C. Zbiór danych osobowych
dyrektywa art. 2c: to każdy uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów; analogicznie polska ustawa art. 7.1:
Zbiór danych: rozumie się przez to każdy posiadający strukturę zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie
Kryterium dostępu: abyśmy mieli do czynienia ze zbiorem dane muszą być tak uporządkowane, by móc dotrzeć do poszukiwanej informacji bez konieczności przeglądania całego zbioru. Musi istnieć cecha lub cechy umożliwiające wyszukanie konkretnych danych. Siłą rzeczy kryterium dostępu musi mieć charakter osobowy
D. Zakres ochrony danych osobowych
dyrektywa art. 3.1 - jest stosowana do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych
tzn. dane osobowe będą podlegały ochronie przewidzianej w dyrektywie w dwóch przypadkach:
• gdy będą przetwarzane w sposób zautomatyzowany (bez względu na to czy stanowią część zbioru czy też nie)
• gdy nie będą przetwarzane w sposób zautomatyzowany (ale pod warunkiem, że stanowią one lub mają stanowić część zbioru)
polska ustawa art.2.2
ustawę stosuje się do przetwarzania danych osobowych:
• w kartotekach, skorowidzach, księgach,wykazach i innych zbiorach ewidencyjnych
• w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych
Przy czym system informatyczny - zgodnie z ustawą art. 7.2a: to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych, zastosowanych w celu przetwarzania danych
Uwaga: definicja powyższa werbalnie odbiega nieco od tych z aktów europejskich, ale powinna być interpretowana „pro europejsko”
Dane osobowe będą podlegać ochronie:
• gdy dane będą lub są przetwarzane w zbiorze danych (katalog z art. 2.2) trzeba traktować jako przykładowe wyliczenie takich zbiorów
• gdy będą lub są przetwarzane w „systemach informatycznych” (funkcjonalny odpowiednik używanego w dyrektywie pojęcia „przetwarzanie zautomatyzowane”)
Zatem dane osobowe nie będą podlegać ustawowej ochronie jedynie w przypadku, gdy nie będąc elementem zbioru danych, będą przetwarzane poza systemem informatycznym (w sposób niezautomatyzowany), chodzi przykładowo o dane osobowe zawarte w książkach i czasopismach, rozpowszechniane w radiu i telewizji, podawane w wystąpieniach czy na wykładach
E. Wyjątki
ustawy nie stosuje się do:
• osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych
• podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych
• prasowej działalności dziennikarskiej w rozumieniu ustawy: Prawo prasowe oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą (z wyjątkiem przepisów o kontroli i zabezpieczeniu zbiorów danych)
- dodatkowo na mocy orzecznictwa sądowego NSA nie stosuje się ustawy o ochronie danych osobowych do publicznych, jawnych rejestrów (np. rejestru przedsiębiorców)
Podmioty obowiązku
A. Administrator danych
należy go odróżnić od administratora bazy danych, czy administratora bezpieczeństwa informacji
administrator danych to ten, kto „decyduje o celach i środkach przetwarzania danych osobowych” art. 7.4 ustawy
administratorem danych mogą być:
• organy państwowe
• organy samorządu terytorialnego
• państwowe i komunalne jednostki organizacyjne np. biblioteka
• podmioty niepubliczne realizujące zadania publiczne np. ZOZ
• osoby fizyczne, osoby prawne i jednostki organizacyjne niebędące osobami prawnymi, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych
B. Podmiot, któremu administrator powierzył przetwarzanie danych osobowych
(tzn. zleceniobiorca)
podstawa prawna, art. 31 ustawy
wymogi:
umowa sporządzona na piśmie
konsekwencje:
• administrator
- nadal decyduje o celu i środkach przetwarzania
- nadal ponosi odpowiedzialność na podstawie ustawy o ochronie danych osobowych za jej wykonanie
• zleceniobiorca:
- ma obowiązek wykonania umowy zawartej z administratorem danych
- jest związany określonymi przez administratora celami i środkami przetwarzania
- odpowiada na podstawie ustawy za zabezpieczenie zbioru danych
Ogólne warunki dopuszczalności przetwarzania
są to wymogi od spełnienia których uzależniona jest możliwość przetwarzania danych osobowych - jeżeli administrator nie spełnia co najmniej jednej z poniższych przesłanek powinien natychmiast zaprzestać przetwarzania:
• zgoda osoby, której dane dotyczą
art. 23.1.1 przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyraża na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych
jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe
• przepis prawa
art. 23.1.2 przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla realizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa
• realizacja umowy
art. 23.1.3 przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą
• dobro publiczne
art. 23.1.4 przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego
• usprawiedliwiony cel administratora
art. 23.1.5 przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą
jako przykłady ustawodawca wymienia:
- marketing bezpośredni własnych produktów lub usług administratora danych
- dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej
Dane wrażliwe
sensitive data art. 27.1 ustawy
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym
O ile przetwarzanie wszystkich pozostałych danych jest zasadniczo dozwolone (po spełnieniu odpowiednich przesłanek) to przetwarzanie danych wrażliwych jest zasadniczo zakazane (chyba, że spełni się pewne, dodatkowe przesłanki - które określa art. 27.2 ustawy)
Praktyczna różnica: jeżeli zbiór zawiera dane wrażliwe to rozpoczęcie przetwarzania danych z tego zbioru jest możliwe dopiero po zarejestrowaniu zbioru, w przypadku wszystkich pozostałych zbiorów rozpoczęcie przetwarzania jest możliwe od momentu dokonania zgłoszenia art. 46 ustawy
W konsekwencji: w przypadku zbioru zawierającego dane wrażliwe GIODO automatycznie wydaje zaświadczenie o zarejestrowaniu zbioru - w przypadku pozostałych zbiorów takie zaświadczenie jest wydawane na żądanie administratora art. 42. 2-3 ustawy
Obowiązki administratora danych
A. Obowiązki związane ze zbiorem danych
• zbieranie danych od osób których dotyczą (tzw. pierwotne)
skutkuje koniecznością wykonania tzw. pierwotnego obowiązku informacyjnego art. 24 ustawy
przepisu ust. 1 nie stosuje się, jeżeli:
- przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania
- osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1
moment poinformowania:
w trakcie zbierania, forma jest dowolna ale na administratorze spoczywa obowiązek udowodnienia, że go wykonał, w praktyce administrator musi pomyśleć o przygotowaniu kwestionariusza personalnego uwzględniającego wymogi art. 24 ustawy
podobnie, musi przyjąć jedno z możliwych rozwiązań spełniających wymogi ustawy odnośnie do własnych pracowników
• zbieranie danych z innych źródeł (tzw. wtórne)
skutkuje koniecznością wykonania tzw. wtórnego obowiązku informacyjnego art. 25 ustawy
przepisu ust.1 nie stosuje się, jeżeli:
- przepis innej ustawy przewiduje lub dopuszcza, że:
nie musi podawać informacji z zakresu art. 25 podmiot publiczny lub podmiot realizujący cele publiczne który przetwarza dane osobowe na podstawie przepisów prawa
moment poinformowania:
bezpośrednio po utrwaleniu danych „utrwalenie danych” to druga po zebraniu danych czynność przetwarzania - polega na zapisaniu danych umożliwiających korzystanie z nich
Charakter poinformowania: jest zindywidualizowany - trzeba dotrzeć bezpośrednio do danej osoby, forma jest dowolna (ale na administratorze spoczywa obowiązek udowodnienia, że go wykonał)
W praktyce administrator powinien uwzględnić powyższy obowiązek w instrukcji zarządzania systemem informatycznym - najlepiej przygotować wzór w postaci załącznika