Ochrona danych osobowych w systemie prawa polskiego (1)

1. Ochrona danych osobowych w systemie prawa polskiego (1)

2. Ochrona danych osobowych w systemie prawa polskiego • Konstytucja • Ustawa o ochronie danych osobowych

3. Konstytucja • Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (art. 51 ust.1), • Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (art. 51 ust.2), . • Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych; ograniczenie tego prawa może określić ustawa (art. 51 ust. 3), • Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą (art. 51 ust. 4).

4. Konstytucja • Polski system prawny przyjmuje zasadę czyli uznaje prawo obywateli do samodzielnego decydowania o ujawnianiu dotyczących go informacji. • Zasada ta odnosi się do wszelkich tego rodzaju informacji i nie została zawężona do informacji szczególnego charakteru albo dotyczących szczególnych kwestii. • Przyjęta w Konstytucji zasada jest wyrazem prawa do nieujawniania informacji na swój temat. • Ograniczenie praw obywatelskich może nastąpić w drodze ustawy.

5. Konstytucja • Prawo decydowania o ujawnianiu własnych danych osobowych przysługuje „każdemu" bez względu na wiek, stan psychiczny oraz zdolności do czynności prawnych. • Prawo do ochrony może być ograniczone jedynie przez sąd. • Prawu do „samostanowienia” o ujawnianiu informacji na swój temat towarzyszy prawo do sprawowania swoistej kontroli nad takimi informacjami.

6. Konstytucja • Urzeczywistnieniem prawa kontroli jest gwarantowana w art. 51 ust. 4 Konstytucji możność weryfikowania (prostowania) albo usuwania danych osobowych. • Możność weryfikowania (prostowania) albo usuwania danych osobowych dotyczy to informacji nieprawdziwych lub niepełnych. • Usunięcia informacji można domagać się także wówczas (niezależnie od tego, czy są one prawdziwe oraz pełne), jeśli zostały one zebrane w sposób sprzeczny z ustawą. • Konstytucja nie stanowi wprost o prawie do sprostowania czy usunięcia, ale o „prawie do żądania" sprostowania i usunięcia.

7. Konstytucja • Główną zasadę przetwarzania danych osobowych w pełnym tego słowa znaczeniu zawarto w art. 51 ust. 2 Konstytucji, w którym postanowiono, że „Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.” • Uzupełnieniem tej regulacji jest zawarty w art. 51 ust. 5 zapis, iż „Zasady i tryb gromadzenia i udostępniania informacji określa ustawa". • Można uznać, że jest nią ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

8. Ustawa o ochronie danych osobowych • W toku prac nad ustawą z 1997 r. brano pod uwagę i kierowano się w znacznej mierze rozwiązaniami, jakie przyjęła dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. • Jako nowsza i bardziej szczegółowa miała większy i bardziej bezpośredni wpływ na kształt ustawy niż Konwencja Rady Europy z 1981 r. o ochronie jednostek w związku z automatycznym przetwarzaniem danych osobowych.

9. Ustawa o ochronie danych osobowych • Omawianej ustawie starano się nadać kompleksowy charakter, i to w kilku obszarach: • ochrona interesów indywidualnych tych, których dotyczą przetwarzane dane, • kwestia wolności informacji, • kwestia udostępniania danych osobowych, • interes osób trzecich (instytucji, obywateli) związany z dostępem i wykorzystywaniem informacji.

10. Ustawa o ochronie danych osobowych Ważną rolę w zakresie ochrony danych i interesów stron zabezpieczających dane swoje i dane przetwarzane przyznano w ustawie administratorom danych. Nałożono na nich: • rozległe obowiązki informacyjne w stosunku do tych, których dotyczą zbierane i przetwarzane dane osobowe (art. 24-25, art. 32-33, art. 54 u.o.d.o.), • obowiązek dbania o legalność i rzetelność przetwarzania danych osobowych (art. 26, art. 49-50 u.o.d.o.), • obowiązek dbania o zachowanie danych osobowych w poufności (art. 37-39, art. 51 u.o.d.o.), • obowiązek zabezpieczenia zbiorów danych osobowych (art. 36 i n., art. 52 u.o.d.o.), • obowiązek rejestracji zbioru (art. 40 i n., art. 53 u.o.d.o.).

11. Ustawa o ochronie danych osobowych Kompleksowy charakter ustawy polega też na tym, iż zakresem swego działania obejmuje: • wszelkie postacie przetwarzania danych, zarówno „tradycyjne°, manualne, jak i zautomatyzowane, czemu towarzyszy bardzo szerokie ujęcie pojęć „przetwarzanie" i „dane osobowe”, • przetwarzanie danych zarówno w sektorze publicznym, jak i prywatnym.

12. Ustawa o ochronie danych osobowych • Ustawa przyjęła model rejestracyjny jeśli chodzi o prowadzenie przetwarzania danych osobowych. • Nie jest ono zależne od uzyskania uprzedniego zezwolenia ze strony władzy, a jedynie na administratora danych nałożony został obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Przy czym wiele zbiorów zostało zwolnionych z rejestracji. • Ostatnia nowelizacja ustawy wprowadziła jednak istotne zmiany w zakresie możności rozpoczęcia przetwarzania danych sensytywnych; przetwarzanie takich danych jest dopuszczalne dopiero po zarejestrowaniu zbioru, a nie — jak to było przed nowelizacją — z chwilą zgłoszenia zbioru do rejestracji.

13. Ustawa o ochronie danych osobowych • Ustawa nie przewiduje przy tym expressis verbis instytucji rzecznika ochrony danych w przedsiębiorstwach, tak jak o tym stanowi na przykład ustawa niemiecka. • Jednak na mocy nowelizacji ustawy o ochronie danych osobowych dokonanej 22 stycznia 2004 r. wprowadzono przepis nakładający na administratora danych obowiązek wyznaczenia administratora bezpieczeństwa informacji, którego zadaniem jest nadzorowanie przestrzegania zasad ochrony danych.

14. Ustawa o ochronie danych osobowych • Ustawa opiera się zasadniczo na regule ujednoliconego standardu w zakresie przetwarzania i ochrony danych osobowych. • Pozą przejęciem powszechnie stosowanego rozróżnienia na „dane zwykłe" i „dane wrażliwe (sensytywne)" oraz wprowadzeniem dla tej ostatniej kategorii szczególnych ograniczeń, gdy chodzi o dopuszczalność przetwarzania, pozostałe dane, niezależnie od ich treści i charakteru, traktowane są jeśli nie identycznie, to w sposób bardzo zbliżony. • Ustawodawca nie wprowadza też radykalnego zróżnicowania w uregulowaniu ze względu na to, czy przetwarzanie danych jest realizowane w sektorze publicznym czy prywatnym; • Różnice w zakresie zbierania, udostępniania czy przechowywania rozmaitych kategorii danych występują na gruncie przepisów szczegółowych, znajdujących się poza ustawą o ochronie danych osobowych

15. Ustawa o ochronie danych osobowych • Do kategorii „danych wrażliwych", o których mowa była w pierwotnym brzmieniu art. 27 u.o.d.o. (danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym), włączone zostały, w wyniku nowelizacji dokonanej w 2001 r., dane dotyczące: • skazań, • orzeczeń o ukaraniu, • mandatów karnych, • innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

16. Ustawa o ochronie danych osobowych • Ustawa wprowadza szczególne przywileje w odniesieniu do przetwarzania danych osobowych w celach naukowych. • Stosownie do znowelizowanego przepisu art. 27 ust. 2 pkt 9 dozwolone jest przetwarzanie danych wrażliwych, gdy jest to niezbędne do prowadzenia badań naukowych, z tym jednak zastrzeżeniem, aby w przypadku publikacji wyników badań naukowych nie była możliwa identyfikacja osób, których dane zostały przetworzone. • Administrator zwolniony jest z obowiązku przekazywania „z urzędu” określonych informacji osobom, których dotyczą dane, wówczas gdy dane nie są bezpośrednio od tych osób zbierane (art. 25), • Administrator zwolniony jest z obowiązku udzielania na życzenie wspomnianych osób informacji o przetwarzaniu ich danych, gdyby pociągało to za sobą nakłady niewspółmierne z zamierzonym celem, a zachowane zostałyby równocześnie warunki powodujące, iż przetwarzanie nie naruszałoby praw lub wolności osób, których dane dotyczą (art. 32 ust. 4 u.o.d.o).

17. Ustawa o ochronie danych osobowych • W celach badań naukowych mogą być przetwarzane dane osobowe zebrane w innym celu (nienaukowym), pod warunkiem że przetwarzanie to nie będzie naruszać praw i wolności osoby, której dane dotyczą, oraz że zostaną zachowane przepisy art. 23 i 25 ustawy (art. 26 ust. 3 u.o.d.o.). • zbiory danych osobowych przetwarzanych dla celów naukowych nie są zwolnione z wymogu rejestracji

18. Ustawa o ochronie danych osobowych • Inaczej traktowane są dane osobowe niezbędne do badania opinii publicznej. • Administrator przetwarzający takie dane korzysta w świetle ustawy z jednego tylko przywileju (wyrażonego w art. 25 ust. 2 pkt 3 u.o.d.o.), a mianowicie w przypadku zbierania danych osobowych nie od osób, których one dotyczą, administrator danych nie musi przekazywać tym osobom (bezpośrednio po utrwaleniu zebranych danych) takich informacji: • które by go identyfikowały, • które podawałyby cel i zakres zbierania danych, • odbiorców lub kategorie odbiorców danych, które wskazywałyby na źródło danych, • które wskazywałyby na prawo wglądu do swoich danych oraz ich poprawiania, a także na uprawnienia wynikające z art. 32 ust.1 pkt 7 i 8 u.o.d.o.