Zasadniczym błędem jest postrzeganie
przepisów ustawy o ochronie danych osobowych wyłącznie w
technokratycznym aspekcie przetwarzania takich informacji.
Ignorowanie określonych w ustawie generalnych zasad
przetwarzania danych, praw osób których dane dotyczą,
obowiązku rejestracji prowadzonych zbiorów lub powinności
organizacyjnych i personalnych grozi administratorowi danych
odpowiedzialnością karną.
W latach 70. i 80. ubiegłego stulecia dostrzeżono w Europie
Zachodniej, że gromadzenie
i wykorzystywanie wiedzy o obywatelach przez organy władzy
państwowej przy wykorzystaniu błyskawicznie rozwijających się
technik informatycznych powodować może zagrożenia dla praw
człowieka, całkowicie bezbronnego wobec ogromu wiedzy o nim
posiadanego zarówno przez władzę, jak i podmioty sfery
prywatnej. Zaistniała zatem konieczność zagwarantowania
jednostce, ograniczonego wszakże, minimum komfortu
psychicznego w tym zakresie. W efekcie, w porządku prawnym
państw Unii Europejskiej pojawiły się regulacje, zwane
potocznie przepisami o ochronie danych osobowych.
Sejf, hasło i wartownik
Prawo do ochrony prywatności - w tym danych osobowych (nie są
to pojęcia tożsame) - znajdziemy w dwóch artykułach
Konstytucji Rzeczypospolitej Polskiej. Art. 47 gwarantuje nam
prawo do prywatności [1],
natomiast art. 51, odnoszący się do ochrony danych osobowych,
jak też przynależnego nam prawa do informacji publicznej,
godny jest pełnego zacytowania:
-
Nikt nie może być obowiązany inaczej niż na podstawie ustawy
do ujawniania informacji dotyczących jego osoby.
-
Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać
innych informacji o obywatelach niż niezbędne w demokratycznym
państwie prawnym.
-
Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów
i zbiorów danych. Ograniczenie tego prawa może określić
ustawa.
-
Każdy ma prawo do żądania sprostowania oraz usunięcia
informacji nieprawdziwych, niepełnych lub zebranych w sposób
sprzeczny z ustawą.
-
Zasady i tryb gromadzenia oraz udostępniania informacji
określa ustawa.
W dniu 30 kwietnia 1998 roku weszła w życie polska ustawa o
ochronie danych osobowych [2]
(dalej: uodo). W zasadzie już sam tytuł omawianego aktu
prawnego budzi kontrowersje. W rzeczywistości jego poprawna,
lecz trudna do zapamiętania, powtórzenia i rozbioru logicznego
nazwa [3], winna brzmieć:
ustawa określająca zasady przetwarzania danych osobowych oraz
prawa osób, których dane osobowe poddawane są takiemu
przetwarzaniu. Niestety większość społeczeństwa, czerpiąc
wiedzę z doniesień medialnych [4],
a nie z lektury aktów prawnych, orzecznictwa sądów i fachowego
piśmiennictwa, tkwi w przekonaniu, że przetwarzane przez
dowolny podmiot dane osobowe podlegają surowemu, jak w łagrze,
reżimowi nadzoru, polegającemu na przechowywaniu papierzysk z
informacjami osobopoznawczymi w opancerzonych szafach (na
straży których dodatkowo stoi uzbrojony po zęby wartownik) lub
w pamięciach komputerów zabezpieczonych w sposób budzący
bezsilność sieciowych włamywaczy.
W praktyce od tego zaczyna się i na tym się kończy
ogólnospołeczne postrzeganie ustawy. Prawda o przetwarzaniu
danych jest jednak bardziej skomplikowana, co spróbuję
udokumentować w dalszych częściach cyklu „Pogadanek”, pisanych
obecnie dla serwisu www.iniejawna.pl . Warto podkreślić, że
ustawa poddana została w ubiegłym roku obszernej i znaczącej
merytorycznie nowelizacji, ukierunkowanej na zapewnienie
rodzimym przepisom zgodności z Dyrektywą 94/46/EC Parlamentu
Europejskiego i Rady z dnia 24 października 1995 roku w
sprawie ochrony osób fizycznych w zakresie przetwarzania
danych osobowych oraz swobodnego przepływu tych danych.
Dane błahe, dane wrażliwe
Art. 6 ust. 1 uodo stanowi, że za dane osobowe uważa się
wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej. Zasadne jest więc
twierdzenie, że danymi osobowymi są „informacje odnoszące się
do każdego aspektu osoby, jej stosunków osobistych i
rzeczowych, jej życia zawodowego, prywatnego, wykształcenia,
wiedzy czy cech charakteru. Nie ma znaczenia, w jakiej roli
występuje danym przypadku osoba (np. członka rodziny, członka
grupy zawodowej, czy przedsiębiorcy)” [5].
Definicyjne zawężenie omawianego pojęcia do „osoby fizycznej”
bezspornie wskazuje, że przepisów uodo nie stosuje się do
przetwarzania informacji o podmiotach innych niż osoby
fizyczne oraz osób zmarłych.
Podkreślenia wymaga okoliczność, że zasadniczym warunkiem
uznania informacji, jako danych osobowych w rozumieniu ustawy,
jest możliwość zidentyfikowania osoby, czyli –
w myśl art. 6
ust. 2 uodo – określenia jej tożsamości „bezpośrednio lub
pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników
określających jej cechy fizyczne, fizjologiczne, umysłowe,
ekonomiczne, kulturowe lub społeczne.” Stosunkowo prosta i
nieskomplikowana jest kwestia codziennego, powszechnego
posługiwania się nadanymi nam numerami identyfikacyjnymi
(PESEL, NIP, numery dowodu osobistego, paszportu, prawa jazdy)
- w wielu życiowych sytuacjach nie zastanawiamy się nawet nad
zasadnością żądania od nas takich informacji przy załatwianiu
spraw w urzędach, zawieraniu umów, podczas wizyt u lekarza,
czy prośby o wystawienie faktury za nabywany produkt lub
usługę. Natomiast do „nienumerycznych” wyznaczników
określających tożsamość osoby zaliczyć można tak wieloraką
ilość informacji, że nie podejmuję się ich wyliczania. Zwracam
jedynie uwagę na wzrastające niebezpieczeństwo dla interesów
jednostki, wynikające z coraz powszechniejszego przetwarzania
ludzkich danych biometrycznych (barwa głosu, wzór siatkówki
oka, kształt linii papilarnych, geometria ręki), co pomóc ma
rzekomo w zwalczaniu terroryzmu, a w rzeczywistości służyć
może wdrożeniu totalnej inwigilacji zachowań człowieka.
Fundamentalna dla stosowania przepisów uodo kwestia
zidentyfikowania lub możliwości identyfikacji osoby na
podstawie określonych informacji znalazła niedawno na naszym
polskim gruncie swój praktyczny wymiar z chwilą bezprawnego
(moim zdaniem) opublikowania w Internecie listy inwentarzowej
zasobów archiwalnych Instytutu Pamięci Narodowej.
Przypomnijmy, że rzeczona, upubliczniona lista, zawiera
imiona, nazwiska oraz numery akt tych osób w IPN. Pozornie
więc, możliwość zidentyfikowania konkretnej osoby, w gąszczu
ponad 160 000 pozycji, uznać należałoby za wysoce
nieprawdopodobną. Pozornie, bo okolicznościami
przesądzającymi, że mamy w tym przypadku do czynienia a danymi
podlegającymi ustawie o ochronie danych osobowych są:
-
znaczne prawdopodobieństwo zidentyfikowania na tej liście osób
mających rzadkie nazwiska, względnie dwa lub trzy imiona;
-
lista stanowi część zbioru danych osobowych IPN. Wobec
powyższego pracownicy Instytutu mogą na podstawie sygnatur
przyporządkowanych nazwisku dotrzeć do innych szczegółowych
informacji o określonej osobie;
-
ilość zer zawartych w sygnaturach to też dane osobowe, bo ten
zapis numeryczny jest powiązany z konkretną osobą. Jeśli ta
osoba jest identyfikowalna poprzez imię i nazwisko, to
skuteczność tej identyfikacji jest jeszcze wyższa. Dodanie
zera lub dwóch do nazwiska zawęża pole poszukiwania konkretnej
osoby [6];
-
określone grono osób przekazało opinii publicznej poprzez
media, że na liście znajdują się ich dane.
Warto też przeciwstawić się powszechnie spotykanym opiniom, że
numeru rejestracyjnego samochodu lub numeru indeksu studenta
nie można uznawać za dane osobowe. Uważam, że jeśli istnieją
możliwości powiązania tych typów informacji z określoną osobą
fizyczną, co w praktyce nie jest aż tak trudne, to w takich
przypadkach mamy do czynienia z danymi chronionymi na
podstawie przepisów uodo. Wypływa stąd kolejny wniosek o
niebagatelnym znaczeniu kontekstu w jakim przetwarzane są
informacje, będącym częstokroć istotniejszym warunkiem uznania
określonych danych za podlegające przepisom omawianej ustawy,
niż „surowe” identyfikatory, względnie imiona i nazwiska.
Ustawodawca wyróżnił w omawianych przepisach kategorię danych
o szczególnym charakterze, określanych w piśmiennictwie mianem
danych „wrażliwych” lub „sensytywnych”, których zasadniczą
cechą jest przynależność do sfery naszej prywatności
(intymności). Zamknięty ustawowo katalog danych osobowych
„wrażliwych” znajdziemy w art. 27 ust. 1 uodo. Za dane tego
rodzaju ustawodawca uznał informacje dotyczące:
-
pochodzenia rasowego lub etnicznego,
-
poglądów politycznych,
-
przekonań religijnych lub filozoficznych,
-
przynależności wyznaniowej, partyjnej lub związkowej,
-
stanu zdrowia,
-
kodu genetycznego,
-
nałogów,
-
życia seksualnego,
-
skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych
orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
W ustawie mamy zatem do czynienia z danymi „zwykłymi”, wobec
których stosuje się stosunkowo złagodzony reżim zasad i
warunków przetwarzania, jak też w danymi „wrażliwymi”, których
przetwarzanie dozwolone jest wyłącznie na podstawie wyjątków
enumeratywnie określonych w art. 27 ust. 2 uodo. Podział ten
nie powinien wzbudzać szczególnego zdziwienia. Istnieje wszak
niebezpieczeństwo, że podmioty, które mogłyby bezprawnie wejść
w posiadanie dotyczących nas danych wrażliwych, miałyby
możliwość stosowania wobec nas praktyk dyskryminacyjnych
(kwestie zatrudnienia, ubezpieczeń, kredytowania itp.).
Pojęcie danych „zwykłych” ma charakter nieostry i otwarty - w
odróżnieniu od zamkniętego katalogu danych „wrażliwych”. Warto
dodać, że w stosunku do postanowień unijnej Dyrektywy 95/46/EC,
polski ustawodawca wykazał się większą wyobraźnią,
kwalifikując do katalogu danych „wrażliwych” informacje o
przynależności partyjnej, wyznaniowej, kodzie genetycznym i
nałogach. Obserwując polskie realia prywatnie przyznaję rację
rodzimemu ustawodawcy.
Kiedy powinniśmy sięgnąć po tekst
ustawy?
Zazwyczaj wtedy, gdy przyjdzie nam ochota posłużyć się w
jakiejś sprawie cudzymi danymi osobowymi lub gdy nasuną nam
się wątpliwości, czy zgodnie z prawem KTOŚ przetwarza
dotyczące nas informacje. Zapamiętajmy przy okazji, że
przetwarzanie danych to „jakiekolwiek operacje wykonywane
na danych osobowych, takie jak zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie, udostępnianie i
usuwanie, a zwłaszcza te, które wykonuje się w systemach
informatycznych”.
Warto też wiedzieć, że omawiana ustawa nie ma zastosowania do
osób fizycznych, które przetwarzają dane wyłącznie w celach
osobistych lub domowych (art. 3a ust. 1 pkt 1). Wypada
sformułować też pewne zastrzeżenie odnośnie zasad
przetwarzania danych osobowych dla celów osobistych lub
domowych. Jeżeli posługujemy się takimi informacjami wyłącznie
w granicach zakreślonych przywołanym przepisem, to nie musimy
obawiać się interwencji Generalnego Inspektora Ochrony Danych
Osobowych, ani armii potencjalnych pieniaczy (np. kuzyna,
nadwrażliwego na punkcie ochrony swojej prywatności, czy byłej
sympatii, którą jakiś czas temu porzuciliśmy, ale adres i
numer telefonu skrzętnie zachowaliśmy w domowych ewidencjach).
Jeśli jednak zgromadzone w domowych archiwach informacje o
naszej szeroko rozumianej rodzinie, czy też bliższych lub
dalszych znajomych, zamierzalibyśmy wykorzystać w uruchamianej
właśnie działalności gospodarczej, to niestety – sięgamy po
ustawę i krok po kroku ustalamy, jakich obligacji musimy
dochować, by nie spotkać się z zarzutem nieprawnego
przetwarzania cudzych danych osobowych.
Przepisów uodo (z pewnymi ograniczeniami) nie stosuje się
ponadto do prasowej działalności dziennikarskiej w rozumieniu
ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr
5, poz. 24, z późn. zm.) oraz do działalności literackiej lub
artystycznej, chyba że wolność wyrażania swoich poglądów i
rozpowszechniania informacji istotnie narusza prawa i wolności
osoby, której dane dotyczą.
Zakres przedmiotowy ustawy o ochronie danych osobowych określa
jej art. 2:
-
Ustawa określa zasady postępowania przy przetwarzaniu
danych osobowych oraz prawa osób fizycznych, których dane
osobowe są lub mogą być przetwarzane w zbiorach danych.
-
Ustawę stosuje się do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, księgach, wykazach i w
innych zbiorach ewidencyjnych,
2) w systemach informatycznych, także w przypadku
przetwarzania danych poza zbiorem danych.
Konieczne są w tym przypadku dwie uwagi. Po pierwsze dane
osobowe korzystają z ochrony przewidzianej ustawą o ochronie
danych osobowych już wówczas, jeżeli tylko mogą znaleźć się w
zbiorze, bez względu na to, czy się w nim ostatecznie
znalazły, a ustawa w odniesieniu do różnych etapów i rodzajów
przetwarzania danych określa jeszcze dodatkowe uprawnienia
osób, których dane te dotyczą. Rzecz bowiem w tym, że każdy ma
prawo do ochrony dotyczących go danych osobowych, a nie
jedynie ten, czyje dane znalazły się już w zbiorze [7].
Po drugie w piśmiennictwie wiele kontrowersji wzbudza
rozumienie pojęcia „zbiór danych osobowych”. Zgodnie z
art. 7 pkt 1 uodo przez zbiór danych rozumie się „każdy
posiadający strukturę zestaw danych o charakterze osobowym,
dostępnych według określonych kryteriów, niezależnie od tego
czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.
Wszelkie cechy zbioru danych, według jego ustawowej definicji,
spełnia dla przykładu oprogramowanie bazodanowe wykorzystywane
przy przetwarzaniu danych z wykorzystaniem komputera.
Natomiast uzasadnione wątpliwości towarzyszą traktowaniu, jako
zbioru danych osobowych, ewidencji, wykazów, spisów, kartotek
lub akt, do których dostęp zapewnia tylko jedno kryterium
wyszukiwawcze – skorowidz alfabetyczny lub numeryczny. Gdy
dokonamy rozproszenia akt zgromadzonych w szafach komórki
kadrowej, ułożonych w porządku alfabetycznym, niespełniony
będzie wszakże ustawowy warunek ich dostępności. Analogicznie
ma się sytuacja w przypadku rozproszenia fiszek kartotecznych
lub ułożonych w pewnym określonym porządku list, wykazów i
innej „papierologii stosowanej”. Są to w rzeczywistości
ZESTAWY, a nie
ZBIORY danych.
Niestety, Generalny Inspektor Ochrony Danych Osobowych
nieugięcie obstaje przy stanowisku, że tego rodzaju zestawy są
zbiorami danych. A skutki tej gry słów są niebagatelne, bo na
administratorach danych ciążą bardziej dolegliwe obowiązki
wobec zbioru, niż zestawu danych osobowych [8].
¨¨Witold
Rygiel
W następnym odcinku między innymi:
· Na czym polega obowiązek informacyjny administratora danych?
· Czy ustawa o ochronie danych osobowych dotyczy wojska?
· Zasady przetwarzania danych osobowych.
Przypisy:
[1] „Każdy ma prawo do
ochrony życia prywatnego, rodzinnego, czci i dobrego imienia
oraz do decydowania o swoim życiu osobistym”
[2] Tekst pierwotny:
ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. Nr 113, poz. 883).
[3] O poprawności
językowej nie wspomnę.
[4] Ze szczególnym
uwzględnieniem teleogłupiacza.
[5] J. Barta, P.
Fajgielski, R. Markiewicz, Ochrona danych osobowych.
Komentarz, Zakamycze 2004.
[6] „Wildstein złamał
prawo”. Wywiad z Wacławem Zimnym, „Trybuna” z dnia
4 lutego
2005r.
[7]Postanowienie Sądu
Najwyższego - Izba Karna z 2000-12-11, II KKN 438/00, OSNKW
2001, Nr 3, poz. 33.
[8] Jest to temat na
kolejną pogadankę.
|