Slajd 1

Konstytucyjne podstawy
ochrony danych osobowych

Art. 51. Konstytucji RP

1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania
informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych
informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów
danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji
nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

Ochrona danych osobowych – regulacje prawne dotyczące tworzenia i
posługiwania się zbiorami danych osobowych, a także pojedynczymi danymi,
mające na celu administracyjno-prawną ochronę prawa do prywatności.

Prawo Unii Europejskiej
a ochrona danych osobowych

Art. 16 Traktatu o funkcjonowaniu UE
1. Każda osoba ma prawo do ochrony danych osobowych jej dotyczących. […]

Art. 26 Traktatu o funkcjonowaniu UE
1. Unia przyjmuje środki w celu ustanowienia lub zapewnienia funkcjonowania
rynku wewnętrznego zgodnie z odpowiednimi postanowieniami Traktatów.
2. Rynek wewnętrzny obejmuje obszar bez granic wewnętrznych, w którym jest
zapewniony swobodny przepływ towarów, osób, usług i kapitału, zgodnie z
postanowieniami Traktatów.

Źródła prawa ochrony danych osobowych UE:
1. Rozporządzenie (WE) nr 45/2001 z dnia 18 grudnia 2000 r. o ochronie osób
fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i
organy wspólnotowe i o swobodnym przepływie takich danych
2. Dyrektywa 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób
fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu
tych danych

Prawo Unii Europejskiej
a ochrona danych osobowych

Europejski Inspektor Ochrony Danych (EIOD) – niezależny organ nadzoru Unii

Europejskiej, którego głównym zadaniem jest zagwarantowanie, że instytucje i

organy europejskie respektują prawo do prywatności i ochrony danych, gdy

przetwarzają dane osobowe i opracowują nową politykę.

Działalność EIOD obejmuje: nadzór, konsultację i współpracę.

Grupa robocza 29

art. 29 dyrektywy 95/46/WE
Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania

danych osobowych
1. Niniejszym powołuje się grupę roboczą ds. ochrony osób fizycznych w zakresie

przetwarzania danych osobowych, zwaną dalej "grupą roboczą".
Ma ona charakter doradczy i działa w sposób niezależny.
2. W skład grupy roboczej wchodzą przedstawiciele organu lub organów

nadzorczych, powołanych przez każde Państwo Członkowskie oraz przedstawiciel

organu lub organów ustanowionych dla instytucji i organów wspólnotowych, oraz

przedstawiciel Komisji. […]

Generalny Inspektor
Ochrony Danych Osobowych

GIODO

– organ ds. ochrony danych osobowych – art. 8 u.o.d.o.

•powoływany i odwoływany przez Sejm za zgodą Senatu

•jego kadencja trwa 4 lata, może być jednokrotnie ponownie wybrany

•zadania i kompetencje – art. 12 u.o.d.o.

•kompetencje kontrolne – art. 14-17 u.o.d.o.

art. 18 u.o.d.o.
1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny

Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji

administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w

szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie

danych osobowych,
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane

osobowe,
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.

Zakres stosowania u.o.d.o.

Art. 2 ust. 2 u.o.d.o.
Ustawę stosuje się do przetwarzania danych osobowych:
1)w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach
ewidencyjnych,
2) w systemach informatycznych, także w przypadku przetwarzania danych poza
zbiorem danych. […]

Art. 3. 1. Ustawę stosuje się do organów państwowych, organów samorządu
terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1)podmiotów niepublicznych realizujących zadania publiczne,
2)osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących
osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością
zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej
Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy
wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej
Polskiej.

Zakres stosowania u.o.d.o.

Art. 3a. 1. Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub
domowych,
2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim,
wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej
Polskiej wyłącznie do przekazywania danych.
2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do
prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. -
Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub
artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania
informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.

Art. 4. Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której
stroną jest Rzeczpospolita Polska, stanowi inaczej.

Art. 5. Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych,
przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się
przepisy tych ustaw.

Pojęcie danych osobowych

art. 6. u.o.d.o.

1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej
cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli
wymagałoby to nadmiernych kosztów, czasu lub działań.

Pojęcie danych osobowych

KAZUS

M. R., działając przez pełnomocnika, w dniu 1 lipca 2008 r. złożyła do Generalnego Inspektora

Ochrony Danych Osobowych (zwanego dalej Generalnym Inspektorem) wniosek o nakazanie (...)

Sp. z o.o. z siedzibą w W. przy ul. (...) (zwanej dalej Spółką) udostępnienia danych osobowych -

numerów IP osób, które w dniu (...) lutego 2006 r. zalogowały się i dokonały wpisów na portalu

(...) - forum: dyskusja ogólna, temat: dziecko M. pod nickami: "j." i "p.".
Powyżej określony wniosek został uzasadniony w ten sposób, iż "przedmiotowe dane są

niezbędne do wypełnienia prawnie usprawiedliwionych celów skarżącej, w postaci wytoczenia

powództwa o ochronę dóbr osobistych (...)".
Generalny Inspektor, po przeprowadzeniu postępowania administracyjnego, działając na

podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania

administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) - zwanej dalej k.p.a., art. 6, art.

12 pkt 2, art. 22 i art. 18 ust. 1 pkt 2 w zw. z art. 29 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o

ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w dniu (...) listopada

2008 r. wydał decyzję nr (...), którą nakazał Spółce udostępnienie wnioskodawczyni - M. R.

informacji o osobach, które w dniu (...) lutego 2006 r. zalogowały się i dokonały wpisów na portalu

internetowym (...), forum: dyskusja ogólna, temat: dziecko M., posługujących się nickami "j." i "p."

- w zakresie obejmującym informację o numerach IP z powyżej określonej daty logowania.
W uzasadnieniu decyzji organ podał m.in., iż kluczową z punktu widzenia rozstrzygnięcia

niniejszej sprawy była kwestia ustalenia, czy wnioskowane przez wnioskodawczynię informacje

stanowią dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych, czy też nie

mieszczą się w tym pojęciu.

Czy numer IP stanowi daną osobową?

Pojęcie danych osobowych

Wyrok

Naczelnego Sądu Administracyjnego w Warszawie

z dnia 19 maja 2011 r.

I OSK 1079/10

1. Informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej

wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale

poprzez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą

pośrednio stanowi informację także o niej samej.
2. Tam gdzie adres IP jest na dłuższy okres czasu lub na stałe przypisany do

konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu

użytkownikowi, należy uznać, że stanowi on daną osobową, jest to bowiem

informacja umożliwiająca identyfikację konkretnej osoby fizycznej.
3. Internet często pozornie, a czasami faktycznie zapewnia anonimowość jego

użytkownikom. Stanowi medialne forum, na którym prezentowane są treści

naruszające ludzką godność, cześć i dobre imię. Dlatego też wszędzie tam gdzie

numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej powinien

on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy z 1997 r. o

ochronie danych osobowych. Odmienna interpretacja byłaby sprzeczna z normami

konstytucyjnymi zawartymi w art. 30 i 47 Konstytucji RP.
LEX nr 990136

Pojęcie danych osobowych

KAZUS

T.W. zwrócił się w dniu (...) stycznia 2008 r. do Generalnego Inspektora Ochrony
Danych Osobowych ze skargą w sprawie przetwarzania jego danych osobowych
przez N. Sp. z o.o. z siedzibą w W., właściciela strony internetowej (...). Skarżący
poinformował, iż na stronie internetowej (...) zamieszczono zdjęcie (...) na którym
on się znajduje. Pod zdjęciem wymieniono imiona i nazwiska znajdujących się na
nim osób (również skarżącego), w sposób pozwalający na ustalenie wizerunku
skarżącego na powyższej fotografii. W związku z powyższym skarżący kilkakrotnie
zwracał się do portalu (...) z żądaniem usunięcia podpisu pod zdjęciem.

1. Czy zdjęcie wraz z imieniem i nazwiskiem stanowią dane osobowe w rozumieniu
u.o.d.o.?
2. Jakie rozstrzygnięcie powinien wydać GIODO?

Pojęcie danych osobowych

Wyrok

Naczelnego Sądu Administracyjnego w Warszawie

z dnia 18 listopada 2009 r.

I OSK 667/09

1. Dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany,

że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji

(imię, nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, bowiem mieszczą się w nim

również dalsze informacje, wzmacniające stopień identyfikacji. Do informacji takich z pewnością należą

zdjęcia osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfikację. W sytuacji

gdy zdjęcie takie jest umieszczone wraz z imieniem i nazwiskiem osoby na nim występującej w miejscu

dostępnym dla nieograniczonej liczby podmiotów, należy uznać, iż stanowi ono dane osobowe

podlegające ochronie na podstawie ustawy o ochronie danych osobowych. O zakwalifikowaniu danej

informacji do kategorii danych osobowych decydują przede wszystkim obiektywne kryteria oceny, przy

czym uwzględnić należy wszystkie informacje, w tym także pozajęzykowe (kontekst) do jakich dostęp

mają osoby trzecie.
2. Ujawnienie imienia i nazwiska skarżącego wraz z numerem klasy, szkoły do której uczęszczał oraz

miejscowości w której szkoła jest położona powoduje, że identyfikacja skarżącego jest możliwa bez

spełnienia warunku o którym mowa w art. 6 ust. 3 ustawy o ochronie danych osobowych wobec czego

musi on otrzymać ochronę określoną w art. 1 ustawy o ochronie danych osobowych.
3. Wizerunek umieszczony na zdjęciu klasowym wykonanym przed trzydziestoma laty wraz

opatrzeniem go imieniem i nazwiskiem, a następnie zamieszczonym na stronie internetowej stanowi

dane osobowe w rozumieniu art. 6 ust. 2 ustawy o ochronie danych osobowych.
4. Ocena tego, czy określenie tożsamości wymaga nadmiernych kosztów, czasu lub działań, powinna

być dokonywana z uwzględnieniem możliwości technicznych w czasie przetwarzania danych

osobowych.
LEX nr 588798

Zasady przetwarzania
danych osobowych

Zasada legalności

•przetwarzanie danych osobowych przez administratora danych powinno odbywać się

z zachowaniem przynajmniej jednej z przesłanek legalności przetwarzania określonych

w ustawie o ochronie danych osobowych. W przypadku danych „zwykłych”, przesłanki

te wymienia enumeratywnie art. 23 ustawy i są nimi:

a) zgoda osoby, której dane dotyczą, chyba że chodzi o usunięcie dotyczących jej

danych,
b) niezbędność przetwarzania danych dla zrealizowania uprawnienia lub spełnienia

obowiązku wynikającego z przepisu prawa,
c) konieczność realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy

przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie

osoby, której dane dotyczą,
d) przetwarzanie danych jest niezbędne do wykonania określonych prawem zadań

realizowanych dla dobra publicznego,
e) przetwarzanie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych

celów realizowanych przez administratorów danych albo odbiorców danych, a

przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.

Warunki przetwarzania danych „wrażliwych” są szczególnie obostrzone – por. art. 27

u.o.d.o.

Zasady przetwarzania
danych osobowych

Zasada legalności:

a) nie oznacza tylko zgodności przetwarzania danych osobowych z przepisami
ustawy o ochronie danych osobowych, ale także z wszelkimi obowiązującymi
normami prawnymi, i to zarówno określonymi w przepisach o randze ustawy jak i
aktach niższego rzędu (przepisy wykonawcze),
b) nie obejmuje postanowień umownych,
c) zabrania (poza wyjątkami wskazanymi w ustawach odrębnych) zbierania danych
w sposób ukryty, przez podsłuch, wariograf, czy z naruszeniem tajemnicy
korespondencji.

Zasady przetwarzania
danych osobowych

KAZUS

W dniu 14 stycznia 2002 r. Marcin L. zwrócił się do Generalnego Inspektora Ochrony Danych

Osobowych ze skargą na przetwarzanie jego danych osobowych przez C. P. C. Sp. z o.o. GIODO

wszczął w sprawie postępowanie administracyjne. W jego toku ustalił, że oferta korzystania z

usług C.-P. została dostarczona w wyniku akcji marketingowej prowadzonej przez spółkę "B." Sp.

z o.o. /zwanej dalej Spółką/. Spółka ta prowadzi m.in. Klub Książki, którego członkiem jest Marcin

L. Zawarła ona umowę o współpracy z C.-P. Materiały były dostarczane przez C.-P. a wysyłane

przez Spółkę. Spółka nie przekazała więc danych osobowych członków Klubu Książki innej firmie.
GIODO ustalił również, że uczestnictwo w klubie zobowiązywało członków do kupna publikacji

książkowych. Deklaracja o przystąpieniu zawierała postanowienie "Wyrażam zgodę na

umieszczanie moich danych w zbiorze danych członków Klubu Świat Książki i na przetwarzanie

tych danych zgodnie z celami i zasadami określonymi w Regulaminie Klubu". Do deklaracji

Marcina L. regulamin nie był jednak dołączony. Jego par. 8.3. stanowi "Jeżeli Klub nie otrzyma

stosownego zastrzeżenia, wyrażenie zgody obejmuje także zgodę na przesyłanie pod adresem

członków klubu materiałów promocyjnych i bezpłatnych innych form oraz udostępnianie ich

danych osobowych w tym celu innym firmom współpracującym ze Spółką".
Generalny Inspektor Ochrony Danych Osobowych w świetle tych ustaleń decyzją z dnia 12

kwietnia 2002 r. (...) nakazał Spółce przywrócenie stanu zgodnego z prawem w procesie

przetwarzania danych osobowych poprzez zaprzestanie przetwarzania danych osobowych

Marcina L. w celu marketingu produktów i usług osób trzecich, w tym C.-P. Stwierdził bowiem, że

brak było zgody zainteresowanego na takie przetwarzanie.

Oceń stanowisko GIODO.

Zasady przetwarzania
danych osobowych

Wyrok NSA w Warszawie z dnia 4 kwietnia 2003 r., sygn. akt II SA 2135/02

[…] Zgodnie z art. 7 pkt 5 ustawy "Ilekroć jest w niej mowa o zgodzie osoby, której

dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda

na przetwarzanie danych osobowych tego, kto składa oświadczenie, zgoda ta nie

może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Oznacza to, że wyrażający zgodę musi mieć w momencie jej zawarcia świadomość

tego, co kryje się pod tym pojęciem. Tymczasem wyrażając zgodę na uczestnictwo

w Klubie i posługiwanie się w tym celu jego danymi osobowymi zgodnie z

regulaminem Klubu, nie musiał on zdawać sobie sprawy z faktu, iż regulamin

zezwala na przetwarzanie jego danych poza cele wynikające z faktu uczestnictwa.

W momencie wyrażania zgody nie dysponował bowiem tekstem regulaminu i nie

zmieniał tego fakt jego powszechnej dostępności, a także możliwość składania

zastrzeżeń. W podpisywanej deklaracji numer telefonu Spółki określony był zresztą

jako ten numer, pod którym można było znaleźć szersze informacje o Klubie, a nie o

jego regulaminie. Sposób formułowania deklaracji mógł więc wprowadzać w błąd, a

podpisujący nie miał świadomości, jak dalece może być traktowana jego zgoda.

Naruszało to art. 7 pkt 5 ustawy, który stawia bardzo rygorystyczne wymogi w

odniesieniu do tej zgody. Musi mieć ona charakter wyraźny, a jej wszystkie aspekty

muszą być jasne dla podpisującego w momencie jej wyrażania. Czynności takiej nie

konwaliduje więc późniejsze poinformowanie o treści regulaminu, ani możliwość

zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych. […]

Zasady przetwarzania
danych osobowych

Zasada celowości (zasada związania celem):

- zbieranie danych osobowych powinno być dokonywane dla oznaczonych,

zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu

z tymi celami.
- zbierający dane nie może pominąć, ani zataić tego celu,
- nie można określać celu przetwarzania danych w sposób ogólnikowy,
- cel ten powinien być zakomunikowany zainteresowanemu przed tym zebraniem

danych osobowych,
- niedopuszczalne jest uzależnianie zawarcia umowy od wyrażenia zgody na

przetwarzanie danych w zupełnie innych celach (np. marketingu produktów i usług

podmiotów trzecich).

Wyjątki od zasady celowości:

Przetwarzanie danych w celu innym niż ten, w którym zostały zebrane, jest

dopuszczalne, jeżeli:
1) nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje
2) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
3) z zachowaniem przepisów art. 23 i 25 ustawy.

Zasady przetwarzania
danych osobowych

Zasada prawdziwości (merytorycznej poprawności):

•administrator danych jest obowiązany również zapewnić poprawność danych
osobowych, tj. aby dane były zgodne z prawdą, pełne (kompletne) i aktualne

Zasada ograniczenia czasowego

•obowiązek przechowywania danych w postaci umożliwiającej identyfikację osób,
których dotyczą, nie dłużej niż to jest niezbędne do osiągnięcia celu przetwarzania.
•Po osiągnięciu celu (np. wykonaniu zawartej umowy, upływie wskazanego w
przepisach prawa okresu przechowywania danych) dane powinny zostać usunięte,
zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich
przejęcia od administratora (np. przekazane do archiwum państwowego)

Zasady przetwarzania
danych osobowych

Wyrok

Wojewódzkiego Sądu Administracyjnego w Warszawie

z dnia 22 lutego 2005 r.

II SA/Wa 2030/04

Z chwilą całkowitej spłaty kredytu (zamknięcia rachunku bankowego) kończy się
prawne zezwolenie na przetwarzanie danych osobowych tych osób, których
rachunki zostały zamknięte. Osiągnięty zostaje wówczas cel, w jakim dane te były
przetwarzane.

LEX nr 164935

Zasady przetwarzania
danych osobowych

Zasada adekwatności:

•administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej
treści, które są niezbędne ze względu na cel zbierania danych.

Za nieadekwatne w orzecznictwie sądowoadministracyjnym uznano m.in.:

– pozyskiwanie danych o wykształceniu i stanie cywilnym przy zawieraniu

umów odpowiedzialności cywilnej posiadacza pojazdu mechanicznego
(wyrok WSA z dnia 5 lutego 2003 r., sygn. akt II SA 3505/01),

– zbieranie przez bank danych osobowych klientów w zakresie poprzednich

adresów zameldowania, kategorii i daty nadania uprawnienia do kierowania
pojazdem silnikowym oraz danych zawartych w świadectwie pracy,
dotyczących przebiegu zatrudnienia (wyrok WSA z dnia 24 listopada 2005
r., sygn. akt II SA/Wa 1335/05).

Prawa osób,
których dane dotyczą

KAZUS

Ryszard M. Z. wniósł w dniu 24 stycznia 2007 r. do Generalnego Inspektora Ochrony
Danych Osobowych skargę na stosowanie przez Biuro I.K. SA wadliwej procedury
realizacji obowiązku informacyjnego wynikającego z art. 33 ustawy z dnia 29
sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze
zm.). Zarzucił bezprawne żądanie złożenia wniosku o informację w trybie
pozaustawowym (określonym w "Regulaminie udostępniania informacji dotyczących
danych osobowych przetwarzanych w zbiorze Biura I.K. SA"), pobieranie opłaty za
przesłanie informacji, żądanie podania dodatkowych danych osobowych oraz
złożenia niewymaganego prawem oświadczenia. Pismem z dnia 14 marca 2007 r.
uzupełnił swoją skargę przez wskazanie, że zarzuca Biuru oraz Bankowi I.B. SA
niezgodne z prawem przetwarzanie danych osobowych, a temu ostatniemu również
brak realizacji obowiązku informacyjnego wynikającego z art. 105a ust. 3 ustawy z
dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz.U. z 2002 r. Nr 72, poz. 665 ze zm.).

Czy administrator danych może żądać od wnioskodawców opłat za realizację
obowiązku informacyjnego, o którym mowa w art. 32-33 u.o.d.o.?

Prawa osób,
których dane dotyczą

Wyrok

Naczelnego Sądu Administracyjnego w Warszawie

z dnia 30 lipca 2009 r.

I OSK 1049/08

[…] Rozpatrując skargę kasacyjną pod kątem odpowiedzi na rozstrzygany w sprawie

problem, czy można uzależniać udzielenie informacji od uiszczenia stosownej opłaty,

Naczelny Sąd Administracyjny w pełni podziela stanowisko zaprezentowane przez

Wojewódzki Sąd Administracyjny w zaskarżonym wyroku, że w ustawie o ochronie

danych osobowych brak jest uprawnienia do tego, aby udzielenie informacji można było

uzależnić od uiszczenia opłaty (...).
Wbrew twierdzeniom kasatora wykładnia językowa i logiczna przepisu art. 33 ust.

2 omawianej ustawy, który stanowi, że na wniosek osoby, której dane dotyczą,

informacji, o których mowa w ust. 1, udziela się na piśmie, w żaden sposób nie może

prowadzić do wniosku oczekiwanego przez skarżącego, że chodzi tu o bezpłatne

udzielenie informacji na piśmie wyłącznie w siedzibie jednostki organizacyjnej

administratora danych, a żądanie przesłania pisemnej informacji pod adres wskazany

przez wnioskodawcę jest uzależnione od uprzedniego wniesienia przez niego opłaty na

rzecz administratora danych (...). Skoro chodzi o ustawowy obowiązek, o realizację

ustawowego prawa wnioskodawcy, to ograniczenie tego prawa, jego uwarunkowanie

spełnieniem przez uprawnionego określonych przesłanek, musi być zawarte wprost,

wyraźnie w przepisach ustawowych (...). […]

Przekazywanie danych
osobowych do państw trzecich

Przekazanie danych osobowych może nastąpić wówczas, gdy kraj, do którego dane
mają zostać przekazane, zapewnia na swoim terytorium odpowiedni poziom
ochrony danych osobowych – art. 47 u.o.d.o., chyba że:

• przesłanie danych osobowych wynika z obowiązku nałożonego na

administratora danych przepisami prawa lub postanowieniami
ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni
poziom ochrony tych danych

• zostanie spełniona któraś z przesłanek określonych w art. 47 ust. 3

u.o.d.o.

• na przekazanie danych osobowych wyrazi zgodę GIODO, pod

warunkiem że administrator danych zapewni odpowiednie
zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności
osoby, której dane dotyczą.

Przekazywanie danych
osobowych do państw trzecich

Komisja Europejska na mocy art. 25 ust. 6 Dyrektywy 95/46/WE jest uprawniona
do stwierdzenia w drodze decyzji, że dane państwo trzecie zapewnia odpowiedni
stopień ochrony, co wynika z jego prawa krajowego lub międzynarodowych
zobowiązań, jakie państwo to przyjęło, szczególnie po zakończeniu negocjacji
z Komisją Europejską, w zakresie ochrony życia prywatnego i podstawowych praw
i wolności osób fizycznych. Uznanie przez Komisję Europejską danego państwa za
zapewniające odpowiednią ochronę jest równoznaczne z tym, iż zapewnia ono takie
same gwarancje ochrony jakie są na terytorium Rzeczypospolitej Polskiej.

Do krajów takich należą m.in.:
- Argentyna
- Australia
- Izrael
- Kanada itd.

Lindqvist case, C-101/01

KAZUS

Oprócz tego, że B. Lindqvist była pracownikiem najemnym jako sprzątaczka, pełniła

również funkcję katechetki w parafii Alseda (Szwecja). B. Lindqvist uczęszczała na

kurs informatyczny, w ramach którego miała w szczególności stworzyć stronę

domową w Internecie. Pod koniec 1998 r. utworzyła ona w domu, na swoim

osobistym komputerze, strony internetowe mające ułatwić uzyskanie potrzebnych

informacji parafianom przygotowującym się do bierzmowania. Na jej wniosek

administrator strony Kościoła Szwecji utworzył linki pomiędzy utworzonymi przez nią

stronami i stroną Kościoła.
Utworzone przez nią strony zawierały informacje na temat jej osoby oraz na temat

osiemnastu jej kolegów z parafii, obejmujące całe brzmienie ich nazwisk lub

w niektórych przypadkach tylko ich imiona. Ponadto B. Lindqvist z pewną dozą

humoru opisała funkcje pełnione przez jej kolegów oraz sposób spędzania przez nich

wolnego czasu. W kilku przypadkach zamieściła informacje o ich sytuacji rodzinnej,

numer telefonu i inne dane. Dodatkowo wskazała, że jedna z jej koleżanek doznała

urazu stopy i w związku z tym przebywała na zwolnieniu lekarskim w niepełnym

wymiarze.
B. Lindqvist nie poinformowała tych osób o istnieniu rzeczonych stron ani nie

uzyskała uprzednio ich zgody na opublikowanie danych, ani też nie zgłosiła swoich

działań do Datainspektion (instytucji publicznej zajmującej się ochroną danych

przekazywanych drogą informatyczną). Gdy tylko dowiedziała się, że niektóre osoby

były z tego faktu niezadowolone, usunęła wspomniane strony internetowe.

Lindqvist case, C-101/01

Prokurator wszczął przeciwko B. Lindqvist postępowanie o naruszenie PUL
i domagał się jej skazania na tej podstawie, że:
–  przetwarzała dane osobowe w sposób zautomatyzowany bez uprzedniego
pisemnego zgłoszenia tego faktu do Datainspektion (art. 36 PUL);
–  przetwarzała bez pozwolenia wrażliwe dane osobowe, tj. dane dotyczące urazu
stopy i przebywania na zwolnieniu lekarskim w niepełnym wymiarze (art. 13 PUL);
–  przekazała do państw trzecich dane osobowe przetwarzane bez pozwolenia
(art. 33 PUL).
B. Lindqvist przyznała się do popełnienia zarzucanych jej czynów, ale nie przyznała
się do popełnienia przestępstwa. Skazana przez Eksjö tingsrätt (Szwecja) na karę
grzywny wniosła apelację od tego wyroku do Göta hovrätt.
Nałożona na nią grzywna wynosiła 4000 SEK, co wynika z zastosowania do kwoty
100 SEK, przyjętej w odniesieniu do możliwości płatniczych B. Lindqvist, mnożnika
40 ustalonego w odniesieniu do wagi przestępstwa. B. Lindqvist została ponadto
zobowiązana do zapłaty 300 SEK na szwedzki fundusz pomocy ofiarom przestępstw.

Lindqvist case, C-101/01

1. Czy fakt zamieszczenia tego typu danych dotyczących kolegów z pracy na

prywatnej stronie internetowej, która jest jednak dostępna dla wszystkich, którzy

znają adres tej strony, może zostać uznany za niepodlegający zakresowi stosowania

dyrektywy [95/46] na mocy jednego z wyłączeń wymienionych w art. 3 ust. 2?
2. Czy zamieszczona na stronie internetowej informacja, że jedna z koleżanek

z pracy, wymieniona z nazwiska, doznała urazu stopy i przebywa na zwolnieniu

lekarskim w niepełnym wymiarze, stanowi dane osobowe dotyczące zdrowia, które

na podstawie art. 8 ust. 1 nie mogą być przetwarzane?
3. Przekazywanie danych osobowych do państw trzecich jest w niektórych

przypadkach zakazane na podstawie przepisów dyrektywy [95/46]. Czy fakt

zamieszczenia na stronie internetowej przez daną osobę, za pomocą komputera

w Szwecji, danych osobowych, które są przechowywane na serwerze w Szwecji, ale

w taki sposób, że te dane osobowe stają się dostępne obywatelom państw trzecich,

stanowi przekazywanie danych osobowych do państw trzecich w rozumieniu

dyrektywy [95/46]? Czy odpowiedź będzie taka sama, jeżeli według posiadanych

przez nas informacji żaden obywatel państwa trzeciego nie zapoznał się z tymi

danymi lub jeżeli określony serwer fizycznie znajduje się w państwie trzecim?
4. Czy w takim przypadku jak niniejszy można uznać, że przepisy dyrektywy [95/46]

wprowadzają ograniczenie niezgodne z ogólnymi zasadami swobody wypowiedzi

lub z innymi prawami i swobodami obowiązującymi w ramach Unii Europejskiej,

które odpowiadają w szczególności art. 10 europejskiej Konwencji o ochronie praw

człowieka i podstawowych wolności?

Lindqvist case, C-101/01

Wyrok Europejskiego Trybunału Sprawiedliwości w Luksemburgu z dnia 6

listopada 2003 r., C-101/01

Ad. 1)
[…]
Działalność niezarobkowa lub religijna, taka jak prowadzona przez B. Lindqvist, nie

może być traktowana na równi z rodzajami działalności wymienionymi w art. 3

ust. 2 tiret pierwsze dyrektywy 95/46 i nie jest zatem objęta tym wyłączeniem.
Co się tyczy wyłączenia przewidzianego w art. 3 ust. 2 tiret drugie dyrektywy

95/46, motyw 12 tej dyrektywy, który odnosi się do tego wyłączenia, wskazuje

korespondencję i przechowywanie spisów adresów jako przykłady przetwarzania

danych przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym

charakterze.
Z powyższego wynika, że to drugie wyłączenie powinno być interpretowane jako

obejmujące wyłącznie działania wchodzące w zakres życia prywatnego lub

rodzinnego jednostki, co w sposób oczywisty nie ma miejsca w przypadku

przetwarzania danych osobowych polegającego na ich opublikowaniu w Internecie

w taki sposób, że staną się one dostępne dla nieograniczonej liczby osób.
Na pytanie trzecie należy zatem odpowiedzieć, że przetwarzanie danych

osobowych takie jak określone w odpowiedzi na pierwsze pytanie nie jest objęte

żadnym z wyłączeń określonych w art. 3 ust. 2 dyrektywy 95/46.

Lindqvist case, C-101/01

Ad. 2)
Zważywszy na przedmiot tej dyrektywy, należy dokonać wykładni rozszerzającej
użytego w jej art. 8 ust. 1 wyrażenia „dane dotyczące zdrowia”, tak aby obejmowało
ono informacje dotyczące wszystkich aspektów, zarówno fizycznych, jak
i psychicznych, zdrowia osoby.
Na pytanie czwarte należy zatem odpowiedzieć, że informacja, iż dana osoba doznała
urazu stopy i przebywa na zwolnieniu lekarskim w niepełnym wymiarze, stanowi dane
osobowe dotyczące zdrowia w rozumieniu art. 8 ust. 1 dyrektywy 95/46.

Ad. 3)
Jeśli uwzględnić z jednej strony stan rozwoju Internetu w okresie trwania prac nad
dyrektywą 95/46 i z drugiej strony brak określenia w jej rozdziale IV kryteriów
mających zastosowanie do korzystania z Internetu, to nie można przypisać
prawodawcy wspólnotowemu zamiaru objęcia w przyszłości pojęciem przekazywania
danych do państw trzecich faktu zamieszczenia przez osobę znajdującą się w sytuacji
B. Lindqvist danych na stronie internetowej, nawet jeżeli stały się one w ten sposób
dostępne dla osób znajdujących się w państwach trzecich i posiadających środki
techniczne pozwalające na dostęp do nich.

Lindqvist case, C-101/01

Gdyby art. 25 dyrektywy 95/46 należało interpretować w ten sposób, że „przekazywanie
danych do państw trzecich” ma miejsce w każdym przypadku, w którym dane osobowe
zostały umieszczone na stronie internetowej, to przekazywanie stanowiłoby w sposób
konieczny przekazywanie do wszystkich państw trzecich, w których istnieją środki techniczne
niezbędne do uzyskania dostępu do Internetu. Szczególny system przewidziany przez
rozdział IV wspomnianej dyrektywy stałby się nieuchronnie – w odniesieniu do operacji
w Internecie – systemem ogólnym. W rezultacie, gdyby Komisja stwierdziła na podstawie
art. 25 ust. 4 dyrektywy 95/46, że tylko jedno państwo trzecie nie zapewnia odpowiedniego
stopnia ochrony, państwa członkowskie byłyby zobowiązane uniemożliwić jakiekolwiek
zamieszczanie danych osobowych w Internecie.
W tych okolicznościach nasuwa się wniosek, zgodnie z którym art. 25 dyrektywy 95/46 należy
interpretować w ten sposób, że operacje takie jak te wykonane przez B. Lindqvist nie stanowią
same w sobie „przekazywania danych do państw trzecich”. Nie ma zatem potrzeby ustalać,
czy osoba z państwa trzeciego miała dostęp do danej strony internetowej lub czy serwer
danego dostawcy znajduje się fizycznie w państwie trzecim.
[…] należy zatem odpowiedzieć, że „przekazywanie danych do państw trzecich” w rozumieniu
art. 25 dyrektywy 95/46 nie ma miejsca, w przypadku gdy osoba, która znajduje się w jednym
z państw członkowskich, zamieszcza na stronie internetowej, przechowywanej przez dostawcę
usług hostingowych mającego swoją siedzibę w tym samym państwie lub w innym państwie
członkowskim, dane osobowe, czyniąc je w ten sposób dostępnymi dla każdego, kto połączy
się z Internetem, w tym również dla osób, które znajdują się w państwie trzecim.

Lindqvist case, C-101/01

Ad. 4)
[…]prawa podstawowe mają szczególne znaczenie, na co wskazuje sprawa w postępowaniu przed

sądem krajowym, w przypadku której należy znaleźć odpowiednią równowagę między z jednej

strony przysługującą B. Lindqvist w ramach jej pracy jako katechetki swobodą wypowiedzi i swobodą

wykonywania działalności wzbogacającej życie religijne a z drugiej strony ochroną życia prywatnego

osób, których dane B. Lindqvist zamieściła na stworzonej przez siebie stronie internetowej.
W konsekwencji władze publiczne i sądy państw członkowskich są zobowiązane nie tylko dokonywać

wykładni prawa krajowego w zgodzie z dyrektywą 95/46, ale również dopilnować, by nie kierować się

taką wykładnią tej dyrektywy, która kolidowałaby z prawami podstawowymi chronionymi przez

wspólnotowy porządek prawny lub z innymi ogólnymi zasadami prawa wspólnotowego, takimi jak

zasada proporcjonalności.
O ile prawdą jest, że ochrona życia prywatnego wymaga stosowania skutecznych sankcji w stosunku

do osób przetwarzających dane osobowe w sposób niezgodny z dyrektywą 95/46, o tyle takie

sankcje powinny zawsze przestrzegać zasady proporcjonalności, tym bardziej że zakres stosowania

dyrektywy 95/46 jest bardzo szeroki, a na osobach przetwarzających dane osobowe ciążą liczne

i poważne obowiązki.
W oparciu o zasadę proporcjonalności sąd krajowy powinien uwzględnić wszystkie okoliczności

zawisłej przed nim sprawy, a w szczególności czas trwania naruszenia przepisów wykonujących

dyrektywę 95/46 oraz znaczenie, jakie ma dla zainteresowanych osób ochrona rozpowszechnionych

danych osobowych.
Na pytanie szóste należy zatem odpowiedzieć, że przepisy dyrektywy 95/46 nie zawierają same

w sobie ograniczeń sprzecznych z ogólną zasadą swobody wypowiedzi lub z innymi prawami

i swobodami obowiązującymi w ramach Unii Europejskiej, które odpowiadają w szczególności art. 10

EKPC. Do władz publicznych i sądów państw członkowskich odpowiedzialnych za stosowanie

przepisów krajowych dokonujących transpozycji dyrektywy 95/46 należy zapewnienie właściwej

równowagi między wchodzącymi w grę prawami i interesami, w tym prawami podstawowymi

chronionymi przez wspólnotowy porządek prawny.

Document Outline