Zakres podmiotowy ustawy o ochronie danych osobowych
a) Podmioty publiczne
-organy państwowe (np. NIK, Kancelaria Sejmu, Kancelaria Senatu, ZUS),
- organy samorządu terytorialnego (np. wójt, burmistrz, prezydent miasta),
- państwowe i komunalne jednostki organizacyjne (np. miejskie zakłady oczyszczania, miejskie zakłady komunikacji),
b) Podmioty prywatne
- podmioty niepubliczne realizujące zadania publiczne (np. prywatne zakłady opieki zdrowotnej, prywatne szkoły, itd.),
- osoby fizyczne, tj. bez względu na np. ich narodowość, obywatelstwo, zdolność do czynności prawnych, wiek, itp., osoby prawne (np. stowarzyszenia, spółdzielnie, fundacje) i jednostki organizacyjne nie będące osobami prawnymi (np. nie mające osobowości prawnej spółki prawa handlowego), o ile nie przetwarzają danych w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Zakres podmiotowy ustawy o ochronie danych osobowych - podmioty tzw. sfery prywatnej
Jeżeli chodzi o podmioty z tzw. sfery prywatnej, to art. 3 ust. 2 pkt 2 wskazuje przesłanki na jakich takie podmioty zobowiązane są do stosowania ustawy o ochronie danych osobowych, a zatem:
znajduje ona zastosowanie do wszystkich podmiotów prawa, określając, że są nimi objęte osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi,
posiadające miejsce zamieszkania lub siedziby na terytorium RP; albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej,
przetwarzających dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Wyłączenia podmiotowe stosowania ustawy o ochronie danych osobowych
Wyłączenia stosowania ustawy:
osoby nieżyjące - ograniczenia w przetwarzaniu takich danych mogą jednak występować ze względu na ochronę powszechnych dóbr osobistych (kult pamięci osoby zmarłej)- vide definicja ochrony danych osobowych
osoby fizyczne, prawne i jednostki organizacyjne niebędące osobami prawnymi, o ile nie przetwarzają danych w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - a contrario art. 3 ust. pkt 2 ustawy
podmioty mające siedzibę albo miejsca zamieszkania w państwie trzecim, wykorzystujące środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych - art. 3a ust. 1 pkt 2 ustawy o ochronie danych osobowych
osoby fizyczne, które wykorzystują dane wyłącznie w celach osobistych lub domowych - art. 3a ust. 1 pkt 1 ustawy o ochronie danych osobowych.
Wykorzystanie danych przez osoby fizyczne wyłącznie dla celów domowych lub osobistych
Regulacją ustawy nie będą objęte czynności związane z dokonywaniem operacji na książkach adresowych zlokalizowanych na osobistych komputerach (w programach pocztowych) lub też w telefonach komórkowych.
Rozwiązanie to należy uznać za słuszne, gdyż w przeciwnym wypadku każda operacja na danych osobowych dokonywana w celach osobistych np. przesłania znajomemu lub otrzymania od niego wizytówki za pośrednictwem telefonu komórkowego albo adresu e-mail za pośrednictwem komputera, wiązałaby się z koniecznością wypełnienia obowiązków określonych w ustawie.
Działalność portali społecznościowych
W tym kontekście istotne zagadnienia wiążą się z działalnością portali społecznościowych, które umożliwiają nierzadko użytkownikom umieszczenie na stronach internetowych i upublicznienie ich własnych treści m.in. danych osobowych.
W takim wypadku osoba, która zamieszcza dane dokonuje tych działań (zakładając, że nie mają one celu zarobkowego) w celach osobistych, nie jest więc objęta przepisami ustawy.
Przyjmuje się, że administratorami danych przetwarzanych na serwisach społecznościowych i podmiotami zobowiązanymi do przestrzegania zarówno ustawy o ochronie danych osobowych, jak i unijnej dyrektywy 95/46, są twórcy tych serwisów.
Osoba dotknięta działaniem osoby fizycznej, która umieściła (upubliczniła) jej dane na portalu nie może wnosić o przeprowadzenie kontroli ani o wydanie przez GIODO odpowiedniej decyzji. Pozostają jej względem takiego naruszyciela wyłącznie roszczenia cywilne związane z naruszeniem dóbr osobistych (art. 24 KC).
Bardzo często naruszenia prywatności związane są z tzw. tagowaniem zdjęć, czyli ujawnianiem, kto znajduje się na danej fotografii
Nawet jednak, jeśli Facebook czy nk.pl jest administratorem danych osobowych, poszczególni jego użytkownicy powinni - zdaniem GIODO - ostrożnie posługiwać się różnymi narzędziami stworzonymi na potrzeby tego portalu.
Działalność portali społecznościowych
Niejednokrotnie zdarza się, że użytkownik publikuje zdjęcie swojej klasy i oznacza wszystkich uczniów, którzy się na nim znajdują. Często zaznacza na zdjęciu osobę X, nie zwracając uwagi, że w rzeczywistości nie jest to ten X, którego "otagował", tworząc link do jego profilu w serwisie. W tym momencie zostają naruszone prawa dwóch osób: tej, która została nieprawidłowo otagowana, bo to nie ona jest na fotografii, i tej, która faktycznie występuje na zdjęciu, a której przypisano niewłaściwy profil.
Pomimo, że użytkownicy portali, którzy zamieszczają dane dokonują tych działań - z reguły - w celach osobistych, a zatem nie ma do nich zastosowania ustawa o ochronie danych osobowych, to osoby takie mogą narazić się na odpowiedzialność cywilnoprawną związaną z naruszeniem dóbr osobistych, jak np. prawo do prywatności, wizerunku bądź odpowiedzialność karną np. zniesławienie.
Zakres przedmiotowy ustawy Art. 2 ust. 1
Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
Podstawowe znaczenie ma tutaj definicja zbioru danych.
Zbiór danych
Zgodnie z art. 7 pkt 1 ustawy za zbiór danych - rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
W nauce prawa zwrócono uwagę, że zestaw informacji, aby zostać uznanym za zbiór danych osobowych, musi kumulatywnie spełniać następujące warunki:
- zawierać dane osobowe,
- posiadać określoną, własną strukturę
- zapewniać dostęp do danych osobowych według określonych kryteriów.
Cechą wyróżniającą zbiór danych od innego zestawu danych jest zatem struktura, czyli takie uporządkowanie, które daje możliwość wyszukania konkretnych danych według określonego kryterium.
Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy o ochronie danych osobowych, wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie.
Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.
Zbiór danych - przykłady
Zbiór akt postępowania administracyjnego zawierając dane stron, ich adresy i inne informacje, spełnia te kryteria i wobec tego jest zbiorem danych w rozumieniu ustawy. Na organie administracji (gminie) ciążą zatem takie same obowiązki, jak na innych administratorach danych, w szczególności zaś obowiązek właściwego zabezpieczenia danych.
Wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy.
Rejestr pacjentów przychodni lekarskiej, ewidencja podatników.
Zakres przedmiotowy ustawy o ochronie danych osobowych
a) przetwarzanie danych osobowych w zbiorach prowadzonych w systemie papierowym (kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych),
b) przetwarzanie danych osobowych w systemach informatycznych, także w przypadku przetwarzania danych osobowych poza zbiorem.
Wyłączenia przedmiotowe stosowania ustawy
przetwarzanie danych osobowych w zbiorach doraźnych, tj. wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, które po wykorzystaniu podlegają obowiązkowi niezwłocznego usunięcia albo anonimizacji - nie podlega reżimowi ustawy o ochronie danych osobowych za wyjątkiem przepisów stanowiących o zabezpieczeniu takich zbiorów przez okres ich funkcjonowania (rozdział 5 ustawy),
ustawy nie stosuje się do prasowej działalności dziennikarskiej w rozumieniu prawa prasowego, działalności literackiej lub artystycznej, za wyjątkiem przepisów dotyczących zabezpieczeń i umożliwiających organowi ochrony danych osobowych pozyskanie wyjaśnień oraz złożenie zawiadomienia o popełnieniu przestępstwa, o ile wolność wyrażania poglądów i rozpowszechniania informacji nie narusza istotnie praw i wolności osoby, której dane dotyczą,
jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita, wyłącza stosowanie ustawy,
jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z ustawy o ochronie danych osobowych, stosuje się przepisy tych ustaw.
Zasady przetwarzania danych osobowych
Przetwarzanie danych osobowych -definicja
Ustawodawca polski w art. 7 pkt 2 ustawy o ochronie danych osobowych definiuje przetwarzanie danych osobowych jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak:
- zbieranie,
- utrwalanie,
- przechowywanie,
- opracowywanie,
- zmienianie,
- udostępnianie
- usuwanie,
a zwłaszcza te, które wykonuje się w systemach informatycznych.
Ustawa posługuje się szeroką definicją przetwarzania danych osobowych.
W doktrynie przyjmuje się, że wyliczenie czynności, które mogą składać się na przetwarzanie danych osobowych, ma charakter przykładowy.
Oznacza to, że wszelkie operacje wykonywane na danych osobowych - a nie tylko wymienione w tym przepisie - stanowią ich przetwarzanie.
Nie budzi natomiast wątpliwości, że czynności wyraźnie w tym przepisie wskazane mają charakter przetwarzania danych osobowych.
Wystarczy zatem, aby zrealizowana została którakolwiek z wymienionych operacji (np. samo zbieranie danych), a nawet operacja inna niż wymieniona w przepisie mająca za przedmiot dane osobowe, aby doszło do przetwarzania danych osobowych.
Jak można sądzić kolejność operacji wskazanych w art. 7 pkt 2 nie jest przypadkowa i może być przydatna do ustalenia ram czasowych przetwarzania danych.
przetwarzaniu danych osobowych można mówić począwszy od zbierania danych, a skończywszy na ich usunięciu.
Zarówno przed zbieraniem, jaki i po usunięciu danych osobowych nie może być mowy o ich przetwarzaniu i tym samym stosowaniu ustawy o ochronie danych osobowych.
Użyty w art. 7 pkt 2 zwrot „a zwłaszcza te, które wykonuje się w systemach informatycznych” oznacza tyle, że nawet wtedy, gdy określonej operacji na danych osobowych nie da się określić jako zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a może mieć to miejsce zwłaszcza w systemie informatycznym, to i tak jest on przetwarzaniem w rozumieniu przepisów ustawy o ochronie danych osobowych.
Zbieranie danych osobowych
Ustawa o ochronie danych osobowych uznaje zbieranie danych za jedną z czynności wchodzących w skład pojęcia przetwarzania danych, wymieniając zbieranie danych na pierwszym miejscu tego otwartego katalogu.
W ustawie o ochronie danych osobowych nie zdefiniowano jednak pojęcia „zbieranie danych osobowych”.
Odwołać się w tym miejscu należałoby do słownika języka polskiego, który definiuje „zbieranie”, jako „gromadzenie w jednym miejscu, skupianie w posiadaniu”.
Zbieranie danych osobowych stanowi wstępne stadium przetwarzania danych osobowych.
Jeżeli celem tym jest wyłącznie zapoznanie się z informacjami, bez ich dalszego przetwarzania, wówczas nie można mówić o zbieraniu danych osobowych.
Należy przyjąć, że pojęciem „zbieranie” nie jest objęte odbieranie określonych informacji w trakcie komunikowania się ludzi
Czy każde faktyczne zapoznanie się z danymi osobowymi powinno być kwalifikowane jako ich zbieranie? Nie,
Jeżeli celem tym jest wyłącznie zapoznanie się z informacjami, bez ich dalszego przetwarzania, wówczas nie można mówić o zbieraniu danych osobowych.
Jeżeli natomiast odbywa się dalsze przetwarzanie zebranych informacji, wówczas przyjąć należy, że w istocie dochodzi do zbierania danych osobowych. Zatem do uznania, że mamy do czynienia ze zbieraniem danych osobowych, koniecznym jest wejście w posiadanie danych osobowych z zamiarem ich dalszego przetwarzania.
Przykłady: udostępnienie przez osoby korzystające z komunikacji miejskiej odcinka renty (emerytury), legitymacji studenckiej do wglądu kontrolującym nie jest zbieraniem danych osobowych objętych zakresem zastosowania ustawy.
Natomiast odnotowywanie już odpowiednich informacji przez kontrolera może być kwalifikowane jako przetwarzanie (zbieranie) danych osobowych!!!
Podobnie okazywanie do wglądu sprzedawcy dowodu osobistego przy zakupie alkoholu.
Utrwalanie danych osobowych
W przypadku utrwalenia danych osobowych chodzi o zapisanie informacji (danych osobowych) na materialnym nośniku.
Przykładem utrwalenia danych osobowych może być zapisanie ich w zbiorach papierowych lub też w systemie informatycznym.
Usunięcie danych osobowych
Zgodnie z definicją ustawową zawartą w art. 7 pkt 3 ustawy przez usuwanie danych należy rozumieć:
1) zniszczenie danych osobowych,
2) modyfikację danych osobowych, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
Co do pierwszej ze wskazanych czynności, to należy ją utożsamiać z usunięciem bezpowrotnym danych jak również z fizycznym unicestwieniem nośników danych, tak by odtworzenie informacji na ich zapisanych nie było możliwe.
Efektem takiego działania będzie brak możliwości dalszego dokonywania jakichkolwiek operacji na tych informacjach.
Natomiast z modyfikacją, która nie pozwoli na ustalenie tożsamości osoby zainteresowanej, mamy do czynienia wówczas, gdy zgodnie z art. 6 ust. 3 ustawy informacja nie umożliwia określenia tożsamości osoby fizycznej, ponieważ wymagałoby to nadmiernych kosztów, czasu lub działań.
W praktyce chodzi o sytuacje, gdy dokonywane są na danych osobowych takie operacje, które spowodują ich anonimizację.
Przykładowo: usunięcie części informacji o charakterze osobowym - umożliwiających połączenie pozostałych informacji z konkretną osobą fizyczną, które spowodują ich anonimizację (pozbawienie informacji cech danych osobowych).
W odróżnieniu od usunięcia (wymazania) danych lub zniszczenia ich nośników, anonimizacja skutkuje możliwością dalszego dokonywania operacji na części informacji, które samodzielnie i łącznie nie będą umożliwiały zidentyfikowania tożsamości konkretnej osoby fizycznej.
Zasady przetwarzania danych osobowych
Ochrona danych osobowych polega między innymi na określeniu, kiedy dozwolone, a kiedy zabronione jest ich przetwarzanie
W przepisach ustawy o ochronie danych osobowych wskazanie podstaw, na których może opierać się przetwarzanie danych osobowych, nastąpiło:
- w art. 23 ustawy w odniesieniu do tzw. danych osobowych zwykłych;
- w art. 27 ustawy w odniesieniu do tzw. danych osobowych wrażliwych.
W stosunku do danych zwykłych (a zatem innych niż wrażliwe) nie mamy do czynienia z zasadą zakazu ich przetwarzania.
Zatem przetwarzanie takich danych jest co do zasady dopuszczalne, jednakże pod warunkami wskazanymi w art. 23.
Zgoda osoby, której dane dotyczą
Art. 23 ust. 1 pkt 1 ustawy wskazuje jedną z podstawowych przesłanek legalizujących przetwarzanie danych osobowych, jaką jest zgoda osoby, której dane dotyczą.
Art. 23 ust. 1 pkt 1
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
W art. 7 pkt 5 ustawodawca wyjaśnił, jak należy rozumieć pojęcie zgody osoby, której dane dotyczą.
- W definicji tej wskazał, że zgoda osoby, której dane dotyczą powinna być traktowana jako oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Dodatkowo, zgoda nie może być domniemana lub dorozumienia z oświadczenia woli o innej treści.
* Z definicji tej nie wynikają wprawdzie szczegółowe zasady formułowania takiej zgody, jednakże podkreśla się, że z treści zgody na przetwarzanie danych osobowych powinno w sposób nie budzący wątpliwości wynikać:
- w jakim celu, w jakim zakresie,
- przez kogo dane osobowe będą przetwarzane.
* Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi.
* Zgoda nie może być także domniemana lub dorozumiana z oświadczenia woli o innej treści.
* Nie spełnia tego wymagania podpisanie oświadczenia o wyrażeniu zgody na przetwarzanie danych, stanowiącego dodatkowy element innego zobowiązania nie zawierającego informacji o celach i zakresie przetwarzania tych danych.
Oświadczenie woli
-Pojęcie z zakresu prawa cywilnego.
-Oświadczenie woli określane jest jako czynność konwencjonalna, regulująca sytuację prawną podmiotów, których dotyczy.
-Czynności konwencjonalne to czynności, których sens i znaczenie wynika z określonych reguł (społecznych, obyczajowych, prawnych).
-Oznacza przejaw woli ludzkiej zmierzający do wywołania skutku prawnego w postaci powstania, zmiany, ustania stosunku prawnego.
-Od oświadczeń woli odróżnić należy oświadczenia wiedzy. Choć ze złożeniem oświadczenia wiedzy ustawodawca łączyć może określone skutki prawne (np. zawiadomienie o wadach rzeczy), celem osoby składającej oświadczenie wiedzy nie jest dokonanie czynności prawnej.
W związku z odwołaniem się przez ustawodawcę do cywilnoprawnej konstrukcji oświadczenia woli, zastosowanie będą miały regulacje kodeksu cywilnego w zakresie wykładni oświadczeń woli czy wad oświadczeń woli.
Zgoda osoby małoletniej
Możemy mieć do czynienia z sytuacją wyrażania zgody przez osobę, która nie ma zdolności do czynności prawnej (np. dzieci poniżej lat 13 lub całkowicie ubezwłasnowolnioną) lub przez osobę, która jest ograniczoną w zdolności do czynności prawnej (w wieku do 18 roku życia lub ubezwłasnowolnioną częściowo).
Osoby fizyczne w wieku do lat 13 i ubezwłasnowolnione całkowicie nie mają rozeznania co do wszystkich skutków wyrażenia zgody na przetwarzanie danych osobowych, a przede wszystkim (i to może nawet bardziej istotne) nie ma rozeznania co do przysługujących jej uprawnień.
Przepisy KC zawierają wyłączenie obowiązku uzyskania zgody przedstawiciela ustawowego tylko i wyłącznie w przypadku zawarcia umowy należącej do umów powszechnie zawieranych w drobnych bieżących sprawach życia codziennego, z zastrzeżeniem , że nie pociąga za sobą rażącego jej pokrzywdzenia (art. 14 § 2 KC).
Zgody na przetwarzanie danych osobowych nie można, porównywać do drobnych bieżących spraw życia codziennego, a więc konieczne jest uzyskanie zgody przedstawiciela ustawowego.
W przypadku osób z ograniczoną zdolnością do czynności prawnych, należy odwołać się do przepisu art. 17 KC, który wskazuje, że do ważności czynności prawnej, przez którą osoba ograniczona w zdolności do czynności prawnych zaciąga zobowiązanie lub rozporządza swoim prawem, potrzebna jest zgoda jej przedstawiciela ustawowego
Ważność umowy zależy od potwierdzenia jej przez przedstawiciela ustawowego. Choć wyrażenie zgody na przetwarzanie danych osobowych nie stanowi sensu stricterozporządzenia swoim prawem, to można traktować jej działanie podobnie, gdyż zakłada pełną świadomość (rozeznanie) po stronie niepełnoletniej osoby co skutków jej działań.
Konkludując, jeżeli porównywać wyrażenie zgody na przetwarzanie danych osobowych do oświadczenia woli zmierzającego do podjęcia czynności prawnej, należy przyjąć, że zarówno w stosunku do osób nieposiadających zdolności do czynności prawnych, jak i osób z ograniczoną zdolnością do czynności prawnych, dla skuteczności zgody na przetwarzanie danych wymagana jest zgoda przedstawiciela ustawowego osoby, której dane dotyczą
Takie rozwiązanie gwarantuje większą ochronę prywatności osób niepełnoletnich.
Cofnięcie zgody
W doktrynie reprezentowany jest pogląd zgodnie z którym zgoda na przetwarzanie danych osobowych może zostać cofnięta przez osobę, która jej udzieliła.
Chociaż pewnych argumentów przeciwko temu stanowisku dostarcza wykładnia systematyczna przepisów ustawy o ochronie danych osobowych oraz przepisów szczególnych odnoszących się do przetwarzania danych osobowych - w art. 4 ust. 2 pkt 2 ustawy o świadczeniu usług drogą elektroniczną oraz w art. 174 pkt 3 Prawa Telekomunikacyjnego, gdzie wyraźnie dopuszczono możliwość odwołania raz udzielonej zgody, w tym zgody na przetwarzanie danych osobowych, która w pewnych sytuacjach wymagana jest przez przepisy tychże ustaw.
Można więc argumentować, iż skoro przepisy szczególne o ochronie danych osobowych w rozumieniu art. 5 ustawy przyznają osobie, której dane dotyczą, uprawnienie do odwołania zgody na przetwarzanie danych osobowych, natomiast stosownego uprawnienia brak jest w przepisach ustawy ogólnej, uprawnienie takie nie przysługuje na gruncie ustawy o ochronie danych osobowych.
Skutkiem cofnięcia zgody na przetwarzanie danych osobowych będzie brak możliwości powołania się na tą właśnie podstawę przetwarzania danych.
Usuwanie danych osobowych
Szczególna forma przetwarzania danych osobowych, jaką jest ich usuwanie, nie wymaga zgody osoby, której dane dotyczą (wynika to z brzmienia przepisu art. 23 ust. 1 pkt 1 in fine
Wobec tego administrator danych nie musi wykazywać istnienia podstawy prawnej z art. 23 ust. 1 w przypadku wykonywania czynności polegających na usuwaniu danych.
Ochrona żywotnych interesów osoby, której dane dotyczą
Artykuł 23 ust. 3 ustawy przewiduje wyłączenie z obowiązku uzyskania zgody osoby, której dane dotyczą w sytuacji, gdy przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest (przynajmniej czasowo) niemożliwe.
Zasadnicze znaczenie dla zastosowania przepisu art. 23 ust. 3 ustawy o ochronie danych osobowych ma wykładnia pojęcia "żywotnych interesów".
podkreśla się, że chodzi w tym wypadku o interesy o dużym znaczeniu jak zdrowie, życie ale nie należy wykluczać również interesów majątkowych.
Ponadto, przyjmuje się, że za dopuszczalne w takiej sytuacji można uznać takie przetwarzanie danych, co do którego zainteresowany - gdyby istniała taka możliwość - udzieliłby swego zezwolenia
Należy również pamiętać, że wyłączenie obowiązku uzyskania zgody osoby, której dane dotyczą ma charakter wyłącznie czasowy. Stan uprawnionego przetwarzania danych w oparciu o ten przepis trwa tak długo, jak nie jest możliwe uzyskanie właściwego oświadczenia woli od tej osoby.
Niemożność uzyskania zgody może wynikać z np. tego, że osoba nieprzytomna, przebywa w nieznanym miejscu pobytu.
Zrealizowanie uprawnienia lub spełnienie obowiązku wynikającego z przepisów prawa
Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Warunkiem uznania przetwarzania danych osobowych za zgodne z prawem w oparciu o przesłankę legalizującą, wskazaną w art. 23 ust. 1 pkt 2 jest więc łączne spełnienie następujących warunków:
a) istnienie odpowiedniego przepisu prawa, który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek,
b) niezbędność przetwarzania danych dla zrealizowania tego uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu.
Jeżeli uprawnienie do przetwarzania danych osobowych znajduje swoje źródło bezpośrednio w przepisie prawa nie powinno się występować o zgodę osoby, której dane dotyczą, na przetwarzanie jej danych osobowych.
Może to bowiem prowadzić m.in. do mylnego przekonania o swobodzie w zakresie podania danych, w sytuacji gdy obowiązek ich podania wynika z powszechnie obowiązujących przepisów prawa.
Przetwarzanie danych osobowych na potrzeby umowy
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
W art. 23 ust. 1 pkt 3 ustawodawca wskazał dwie sytuacje związane z zawieraniem i wykonywaniem umowy, legalizujące przetwarzanie danych osobowych:
1) określił, że przetwarzanie danych osobowych jest dopuszczalne jeżeli jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną
2) działania takie są legalne gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą .
Czy prawidłową praktyką jest zamieszczanie w treści umowy zawieranej z klientem klauzuli zgody na przetwarzanie danych osobowych tak, by osoba zgadzająca się na zaproponowane warunki umowy, zgadzała się jednocześnie na przetwarzanie danych osobowych w celu wykonania tej umowy lub w innych celach wskazanych przez administratora?
Nie, gdyż nie można uzależniać wykonania umowy od wyrażenia zgody na przetwarzanie danych osobowych w określonym celu. Ponadto, na wykorzystywanie danych w celu zawarcia lub wykonania umowy zgoda w ogóle nie jest potrzebna.
Do Generalnego Inspektora Ochrony Danych Osobowych zwracają się osoby, które czują się zmuszane do wyrażania zgody na przetwarzanie ich danych osobowych. Do takich sytuacji dochodzi najczęściej, przy okazji zawierania różnego rodzaju umów. Sprzedawcy lub świadczeniodawcy usług sporządzają kwestionariusze, formularze zawierające w ich treści klauzulę zgody na przetwarzanie danych osobowych.
Takie klauzule, obejmują zgodę na przetwarzanie danych w celu wykonania zawieranej umowy, a dodatkowo zgodę na wykonywanie innych operacji na danych osobowych np. ich przekazywanie innym podmiotom, udostępnianie, przekazywanie za granicę lub wykorzystywanie w celach marketingowych.
Z takiej konstrukcji klauzuli zgody wynika, że jeśli klient nie zgodzi się na wykorzystywanie jego danych osobowych w sposób określony przez firmę w treści klauzuli, to tym samym nie zgodzi się na ich wykorzystywanie w celu wykonania umowy.
Formularze zawierające takie klauzule zgody są przedkładane do podpisu klientowi. Tym samym, klienci, przy okazji wypełniania przygotowanych przez różne firmy formularzy czy druków, są niejako zmuszani do wyrażania zgody na wykorzystywanie ich danych osobowych do określonych w klauzuli zgody celów, pozostając w przekonaniu, że bez wyrażenia tej zgody nie będą mogli skorzystać z produktów lub usług świadczonych przez firmę, czyli nie będą mogli zrealizować umowy.
Przetwarzanie danych osobowych na potrzeby umowy
Tymczasem, zgodnie z ustawą o ochronie danych osobowych, na wykorzystywanie danych w celu zawarcia lub wykonania umowy zgoda w ogóle nie jest potrzebna.
Jeśli firma gromadzi dane swojego przyszłego klienta i ma zamiar wykorzystywać je jedynie do celu realizacji umowy, którą z nim zawiera, nie powinna zwracać się o zgodę na przetwarzanie danych.
Natomiast, gdyby firma zamierzała wykorzystać dane swoich klientów w innym celu niż do realizacji lub wykonania umowy zawartej z klientem nie spełniając przy tym żadnego z warunków określonych w art. 23 ust. 1 pkt 2 - 5 ustaw, o taką zgodę powinna się zwrócić.
Podmiot, który przy okazji zawierania umowy zamierza również pozyskać zgodę na przetwarzanie danych osobowych kontrahenta, zobligowany jest do wyodrębnienia oświadczenia, którego treścią jest zgoda na przetwarzanie danych osobowych, od oświadczenia wyrażającego chęć związania się postanowieniami umowy
Nie można bowiem utożsamiać woli zawarcia umowy ze złożeniem oświadczenia woli, na podstawie którego osoba, której dane dotyczą, zgadza się na wykorzystywanie jej danych osobowych do innych celów.
Wykonywanie określonych prawem zadań realizowanych dla dobra publicznego
Art. 23 ust. 1 pkt 4 ustawy stanowi, że przetwarzanie danych osobowych jest dopuszczalne jeżeli jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.
Zadania realizowane dla dobra publicznego
Pojęcie zadań realizowanych dla dobra publicznego jest powszechnie w nauce prawa utożsamiane z pojęciem zadań publicznych
Zatem art. 23 ust. 1 pkt 4 może stanowić podstawę prawna przetwarzania danych osobowych przez organy władzy publicznej działające w wykonaniu przyznanych im przez prawo kompetencji.
Jak zauważa GIODO, art. 23 ust. 1 pkt 4 ustawy dotyczy sytuacji, gdy brak jest odpowiednich przepisów wprost upoważniających do przetwarzania danych osobowych.
Zdarza się, że w orzecznictwie wskazuje się np. że właściwe może być stosowanie tej przesłanki legalizującej przetwarzanie danych osobowych w stosunku do banków jako instytucji wykonujących zdania dla dobra publicznego (wyr. WSA w Warszawie z 27.2.2004 r.,II SA 291/03 niepubl.). Chodzi w tym wypadku o działania zmierzające do zapewnienia bezpieczeństwa państwa.
Klauzula prawnie usprawiedliwionego celu administratora
Wskazana w art. 23 ust. 1 pkt 5 ustawy tzw. klauzula prawnie usprawiedliwionego celu administratora danych osobowych jest jedną z podstaw prawnych pozwalających na przetwarzanie danych bez konieczności ubiegania się o zgodę osoby, której dane dotyczą.
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą
Klauzula prawnie usprawiedliwionego celu administratora
Przesłanka legalizująca przetwarzanie danych osobowych wskazana w art. 23 ust. 1 pkt 5 wprowadza klauzulę o charakterze ogólnym, w ramach której ustawodawca dla przyjęcia, że przetwarzanie danych bez zgody osoby, której dane dotyczą, jest dopuszczalne w przypadku zaistnienia łącznie następujących okoliczności:
a) przetwarzanie jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratora danych lub odbiorcy danych,
b) przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Klauzula prawnie usprawiedliwionego celu administratora
Podkreśla się, że "termin "usprawiedliwione cele" jest zwrotem niedookreślonym i stanowi klauzulę generalną.
Administrator ma zatem ocenić, czy przetwarzanie danych jest usprawiedliwione, a także stwierdzić czy swoim działaniem nie naruszy praw i wolności osoby, której dane dotyczą. Przetwarzanie danych osobowych na podstawie omawianej przesłanki jest możliwe, jeżeli prawa i wolności osoby, której dane dotyczą nie przeważają nad usprawiedliwionym interesem administratora danych.
W art. 23 ust. 4 ustawy wskazano, że za prawnie usprawiedliwiony cel uważa się w szczególności:
1) marketing bezpośredni własnych produktów lub usług administratora danych,
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Przepis art. 23 ust. 4 ustawy określa wprost, że wskazane w tej normie działania traktowane są jako "prawnie usprawiedliwione" natomiast ustawodawca nie przesądza o tym czy naruszają one prawa i wolności osób, których dane dotyczą.
W konsekwencji, do naruszenia tej podstawy prawnej przetwarzania danych osobowych w przypadku przetwarzania danych w "usprawiedliwionych celach" wskazanych art. 23 ust. 4, może dojść poprzez naruszenie praw i wolności osoby, której dane dotyczą (w tym np. prawa do prywatności) poprzez sposób ich przetwarzania np. uciążliwe (ponad zwykłą miarę) telefonowanie lub wysyłanie korespondencji.
Czy na gruncie przepisów ustawy o ochronie danych osobowych dopuszczalne jest przekazywanie firmom windykacyjnym danych osobowych dłużnika?
Tak, gdyż jej przepisy dopuszczają przetwarzanie danych osobowych, jeśli spełnione są pewne, określone, przesłanki.
Zgodnie z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych przetwarzanie danych osobowych, w tym ich udostępnianie, jest dopuszczalne, jeśli jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Ze względu na to, że - stosownie do art. 23 ust. 4 pkt 2 ustawy - za prawnie usprawiedliwiony cel uważa się dochodzenie roszczeń z tytułu prowadzonej przez administratora danych działalności gospodarczej, przetwarzanie danych w takim przypadku jest prawnie dopuszczalne
Przetwarzanie danych wrażliwych
Przepis art. 27 ust. 1 ustanawia generalny zakaz przetwarzania danych osobowych, które mogą być uznane za dane wrażliwe, natomiast ust. 2 tego przepisu określa sytuacje, w których zakaz ten został przez ustawodawcę wyłączony.
Przepis art. 27 ust. 1 określający podstawy prawne dla przetwarzania tzw. danych wrażliwych (zwanych też często "danymi sensytywnymi") jest skonstruowany w sposób odmienny niż art. 23 określający przesłanki legalizujące przetwarzanie tzw. danych zwykłych (niewrażliwych).
Dane wrażliwe
Artykuł 27 ust. 1 definiuje pojęcie danych wrażliwych, jako dane ujawniające:
pochodzenie rasowe lub etniczne,
poglądy polityczne, przekonania religijne lub filozoficzne,
przynależność wyznaniową, partyjną lub związkową,
jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym
dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Dane osobowe wrażliwe (lub sensytywne) to szczególny rodzaj informacji ważny dla ochrony prywatności każdego człowieka.
Katalog tych informacji ma charakter zamknięty
Przetwarzanie danych wrażliwych - zgoda osoby
Podstawową przesłanką uchylającą zakaz przetwarzania danych sensytywnych jest zgoda osoby, której dane dotyczą.
Jest to przesłanka podobna do tej wskazanej art. 23 ust. 1 pkt 1. Podstawowym elementem odróżniającym jednak oświadczenie o wyrażeniu zgody na przetwarzanie danych z art. 27 ust. 2 pkt 1 od oświadczenia z art. 23 ust. 1 pkt 1 jest wymóg złożenia takiego oświadczenia na piśmie.
Zgoda na przetwarzanie wrażliwych danych osobowych udzielona w formie innej niż pisemna jest nieskuteczna. Należy podkreślić, że na mocy ustawy z 18.9.2001 r. o podpisie elektronicznym wymagania te spełnia bez wątpienia złożenie odpowiedniego oświadczenia opatrzonego bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu.
Przetwarzanie danych wrażliwych na podstawie przepisów odrębnych ustaw
Ustawodawca przewidział szczególne (odmienne od tych wskazanych w art. 23 ust. 1 pkt 2 ustawy) wymagania w związku z przetwarzaniem danych osobowych wrażliwych na podstawie odrębnych przepisów prawa.
Zgodnie bowiem z art. 27 ust. 2 pkt 2 ustawy przetwarzanie danych osobowych wrażliwych dopuszczalne jest pod warunkiem, że przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony
Żywotne interesy osoby, której dane dotyczą
* Przetwarzanie danych wrażliwych dozwolone jest, zgodnie z art. 27 ust. 2 pkt 3 również w przypadku, gdy:
a) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby
b) osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora.
*Pojęcie ochrony "żywotnych interesów" osoby, której dane dotyczą powinno być interpretowane jak analogiczne pojęcie użyte przez ustawodawcę w art. 23 ust. 3 ustawy. Jedyną różnicą w stosunku do powołanego przepisu ustawy jest okoliczność, że wyłączenie zakazu przetwarzania danych wrażliwych w oparciu o tą przesłankę może następować również w sytuacji ochrony żywotnych interesów innej osoby - nie tylko osoby, której dane dotyczą.
Jest to istotne np. w przypadku ochrony zdrowia osoby trzeciej z uwagi na stan zdrowia (np. chorobę zakaźną) osoby, której dane dotyczą.
.
Brak fizycznej lub prawnej możliwości wyrażenia zgody
Brak fizycznej lub prawnej możliwości złożenia odpowiedniego oświadczenia woli może łączyć się więc ze stanem fizycznym tej osoby - na który składa się nie tylko stan zdrowia ale również inne okoliczności, które mogą wyłączać świadome wyrażenie woli z jednej strony.
Z 2strony zaś w grę wchodzą ograniczenia natury prawnej - czyli brak zdolności do czynności prawnych w wyniku np. ubezwłasnowolnienia całkowitego.
Jako, że przetwarzanie w takim wypadku ma dotyczyć danych wrażliwych, chodzi o niezdolność do złożenia oświadczenia o wyrażeniu zgody, zgodnie z wymogami z art. 27 ust. 2 pkt 1 ustawy, to znaczy w formie pisemnej.
Przetwarzanie danych wrażliwych w oparciu o wyłączenie z art. 27 ust. 2 pkt 3 może trwać jedynie do czasu ustanowienia opiekuna prawnego lub kuratora dla takiej osoby.
Przetwarzanie danych wrażliwych do wykonywania zadań kościołów i innych związków wyznaniowych
Kolejną przesłanką wyłączającą zakaz przetwarzania danych wrażliwych jest okoliczność, że takie działanie:
a) jest niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych,
b) pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością
c) zapewnione są pełne gwarancje ochrony przetwarzanych danych.
5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,
9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.