Doktrynalne spory o pojęcie zbioru
danych osobowych do czerwoności rozgrzewały w minionych latach
polemiczny piec. Konflikty na tym tle nieco wygasły z chwilą
wprowadzenia do ustawy zapisu o jej stosowaniu „w systemach
informatycznych także w przypadku przetwarzania danych poza
zbiorem danych” [1]. Zasadne jest więc pytanie: poza
zbiorem, czyli gdzie?
Nie ma, niestety, zgodności wśród specjalistów od ochrony
danych osobowych, jak rozumieć pojęcie przetwarzania danych
poza zbiorem. Spotykamy tu zróżnicowane opinie. Osobiście w
pełni solidaryzuję się z poglądem współautora uodo, Wacława
Zimnego, który uważa, że „… zestawami danych, a nie
zbiorami w rozumieniu ustawy, pozostają dane osobowe
przetwarzane metodami informatycznymi poza bazą danych, np. w
plikach tekstowych, plikach edytorów, arkuszach
kalkulacyjnych” [2].
Analogicznie traktować należy przetwarzanie danych osobowych
na stronach internetowych. Odwołując się do polskich realiów
ponownie przywołać godzi się casus upowszechnienia w sieci
listy inwentarzowej IPN.
Dane osobowe na stronach www
W dniu 6 listopada 2003 r. Europejski Trybunał Sprawiedliwości
wydał pierwsze w historii swej działalności orzeczenie
dotyczące ochrony danych osobowych w Internecie, w sprawie
obywatelki Szwecji Bodil Lindqvist, która opublikowała w
Internecie dane swoich znajomych, nie pytając ich o zgodę. Nie
zgłosiła też szwedzkiemu odpowiednikowi GIODO utworzonego
przez siebie zbioru danych osobowych do rejestracji. Warto
przytoczyć tu, cytując dr hab. Andrzeja Adamskiego, wnioski
wynikające z powołanego orzeczenia:
umieszczenie na stronie internetowej nazwisk i numerów
telefonów innych osób wraz z informacjami o tym, gdzie pracują
i jakie mają hobby, jest przetwarzaniem danych osobowych w
rozumieniu Dyrektywy 95/46/WE (a więc i polskiej ustawy o
ochronie danych osobowych);
wykorzystanie w tym celu prywatnej strony www nie jest
przetwarzaniem danych wyłącznie w celach osobistych lub
domowych, podlega zatem reżimowi prawnej ochrony danych
osobowych (art. 3 ust. 2 Dyrektywy, art. 3 ust. 4 uodo);
ujawnienie na stronie internetowej, że jedna z wymienionych
tam osób doznała kontuzji nogi i w związku z tym pracuje na
pół etatu, jest informacją o stanie jej zdrowia, czyli
szczególnie chronionym rodzajem danych osobowych (art. 8 ust.
1 Dyrektywy, art. 27 uodo) [3].
Posłużę się tu pewnym truizmem, twierdząc że obecnie
rzeczywiste zagrożenie dla praw (w tym prywatności jednostki)
tkwi nie w konieczności prowadzenia wykazów, kartotek, zbiorów
ewidencyjnych, czy odizolowanych – instytucjonalnych lub
korporacyjnych -informatycznych baz danych zawierających dane
osobowe, lecz w „World Wide Web” - ustawicznie
rozrastających się od początku lat 90. ubiegłego stulecia,
niezgłębionych czeluściach światowej pajęczyny. Lecz jest to
temat na inne opowiadanie. Zasygnalizuję jedynie, że dla
pełnego obrazu warto poznać bliżej ustawę z dnia 18 lipca 2002
r. o świadczeniu usług drogą elektroniczną oraz przeczytać
poświęcony jej komentarz Xawerego Konarskiego [4].
ADO, ABI? Cóż to za żargon?
Aby nie pobłądzić w licznych zakamarkach ustawy o ochronie
danych osobowych konieczne jest przyswojenie sobie kilku pojęć
niezbędnych dla właściwego rozumienia kim są adresaci praw i
obowiązków narzuconych jej przepisami.
Administrator danych osobowych (ADO) – organ, jednostka
organizacyjna, podmiot lub osoba, decydujące o celach i
środkach przetwarzania danych osobowych (art. 7 pkt 4 uodo). W
praktyce za administratora danych uznaje się:
organ państwowy lub samorządowy,
państwową lub komunalną jednostkę organizacyjną,
podmiot niepubliczny realizujący zadania publiczne,
osobę prawną, jednostkę organizacyjną nieposiadające
osobowości prawnej lub osobę fizyczną przetwarzającą dane w
związku ze swą działalnością zarobkową, zawodową albo dla
realizacji celów statutowych [5].
Trudności i wątpliwości w sferze określenia administratora
danych osobowych dotyczą głównie działalności podmiotów
publicznych. W wielu przypadkach niełatwo jednoznacznie
rozstrzygnąć czy administratorem danych jest określony organ
administracji, czy jednostka organizacyjna. Klasycznym
przypadkiem jest np. kwestia określenia ADO w sferze działania
organów podległych Ministrowi Finansów. Przyjęto osobliwe
rozwiązanie, w myśl którego administratorami danych są
naczelnicy wszystkich urzędów skarbowych, a nie Minister
Finansów. „Jedyną przesłanką przemawiającą za przyjęciem że
mamy do czynienia z kilkuset administratorami powtarzalnych
zbiorów danych, była trudność w wypełnieniu wniosku
zgłoszeniowego (przez Ministra Finansów – przyp. autora)
Nie jest ona jednak wystarczająca jeśli przyjąć, że
podmioty te prowadzą powtarzalne zbiory danych, których zakres
określają przepisy ustaw oraz aktów wykonawczych wydanych
przez właściwego ministra, a ponadto sposób zabezpieczenia
tych zbiorów i używane oprogramowanie są ujednolicone” [6].
Skutki tej kuriozalnej decyzji obserwujemy od niedawna, tj. od
czasu podjęcia przez inspektorów z Biura GIODO kontroli w
urzędach skarbowych. Generalny Inspektor kwestionuje
każdorazowo zgodność systemu informatycznego POLTAX,
wykorzystywanego przez organy fiskusa, z normami
rozporządzenia Ministra Spraw Wewnętrznych i Administracji z
dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz.
1024). Kontrolowani naczelnicy urzędów skarbowych otrzymują
decyzje administracyjne GIODO nakazujące dostosowanie
rzeczonego systemu POLTAX (wprowadzonego i
administrowanego przez Ministra Finansów) do warunków
określonych w rozporządzeniu, a dowcip polega na tym, że żaden
z tych naczelników nie posiada jakichkolwiek uprawnień do
„łatania” systemu POLTAX lub zakupu i wdrożenia innego,
spełniającego marzenia GIODO.
Problem znika jeżeli kryteria ustalenia administratora danych
określają ustawy. Wskazać można, jako właściwe w tym przypadku
regulacje: Prawo o ruchu drogowym, ustawę o Krajowym Rejestrze
Karnym, czy o transporcie drogowym. W wielu aktach prawnych
brak jednak takiego sprecyzowania. Zasadne jest zatem
przytoczenie stanowiska Andrzeja Drozda, uważającego że ADO to
podmiot ponoszący odpowiedzialność za przetwarzanie danych,
ponieważ może on zostać zobowiązany przez GIODO w drodze
decyzji administracyjnej do przywrócenia stanu zgodnego z
prawem w razie naruszenia przepisów o ochronie danych
osobowych [7] oraz, że
status administratora danych jest niezależny od ich
przetwarzania, które może być realizowane przez inny podmiot [8].
Prostsze jest określanie ADO w odniesieniu do podmiotów
prywatnych. Tu zazwyczaj administratorem danych osobowych
będzie bank, firma ubezpieczeniowa, spółka prawa handlowego,
biuro podatkowe, pralnia, biuro matrymonialne, agencja ochrony
osób i mienia, czy firma developerska. Należy ponadto
zapamiętać, że ADO to status, a nie osoba. Zatem
administratorem danych jest podmiot, a nie „osoba lub osoby
pełniące funkcje kierownicze (dyrektor, prezes, zarząd),
podobnie jak oznaczony pracownik, któremu powierzono
wykonywanie obowiązków związanych z ochroną i operacjami na
danych osobowych”. W wyjątkowych okolicznościach ADO
będzie również osoba fizyczna, lecz tylko w sytuacji
indywidualnego przetwarzania danych osobowych – na przykład
naukowiec, który dla potrzeb pracy badawczej gromadzi dane
osobowe w ramach przeprowadzanych ankiet [9].
Administrator bezpieczeństwa informacji (ABI) – osoba
wyznaczona przez administratora danych osobowych nadzorująca
przestrzeganie zasad ochrony danych, tj. zastosowanych środków
technicznych i organizacyjnych zapewniających ochronę
przetwarzanych danych odpowiednią do zagrożeń oraz kategorii
danych (art. 36 ust. 3 uodo). Warto nadmienić, że ustawowe
umocowanie ABI uzyskał w wyniku ostatniej nowelizacji
przepisów uodo (do 1 maja 2004 roku ABI był odpowiedzialny za
bezpieczeństwo danych osobowych w systemie informatycznym, w
tym w szczególności za przeciwdziałanie dostępowi osób
niepowołanych do systemu, w którym przetwarzane są dane
osobowe, oraz za podejmowanie odpowiednich działań w przypadku
wykrycia naruszeń w systemie zabezpieczeń). Pozornie od
ubiegłego roku rola ABI jest wdzięczniejsza, bo nie ponosi on
odpowiedzialności za bezpieczeństwo danych osobowych, a
jedynie nadzoruje przestrzeganie zasad ich ochrony. Z
praktycznego punktu widzenia istotne jest jednak rozszerzenie
obecnego zakresu kompetencji ABI na każdą z form przetwarzania
danych, nie tylko automatyczną (realizowaną w systemie
informatycznym), lecz także tradycyjną.
Problem z określeniem nowego zakresu obowiązków ma też GIODO.
Po ostatniej nowelizacji przepisów uodo usunięto ze strony
internetowej www.giodo.gov.pl wytyczne o nazwie „Zadania
administratora bezpieczeństwa informacji". W efekcie, do
chwili opublikowania przez Generalnego Inspektora nowych
wytycznych (jeśli w ogóle to nastąpi), określona część
populacji ABI straci orientację, co do zakresu obowiązków
właściwych dla ich funkcji. Trudno bowiem oczekiwać, żeby
administratorzy bezpieczeństwa informacji - posiłkując się
lakonicznymi w tym kontekście zapisami ustawowymi - tworzyli
we własnym zakresie, z własnej inicjatywy i przy wykorzystaniu
wrodzonej pomysłowości, wykazy dolegliwych zadań do
realizacji.
Odbiorca danych – w myśl art. 7 pkt 6 uodo jest nim
każdy, komu udostępnia się dane osobowe, z wyłączeniem:
osoby, której dane dotyczą,
osoby upoważnionej do przetwarzania danych,
przedstawiciela, o którym mowa w art. 31a,
podmiotu, o którym mowa w art. 31,
organów państwowych lub organów samorządu terytorialnego,
którym dane są udostępniane w związku z prowadzonym
postępowaniem.
Zapis określający pojęcie odbiorcy danych obowiązuje w ustawie
od 1 maja 2004 roku. Analiza pojęcia „odbiorca danych”
wskazuje bezspornie, że nie są nimi: osoby dopuszczone przez
ADO do przetwarzania danych, osoby których dane ADO
przetwarza, podmioty, z którymi ADO powierzył przetwarzanie
danych, ani organy państwowe lub samorządowe, którym należy
udostępnić dane w związku z prowadzonym postępowaniem.
Wprowadzenie tego pojęcia ma niebagatelne znaczenie z
przyczyn, które postaram się omówić w odcinku poświęconym
rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z
dnia 29 kwietnia 2004 roku.
Administrator systemu informatycznego – tego pojęcia
nie ma w ustawie, lecz warto jego znaczenie, mając na uwadze
całokształt procesu przetwarzania danych osobowych w
określonej instytucji, czy firmie, gdy wykorzystuje się w tym
celu komputery. Administratorem systemu może być informatyk
zatrudniony w określonej instytucji, któremu pracodawca
wyznaczy w zakresie obowiązków służbowych stosowną delegację
kompetencyjną, rolę tę może też wypełniać wyspecjalizowana
firma zewnętrzna, z którą podmiot niezatrudniający etatowych
informatyków zawrze pisemną umowę, zlecając sprawowanie opieki
nad prawidłowym funkcjonowaniem systemu. Trzeba jednak
pamiętać, że zlecenie takich czynności podmiotowi zewnętrznemu
wymaga od ADO dopełnienia powinności określonych w art. 31
uodo – szczegółowo przedstawię ten problem w III odcinku
niniejszych „Pogadanek”.
Trzeba mieć zasady
Zauważyliście, że sukcesy z życiu osiągają najczęściej ludzie
„z zasadami”? Nie inaczej jest w dziedzinie ochrony
informacji. Administrator danych osobowych, aby uniknąć
odpowiedzialności karnej, ma obowiązek legitymowania się co
najmniej jedną z pięciu przesłanek określonych w art. 23 ust.
1 uodo (w zakresie przetwarzania danych osobowych „zwykłych”)
lub jedną z dziesięciu przesłanek wymienionych w art. 27 ust.
2 uodo (w razie przetwarzania danych „wrażliwych”). W
odniesieniu do danych „zwykłych” elastyczność norm
zezwalających na takie przetwarzanie umożliwi każdemu ADO
prowadzącemu zalegalizowaną działalność zarobkową, zawodową,
czy statutową wskazanie w przepisach uodo podstawy do
realizowania „jakichkolwiek operacji wykonywanych na danych
osobowych”. Przeanalizujmy więc pobieżnie, kiedy
administrator danych ma prawo do przetwarzania danych
osobowych „zwykłych”. Na początku zastrzeżenie: po pierwsze
wszystkie przesłanki są równoprawne, po drugie częstokroć
zdarzy się, że realizowane przez ADO przetwarzanie danych ma
oparcie nie w jednej lecz w kilku normach legalizujących (nie
jest to powód do szczególnych zmartwień, chociaż powodować
może określone skutki prawne w kwestii uprawnień osoby do
wystąpienia z żądaniem zaprzestania przetwarzania przez ADO
dotyczących jej danych).
Na podstawie art. 23 ust. 1 uodo przetwarzanie danych jest
dopuszczalne tylko wtedy, gdy:
osoba, której dane dotyczą, wyrazi na to zgodę, chyba że
chodzi o usunięcie dotyczących jej danych,
jest to niezbędne dla zrealizowania uprawnienia lub
spełnienia obowiązku wynikającego z przepisu prawa,
jest to konieczne do realizacji umowy, gdy osoba, której
dane dotyczą, jest jej stroną lub gdy jest to niezbędne do
podjęcia działań przed zawarciem umowy na żądanie osoby,
której dane dotyczą,
jest niezbędne do wykonania określonych prawem zadań
realizowanych dla dobra publicznego,
jest to niezbędne dla wypełnienia prawnie
usprawiedliwionych celów realizowanych przez administratorów
danych albo odbiorców danych, a przetwarzanie nie narusza praw
i wolności osoby, której dane dotyczą.
Przeciętny Polak przekonany jest, że do przetwarzania danych
niezbędna jest zgoda osoby. Wnioskuje tak najczęściej,
bo wypełnia kupony konkursowe znalezione w gazetach lub w
skrzynce pocztowej, czyta ogłoszenia potencjalnych pracodawców
żądających od kandydatów dołączenia deklaracji zgody na
przetwarzanie ich danych, zakłada w portalu internetowym konto
bezpłatnej poczty elektronicznej, gdzie warunkiem jest
kliknięcie pola z deklaracją rzeczonej zgody. Czy zgoda na
przetwarzanie danych jest konieczna? Nic bardziej błędnego.
Przeciwnie: żądanie zgody na przetwarzanie danych określonej
osoby jest często nadużywane i nieuzasadnione.
Zacznijmy od administratorów danych ze sfery publicznej. W ich
przypadku pozyskiwanie zgody osoby jest bezsensowne, gdyż
podmioty te – zgodnie z normą konstytucyjną – działają na
podstawie przepisów prawa, stąd nie są uprawnione do żądania
innych informacji o osobach niż określają to przepisy ustaw
szczególnych. Gdy dokonujemy czynności meldunkowych w
urzędzie, załatwiamy formalności związane z wydaniem nam prawa
jazdy, wypełniamy PIT by oddać go urzędowi skarbowemu, czy
staramy się o zasiłek dla bezrobotnych prawo gwarantuje nam,
że urzędnik nie będzie żądał od nas informacji nieokreślonych
w normach właściwych ustaw i rozporządzeń. Opisany przykład
dotyczy – jak łatwo się domyślić – przepisu upoważniającego
ADO do przetwarzania danych osobowych, określonego w art.
23 ust. 2 pkt 2 uodo (dla zrealizowania uprawnienia lub
spełnienia obowiązku wynikającego z przepisu prawa).
Uzupełnijmy, że przedmiotowa przesłanka sprawia najmniej
komplikacji – nikt nie jest w stanie zarzucić ADO bezprawnego
przetwarzania danych o ile podstawą do dokonywania operacji na
danych są przepisy ustaw lub rozporządzeń. Zasadniczo na tę
podstawę przetwarzania danych osobowych rzadko powołać mogą
się podmioty prywatne, korzystające z dobrodziejstwa swobody w
działalności gospodarczej. Niemniej powszechnie obowiązujące
jest korzystanie z omawianej przesłanki przez ADO w przypadku
prowadzenia zbioru kadrowego. Pracodawcy przetwarzający
informacje o osobach zatrudnianych zobligowani są bowiem do
respektowania norm określonych w Kodeksie pracy i
rozporządzeniach wykonawczych.
ADO ma prawo do przetwarzania danych osobowych, jeśli jest to
konieczne do realizacji umowy, gdy osoba której dane
dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia
działań przed zawarciem umowy na żądanie osoby, której dane
dotyczą (art. 23 ust. 1 pkt 3). Przesłanka ta ma częste
zastosowanie i uniwersalny charakter, gdyż posługiwać mogą się
nią zarówno ADO z sfery publicznej, jak i prywatnej (podmioty
sfery publicznej częstokroć zawierają umowy np. ze
specjalistą, który przeprowadzić ma szkolenie personelu w
dziedzinie obrony cywilnej, bezpieczeństwa i higieny pracy,
kultury obsługi interesanta, czy też ochrony danych osobowych
– hmm, to ostatnie zdarza się raczej rzadko …). Na podstawie
art. 23 ust. 1 pkt 3 określony ADO uprawniony jest do
udostępniania danych klientów innym podmiotom zaangażowanym w
realizację umowy. Klasyczny jest tu przykład biura usług
turystycznych, które załatwiając w ramach umowy zawartej z
klientem formalności związane z zapewnieniem mu przejazdu i
zakwaterowania przekazuje jego dane przewoźnikowi, hotelowi i
firmie ubezpieczeniowej. Uzasadnione jest również powoływanie
się na tę przesłankę, jako legalizującą przetwarzanie danych
osób fizycznych, gdy ADO przetwarza w zbiorze kadrowym
informacje o osobach z którymi zawarł umowy zlecenia [10].
Często spotykanym błędem lub świadomym nadużyciem są żądania
ADO, uzależniające zawarcie umowy od zgody na przetwarzanie
danych osobowych klienta dla celów marketingowych. Przodowały
jakiś czas temu w tym procederze banki, stosując tę metodę
wobec klientów zakładających konta osobiste lub starających
się o kredyt. Godzi się zatem jednoznacznie podkreślić, że
klient zainteresowany zawarciem umowy z określonym podmiotem
może wyrazić zgodę na przetwarzanie danych dla jasno
sprecyzowanych przez ADO celów, lecz jest to jego
przywilej, a nie obowiązek. Pamiętać warto, że deklaracja
takiej zgody musi być odseparowana od treści umowy.
W pełni uprawnione jest ponadto przetwarzanie danych
osobowych, gdy jest niezbędne do wykonania określonych prawem
zadań realizowanych dla dobra publicznego (art. 23
ust. 1 pkt 4 uodo). Przesłanka ta stosowana winna być
przez ADO z należytą rozwagą, gdyż: „Jej bezpieczne
wykorzystanie jest wyjątkowo skomplikowane prawnie, a ponadto
występuje, wbrew pozorom, sporadycznie w „czystej” postaci.
Ponadto niektóre autorytety kwestionują możliwość skorzystania
z tej przesłanki przez podmioty mające uprawnienia władcze w
stosunku do tych danych, co zawężałoby dopuszczalność jej
stosowania jedynie do zakładów komunalnych i innych podmiotów
niepublicznych realizujących zadania publiczne” [11].
Godzi się ponadto podkreślić, że osoba, której dane
przetwarzane są przez ADO na podstawie tej przesłanki ma
prawo:
wniesienia pisemnego, umotywowanego żądania zaprzestania
przetwarzania jej danych ze względu na jej szczególną sytuację
(art. 32 ust. 1 pkt 7),
wniesienia sprzeciwu wobec przetwarzania jej danych, gdy
administrator danych zamierza je przetwarzać w celach
marketingowych lub wobec przekazywania jej danych osobowych
innemu administratorowi danych (art. 32 ust. 1 pkt 8).
Kolejną przesłanką uprawniającą ADO do przetwarzania danych
osobowych są prawnie usprawiedliwione cele realizowane
przez administratorów danych albo odbiorców danych, a
przetwarzanie nie narusza praw i wolności osoby, której dane
dotyczą (art. 23 ust. 1 pkt 5 uodo). Istotą
dopuszczalności przetwarzania jest w tym przypadku dokonywanie
operacji na danych wobec niespełniania przez ADO warunku
legitymowania się innymi przesłankami (zgoda osoby, przepisy
prawa lub uprawnienie, realizacja umowy, dobro publiczne). Do
momentu ostatniej nowelizacji przepisów uodo przesłanka ta
dotyczyła wyłącznie podmiotów prywatnych. Obecnie ma
zastosowanie uniwersalne. Od 1 maja 2004 r. prawnie
usprawiedliwionym celem posłużyć się może każdy ADO
przetwarzający dane osobowe. W konsekwencji podmioty „sfery
publicznej" otrzymały nadmierne w tym przypadku uprawnienia.
Organy władzy publicznej obowiązane są na mocy art. 7
Konstytucji RP do działania na podstawie i w granicach
przepisów prawa. Przyznanie im prawa do pozyskiwania i
przetwarzania danych osobowych nieokreślonych ustawami
szczegółowymi wydaje się pozostawać dodatkowo w sprzeczności z
art. 51 ust. 1 i 2 Konstytucji RP. Uchylona została tym samym
furtka umożliwiająca urzędnikom pozyskiwanie danych osobowych
z pominięciem podstaw określonych w ustawach szczegółowych.
Może to prowadzić zarówno do tworzenia w tych podmiotach
zbiorów lub zestawów danych bez zewnętrznej kontroli, jak i
rozbudowywania urzędowych zbiorów o kategorie informacji
nieuzasadnione deklarowanym celem przetwarzania.
Warto zwrócić uwagę, że w przypadku udostępniania danych przez
ADO na podstawie tej przesłanki, wystarczającym warunkiem
legalizującym taką operację wystarczające jest istnienie
usprawiedliwionego celu tylko po jednej stronie: tj. albo ADO,
albo podmiotu zainteresowanego w otrzymaniu danych.
Należy podkreślić, że za usprawiedliwione cele mogą być uznane
tylko cele mieszczące się w ramach działalności prowadzonej
przez określonego administratora danych. Ponadto przetwarzanie
danych na tej podstawie nie może naruszać praw i wolności
osoby, której dane dotyczą (gwarancje konstytucyjne).
Ustawodawca, pragnąc nieco ułatwić życie administratorom
danych wymienił przykładowe dwie formy praktycznego stosowania
omawianej przesłanki:
marketing bezpośredni własnych produktów lub usług
administratora danych,
dochodzenie roszczeń z tytułu prowadzonej działalności
gospodarczej.
Popularnym przykładem powoływania się ADO na prawnie
usprawiedliwione cele jest działalność firm marketingowych
pozyskujących informacje o potencjalnych klientach ze źródeł
powszechnie dostępnych (np. książki telefoniczne, Internet,
ewidencje formalnie jawne) lub poprzez zakup bazy danych.
Niemniej, ostatnia nowelizacja ustawy przyniosła
administratorom danych ze sfery marketingowej niemiłą
niespodziankę. Skreślono uprzednio figurujące zapisy
umożliwiające im uniknięcie obowiązku spełniania obowiązku
informacyjnego w razie przetwarzania danych:
osób, których dane są ogólnie dostępne (art. 25 ust. 2 pkt 2
uodo),
osób, których dane ADO wykorzystał jednorazowo i nie poddał
dalszemu przetwarzaniu (art. 25 ust. 2 pkt 4).
Obecnie – w działalności marketingowej - praktycznie w każdym
przypadku konieczne jest poinformowanie osoby, której dane
zebrano bez jej wiedzy, o tym fakcie (obszerniej omówię ten
temat w III odcinku „Pogadanek”). W konsekwencji,
uwzględniając niebagatelne koszty związane z informowaniem
osób, których dane ADO pozyskał bez ich wiedzy, winny w
praktyce zaniknąć zjawiska zarówno handlu bazami danych, jak
też przesyłania nam imiennie zaadresowanych informacji
promocyjno – reklamowych bez naszej zgody.
Analogicznie, jak w przypadku przetwarzania danych w oparciu o
przesłankę „dobra publicznego” osoba, której dane przetwarzane
są przez ADO na podstawie klauzuli „prawie usprawiedliwionych
celów” ma prawo:
wniesienia pisemnego, umotywowanego żądania zaprzestania
przetwarzania jej danych ze względu na jej szczególną sytuację
(art. 32 ust. 1 pkt 7),
wniesienia sprzeciwu wobec przetwarzania jej danych, gdy
administrator danych zamierza je przetwarzać w celach
marketingowych lub wobec przekazywania jej danych osobowych
innemu administratorowi danych (art. 32 ust. 1 pkt 8).
Co zatem z tą zgodą? Kiedy i komu jest ona potrzebna? W
zdecydowanej większości przypadków zgodę osoby na
przetwarzanie dotyczących jej danych powinny pozyskiwać
podmioty sfery niepublicznej zamierzające wykorzystać
informacje o kliencie do działań marketingowych (prościej
mówiąc przesyłania mu informacji promocyjno – reklamowych).
Zdaniem Wacława Zimnego „przetwarzanie «za zgodą osoby»
powinno się stosować jedynie wtedy, gdy nie występują
okoliczności uregulowane wprost przepisami prawa oraz tam,
gdzie istnieją ważkie przyczyny, aby nie zdawać się na
przesłankę «usprawiedliwionego celu»”, ponadto według
powoływanego współautora ustawy «zgodę osoby» odnieść należy
do następujących sytuacji:
stosunki towarzyskie, gdy z uwagi na charakter
przetwarzania trudno wyrokować, co jest jeszcze
usprawiedliwionym celem, a co już nim nie jest,
zgoda przedstawiciela ustawowego w przypadkach ustawowo
określonych oraz w odniesieniu do przetwarzania danych dzieci,
a także małoletnich w sprawach nie zaliczanych do drobnych
bieżących spraw życia codziennego,
w przypadkach określonych w art. 27 ust. 2 pkt 2, a
przepisu szczególnego innej ustawy nie ma, choć być powinien
lub, gdy nie daje on podstaw do użycia, jako przepis
wyłączający z powodu braku bezpośredniego odniesienia do
przetwarzania danych,
w takich relacjach z podmiotem prowadzącym działalność
gospodarczą, które w odczuciu społecznym wykraczają poza normy
zwyczajowo przyjęte dla przetwarzania danych osobowych albo,
na które nie ma społecznego przyzwolenia,
przetwarzanie może stwarzać dylematy moralne lub kolidować
z przekonaniami religijnymi, światopoglądowymi i politycznymi
osoby,
przetwarzanie może potencjalnie naruszać prawa i wolności
osoby,
wszędzie tam gdzie zgoda osoby jest wymagana innymi
przepisami prawa[12].
Warto przywołać na zakończenie pogląd Wacława Zimnego, że
pomimo nieistnienia przesłanek lepszych i gorszych jedna z
nich ma znaczenie szczególne – art. 23 ust. 2 pkt 2
(realizacja uprawnienia lub spełnienie obowiązku wynikającego
z przepisu prawa) i jeżeli ADO ma możliwość powołania się na
nią, jako podstawę do operacji dokonywanych na danych
osobowych, to winien traktować ją priorytetową.
Mniejsza dowolność i elastyczność panuje natomiast w doborze
przesłanek umożliwiających przetwarzanie tzw. „danych
osobowych wrażliwych” (art. 27 ust. 1 uodo). Ustawodawca w
art. 27 ust. 2 pkt 1 - 10 uodo enumeratywnie określił prawnie
dopuszczalne wyjątki od zakazu ich przetwarzania. Nadmienię
jedynie, że na ich podstawie administratorzy danych mogą m.
in. w zgodzie z ustawą o ochronie danych osobowych przetwarzać
dane w zbiorach kadrowych, służba zdrowia dokumentować
informacje o naszym stanie zdrowia, a właściwe organy
państwowe gromadzić i wykorzystywać sensytywne informacje o
obywatelach.
¨¨Witold
Rygiel
W następnym odcinku między innymi:
Musisz mi to powiedzieć
Armia ponad prawem?
Powierzenie przetwarzania innemu podmiotowi
Jak zabezpieczać dane, czyli analiza rozporządzenia
wykonawczego MSWiA?
Przypisy:
[1] art. 2 ust. 2 pkt 2
uodo - dodany ustawą z dnia 22 stycznia 2004 r. o zmianie
ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu
osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr
33, poz. 285).
[2] W. Zimny,
Rozszyfrowywanie Ustawy o ochronie danych osobowych. Spór
wokół pojęcia zbioru danych?, Biuletyn Ochrona Danych
Osobowych nr 10/2000/2001.
[3] Andrzej Adamski, Dane
osobowe na www, „Edukacja prawnicza” Nr 1 (58) 2004.
[4] Xawery Konarski,
Komentarz do ustawy o świadczeniu usług drogą elektroniczną,
Warszawa 2004.
[5] art. 3 uodo.
[6] M. Królikowska, T.
Osiej, Ochrona danych osobowych w praktyce. Pytania i
odpowiedzi, Warszawa 2000, s. 35.
[7] Andrzej Drozd, Ustawa
o ochronie danych osobowych. Komentarz. Wzory pism i przepisy,
Warszawa 2004, s. 63.
[8] tamże, s. 64.
[9] J. Barta, P.
Fajgielski, R. Markiewicz, Ochrona danych osobowych.
Komentarz, Zakamycze 2004, s. 408 i 409.
[10] tamże, s.505 i 506.
[11] W. Zimny, Przesłanki
legalizujące przetwarzanie, Biuletyn Ochrona Danych Osobowych
nr 4/2000.
[12]
tamże.
|