Ochrona danych osobowych

Ochrona danych osobowych, nie tylko w Polsce, ale też i w skali międzynarodowej, jest bardzo młodą dziedziną prawa. Problematyka ta, w ramach dostosowywania naszego ustawodawstwa do wymogów unijnych, uregulowana została w ustawie z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tekst jednolity: Dz.U.2002r. Nr 101, poz. 926 ze zm.).

POJĘCIA STOSOWANE W USTAWIE

Ustawa wprowadza nowe pojęcia takie jak: dane osobowe, zbiór danych, przetwarzanie danych osobowych, administrator danych osobowych. Ich właściwe zrozumienie jest istotne zarówno dla tych, którzy dane osobowe przetwarzają, jak też dla tych osób, których dane mogą się znaleźć w zbiorach.

Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Nie stosuje się przepisów ustawy do przetwarzania wyłącznie danych osób prawnych, jednostek organizacyjnych nie posiadających osobowości prawnej, jak również do przedsiębiorców, którymi są osoby fizyczne. Rejestry handlowe oraz ewidencje działalności gospodarczej są jawne i ogólnodostępne. Ponadto dane osobowe osób fizycznych, ale już zmarłych również nie są objęte regulacją ustawy.

Kiedy osoba fizyczna jest możliwa do zidentyfikowania? Wtedy, kiedy jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Zatem w rozumieniu ustawy dane osobowe to nie tylko te informacje, które podawane są z reguły w urzędach, m.in. do kwestionariuszy osobowych (kadrowych), wniosków o wydanie dowodu, paszportu, prawa jazdy, itp. Dane osobowe to informacje dotyczące osoby, może to być jej charakterystyczny wygląd, hobby, przekonania polityczne, ulubione potrawy, jej wyniki sportowe, osiągnięcia naukowe, kod DNA, zdjęcie fotograficzne, nagranie z kamery przemysłowej, adres e-mail (zawierający nazwisko i ewentualnie imię), itp. o ile informacje te mogą przyczynić się do ustalenia tożsamości tej osoby.

Jeżeli dane osobowe znajdują się w jakimś zestawie, zestaw ten posiada swoją określoną strukturę i są również określone kryteria dostępu do danych (kryterium alfabetyczne, kryterium daty wpływu dokumentu, pisma, numeracja akt np. sądowych) to można mówić o zbiorze danych osobowych. Nie ma znaczenia wówczas czy ten zestaw danych osobowych jest jednolity czy też podzielony w sposób funkcjonalny (często tak bywa np. ze zbiorami danych kadrowych) – jest to jeden zbiór danych.

Przetwarzanie danych osobowych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Pod pojęciem przetwarzania można rozumieć nie tylko tworzenie czy modyfikowanie dokumentów z danymi osobowymi ale także takie czynności jak: zapoznawanie się np. z kwestionariuszem, przechowywanie dokumentów czy też fizyczne niszczenie nośników z danymi (dokumentacja papierowa, kasety, taśmy video, płyty CV, dyski komputerów), nawet bez możliwości zapoznania się z ich treścią.

Administratorem danych osobowych jest organ (urząd państwowy), jednostka organizacyjna nie posiadająca osobowości prawnej, osoba fizyczna lub prawna (spółka prawa handlowego, osoba prowadząca działalność gospodarczą) o ile decyduje o celach i środkach przetwarzania danych osobowych. Statusu administratora danych nie mają więc osoby fizyczne pełniące funkcje kierownicze czy wykonujące zlecone zadania związane z przetwarzaniem danych. Jest to istotne, ponieważ to na administratorze danych ciążą określone przez ustawę obowiązki. To wobec administratora osoba, której dane są przetwarzane lub inspektor z Biura Generalnego Inspektora Ochrony Danych Osobowych, mogą wystąpić z określonymi roszczeniami (odpowiedzialność administracyjna, cywilna). Osoby zaś wykonujące określone zadania w sposób niewłaściwy (niezgodny z ustawą) mogą ponosić odpowiedzialność dyscyplinarną lub karną.

DOPUSZCZALNOŚĆ PRZETWARZANIA DANYCH OSOBOWYCH

Dane osobowe mogą być przetwarzane wyłącznie w ściśle określonych przypadkach. Ustawa określa pięć przesłanek dopuszczalności przetwarzania danych.

- Jeżeli zezwalają na to przepisy prawa.

- W przypadku, gdy chodzi o zadania realizowane dla dobra publicznego, zadania te są określone prawem a przetwarzanie danych jest niezbędne do tej realizacji.

- Jeżeli osoba, której dane dotyczą wyrazi na to zgodę (chyba, że chodzi o usunięcie danych).

- Jeżeli jest to konieczne do realizacji umowy lub, gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.

- Dla wypełnienia prawnie usprawiedliwionego celu – o ile nie narusza to praw i wolności osoby, której dane dotyczą.

Podmioty przetwarzające dane, które są zobowiązane do stosowania przepisów ustawy można podzielić na podmioty zaliczane do sfery publicznej oraz te, które należą do sfery prywatnej (spółki prawa handlowego, osoby prowadzące działalność gospodarczą). W przypadku podmiotów publicznoprawnych przyzwolenie na przetwarzanie danych osobowych musi wypływać z przepisu prawnego (np. Ustawy o Policji), który w sposób wyraźny określa, iż dany organ, instytucja przy wykonywaniu swoich zadań może przetwarzać dane osobowe. W przypadku podmiotów ze sfery prywatnej przetwarzanie danych osobowych musi być związane z ich działalnością zarobkową, zawodową lub w związku z realizacją celów statutowych. Ustawa nie obowiązuje osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych. Przykładem tu będzie np. spis telefonów i adresów znajomych, zbieranie wizytówek. Pewne wyłączenia ustawy dotyczą również prasowej działalności dziennikarskiej, działalności literackiej lub artystycznej.

Zgoda osoby, której dane dotyczą musi być wyrażona w formie oświadczenia woli. Nie może to być zgoda domniemana ani też dorozumiana z oświadczenia woli innej treści. Nieważna jest zgoda udzielona przez osobę, która znajduje się w stanie wyłączającym jej świadome albo swobodne powzięcie woli (osoba chora, pod wpływem alkoholu, środków odurzających), udzielona pod wpływem istotnego błędu, podstępu lub posłużenia się bezprawną groźbą. Udzielający zgody powinien być zorientowany jakie jego dane będą przetwarzane oraz do jakich celów. W przypadku osób małoletnich lub ubezwłasnowolnionych musi to być zgoda ich przedstawiciela ustawowego. Bardzo często, szczególnie w kontaktach internetowych, administrator danych odbiera od osoby zgodę na przetwarzanie danych osobowych bez sprawdzenia faktycznego wieku tej osoby. Zgoda na przetwarzanie danych może mieć charakter warunkowy, terminowy, może ograniczać zakres przetwarzania danych (tylko niektóre dane).

Konieczność zrealizowania umowy zawartej z daną osoba wyłącza konieczność uzyskiwania jej zgody na przetwarzanie danych. Klauzule o wyrażeniu zgody na przetwarzanie danych osobowych, umieszczane przez wiele różnych firm na blankietach umów (m.in. umowy bankowe, ubezpieczeniowe, itp.) są czynnościami niepotrzebnymi. Żeby zrealizować umowę zawartą np. p...