USTAWA O OCHRONIE DANYCH OSOBOWYCH
Podstawowe znaczenie dla poruszanego tematu mają definicje zawarte w ustawie.
dane osobowe - każda informacja dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby
zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie
przetwarzanie danych - jakakolwiek operacja wykonywana na danych osobowych, taka jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza ta, którą wykonuje się w systemach informatycznych
usuwanie danych - zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą
administrator danych - organ, instytucja, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ust. 1 i 2, decydująca o celach i środkach przetwarzania danych osobowych
zgoda osoby, której dane dotyczą - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. nr 133, poz. 883) weszła w życie 30 kwietnia 1998 roku. Przesłaniem ustawy było "ucywilizowanie" obrotu danymi osobowymi. W Polsce do czasu powstania ustawy o ochronie danych osobowych możliwości ochrony oparte były przede wszystkim na ochronie dóbr osobistych, zawartych w kodeksie cywilnym (art.23 i 24 k.c.) Oprócz tego istniały jeszcze przepisy regulujące wykorzystanie danych osobowych w niektórych dziedzinach życia. Ustawa o ochronie danych osobowych jest pierwszym aktem prawnym, który reguluje w/w kwestie kompleksowo. Regulacje zawarte w ustawie są wypełnieniem konstytucyjnego prawa obywateli do ochrony danych osobowych, określonego w art. 51 Konstytucji, który stanowi, że:
Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
Zasady i tryb gromadzenia oraz udostępniania określa ustawa.
Ochrona danych odnosi się także częściowo do zagwarantowanego art. 46 Konstytucji prawa do prywatności.
Przedmiot ochrony
Art. 2 ustawy stanowi wyraźnie, że określa ona zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych. Nie dotyczy ona tym samym podmiotów gospodarczych. Ewidencja działalności gospodarczej i informacje w niej zawarte są jawne i służą ułatwieniom w obrocie gospodarczym. Osoby fizyczne występują w obrocie jako przedsiębiorcy a nie osoby fizyczne pomimo, że nazwa firmy jest często tożsama z danymi osobowymi prowadzących działalność. Regulacja ta różni się od uregulowań w innych krajach europejskich, m.in. Austrii, gdzie ochroną danych objęto również dane osób prawnych.
Podstawowe znaczenie dla rozważań dotyczących przedmiotu ochrony ma przytoczona wyżej definicja danych osobowych i zbioru, gdyż ochronie ustawowej podlegają tylko dane przetwarzane w zbiorach. W oparciu o definicję osoby fizycznej zawartą w kodeksie cywilnym uznać należy iż ustawa nie odnosi się do osób zmarłych.
Zakres podmiotowy
Zgodnie z art. 3 ustawę stosuje się do organów państwowych oraz samorządu terytorialnego, a także do innych państwowych i komunalnych jednostek organizacyjnych oraz podmiotów niepaństwowych realizujących zadania publiczne. Ustawę stosuje się również do osób fizycznych i prawnych oraz jednostek organizacyjnych nie mających osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Ustawa w rozdziale 1 przewiduje kilka sytuacji, w których mamy do czynienia z jej wyłączeniem lub ograniczeniem stosowania. Dotyczy to przetwarzania danych wyłącznie w celach osobistych lub domowych (np. adresy, wizytówki znajomych z którymi prowadzimy korespondencję) a także zbiorów sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji. Interpretacja tego jak i innych przepisów może sprawiać wiele trudności, ze względu na bardzo dużą niedookreśloność użytych sformułowań. Zwrócić trzeba uwagę na fakt, że ustawa dotyczy danych osobowych które są lub mogą być przetwarzane w zbiorach danych, tym samym dane osobowe nie znajdujące się w zbiorach nie podlegają ochronie przewidzianej w ustawie.
Zasady przetwarzania danych osobowych
Ustawa dzieli dane na dwa rodzaje, tzw. "zwykłe", o których mowa w art. 23 i "wrażliwe" określone w art. 27. Oddzielną grupą danych są dane z ar. 28 podstawą przetwarzania których może być tylko i wyłącznie przepis ustawy. Nie jest do końca wiadomym co było powodem wyodrębnienia tej kategorii danych. W praktyce przepis art. 28 sprawia bardzo dużo problemów. Art. 23 zawiera przesłanki zezwalające na przetwarzanie danych osobowych "zwykłych". Podstawy prawne przetwarzania danych wrażliwych zawiera art. 27. Podlegają one szczególnej ochronie, zaliczane są do nich informacje na temat pochodzenia, rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanu zdrowia , kodzie genetycznym, nałogach i pożycia seksualnego. Zasadnicze znaczenie wśród przesłanek ma zgoda, która nie może być domniemana ani dorozumiana, co oznacza, że nie można przyjąć za zgodę brak sprzeciwu, np. skorzystanie z oferty. Przetwarzanie danych możliwe jest po spełnieniu którejkolwiek z przesłanek enumeratywnie wymienionych we wspomnianych wcześniej przepisach.
Prawa osoby której dane dotyczą
Podstawowe znaczenie mają tutaj przepisy art. 24, 25 i rozdziału 4 ustawy. Art. 24 i 25 narzucają na administratora obowiązki informacyjne, które musi spełnić przetwarzając dane osobowe. Ustawa różnicuje te obowiązki ze względu na sposób uzyskania danych, tj. w zależności od tego, czy pochodzą od osoby której dotyczą, czy też od osób trzecich. Oprócz w/w uprawnień "informacyjnych", niezmiernie istotne są uprawnienia przyznane przepisami art.32 - 35. W szczególności dotyczy to prawa wniesienia w określonych przypadkach żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację osoby zainteresowanej (art. 32 ust.1 pkt 7), oraz wniesienia sprzeciwu (art.32 ust. 1 pkt 8). Ustawa stara się wyważać interesy administratorów danych i osób, których dane są przetwarzane, chociaż w praktyce pogodzenie tych dwóch grup o zupełnie przeciwstawnych interesach jest często niemożliwe.
Praktyczne, najczęstsze problemy w stosowaniu ustawy
W zależności od rodzaju administratora danych, w praktyce pojawiają się różnego typu problemy w stosowaniu ustawy. Przykładowo, w działalności banków istotne są następujące kwestie:
jakie są podstawy prawne przetwarzania danych osobowych klientów
czy ochronie ustawowej podlegają dane osobowe zawarte w umowach z podmiotami gospodarczymi
jaki jest stosunek ustawy do tajemnicy bankowej w kontekście art. 5 ustawy
jak dopełniać obowiązków informacyjnych określonych w art. 24 ust. 1 i 25 ust. 1 ustawy
jak należycie zabezpieczać zbiory danych, jak je anonimizować
jakie są relacje między danym bankiem jako administratorem a podmiotami, którym przekazywane są informacje o klientach, np. Biurem Informacji Kredytowej S.A.
jak wywiązać się z obowiązków określonych w art. 32 - 35 ustawy.
W działalności firm ubezpieczeniowych zasadniczą kwestią jest zakres zbieranych danych osobowych, w szczególności wobec brzmienia art. 26 ust. 1 pkt 3 ustawy, oraz podstawy prawne przetwarzania przez nie danych osobowych. Ten ostatni problem ma kluczowe znaczenie w funkcjonowaniu firm marketingu bezpośredniego. Przepis art. 23 ust. 1 pkt 5 został bowiem wprowadzony do polskiej ustawy na wzór analogicznego przepisu Dyrektywy, gdzie także jest przepisem nowym. Brakuje w tym względzie praktyki stosowania tego przepisu i orzecznictwa sądowego.
Rejestracja zbiorów
Ustawa narzuciła na administratora danych obowiązek rejestracji zbiorów danych. Obowiązek ten ustanowiony został w art. 40 ustawy. Wzór wniosku określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia wzorów wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz imiennego upoważnienia i legitymacji służbowej Inspektora Biura Generalnego Inspektora Ochrony danych Osobowych (Dz.U. nr 80, poz. 522 ze zm.). Rejestracji podlegają zarówno zbiory informatyczne jak i przetwarzane w systemach ręcznych. Aby zbiór mógł być zarejestrowany, urządzenia i systemy informatyczne muszą spełniać wymogi określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 80, poz. 521).
Nie wszystkie zbiory danych podlegają rejestracji, ustawa w art.43 zawiera zamknięty katalog zbiorów wyłączonych z tego obowiązku. Trzeba pamiętać, że przetwarzanie (a więc również zbieranie) danych może rozpocząć się po zgłoszeniu zbioru danych do rejestracji.
Przekazywanie danych osobowych za granicę
Ustawa zawiera przepisy dotyczące przekazywania danych za granicę (art. 47 - 48). Zasadą jest, że przekazanie takie jest możliwe, jeśli kraj docelowy daje przynajmniej takie same gwarancje ochrony danym osobowym, co obowiązujące w Polsce, chyba, że umowa międzynarodowa, której Polska jest stroną stanowi inaczej. Jednakże nie jest wykluczone przekazanie danych także wtedy, gdy kraj docelowy takich gwarancji nie daje. Warunki przekazania w takim wypadku zawiera art. 47 ust. 3. Jeśli żaden z tych warunków nie zachodzi, to przekazanie może mieć miejsce wyłącznie za zgodą Generalnego Inspektora Ochrony Danych Osobowych.
Odpowiedzialność karna
W przeciwieństwie do ustaw europejskich regulujących ochronę danych osobowych, które oparte są na systemie odszkodowawczym, polska ustawa zawiera przepisy karne. Odpowiedzialności karnej podlega zarówno bezpodstawne przetwarzanie jak i zaniechanie obowiązku zgłoszenia zbioru do rejestracji. Część przestępstw stypizowano także jako przestępstwa nieumyślne. Pod tym względem przepisy karne ustawy są bardzo restrykcyjne.