Ochrona danych

osobowych i

informacji

niejawnych

Bezpieczeństwo Wewnętrzne
II ROK Studia stacjonarne
sem. zimowy 2012/2013

Zakres podmiotowy
ustawy o ochronie danych
osobowych

a) Podmioty publiczne



organy państwowe (np. NIK, Kancelaria Sejmu, Kancelaria Senatu, ZUS),



organy samorządu terytorialnego (np. wójt, burmistrz, prezydent

miasta),



państwowe i komunalne jednostki organizacyjne (np. miejskie zakłady

oczyszczania, miejskie zakłady komunikacji),

b) Podmioty prywatne



podmioty niepubliczne realizujące zadania publiczne (np. prywatne

zakłady opieki zdrowotnej, prywatne szkoły, itd.),



osoby fizyczne, tj. bez względu na np. ich narodowość, obywatelstwo,

zdolność do czynności prawnych, wiek, itp., osoby prawne (np.

stowarzyszenia, spółdzielnie, fundacje) i jednostki organizacyjne nie

będące osobami prawnymi (np. nie mające osobowości prawnej spółki

prawa handlowego), o ile nie przetwarzają danych w związku z

działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Zakres podmiotowy ustawy o
ochronie danych osobowych –
podmioty tzw. sfery prywatnej

Jeżeli chodzi o podmioty z

tzw. sfery prywatnej

tzw. sfery prywatnej, to art. 3

ust. 2 pkt 2 wskazuje przesłanki na jakich takie podmioty

zobowiązane są do stosowania ustawy o ochronie danych

osobowych, a zatem:



znajduje ona zastosowanie do wszystkich podmiotów

prawa, określając, że są nimi objęte osoby fizyczne i osoby

prawne oraz jednostki organizacyjne niebędące osobami

prawnymi,



posiadające miejsce zamieszkania lub siedziby na

terytorium RP; albo w państwie trzecim, o ile

przetwarzają dane osobowe przy wykorzystaniu środków

technicznych znajdujących się na terytorium

Rzeczypospolitej Polskiej,



przetwarzających dane osobowe w związku z działalnością

zarobkową, zawodową lub dla realizacji celów statutowych.

Wyłączenia podmiotowe
stosowania ustawy o
ochronie danych osobowych

Wyłączenia stosowania ustawy:



osoby nieżyjące – ograniczenia w przetwarzaniu takich

danych mogą jednak występować ze względu na ochronę

powszechnych dóbr osobistych (kult pamięci osoby

zmarłej)- vide definicja ochrony danych osobowych



osoby fizyczne, prawne i jednostki organizacyjne

niebędące osobami prawnymi, o ile nie przetwarzają

danych w związku z działalnością zarobkową, zawodową

lub dla realizacji celów statutowych - a contrario art. 3

ust. pkt 2 ustawy



podmioty mające siedzibę albo miejsca zamieszkania w

państwie trzecim, wykorzystujące środki techniczne

znajdujące się na terytorium Rzeczypospolitej Polskiej

wyłącznie do przekazywania danych – art. 3a ust. 1 pkt

2 ustawy o ochronie danych osobowych



osoby fizyczne, które wykorzystują dane wyłącznie w

celach

osobistych

osobistych lub

domowych

domowych – art. 3a ust. 1 pkt 1

ustawy o ochronie danych osobowych.

Wykorzystanie danych przez
osoby fizyczne wyłącznie dla
celów domowych lub
osobistych

Regulacją ustawy nie będą objęte czynności związane z

dokonywaniem operacji na książkach adresowych

dokonywaniem operacji na książkach adresowych

zlokalizowanych na osobistych komputerach (w

zlokalizowanych na osobistych komputerach (w

programach pocztowych) lub też w telefonach

programach pocztowych) lub też w telefonach

komórkowych.

komórkowych.

Rozwiązanie to należy uznać za słuszne, gdyż w

przeciwnym wypadku każda operacja na danych

osobowych dokonywana w celach osobistych np.

przesłania znajomemu lub otrzymania od niego wizytówki

za pośrednictwem telefonu komórkowego albo adresu e-

mail za pośrednictwem komputera, wiązałaby się z

koniecznością wypełnienia obowiązków określonych w

ustawie.

Działalność portali
społecznościowych



W tym kontekście istotne zagadnienia wiążą się z

działalnością portali społecznościowych, które umożliwiają

nierzadko użytkownikom umieszczenie na stronach

internetowych i upublicznienie ich własnych treści m.in.

danych osobowych.



W takim wypadku osoba, która zamieszcza dane dokonuje

tych działań (zakładając, że nie mają one celu zarobkowego)

w celach osobistych, nie jest więc objęta przepisami ustawy.



Przyjmuje się, że administratorami danych

przetwarzanych na serwisach społecznościowych i

podmiotami zobowiązanymi do przestrzegania

zarówno ustawy o ochronie danych osobowych, jak i

unijnej dyrektywy 95/46, są twórcy tych serwisów.



Osoba dotknięta działaniem osoby fizycznej, która umieściła

(upubliczniła) jej dane na portalu nie może wnosić o

przeprowadzenie kontroli ani o wydanie przez GIODO

odpowiedniej decyzji. Pozostają jej względem takiego

naruszyciela wyłącznie roszczenia cywilne związane z

naruszeniem dóbr osobistych (

art. 24

 KC).

Bardzo często naruszenia prywatności
związane są z tzw. tagowaniem zdjęć,
czyli ujawnianiem, kto znajduje się na

danej fotografii.

Nawet jednak, jeśli

Facebook czy nk.pl
jest
administratorem
danych
osobowych, 

poszczególni jego

użytkownicy
powinni - zdaniem
GIODO - ostrożnie
posługiwać się
różnymi
narzędziami
stworzonymi
na potrzeby tego
portalu.

Działalność portali
społecznościowych



Niejednokrotnie zdarza się, że użytkownik publikuje zdjęcie swojej
klasy i oznacza wszystkich uczniów, którzy się na nim znajdują.
Często zaznacza na zdjeciu  osobę X, nie zwracając uwagi, że w
rzeczywistości nie jest to ten X, którego "otagował", tworząc link

do jego profilu w serwisie. W tym momencie zostają

naruszone

prawa dwóch osób: tej, która została nieprawidłowo otagowana, bo
to nie ona jest na fotografii, i tej, która faktycznie występuje na
zdjęciu, a której przypisano niewłaściwy profil.



Pomimo, że użytkownicy portali, którzy zamieszczają dane
dokonują tych działań – z reguły – w celach osobistych, a zatem
nie ma do nich zastosowania ustawa o ochronie danych
osobowych, to osoby takie mogą narazić się na odpowiedzialność
cywilnoprawną związaną z naruszeniem dóbr osobistych, jak np.
prawo do prywatności, wizerunku bądź odpowiedzialność karną np.
zniesławienie.

Zakres przedmiotowy
ustawy

Art. 2 ust. 1
Ustawa określa zasady postępowania

przy przetwarzaniu danych osobowych

oraz prawa osób fizycznych, których

dane osobowe są lub mogą być

przetwarzane w zbiorach danych.

Podstawowe znaczenie ma tutaj definicja

zbioru danych.

Zbiór danych



Zgodnie z art. 7 pkt 1 ustawy za zbiór danych - rozumie

się każdy posiadający strukturę zestaw danych o

charakterze osobowym, dostępnych według określonych

kryteriów, niezależnie od tego, czy zestaw ten jest

rozproszony lub podzielony funkcjonalnie.



W nauce prawa zwrócono uwagę, że zestaw informacji,

aby zostać uznanym za zbiór danych osobowych, musi

kumulatywnie spełniać następujące warunki:

- zawierać dane osobowe,
- posiadać określoną, własną strukturę
- zapewniać dostęp do danych osobowych według

określonych kryteriów.

Zbiór danych



 Cechą wyróżniającą zbiór danych od innego zestawu

danych jest zatem struktura, czyli takie uporządkowanie,

które daje możliwość wyszukania konkretnych danych

według określonego kryterium.



Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór

w rozumieniu przepisów ustawy o ochronie danych

osobowych, wystarczające jest kryterium umożliwiające

odnalezienie danych osobowych w zestawie.



Możliwość wyszukania według jakiegokolwiek kryterium

osobowego (np. imię, nazwisko, data urodzenia, PESEL)

lub nieosobowego (np. data zamieszczenia danych

w zbiorze) przesądza o uporządkowanym charakterze

zestawu danych i tym samym umożliwia zakwalifikowanie

tego zestawu jako zbioru danych osobowych.

Zbiór danych – przykłady



Zbiór akt postępowania administracyjnego

zawierając dane stron, ich adresy i inne

informacje, spełnia te kryteria i wobec tego jest

zbiorem danych w rozumieniu ustawy. Na

organie administracji (gminie) ciążą zatem takie

same obowiązki, jak na innych administratorach

danych, w szczególności zaś obowiązek

właściwego zabezpieczenia danych.



Wszelkie materiały gromadzone w formie akt, w

tym sądowe, prokuratorskie, policyjne i inne

zawierające dane osobowe, są zbiorem danych

osobowych w rozumieniu art. 7 pkt 1 ustawy.



 Rejestr pacjentów przychodni lekarskiej,

ewidencja podatników.

Zakres przedmiotowy ustawy
o ochronie danych
osobowych



Zakres przedmiotowy
a) przetwarzanie danych osobowych w zbiorach
prowadzonych w systemie papierowym
(kartotekach, skorowidzach, księgach, wykazach i
innych zbiorach ewidencyjnych),
b)  przetwarzanie danych osobowych w
systemach informatycznych, także w przypadku
przetwarzania danych osobowych poza zbiorem.

Wyłączenia przedmiotowe
stosowania ustawy

:



przetwarzanie danych osobowych w zbiorach doraźnych, tj.

wyłącznie ze względów technicznych, szkoleniowych lub w związku

z dydaktyką w szkołach wyższych, które po wykorzystaniu

podlegają obowiązkowi niezwłocznego usunięcia albo anonimizacji

– nie podlega reżimowi ustawy o ochronie danych osobowych za

wyjątkiem przepisów stanowiących o zabezpieczeniu takich

zbiorów przez okres ich funkcjonowania (rozdział 5 ustawy),



ustawy nie stosuje się do prasowej działalności

dziennikarskiej w rozumieniu prawa prasowego, działalności

literackiej lub artystycznej, za wyjątkiem przepisów

dotyczących zabezpieczeń i umożliwiających organowi ochrony

danych osobowych pozyskanie wyjaśnień oraz złożenie

zawiadomienia o popełnieniu przestępstwa, o ile wolność

wyrażania poglądów i rozpowszechniania informacji nie narusza

istotnie praw i wolności osoby, której dane dotyczą,



jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita,

wyłącza stosowanie ustawy,



jeżeli przepisy odrębnych ustaw, które odnoszą się do

przetwarzania danych, przewidują dalej idącą ich ochronę, niż

wynika to z ustawy o ochronie danych osobowych, stosuje się

przepisy tych ustaw. 

Zasady przetwarzania danych

Zasady przetwarzania danych

osobowych

osobowych

Przetwarzanie danych
osobowych –definicja

Ustawodawca polski w art. 7 pkt 2 ustawy o ochronie

danych osobowych definiuje przetwarzanie danych

osobowych jako

jakiekolwiek operacje wykonywane

jakiekolwiek operacje wykonywane

na danych osobowych

na danych osobowych, takie jak:
- zbieranie,
- utrwalanie,
- przechowywanie,
- opracowywanie,
- zmienianie,

- udostępnianie

- usuwanie,

a zwłaszcza te, które wykonuje się w systemach

informatycznych.

Przetwarzanie danych
osobowych – definicja

Ustawa posługuje się szeroką definicją przetwarzania danych

osobowych.

W doktrynie przyjmuje się, że wyliczenie czynności, które mogą

składać się na przetwarzanie danych osobowych, ma

charakter przykładowy.

Oznacza to, że wszelkie operacje wykonywane na danych

osobowych - a nie tylko wymienione w tym przepisie -

stanowią ich przetwarzanie.

Nie budzi natomiast wątpliwości, że czynności wyraźnie w tym

przepisie wskazane mają charakter przetwarzania danych

osobowych.

Wystarczy zatem, aby zrealizowana została którakolwiek z

wymienionych operacji (np. samo zbieranie danych), a nawet

operacja inna niż wymieniona w przepisie mająca za

przedmiot dane osobowe, aby doszło do przetwarzania

danych osobowych.

Przetwarzanie danych
osobowych – definicja



Jak można sądzić kolejność operacji wskazanych w art. 7 pkt

2 nie jest przypadkowa i może być przydatna do ustalenia

ram czasowych przetwarzania danych.



O przetwarzaniu danych osobowych można mówić począwszy

od

zbierania danych

zbierania danych, a

skończywszy na ich usunięciu.

skończywszy na ich usunięciu.



Zarówno przed zbieraniem, jaki i po usunięciu danych

osobowych nie może być mowy o ich przetwarzaniu i tym

samym stosowaniu ustawy o ochronie danych osobowych.



Użyty w art. 7 pkt 2 zwrot „a zwłaszcza te, które wykonuje się

w systemach informatycznych” oznacza tyle, że nawet

wtedy, gdy określonej operacji na danych osobowych nie da

się określić jako zbieranie, utrwalanie, przechowywanie,

opracowywanie, zmienianie, udostępnianie i usuwanie, a

może mieć to miejsce zwłaszcza w systemie informatycznym,

to i tak jest on przetwarzaniem w rozumieniu przepisów

ustawy o ochronie danych osobowych.

Zbieranie danych
osobowych



Ustawa o ochronie danych osobowych uznaje zbieranie danych

za jedną z czynności wchodzących w skład pojęcia

przetwarzania danych, wymieniając zbieranie danych na

pierwszym miejscu tego otwartego katalogu.



W ustawie o ochronie danych osobowych nie zdefiniowano

jednak pojęcia „zbieranie danych osobowych”.



Odwołać się w tym miejscu należałoby do słownika języka

polskiego, który definiuje „zbieranie”, jako „gromadzenie w

jednym miejscu, skupianie w posiadaniu”.



Zbieranie danych osobowych stanowi wstępne stadium

przetwarzania danych osobowych.



Jeżeli celem tym jest wyłącznie zapoznanie się z informacjami,

bez ich dalszego przetwarzania, wówczas nie można mówić o

zbieraniu danych osobowych. 



Należy przyjąć, że pojęciem „zbieranie” nie jest objęte

odbieranie określonych informacji w trakcie komunikowania się

ludzi

Czy każde faktyczne zapoznanie
się z danymi osobowymi powinno
być kwalifikowane jako ich
zbieranie?

Zbieranie danych osobowych

Nie,



Jeżeli celem tym jest wyłącznie zapoznanie się z informacjami,

bez ich dalszego przetwarzania, wówczas nie można mówić o

zbieraniu danych osobowych. 



Jeżeli natomiast odbywa się dalsze przetwarzanie zebranych

informacji, wówczas przyjąć należy, że w istocie dochodzi do

zbierania danych osobowych. Zatem do uznania, że mamy do

czynienia ze zbieraniem danych osobowych, koniecznym jest

wejście w posiadanie danych osobowych z zamiarem ich

dalszego przetwarzania.



Przykłady: udostępnienie przez osoby korzystające z

komunikacji miejskiej odcinka renty (emerytury), legitymacji

studenckiej do wglądu kontrolującym nie jest zbieraniem

danych osobowych objętych zakresem zastosowania ustawy.
Natomiast odnotowywanie już odpowiednich informacji przez

kontrolera może być kwalifikowane jako przetwarzanie

(zbieranie) danych osobowych!!!
Podobnie okazywanie do wglądu sprzedawcy dowodu

osobistego przy zakupie alkoholu.

Utrwalanie danych
osobowych



W przypadku utrwalenia danych osobowych
chodzi o zapisanie informacji (danych
osobowych) na materialnym nośniku.



Przykładem utrwalenia danych osobowych
może być zapisanie ich w zbiorach papierowych
lub też w systemie informatycznym.

Usunięcie danych
osobowych

Zgodnie z definicją ustawową zawartą w art. 7 pkt 3 ustawy

przez usuwanie danych należy rozumieć:
1) zniszczenie danych osobowych,
2) modyfikację danych osobowych, która nie pozwoli na

ustalenie tożsamości osoby, której dane dotyczą.

Co do pierwszej ze wskazanych czynności, to należy ją

utożsamiać z usunięciem bezpowrotnym danych jak

również z fizycznym unicestwieniem nośników danych, tak

by odtworzenie informacji na ich zapisanych nie było

możliwe.

Efektem takiego działania będzie brak możliwości dalszego

dokonywania jakichkolwiek operacji na tych informacjach.

Usunięcie danych
osobowych

Natomiast z modyfikacją, która nie pozwoli na ustalenie

tożsamości osoby zainteresowanej, mamy do czynienia

wówczas, gdy zgodnie z art. 6 ust. 3 ustawy informacja nie

umożliwia określenia tożsamości osoby fizycznej, ponieważ

wymagałoby to nadmiernych kosztów, czasu lub działań.

W praktyce chodzi o sytuacje, gdy dokonywane są na danych

osobowych takie operacje, które spowodują ich

anonimizację.

anonimizację.

Przykładowo: usunięcie części informacji o charakterze

osobowym - umożliwiających połączenie pozostałych informacji

z konkretną osobą fizyczną, które spowodują ich

anonimizację

(pozbawienie informacji cech danych osobowych).

W odróżnieniu od usunięcia (wymazania) danych lub

zniszczenia ich nośników, anonimizacja skutkuje możliwością

dalszego dokonywania operacji na części informacji, które

samodzielnie i łącznie nie będą umożliwiały zidentyfikowania

tożsamości konkretnej osoby fizycznej.

Zasady przetwarzania
danych osobowych



Ochrona danych osobowych polega między

innymi na określeniu, kiedy dozwolone, a

kiedy zabronione jest ich przetwarzanie.



W przepisach ustawy o ochronie danych

osobowych wskazanie podstaw, na których

może opierać się przetwarzanie danych

osobowych, nastąpiło:
- w art. 23 ustawy w odniesieniu do tzw.

danych osobowych zwykłych;
- w art. 27 ustawy w odniesieniu do tzw.

danych osobowych wrażliwych.

Zasady przetwarzania
danych osobowych



W stosunku do danych zwykłych (a
zatem innych niż wrażliwe) nie mamy
do czynienia z zasadą zakazu ich
przetwarzania.



Zatem przetwarzanie takich danych jest
co do zasady dopuszczalne, jednakże
pod warunkami wskazanymi w art. 23.

Zgoda osoby, której dane
dotyczą



Art. 23 ust. 1 pkt 1 ustawy wskazuje jedną z

podstawowych przesłanek legalizujących

przetwarzanie danych osobowych,

jaką jest

jaką jest

zgoda osoby, której dane dotyczą.

zgoda osoby, której dane dotyczą.

Art. 23 ust. 1 pkt 1

Przetwarzanie danych jest dopuszczalne

tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to

zgodę, chyba że chodzi o usunięcie

dotyczących jej danych,

Zgoda osoby, której dane
dotyczą



 W art. 7 pkt 5 ustawodawca wyjaśnił, jak należy
rozumieć pojęcie zgody osoby, której dane
dotyczą.



W definicji tej wskazał, że zgoda osoby, której
dane dotyczą powinna być traktowana jako

oświadczenie

oświadczenie

woli

woli, którego treścią jest zgoda

na przetwarzanie danych osobowych tego, kto
składa oświadczenie. Dodatkowo, zgoda

nie

nie

może być domniemana

może być domniemana lub

dorozumienia z

dorozumienia z

oświadczenia woli o innej treści.

oświadczenia woli o innej treści.

Zgoda osoby, której dane
dotyczą



Z definicji tej nie wynikają wprawdzie
szczegółowe zasady formułowania takiej zgody,
jednakże podkreśla się, że z treści zgody na
przetwarzanie danych osobowych powinno
w sposób nie budzący wątpliwości wynikać:
- w jakim celu, w jakim zakresie,
- przez kogo dane osobowe będą przetwarzane.

Wyrażający zgodę musi mieć pełną

świadomość tego, na co się godzi.

Zgoda osoby, której dane
dotyczą



Zgoda nie może być także domniemana
lub dorozumiana z oświadczenia woli o
innej treści.



Nie spełnia tego wymagania podpisanie
oświadczenia o wyrażeniu zgody na
przetwarzanie danych, stanowiącego
dodatkowy element innego zobowiązania
nie zawierającego informacji o celach i
zakresie przetwarzania tych danych.

Oświadczenie woli



Pojęcie z zakresu prawa cywilnego.



Oświadczenie woli określane jest jako czynność konwencjonalna,

regulująca sytuację prawną podmiotów, których dotyczy.



Czynności konwencjonalne to czynności, których sens i znaczenie

wynika z określonych reguł (społecznych, obyczajowych, prawnych).



Oznacza przejaw woli ludzkiej zmierzający do wywołania skutku

prawnego w postaci powstania, zmiany, ustania stosunku prawnego.



Od oświadczeń woli odróżnić należy oświadczenia wiedzy. Choć ze

złożeniem oświadczenia wiedzy ustawodawca łączyć może określone

skutki prawne (np. zawiadomienie o wadach rzeczy), celem osoby

składającej oświadczenie wiedzy nie jest dokonanie czynności prawnej.

W związku z odwołaniem się przez ustawodawcę do cywilnoprawnej

konstrukcji oświadczenia woli, zastosowanie będą miały regulacje

kodeksu cywilnego w zakresie wykładni oświadczeń woli czy wad

oświadczeń woli.

Zgoda osoby małoletniej



Możemy mieć do czynienia z sytuacją wyrażania zgody przez osobę,

która nie ma zdolności do czynności prawnej (np. dzieci poniżej lat 13

lub całkowicie ubezwłasnowolnioną) lub przez osobę, która jest

ograniczoną w zdolności do czynności prawnej (w wieku do 18 roku

życia lub ubezwłasnowolnioną częściowo).



Osoby fizyczne w wieku do lat 13 i ubezwłasnowolnione całkowicie nie

mają rozeznania co do wszystkich skutków wyrażenia zgody na

przetwarzanie danych osobowych, a przede wszystkim (i to może

nawet bardziej istotne) nie ma rozeznania co do przysługujących jej

uprawnień.



Przepisy KC zawierają wyłączenie obowiązku uzyskania zgody

przedstawiciela ustawowego tylko i wyłącznie w przypadku zawarcia

umowy należącej do umów powszechnie zawieranych w drobnych

bieżących sprawach życia codziennego, z zastrzeżeniem , że nie

pociąga za sobą rażącego jej pokrzywdzenia (

art. 14 § 2

 KC).



Zgody na przetwarzanie danych osobowych nie można, porównywać

do drobnych bieżących spraw życia codziennego, a więc konieczne jest

uzyskanie zgody przedstawiciela ustawowego.



W przypadku osób z ograniczoną zdolnością do czynności prawnych,

należy odwołać się do przepisu 

art. 17

 KC, który wskazuje, że do

ważności czynności prawnej, przez którą osoba ograniczona w

zdolności do czynności prawnych zaciąga zobowiązanie lub

rozporządza swoim prawem, potrzebna jest zgoda jej przedstawiciela

ustawowego.

Zgoda osoby małoletniej



Ważność umowy zależy od potwierdzenia jej przez

przedstawiciela ustawowego. Choć wyrażenie zgody na

przetwarzanie danych osobowych nie stanowi sensu

stricterozporządzenia swoim prawem, to można traktować jej

działanie podobnie, gdyż zakłada pełną świadomość

(rozeznanie) po stronie niepełnoletniej osoby co skutków jej

działań.



Konkludując, jeżeli porównywać wyrażenie zgody na

przetwarzanie danych osobowych do oświadczenia woli

zmierzającego do podjęcia czynności prawnej, należy przyjąć,

że zarówno w stosunku do osób nieposiadających zdolności do

czynności prawnych, jak i osób z ograniczoną zdolnością do

czynności prawnych, dla skuteczności zgody na przetwarzanie

danych wymagana jest zgoda przedstawiciela ustawowego

osoby, której dane dotyczą



Takie rozwiązanie gwarantuje większą ochronę prywatności

osób niepełnoletnich.

Cofnięcie zgody



W doktrynie reprezentowany jest pogląd zgodnie z

którym zgoda na przetwarzanie danych osobowych może

zostać cofnięta przez osobę, która jej udzieliła.



Chociaż pewnych argumentów przeciwko temu

stanowisku dostarcza wykładnia systematyczna

przepisów ustawy o ochronie danych osobowych oraz

przepisów szczególnych odnoszących się do

przetwarzania danych osobowych - w art. 4 ust. 2 pkt 2

ustawy o świadczeniu usług drogą elektroniczną oraz w

art. 174 pkt 3 Prawa Telekomunikacyjnego, gdzie

wyraźnie dopuszczono możliwość odwołania raz

udzielonej zgody, w tym zgody na przetwarzanie danych

osobowych, która w pewnych sytuacjach wymagana jest

przez przepisy tychże ustaw.

Cofnięcie zgody



Można więc argumentować, iż skoro przepisy

szczególne o ochronie danych osobowych w

rozumieniu art. 5 ustawy przyznają osobie, której

dane dotyczą, uprawnienie do odwołania zgody

na przetwarzanie danych osobowych, natomiast

stosownego uprawnienia brak jest w przepisach

ustawy ogólnej, uprawnienie takie nie przysługuje

na gruncie ustawy o ochronie danych osobowych.



Skutkiem cofnięcia zgody na przetwarzanie

danych osobowych będzie brak możliwości

powołania się na tą właśnie podstawę

przetwarzania danych.

Usuwanie danych
osobowych



Szczególna forma przetwarzania danych

osobowych, jaką jest ich usuwanie, nie

wymaga zgody osoby, której dane

dotyczą (wynika to z brzmienia przepisu

art. 23 ust. 1 pkt 1 in fine)



Wobec tego administrator danych nie

musi wykazywać istnienia podstawy

prawnej z art. 23 ust. 1 w przypadku

wykonywania czynności polegających

na usuwaniu danych. 

Ochrona żywotnych
interesów osoby, której
dane dotyczą



Artykuł 23 ust. 3 ustawy przewiduje
wyłączenie z obowiązku uzyskania
zgody osoby, której dane dotyczą w
sytuacji, gdy

przetwarzanie danych

przetwarzanie danych

jest niezbędne dla ochrony

jest niezbędne dla ochrony

żywotnych interesów osoby, której

żywotnych interesów osoby, której

dane dotyczą, a uzyskanie zgody

dane dotyczą, a uzyskanie zgody

jest (przynajmniej czasowo)

jest (przynajmniej czasowo)

niemożliwe.

niemożliwe.

Ochrona żywotnych
interesów osoby, której
dane dotyczą



Zasadnicze znaczenie dla zastosowania przepisu art. 23 ust. 3

ustawy o ochronie danych osobowych ma wykładnia pojęcia

"żywotnych interesów".



W literaturze (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., s.

488-489) podkreśla się, że chodzi w tym wypadku o interesy o

dużym znaczeniu jak zdrowie, życie ale nie należy wykluczać

również interesów majątkowych.



Ponadto, przyjmuje się, że za dopuszczalne w takiej sytuacji

można uznać takie przetwarzanie danych, co do którego

zainteresowany - gdyby istniała taka możliwość - udzieliłby

swego zezwolenia (J. Barta, P. Fajgielski, R. Markiewicz,

Ochrona..., s. 489).



Należy również pamiętać, że wyłączenie obowiązku uzyskania

zgody osoby, której dane dotyczą ma charakter wyłącznie

czasowy. Stan uprawnionego przetwarzania danych w oparciu o

ten przepis trwa tak długo, jak nie jest możliwe uzyskanie

właściwego oświadczenia woli od tej osoby.



Niemożność uzyskania zgody może wynikać z np. tegp, że osoba

nieprzytomna, przebywa w nieznanym miejscu pobytu.

Zrealizowanie uprawnienia lub
spełnienie obowiązku
wynikającego z przepisów prawa

Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych

osobowych, przetwarzanie danych osobowych jest

dopuszczalne wtedy, gdy jest to niezbędne dla

zrealizowania uprawnienia lub spełnienia obowiązku

wynikającego z przepisu prawa.

Warunkiem uznania przetwarzania danych osobowych za

zgodne z prawem w oparciu o przesłankę legalizującą,

wskazaną w art. 23 ust. 1 pkt 2 jest więc łączne

spełnienie następujących warunków:

a) istnienie odpowiedniego przepisu prawa, który

przyznaje podmiotowi uprawnienie lub nakłada na niego

obowiązek,

b) niezbędność przetwarzania danych dla zrealizowania

tego uprawnienia lub spełnienia obowiązku

wynikającego z tego przepisu.

Zrealizowanie uprawnienia
lub wykonanie obowiązku
wynikającego z przepisów
prawa



Jeżeli uprawnienie do przetwarzania danych

osobowych znajduje swoje źródło bezpośrednio

w przepisie prawa nie powinno się występować

o zgodę osoby, której dane dotyczą, na

przetwarzanie jej danych osobowych.



Może to bowiem prowadzić m.in. do mylnego

przekonania o swobodzie w zakresie podania

danych, w sytuacji gdy obowiązek ich podania

wynika z powszechnie obowiązujących

przepisów prawa.

Przetwarzanie danych
osobowych na potrzeby
umowy

Przetwarzanie danych jest dopuszczalne tylko wtedy,

gdy:

3) jest to konieczne do realizacji umowy, gdy osoba,

której dane dotyczą, jest jej stroną lub gdy jest to

niezbędne do podjęcia działań przed zawarciem umowy

na żądanie osoby, której dane dotyczą.

W art. 23 ust. 1 pkt 3 ustawodawca wskazał dwie sytuacje

związane z zawieraniem i wykonywaniem umowy,

legalizujące przetwarzanie danych osobowych:

1) określił, że przetwarzanie danych osobowych jest

dopuszczalne jeżeli jest to konieczne do realizacji

umowy, gdy osoba, której dane dotyczą, jest jej stroną

lub
2) działania takie są legalne gdy jest to niezbędne do

podjęcia działań przed zawarciem umowy na żądanie

osoby, której dane dotyczą .

Czy prawidłową praktyką jest
zamieszczanie w treści umowy
zawieranej z klientem klauzuli zgody
na przetwarzanie danych osobowych
tak, by osoba zgadzająca się na
zaproponowane warunki umowy,
zgadzała się jednocześnie na
przetwarzanie danych osobowych w
celu wykonania tej umowy lub w
innych celach wskazanych przez
administratora?



Nie, gdyż nie można uzależniać
wykonania umowy od wyrażenia zgody
na przetwarzanie danych osobowych
w określonym celu. Ponadto, na
wykorzystywanie danych w celu
zawarcia lub wykonania umowy zgoda
w ogóle nie jest potrzebna.

Do Generalnego Inspektora Ochrony Danych Osobowych zwracają się

osoby, które czują się zmuszane do wyrażania zgody na przetwarzanie ich

danych osobowych. Do takich sytuacji dochodzi najczęściej, przy okazji

zawierania różnego rodzaju umów. Sprzedawcy lub świadczeniodawcy

usług sporządzają kwestionariusze, formularze zawierające w ich treści

klauzulę zgody na przetwarzanie danych osobowych.
Takie klauzule, obejmują zgodę na przetwarzanie danych w celu

wykonania zawieranej umowy, a dodatkowo zgodę na wykonywanie

innych operacji na danych osobowych np. ich przekazywanie

innym podmiotom, udostępnianie, przekazywanie za granicę lub

wykorzystywanie w celach marketingowych. 

Z takiej konstrukcji klauzuli zgody wynika, że jeśli klient nie zgodzi się na

wykorzystywanie jego danych osobowych w sposób określony przez firmę

w treści klauzuli, to tym samym nie zgodzi się na ich wykorzystywanie

w celu wykonania umowy.

Formularze zawierające takie klauzule zgody są przedkładane do podpisu

klientowi. Tym samym, klienci, przy okazji wypełniania przygotowanych

przez różne firmy formularzy czy druków, są niejako zmuszani do

wyrażania zgody na wykorzystywanie ich danych osobowych do

określonych w klauzuli zgody celów, pozostając w przekonaniu, że bez

wyrażenia tej zgody nie będą mogli skorzystać z produktów lub usług

świadczonych przez firmę, czyli nie będą mogli zrealizować umowy.

Przetwarzanie danych
osobowych na potrzeby
umowy

Tymczasem, zgodnie z ustawą o ochronie danych osobowych, na

wykorzystywanie danych w celu zawarcia lub wykonania umowy

zgoda w ogóle nie jest potrzebna.

Jeśli firma gromadzi dane swojego przyszłego klienta i ma zamiar

wykorzystywać je jedynie do celu realizacji umowy, którą z nim

zawiera, nie powinna zwracać się o zgodę na przetwarzanie danych.

Natomiast, gdyby firma zamierzała wykorzystać dane swoich klientów

w innym celu niż do realizacji lub wykonania umowy zawartej

z klientem nie spełniając przy tym żadnego z warunków określonych

w art. 23 ust. 1 pkt 2 - 5 ustawy, o taką zgodę powinna się zwrócić.

Podmiot, który przy okazji zawierania umowy zamierza również

pozyskać zgodę na przetwarzanie danych osobowych kontrahenta,

zobligowany jest do wyodrębnienia oświadczenia, którego treścią

jest zgoda na przetwarzanie danych osobowych, od oświadczenia

wyrażającego chęć związania się postanowieniami umowy.

Nie można bowiem utożsamiać woli zawarcia umowy ze złożeniem

oświadczenia woli, na podstawie którego osoba, której dane

dotyczą, zgadza się na wykorzystywanie jej danych osobowych do

innych celów.

Wykonywanie określonych
prawem zadań
realizowanych dla dobra
publicznego

Art. 23 ust. 1 pkt 4 ustawy stanowi, że

przetwarzanie danych osobowych jest
dopuszczalne jeżeli jest niezbędne
do wykonania określonych
prawem zadań realizowanych dla
dobra publicznego.

Zadania realizowane dla
dobra publicznego



Pojęcie zadań realizowanych dla dobra publicznego jest

powszechnie w nauce prawa utożsamiane z pojęciem

zadań publicznych



Zatem art. 23 ust. 1 pkt 4 może stanowić podstawę

prawna przetwarzania danych osobowych przez organy

władzy publicznej działające w wykonaniu przyznanych im

przez prawo kompetencji.



Jak zauważa GIODO, art. 23 ust. 1 pkt 4 ustawy dotyczy

sytuacji, gdy brak jest odpowiednich przepisów wprost

upoważniających do przetwarzania danych osobowych.



Zdarza się, że w orzecznictwie wskazuje się np. że

właściwe może być stosowanie tej przesłanki legalizującej

przetwarzanie danych osobowych w stosunku do banków

jako instytucji wykonujących zdania dla dobra publicznego

(wyr. WSA w Warszawie z 27.2.2004 r.,II SA 291/03

niepubl.). Chodzi w tym wypadku o działania zmierzające

do zapewnienia bezpieczeństwa państwa.

Klauzula prawnie
usprawiedliwionego celu
administratora

Wskazana w art. 23 ust. 1 pkt 5 ustawy tzw. klauzula

prawnie usprawiedliwionego celu administratora danych

osobowych jest jedną z podstaw prawnych

pozwalających na przetwarzanie danych bez

konieczności ubiegania się o zgodę osoby, której dane

dotyczą.

Przetwarzanie danych jest dopuszczalne tylko

wtedy, gdy:

5) jest to niezbędne dla wypełnienia prawnie

usprawiedliwionych celów realizowanych przez

administratorów danych albo odbiorców danych, a

przetwarzanie nie narusza praw i wolności osoby,

której dane dotyczą

Klauzula prawnie
usprawiedliwionego celu
administratora

Przesłanka legalizująca przetwarzanie danych

osobowych wskazana w art. 23 ust. 1 pkt 5

wprowadza klauzulę o charakterze ogólnym, w

ramach której ustawodawca dla przyjęcia, że

przetwarzanie danych bez zgody osoby, której

dane dotyczą, jest dopuszczalne w przypadku

zaistnienia łącznie następujących okoliczności:

a) przetwarzanie jest niezbędne do wypełnienia

prawnie usprawiedliwionych celów

administratora danych lub odbiorcy danych,

b) przetwarzanie danych nie narusza praw i

wolności osoby, której dane dotyczą.

Klauzula prawnie
usprawiedliwionego celu
administratora



Podkreśla się, że "termin "usprawiedliwione

cele" jest zwrotem niedookreślonym i stanowi

klauzulę generalną.



Administrator ma zatem ocenić, czy

przetwarzanie danych jest usprawiedliwione, a

także stwierdzić czy swoim działaniem nie

naruszy praw i wolności osoby, której dane

dotyczą. Przetwarzanie danych osobowych na

podstawie omawianej przesłanki jest możliwe,

jeżeli prawa i wolności osoby, której dane

dotyczą nie przeważają nad usprawiedliwionym

interesem administratora danych.

Klauzula prawnie
usprawiedliwionego celu
administratora

W art. 23 ust. 4 ustawy wskazano, że za

prawnie usprawiedliwiony cel uważa się w
szczególności:

1) marketing bezpośredni własnych

produktów lub usług administratora danych,
2) dochodzenie roszczeń z tytułu prowadzonej
działalności gospodarczej.

Klauzula prawnie
usprawiedliwionego celu
administratora

Przepis art. 23 ust. 4 ustawy określa wprost, że wskazane

w tej normie działania traktowane są jako "prawnie

usprawiedliwione" natomiast ustawodawca nie

przesądza o tym czy naruszają one prawa i wolności

osób, których dane dotyczą.

W konsekwencji, do naruszenia tej podstawy prawnej

przetwarzania danych osobowych w przypadku

przetwarzania danych w "usprawiedliwionych celach"

wskazanych art. 23 ust. 4, może dojść poprzez

naruszenie praw i wolności osoby, której dane dotyczą

(w tym np. prawa do prywatności) poprzez sposób ich

przetwarzania np. uciążliwe (ponad zwykłą miarę)

telefonowanie lub wysyłanie korespondencji.

Czy na gruncie przepisów ustawy o
ochronie danych osobowych
dopuszczalne jest przekazywanie
firmom windykacyjnym danych
osobowych dłużnika?

Tak, gdyż jej przepisy dopuszczają przetwarzanie danych

osobowych, jeśli spełnione są pewne, określone,

przesłanki.

Zgodnie z art. 23 ust. 1 pkt 5 ustawy o ochronie danych

osobowych przetwarzanie danych osobowych, w tym ich

udostępnianie, jest dopuszczalne, jeśli jest niezbędne dla

wypełnienia prawnie usprawiedliwionych celów realizowanych

przez administratorów danych albo odbiorców danych,

a przetwarzanie nie narusza praw i wolności osoby, której

dane dotyczą.

Ze względu na to, że - stosownie do art. 23 ust. 4 pkt

2 ustawy - za prawnie usprawiedliwiony cel uważa się

dochodzenie roszczeń z tytułu prowadzonej przez

administratora danych działalności gospodarczej,

przetwarzanie danych w takim przypadku jest prawnie

dopuszczalne

Przetwarza
nie danych
wrażliwych

Przepis art. 27 ust. 1 ustanawia
generalny zakaz przetwarzania
danych osobowych, które mogą być
uznane za dane wrażliwe, natomiast
ust. 2 tego przepisu określa sytuacje, w
których zakaz ten został przez
ustawodawcę wyłączony.

Przetwarzanie danych
wrażliwych

Przepis art. 27 ust. 1 określający
podstawy prawne dla przetwarzania
tzw. danych wrażliwych (zwanych też
często "danymi sensytywnymi") jest
skonstruowany w sposób odmienny
niż art. 23 określający przesłanki
legalizujące przetwarzanie tzw. danych
zwykłych (niewrażliwych).

Dane wrażliwe

Artykuł 27 ust. 1 definiuje pojęcie danych wrażliwych, jako

dane ujawniające:



pochodzenie rasowe lub etniczne,



poglądy polityczne, przekonania religijne lub filozoficzne,



przynależność wyznaniową, partyjną lub związkową,



jak również dane o stanie zdrowia, kodzie genetycznym,

nałogach lub życiu seksualnym



dane dotyczące skazań, orzeczeń o ukaraniu i mandatów

karnych, a także innych orzeczeń wydanych w

postępowaniu sądowym lub administracyjnym.

Dane osobowe wrażliwe (lub sensytywne) to szczególny rodzaj

informacji ważny dla ochrony prywatności każdego

człowieka. 

Katalog tych informacji ma charakter zamknięty

Przetwarzanie danych
wrażliwych – zgoda osoby



Podstawową przesłanką uchylającą zakaz przetwarzania

danych sensytywnych jest zgoda osoby, której dane dotyczą.



Jest to przesłanka podobna do tej wskazanej art. 23 ust. 1 pkt

1. Podstawowym elementem odróżniającym jednak

oświadczenie o wyrażeniu zgody na przetwarzanie danych z

art. 27 ust. 2 pkt 1 od oświadczenia z art. 23 ust. 1 pkt 1 jest

wymóg złożenia takiego oświadczenia na piśmie.



Zgoda na przetwarzanie wrażliwych danych osobowych

udzielona w formie innej niż pisemna jest nieskuteczna.

Należy podkreślić, że na mocy ustawy z 18.9.2001 r. o

podpisie elektronicznym wymagania te spełnia bez wątpienia

złożenie odpowiedniego oświadczenia opatrzonego

bezpiecznym podpisem elektronicznym weryfikowanym za

pomocą ważnego kwalifikowanego certyfikatu.

Przetwarzanie danych
wrażliwych na podstawie
przepisów odrębnych ustaw

Ustawodawca przewidział szczególne

(odmienne od tych wskazanych w art. 23 ust. 1

pkt 2 ustawy) wymagania w związku z

przetwarzaniem danych osobowych

wrażliwych na podstawie odrębnych przepisów

prawa.
Zgodnie bowiem z art. 27 ust. 2 pkt 2 ustawy

przetwarzanie danych osobowych wrażliwych

dopuszczalne jest pod warunkiem, że

przepis

przepis

szczególny innej ustawy zezwala na

szczególny innej ustawy zezwala na

przetwarzanie takich danych bez zgody

przetwarzanie takich danych bez zgody

osoby, której dane dotyczą i stwarza

osoby, której dane dotyczą i stwarza

pełne gwarancje ich ochrony

pełne gwarancje ich ochrony

Żywotne interesy osoby,
której dane dotyczą

Przetwarzanie danych wrażliwych dozwolone jest, zgodnie z art.

27 ust. 2 pkt 3 również w przypadku, gdy:
a) przetwarzanie takich danych jest niezbędne do ochrony

żywotnych interesów osoby, której dane dotyczą, lub innej osoby
b) osoba, której dane dotyczą, nie jest fizycznie lub prawnie

zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna

prawnego lub kuratora.

Pojęcie ochrony "żywotnych interesów" osoby, której dane

dotyczą powinno być interpretowane jak analogiczne pojęcie

użyte przez ustawodawcę w art. 23 ust. 3 ustawy. Jedyną różnicą

w stosunku do powołanego przepisu ustawy jest okoliczność, że

wyłączenie zakazu przetwarzania danych wrażliwych w oparciu o

tą przesłankę może następować również w sytuacji ochrony

żywotnych interesów innej osoby - nie tylko osoby, której dane

dotyczą.
Jest to istotne np. w przypadku ochrony zdrowia osoby trzeciej z

uwagi na stan zdrowia (np. chorobę zakaźną) osoby, której dane

dotyczą.

.

Brak fizycznej lub prawnej
możliwości wyrażenia
zgody

Brak fizycznej lub prawnej możliwości złożenia

odpowiedniego oświadczenia woli może łączyć się więc

ze stanem fizycznym tej osoby - na który składa się nie

tylko stan zdrowia ale również inne okoliczności, które

mogą wyłączać świadome wyrażenie woli z jednej strony.
Z drugiej strony zaś w grę wchodzą ograniczenia natury

prawnej - czyli brak zdolności do czynności prawnych w

wyniku np. ubezwłasnowolnienia całkowitego.
Jako, że przetwarzanie w takim wypadku ma dotyczyć

danych wrażliwych, chodzi o niezdolność do złożenia

oświadczenia o wyrażeniu zgody, zgodnie z wymogami z

art. 27 ust. 2 pkt 1 ustawy, to znaczy w formie pisemnej.

Przetwarzanie danych wrażliwych w oparciu o

Przetwarzanie danych wrażliwych w oparciu o

wyłączenie z art. 27 ust. 2 pkt 3 może trwać

wyłączenie z art. 27 ust. 2 pkt 3 może trwać

jedynie do czasu ustanowienia opiekuna prawnego

jedynie do czasu ustanowienia opiekuna prawnego

lub kuratora dla takiej osoby.

lub kuratora dla takiej osoby.

Przetwarzanie danych
wrażliwych do wykonywania
zadań kościołów i innych
związków wyznaniowych

Kolejną przesłanką wyłączającą zakaz przetwarzania

danych wrażliwych jest okoliczność, że takie działanie:
a) jest niezbędne do wykonania statutowych zadań

kościołów i innych związków wyznaniowych,

stowarzyszeń, fundacji lub innych niezarobkowych

organizacji lub instytucji o celach politycznych,

naukowych, religijnych, filozoficznych lub związkowych,
b) pod warunkiem, że przetwarzanie danych dotyczy

wyłącznie członków tych organizacji lub instytucji albo

osób utrzymujących z nimi stałe kontakty w związku z

ich działalnością
c) zapewnione są pełne gwarancje ochrony

przetwarzanych danych.

Pozostałe przesłanki z art. 27 ust. 2:

5) przetwarzanie dotyczy danych, które są niezbędne do

dochodzenia praw przed sądem,
6) przetwarzanie jest niezbędne do wykonania zadań

administratora danych odnoszących się do zatrudnienia

pracowników i innych osób, a zakres przetwarzanych danych jest

określony w ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia,

świadczenia usług medycznych lub leczenia pacjentów przez

osoby trudniące się zawodowo leczeniem lub świadczeniem

innych usług medycznych, zarządzania udzielaniem usług

medycznych i są stworzone pełne gwarancje ochrony danych

osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do

wiadomości publicznej przez osobę, której dane dotyczą,
9) jest to niezbędne do prowadzenia badań naukowych, w tym do

przygotowania rozprawy wymaganej do uzyskania dyplomu

ukończenia szkoły wyższej lub stopnia naukowego; publikowanie

wyników badań naukowych nie może następować w sposób

umożliwiający identyfikację osób, których dane zostały

przetworzone,
10) przetwarzanie danych jest prowadzone przez stronę w celu

realizacji praw i obowiązków wynikających z orzeczenia wydanego

w postępowaniu sądowym lub administracyjnym.

Dziękuję za uwagę