 ust. 1 pkt 4 ustawy stanowi, że
przetwarzanie danych osobowych jest
dopuszczalne jeżeli jest niezbędne
do wykonania określonych
prawem zadań realizowanych dla
dobra publicznego.
Zadania realizowane dla
dobra publicznego
Pojęcie zadań realizowanych dla dobra publicznego jest
powszechnie w nauce prawa utożsamiane z pojęciem
zadań publicznych
Zatem art. 23 ust. 1 pkt 4 może stanowić podstawę
prawna przetwarzania danych osobowych przez organy
władzy publicznej działające w wykonaniu przyznanych im
przez prawo kompetencji.
Jak zauważa GIODO, art. 23 ust. 1 pkt 4 ustawy dotyczy
sytuacji, gdy brak jest odpowiednich przepisów wprost
upoważniających do przetwarzania danych osobowych.
Zdarza się, że w orzecznictwie wskazuje się np. że
właściwe może być stosowanie tej przesłanki legalizującej
przetwarzanie danych osobowych w stosunku do banków
jako instytucji wykonujących zdania dla dobra publicznego
(wyr. WSA w Warszawie z 27.2.2004 r.,II SA 291/03
niepubl.). Chodzi w tym wypadku o działania zmierzające
do zapewnienia bezpieczeństwa państwa.
Klauzula prawnie
usprawiedliwionego celu
administratora
Wskazana w art. 23 ust. 1 pkt 5 ustawy tzw. klauzula
prawnie usprawiedliwionego celu administratora danych
osobowych jest jedną z podstaw prawnych
pozwalających na przetwarzanie danych bez
konieczności ubiegania się o zgodę osoby, której dane
dotyczą.
Przetwarzanie danych jest dopuszczalne tylko
wtedy, gdy:
5) jest to niezbędne dla wypełnienia prawnie
usprawiedliwionych celów realizowanych przez
administratorów danych albo odbiorców danych, a
przetwarzanie nie narusza praw i wolności osoby,
której dane dotyczą
Klauzula prawnie
usprawiedliwionego celu
administratora
Przesłanka legalizująca przetwarzanie danych
osobowych wskazana w art. 23 ust. 1 pkt 5
wprowadza klauzulę o charakterze ogólnym, w
ramach której ustawodawca dla przyjęcia, że
przetwarzanie danych bez zgody osoby, której
dane dotyczą, jest dopuszczalne w przypadku
zaistnienia łącznie następujących okoliczności:
a) przetwarzanie jest niezbędne do wypełnienia
prawnie usprawiedliwionych celów
administratora danych lub odbiorcy danych,
b) przetwarzanie danych nie narusza praw i
wolności osoby, której dane dotyczą.
Klauzula prawnie
usprawiedliwionego celu
administratora
Podkreśla się, że "termin "usprawiedliwione
cele" jest zwrotem niedookreślonym i stanowi
klauzulę generalną.
Administrator ma zatem ocenić, czy
przetwarzanie danych jest usprawiedliwione, a
także stwierdzić czy swoim działaniem nie
naruszy praw i wolności osoby, której dane
dotyczą. Przetwarzanie danych osobowych na
podstawie omawianej przesłanki jest możliwe,
jeżeli prawa i wolności osoby, której dane
dotyczą nie przeważają nad usprawiedliwionym
interesem administratora danych.
Klauzula prawnie
usprawiedliwionego celu
administratora
W art. 23 ust. 4 ustawy wskazano, że za
prawnie usprawiedliwiony cel uważa się w
szczególności:
1) marketing bezpośredni własnych
produktów lub usług administratora danych,
2) dochodzenie roszczeń z tytułu prowadzonej
działalności gospodarczej.
Klauzula prawnie
usprawiedliwionego celu
administratora
Przepis art. 23 ust. 4 ustawy określa wprost, że wskazane
w tej normie działania traktowane są jako "prawnie
usprawiedliwione" natomiast ustawodawca nie
przesądza o tym czy naruszają one prawa i wolności
osób, których dane dotyczą.
W konsekwencji, do naruszenia tej podstawy prawnej
przetwarzania danych osobowych w przypadku
przetwarzania danych w "usprawiedliwionych celach"
wskazanych art. 23 ust. 4, może dojść poprzez
naruszenie praw i wolności osoby, której dane dotyczą
(w tym np. prawa do prywatności) poprzez sposób ich
przetwarzania np. uciążliwe (ponad zwykłą miarę)
telefonowanie lub wysyłanie korespondencji.
Czy na gruncie przepisów ustawy o
ochronie danych osobowych
dopuszczalne jest przekazywanie
firmom windykacyjnym danych
osobowych dłużnika?
Tak, gdyż jej przepisy dopuszczają przetwarzanie danych
osobowych, jeśli spełnione są pewne, określone,
przesłanki.
Zgodnie z art. 23 ust. 1 pkt 5 ustawy o ochronie danych
osobowych przetwarzanie danych osobowych, w tym ich
udostępnianie, jest dopuszczalne, jeśli jest niezbędne dla
wypełnienia prawnie usprawiedliwionych celów realizowanych
przez administratorów danych albo odbiorców danych,
a przetwarzanie nie narusza praw i wolności osoby, której
dane dotyczą.
Ze względu na to, że - stosownie do art. 23 ust. 4 pkt
2 ustawy - za prawnie usprawiedliwiony cel uważa się
dochodzenie roszczeń z tytułu prowadzonej przez
administratora danych działalności gospodarczej,
przetwarzanie danych w takim przypadku jest prawnie
dopuszczalne
Przetwarza
nie danych
wrażliwych
Przepis art. 27 ust. 1 ustanawia
generalny zakaz przetwarzania
danych osobowych, które mogą być
uznane za dane wrażliwe, natomiast
ust. 2 tego przepisu określa sytuacje, w
których zakaz ten został przez
ustawodawcę wyłączony.
Przetwarzanie danych
wrażliwych
Przepis art. 27 ust. 1 określający
podstawy prawne dla przetwarzania
tzw. danych wrażliwych (zwanych też
często "danymi sensytywnymi") jest
skonstruowany w sposób odmienny
niż art. 23 określający przesłanki
legalizujące przetwarzanie tzw. danych
zwykłych (niewrażliwych).
Dane wrażliwe
Artykuł 27 ust. 1 definiuje pojęcie danych wrażliwych, jako
dane ujawniające:
pochodzenie rasowe lub etniczne,
poglądy polityczne, przekonania religijne lub filozoficzne,
przynależność wyznaniową, partyjną lub związkową,
jak również dane o stanie zdrowia, kodzie genetycznym,
nałogach lub życiu seksualnym
dane dotyczące skazań, orzeczeń o ukaraniu i mandatów
karnych, a także innych orzeczeń wydanych w
postępowaniu sądowym lub administracyjnym.
Dane osobowe wrażliwe (lub sensytywne) to szczególny rodzaj
informacji ważny dla ochrony prywatności każdego
człowieka.
Katalog tych informacji ma charakter zamknięty
Przetwarzanie danych
wrażliwych – zgoda osoby
Podstawową przesłanką uchylającą zakaz przetwarzania
danych sensytywnych jest zgoda osoby, której dane dotyczą.
Jest to przesłanka podobna do tej wskazanej art. 23 ust. 1 pkt
1. Podstawowym elementem odróżniającym jednak
oświadczenie o wyrażeniu zgody na przetwarzanie danych z
art. 27 ust. 2 pkt 1 od oświadczenia z art. 23 ust. 1 pkt 1 jest
wymóg złożenia takiego oświadczenia na piśmie.
Zgoda na przetwarzanie wrażliwych danych osobowych
udzielona w formie innej niż pisemna jest nieskuteczna.
Należy podkreślić, że na mocy ustawy z 18.9.2001 r. o
podpisie elektronicznym wymagania te spełnia bez wątpienia
złożenie odpowiedniego oświadczenia opatrzonego
bezpiecznym podpisem elektronicznym weryfikowanym za
pomocą ważnego kwalifikowanego certyfikatu.
Przetwarzanie danych
wrażliwych na podstawie
przepisów odrębnych ustaw
Ustawodawca przewidział szczególne
(odmienne od tych wskazanych w art. 23 ust. 1
pkt 2 ustawy) wymagania w związku z
przetwarzaniem danych osobowych
wrażliwych na podstawie odrębnych przepisów
prawa.
Zgodnie bowiem z art. 27 ust. 2 pkt 2 ustawy
przetwarzanie danych osobowych wrażliwych
dopuszczalne jest pod warunkiem, że
przepis
przepis
szczególny innej ustawy zezwala na
szczególny innej ustawy zezwala na
przetwarzanie takich danych bez zgody
przetwarzanie takich danych bez zgody
osoby, której dane dotyczą i stwarza
osoby, której dane dotyczą i stwarza
pełne gwarancje ich ochrony
pełne gwarancje ich ochrony
Żywotne interesy osoby,
której dane dotyczą
Przetwarzanie danych wrażliwych dozwolone jest, zgodnie z art.
27 ust. 2 pkt 3 również w przypadku, gdy:
a) przetwarzanie takich danych jest niezbędne do ochrony
żywotnych interesów osoby, której dane dotyczą, lub innej osoby
b) osoba, której dane dotyczą, nie jest fizycznie lub prawnie
zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna
prawnego lub kuratora.
Pojęcie ochrony "żywotnych interesów" osoby, której dane
dotyczą powinno być interpretowane jak analogiczne pojęcie
użyte przez ustawodawcę w art. 23 ust. 3 ustawy. Jedyną różnicą
w stosunku do powołanego przepisu ustawy jest okoliczność, że
wyłączenie zakazu przetwarzania danych wrażliwych w oparciu o
tą przesłankę może następować również w sytuacji ochrony
żywotnych interesów innej osoby - nie tylko osoby, której dane
dotyczą.
Jest to istotne np. w przypadku ochrony zdrowia osoby trzeciej z
uwagi na stan zdrowia (np. chorobę zakaźną) osoby, której dane
dotyczą.
.
Brak fizycznej lub prawnej
możliwości wyrażenia
zgody
Brak fizycznej lub prawnej możliwości złożenia
odpowiedniego oświadczenia woli może łączyć się więc
ze stanem fizycznym tej osoby - na który składa się nie
tylko stan zdrowia ale również inne okoliczności, które
mogą wyłączać świadome wyrażenie woli z jednej strony.
Z drugiej strony zaś w grę wchodzą ograniczenia natury
prawnej - czyli brak zdolności do czynności prawnych w
wyniku np. ubezwłasnowolnienia całkowitego.
Jako, że przetwarzanie w takim wypadku ma dotyczyć
danych wrażliwych, chodzi o niezdolność do złożenia
oświadczenia o wyrażeniu zgody, zgodnie z wymogami z
art. 27 ust. 2 pkt 1 ustawy, to znaczy w formie pisemnej.
Przetwarzanie danych wrażliwych w oparciu o
Przetwarzanie danych wrażliwych w oparciu o
wyłączenie z art. 27 ust. 2 pkt 3 może trwać
wyłączenie z art. 27 ust. 2 pkt 3 może trwać
jedynie do czasu ustanowienia opiekuna prawnego
jedynie do czasu ustanowienia opiekuna prawnego
lub kuratora dla takiej osoby.
lub kuratora dla takiej osoby.
Przetwarzanie danych
wrażliwych do wykonywania
zadań kościołów i innych
związków wyznaniowych
Kolejną przesłanką wyłączającą zakaz przetwarzania
danych wrażliwych jest okoliczność, że takie działanie:
a) jest niezbędne do wykonania statutowych zadań
kościołów i innych związków wyznaniowych,
stowarzyszeń, fundacji lub innych niezarobkowych
organizacji lub instytucji o celach politycznych,
naukowych, religijnych, filozoficznych lub związkowych,
b) pod warunkiem, że przetwarzanie danych dotyczy
wyłącznie członków tych organizacji lub instytucji albo
osób utrzymujących z nimi stałe kontakty w związku z
ich działalnością
c) zapewnione są pełne gwarancje ochrony
przetwarzanych danych.
Pozostałe przesłanki z art. 27 ust. 2:
5) przetwarzanie dotyczy danych, które są niezbędne do
dochodzenia praw przed sądem,
6) przetwarzanie jest niezbędne do wykonania zadań
administratora danych odnoszących się do zatrudnienia
pracowników i innych osób, a zakres przetwarzanych danych jest
określony w ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia,
świadczenia usług medycznych lub leczenia pacjentów przez
osoby trudniące się zawodowo leczeniem lub świadczeniem
innych usług medycznych, zarządzania udzielaniem usług
medycznych i są stworzone pełne gwarancje ochrony danych
osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do
wiadomości publicznej przez osobę, której dane dotyczą,
9) jest to niezbędne do prowadzenia badań naukowych, w tym do
przygotowania rozprawy wymaganej do uzyskania dyplomu
ukończenia szkoły wyższej lub stopnia naukowego; publikowanie
wyników badań naukowych nie może następować w sposób
umożliwiający identyfikację osób, których dane zostały
przetworzone,
10) przetwarzanie danych jest prowadzone przez stronę w celu
realizacji praw i obowiązków wynikających z orzeczenia wydanego
w postępowaniu sądowym lub administracyjnym.
Dziękuję za uwagę