Nowe zasady i tryb udostępniania danych osobowych (dodatek do MoP 3/2011), Xawery Konarski, MoP 2011, Nr 3
Nowe zasady i tryb udostępniania danych osobowych (dodatek do MoP 3/2011)
Xawery Konarski
ZmOchrDanOsobU zmieniono zasady udostępnienia danych osobowych nie w celu włączenia do zbioru danych. Niniejszy artykuł przedstawia analizę zmienionego stanu prawnego w zamiarze ustalenia, w jakim zakresie ZmOchrDanOsobU wpłynęła na zmianę materialnoprawnych i proceduralnych przesłanek udostępnienia danych osobowych przekazywanych w innym celu niż ich włączenie do zbioru prowadzonego przez podmiot lub osobę je pozyskującą.
Wprowadzenie
W dotychczasowym stanie prawnym ustawodawca wyróżniał dwie postacie udostępnienia danych: w celu włączenia do zbioru danych osobowych i nie w celu włączenia do zbioru danych osobowych. W przypadku udostępnienia danych nie w celu włączenia do zbioru obowiązywała regulacja szczególna, zawarta w art. 29–30 OchrDanOsobU. Do udostępnienia danych w celu włączenia do zbioru zastosowanie znajdowały natomiast ogólne przesłanki dopuszczalności przetwarzania danych, określone odpowiednio w art. 23 ust. 1 OchrDanOsobU („dane zwykłe”) lub art. 27 ust. 2 OchrDanOsobU („dane wrażliwe”).
W ramach ZmOchrDanOsobU powyższy stan prawny uległ zmianie, w związku z uchyleniem art. 29–30 OchrDanOsobU. W konsekwencji, niezależnie od postaci udostępnienia danych, jedyną podstawę prawną uzasadniającą żądanie udostępnienia danych osobowych stanowią obecnie przepisy art. 23 i 27 OchrDanOsobU.
Udostępnienie danych osobowych nie w celu włączenia do zbioru danych przed ZmOchrDanOsobU
Obowiązek udostępnienia danych osobowych nie w celu włączenia do zbioru danych może mieć charakter obligatoryjny lub fakultatywny.
Z pierwszą z powyższych sytuacji mamy do czynienia wówczas, gdy normy powszechnie obowiązującego prawa wprowadzają obowiązek udostępnienia danych. W takim przypadku administrator danych nie może odmówić ich udostępnienia. W dotychczasowym stanie prawnym do tego rodzaju przypadków odnosił się art. 29 ust. 1 OchrDanOsobU, który stanowił, że: „…administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa”. Przepis ten nie ustanawiał odrębnych przesłanek materialnych udostępnienia, właściwe w tym zakresie były bowiem przepisy szczególne do których on odsyłał1 . Znaczenie przepisów OchrDanOsobU wyrażało się jedynie we wprowadzeniu przepisów proceduralnych, w szczególności wymogu pisemnego wniosku o udostępnienie danych (art. 29 ust. 3 OchrDanOsobU).
W przypadku udostępnienia fakultatywnego, przekazanie danych pozostawione jest uznaniu administratora danych. W dotychczasowym stanie prawnym mógł je on udostępnić pod warunkiem spełnienia szczególnych przesłanek określonych w ustawie. Odróżnić należy przy tym przesłanki pozytywne, określone w art. 29 ust. 2 OchrDanOsobU („wiarygodne uzasadnienie”, „potrzeba posiadania danych” oraz „nienaruszanie praw i wolności osób, których dane dotyczą”) od przesłanek negatywnych, których wystąpienie powinno skutkować odmową udostępnienia (art. 30 OchrDanOsobU).
Materialnoprawne przesłanki udostępnienia danych osobowych nie w celu włączenia do zbioru po ZmOchrDanOsobU
Przy porównywaniu szczególnych przesłanek udostępnienia danych ustalonych w uchylonym art. 29 OchrDanOsobU z ogólnymi przesłankami przetwarzania danych z art. 23 OchrDanOsobU, w doktrynie stwierdzono, że: „w istocie w art. 29 ust. 1 dopatrzyć się można przesłanki odpowiadającej wymogom wskazanym w art. 23 ust. 1 pkt 2, natomiast w art. 29 ust. 2 odnajdujemy przesłankę zbliżoną do określonej w art. 23 ust. 1 pkt 5”2 .
Ze stanowiskiem powyższym należy się zgodzić w części, w jakiej odnosi się ono do udostępnienia obligatoryjnego. Przepisy art. 23 ust. 1 pkt 2 OchrDanOsobU („dane zwykłe”) lub art. 27 ust. 2 OchrDanOsobU („dane wrażliwe”) rzeczywiście bowiem odsyłają, podobnie jak to było w przypadku uchylonego art. 29 ust. 1 OchrDanOsobU, do przepisów innych ustaw wprowadzających obowiązek udostępnienia danych. Warunki udostępnienia danych osobowych na „mocy przepisów prawa” były więc i są również po ZmOchrDanOsobU ustanowione w przepisach innych ustaw. Z tych przyczyn, uchylenie art. 29 ust. 1 OchrDanOsobU nie ma znaczenia praktycznego. Nie zmieniła się bowiem sytuacja prawna osób i podmiotów uprawnionych do otrzymania danych osobowych na podstawie przepisów prawa.
ZmOchrDanOsobU istotnie zmodyfikowała natomiast przesłanki fakultatywnego udostępnienia danych osobowych. W nowym stanie prawnym, wyłączną podstawę prawną żądania udostępnienia danych osobowych w tym trybie stanowi art. 23 ust. 1 pkt 5 OchrDanOsobU. Zgodnie z tym przepisem, przetwarzanie, w tym udostępnienie, danych osobowych
-1021-
jest dopuszczalne o ile „jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą”.
Zestawienie treści uchylonych art. 29 ust. 2 i art. 30 z treścią art. 23 ust. 1 pkt 5 OchrDanOsobU prowadzi do wniosku, że w ramach nowelizacji doszło do usunięcia wymogu „wiarygodnego uzasadnienia potrzeby posiadania danych” przez osobę (podmiot) zainteresowaną. Przesłanka ta zastąpiona została warunkiem „niezbędności udostępnienia dla realizacji usprawiedliwionych celów administratora danych albo odbiorcy danych”. Zmiana ta niesie ze sobą istotne konsekwencje. Po pierwsze, zmianie ulega już sam punkt odniesienia, w kontekście którego dokonywana jest ocena zasadności udostępnienia danych osobowych. Dotychczas analizowano wyłącznie sytuację wnioskodawcy, obecnie dla dopuszczalności udostępnienia wystarczające będzie stwierdzenie „usprawiedliwionego celu” po stronie administratora udostępniającego dane osobowe. Niewątpliwie stanowi to rozszerzenie, w stosunku do poprzedniego stanu prawnego, możliwości udostępnienia danych. Po drugie, należy podkreślić, że zakresy pojęć: „potrzeba posiadania danych” oraz „wypełnienie usprawiedliwionego celu” nie są tożsame. Pojęcie „potrzeby posiadania danych” na gruncie uchylonego art. 29 ust. 2 interpretowano jako wszelkie interesy wnioskodawcy, które można uznać za prawnie usprawiedliwione3 . Przy wykładni art. 23 ust. 1 pkt 5 OchrDanOsobU przyjmuję się z kolei, że cel przetwarzania danych musi być usprawiedliwiony prowadzoną działalnością administratora lub odbiorcy danych4 . Możliwości udostępnienia danych na podstawie tego ostatniego przepisu są więc węższe, niż w przypadku art. 29 ust. 2 OchrDanOsobU. Dotyczy to w szczególności tych sytuacji, w których przesłanką udostępnienia danych ma być usprawiedliwiony cel odbiorcy danych. Konieczność spełnienia wymogu „prowadzenia działalności” utrudnić może bowiem oparcie się na tej przesłance przez tych odbiorców danych, którzy nie będą prowadzili działalności zarobkowej lub zawodowej. Po trzecie, niebagatelne znaczenie ma zrezygnowanie z przesłanki „wiarygodnego uzasadnienia” przez wnioskodawcę przyczyn, dla których istnieje po jego stronie potrzeba pozyskania danych. Dotychczas, wnioskodawca musiał co najmniej uprawdopodobnić zasadność tej potrzeby, w aktualnym stanie prawnym konieczności spełnienia tego warunku ustawodawca już jednak nie przewidział. Niezależnie od związanych z tym (i opisanych poniżej) ryzyk prawnych po stronie administratora udostępniającego dane osobowe, uchylenie tej przesłanki ocenić należy również negatywnie z punktu widzenia ochrony interesów podmiotów, których dane mają zostać udostępnione.
W odróżnieniu od wyżej omówionych przesłanek z art. 29 ust. 2 OchrDanOsobU bez znaczenia jest natomiast uchylenie tego przepisu, jeżeli chodzi o spełnienie innego z warunków w nim wskazanych, tj. wymogu „nienaruszania praw i wolności osób, których dane dotyczą”. W przepisie art. 23 ust. 1 pkt 5 OchrDanOsobU in fine ustawodawca posłużył się bowiem takim samym zwrotem. Również więc i w obecnym stanie prawnym, konieczne będzie spełnienie tej przesłanki.
Przed ZmOchrDanOsobU, przy ocenie dopuszczalności fakultatywnego udostępnienia danych osobowych, administrator danych zobowiązany był do uwzględnienia negatywnych przesłanek, określonych w art. 30 OchrDanOsobU. W przypadku ich stwierdzenia, administrator danych zobowiązany był do odmowy udostępnienia danych osobowych. Odmowa powinna w szczególności nastąpić, jeżeli spowodowałoby to:
a) ujawnienie wiadomości stanowiących tajemnicę państwową (pkt 1);
b) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego (pkt 2);
c) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa (pkt 3) oraz
d) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób (pkt 4). Warto w związku z tym podkreślić, że do tej pory administrator powinien odmówić udostępnienia danych również w sytuacji, gdy spowodowałoby to zagrożenie (naruszenie) interesów innych osób, niż „osoby, której dane dotyczą”. Chodzi tu w szczególności o szeroko rozumiany interes publiczny (art. 30 pkt 1–3 OchrDanOsobU) lub interesy osób trzecich (art. 30 pkt 4 OchrDanOsobU). Po ZmOchrDanOsobU, dojdzie do istotnej zmiany w tym względzie, art. 23 ust. 1 pkt 5 OchrDanOsobU każe bowiem uwzględniać jedynie interes podmiotu danych („osoba, której dane dotyczą”). Należy także zauważyć, że art. 30 pkt 4 OchrDanOsobU nakazywał odmowy udostępnienia jedynie w przypadku istotnego naruszenia dóbr osobistych podmiotów danych, podczas gdy na gruncie art. 23 ust. 1 pkt 5 OchrDanOsobU zakazowi naruszania podlegają już i „zwykłe” naruszenia tych dóbr (np. prywatności).
Zasada związania celem udostępnienia danych osobowych
Z problematyką materialnoprawnych przesłanek udostępnienia danych osobowych pozostaje w związku zasada, zgodnie z którą przekazane dane osobowe mogą być wykorzystane wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. Zasada ta, odnosząca się wyłącznie do udostępnienia fakultatywnego, ustanowiona została w uchylonym art. 29 ust. 4 OchrDanOsobU. Wydaje się jednak, że skreślenie tego przepisu nie ma większego znaczenia praktycznego z uwagi na pozostawienie w mocy art. 26 ust. 1 pkt 2 OchrDanOsobU. Ten ostatni przepis znajduje bowiem również zastosowanie do udostępnienia danych osobowych nie w celu włączenia do zbioru. Zgodnie z nim, zebrane dane osobowe nie powinny być „poddawane dalszemu przetwarzaniu niezgodnemu z celami, dla których zostały zebrane”. Administrator udostępniający dane i w obecnym stanie prawnym zobowiązany jest do przestrzegania, aby uprzednio zebrane dane były następnie przez niego (jak i osoby, którym udostępnia on te dane), przetwarzane w sposób zgodny z celami oznaczonymi przy ich zbieraniu.
-1022-
Zmiany w procedurze udostępniania danych osobowych
W ramach ZmOchrDanOsobU zrezygnowano z wymogu pisemnego wniosku o udostępnienie danych nie w celu włączenia do zbioru. W nowym stanie prawnym, żądanie to może zostać więc złożone w dowolnej formie. Nie ma również konieczności wskazania „informacji umożliwiających wyszukanie w zbiorze żądanych danych osobowych, jak i wskazanie ich zakresu i przeznaczenia” (uchylony art. 29 ust. 3 zd. 2 OchrDanOsobU). Zmiany te należy ocenić negatywnie, szczególnie jeśli zważyć, że udostępnienie danych osobowych osobom nieupoważnionym stanowi przestępstwo zagrożone sankcją karną (art. 51 OchrDanOsobU). Brak konieczności złożenia pisemnego wniosku, zawierającego określone wymogi treściowe niewątpliwie zwiększy stan niepewności prawnej po stronie administratorów danych udostępniających dane osobowe.
Postępowanie w sprawie o udostępnienie danych osobowych składać się będzie, również po ZmOchrDanOsobU, z dwóch etapów5 . W pierwszym, administrator danych rozstrzyga indywidualną sprawę z zakresu udostępnienia danych osobowych. Na tym etapie wyłącznie właściwe są przepisy OchrDanOsobU. W drugim etapie osoba zainteresowana, niezadowolona z rozstrzygnięcia (lub jego braku) administratora danych, może dochodzić swoich praw w postępowaniu przed Generalnym Inspektorem. Zastosowanie znajdą wówczas przepisy KPA.
Kompetencje Generalnego Inspektora do wydawania decyzji nakazujących udostępnienie danych osobowych
Osoba zainteresowana może wystąpić do Generalnego Inspektora z wnioskiem o wydanie decyzji nakazującej udostępnienie danych osobowych (art. 18 ust. 1 pkt 2 OchrDanOsobU). W doktrynie trafnie wyróżnia się w związku z tym trzy grupy przyczyn, kiedy potrzeba złożenia takiego wniosku się aktualizuje. Zaliczyć do nich należy: odmowę udostępnienia, udzielenie danych niezgodnie z wnioskiem oraz bezczynność administratora danych – adresata żądania udostępnienia danych6 .
Szczególne problemy prawne wywołuje ocena kompetencji Generalnego Inspektora do wydawania decyzji nakazujących udostępnienie danych osobowych w sytuacji, gdy osoba zainteresowana nie może powołać się na obowiązek ich przekazania wynikający z mocy przepisów prawa. Dopuszczalność wydawania przez GIODO tego rodzaju rozstrzygnięć budziła już wątpliwości w okresie przed ZmOchrDanOsobU, nowy stan prawny kontrowersje w tym zakresie jedynie pogłębił.
Zgodnie z art. 18 ust. 1 OchrDanOsobU, warunkiem wydania przez Generalnego Inspektora decyzji nakazującej administratorowi danych przywrócenie stanu zgodnego z prawem jest stwierdzenie naruszenia przepisów o ochronie danych osobowych. Dotyczy to wszystkich rodzajów decyzji administracyjnych określonych w art. 18 ust. 1 OchrDanOsobU, a więc i decyzji nakazującej udostępnienie danych osobowych. Innymi słowy, brak stwierdzenia elementu naruszenia przepisów o ochronie danych osobowych uniemożliwia GIODO wydanie decyzji nakazowej.
O naruszeniu przepisów w wyżej wymienionym znaczeniu można mówić wyłącznie w sytuacji, gdy administrator danych naruszy obowiązek udostępnienia danych, określony w normie ustawowej. W sposób oczywisty charakteru takiej normy nie ma przepis art. 23 ust. 1 pkt 5 OchrDanOsobU, który obecnie stanowić będzie podstawę prawną żądania udostępnienia danych osobowych przez osoby zainteresowane, niemogące powołać się na obowiązek udostępnienia danych osobowych na podstawie przepisów innych ustaw. Z treści tego przepisu można jedynie wywieść uprawnienie administratora danych osobowych do ich udostępnienia żądającemu. Norma ta nie statuuje natomiast obowiązku udostępnienia danych przez administratora danych. Taka wykładnia tego przepisu odpowiada konstrukcji całego art. 23 OchrDanOsobU, którego celem jest określenie katalogu przesłanek legalizujących przetwarzanie, w tym udostępnianie danych, przez administratora, nie nakłada on natomiast na administratorów żadnych obowiązków w tym zakresie.
W konsekwencji powyższych wywodów należy stwierdzić, że odmowa udostępnienia danych osobowych na podstawie art. 23 ust. 1 pkt 5 OchrDanOsobU nie może zostać uznana za naruszenie przepisów OchrDanOsobU, a Generalny Inspektor nie ma kompetencji do oceny, czy odmowa ta była zasadna7 .
Udostępnienie danych osobowych nie w celu włączania do zbioru a legalność zbierania danych osobowych
W uzupełnieniu rozważań dotyczących dopuszczalności udostępnienia danych osobowych nie w celu włączenia do zbioru warto zwrócić jeszcze uwagę na ściśle z nią powiązaną, a nieodnotowaną jeszcze w praktyce orzeczniczej Generalnego Inspektora oraz sądów administracyjnych, problematykę prawną legalności zbierania danych osobowych, w szczególności adresów IP8 , przez podmioty prywatne monitorujące sieć Internet w celu wychwycenia ewentualnych naruszeń ich praw (np. praw autorskich). Działania te polegają często na gromadzeniu danych o wszystkich użytkownikach sieci, bez wiedzy zainteresowanych.
Szersza analiza dopuszczalności tego rodzaju działań, z punktu widzenia przepisów o ochronie danych osobowych, wykracza poza ramy niniejszego artykułu, w tym miejscu warto jedynie podkreślić, że tego rodzaju zostały zakwestionowane m.in. przez organy ds. ochrony danych osobowych w Szwajcarii i we Włoszech9 . Zawarta w decyzjach tych organów argumentacja pozostaje również aktualna na gruncie polskiej OchrDanOsobU.
-1023-
Stwierdzenie braku legalności zbierania adresów IP ma kluczowe znaczenie dla oceny zasadności kierowanych do administratorów danych żądań udostępnienia, innych niż adresy IP, danych osobowych użytkowników, w szczególności informacji o ich imieniu, nazwisku oraz adresie zamieszkania. Wnioski tego rodzaju motywowane są potrzebą podjęcia działań mających na celu zaprzestanie przez użytkowników naruszeń praw wnioskodawców. Do podjęcia tych działań konieczne ma być właśnie pozyskanie dodatkowych danych osobowych. Pamiętać należy w związku z tym, że zgodnie z ogólną zasadą prawa, nikt nie może odnosić korzyści ze swego bezprawnego zachowania (nemo audiatur propriam turpitudinem allegans). Zasada ta została potwierdzona w orzecznictwie Trybunału Konstytucyjnego10 . Zbieranie danych w ten sposób można uznać również za niedopuszczalne z uwagi na treść art. 23 ust. 1 pkt 5 OchrDanOsobU, który wyraźnie wskazuje, że dane mogą być udostępniane jedynie wówczas, gdy nie narusza to praw i wolności osób, których dane dotyczą. Do naruszenia takich praw niewątpliwie dochodzi w przypadku „ukrytego” zbierania danych osobowych.
-1024-
1 1 Przykładem takiego przepisu jest art. 14 ustawy z 6.4.1990 r. o Policji, t. jedn.: Dz.U. z 2002 r. Nr 7, poz. 58 ze zm.
2 2 Zob. J. Barta, R. Markiewicz, P. Fajgielski, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 595.
3 3 Zob. A. Drozd, Ustawa o ochronie danych osobowych, Komentarz, Warszawa 2004, s. 185.
4 4 Zob. J. Barta, R. Markiewicz, P. Fajgielski, op. cit., s. 513.
5 5 Zob. G. Sibiga, Postępowanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 95.
6 6 Ibidem, s. 96.
7 7 Przedstawiona w niniejszym artykule argumentacja prezentowana jest również w orzecznictwie sądowym – zob. wyrok WSA z 9.2.2005 r. w Warszawie, II SA/Wa 1085/04.
8 8 GIODO przyjmuję, że informacje o adresy IP mają charakter danych osobowych. Zob. wyjaśnienia Generalnego Inspektora dostępne na: www.giodo.gov.pl.
9 9 Zob. decyzja włoskiego organy ds. ochrony danych osobowych z 28.2.2008 r. w sprawie Peppermint Jam Records GmbH/Logistep. Podobny zakaz został wydany względem spółki Logistep przez szwajcarski urząd ds. ochrony danych osobowych w styczniu 2008 r.
10 10 Zob. wyrok TK z 26.3.2002 r., SK 2/01, OTK-A Nr 2/2002, poz. 15.