Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz
Wydawnictwo Wolters Kluwer business. Wydanie IV. 2008
Art. 1.1. Każdy ma prawo do ochrony dotyczących go danych osobowych.
2. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.
1. Deklaracja ustawodawcy zawarta w art. 1 traktowana jest niekiedy jako refleks ogólnej zasady autonomii informacyjnej człowieka. Znajduje w nim swój wyraz idea powszechności ochrony danych osobowych. Prawo do takiej ochrony przysługuje bowiem każdemu.
Nasuwa się spostrzeżenie, że tak ujęte prawo stanowi swego rodzaju emanację ogólnego prawa gwarantowanego Konstytucją (art. 47), w myśl którego „Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym”. Spostrzeżenie to oparte jest na założeniu, iż dane osobowe są niejako częścią życia prywatnego lub rodzinnego, względnie że posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję „decydowania o swoim życiu osobistym”.
Podobny nieco punkt widzenia zdaje się prezentować Trybunał Konstytucyjny w jednym ze swych orzeczeń (K. 21/96,225), aczkolwiek trzeba uwzględnić, że chodzi tu o orzeczenie wydane jeszcze przed uchwaleniem ustawy o ochronie danych osobowych, a także obowiązującej dziś Konstytucji RP Trybunał uznał, iż gwarancja prawa do prywatności jest niejako elementem demokratycznego państwa prawnego i stwierdził, że prawo do prywatności oznacza m.in. „prawo do zachowania w tajemnicy informacji o swoim życiu prywatnym”. Wiąże się z tym—według Trybunału — konieczność ochrony tajemnicy danych dotyczących sytuacji majątkowej obywatela, w tym jego transakcji dokonywanych za pośrednictwem banków.
Również w orzeczeniu z dnia 19 lutego 2002 r. (U3/01) Trybunał Konstytucyjny uznał, iż tzw. autonomia informacyjna jednostki (gwarantowana w art. 51 Konstytucji), oznaczająca prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami, znajdującymi się w posiadaniu innych podmiotów, są elementami składowymi prawa do ochrony prawnej życia prywatnego, gwarantowanego w art. 47 Konstytucji.
Można jednakże też przyjmować, iż zarówno prawo do prywatności, jak i prawo ochrony danych osobowych (nie wnikając w relacje między nimi) są—co najmniej na pewnym polu — składnikami ogólnego prawa wyrażającego się w autonomii informacyjnej.
Warto w tym miejscu przywołać także pogląd M, Safjana (Prawo do prywatności i ochrona danych osobowych w społeczeństwie informatycznym, PiP 2002, z. 6, s. 5), że „mamy do czynienia z kreowaniem swoistego pozoru autonomii informacyjnej, gdyż jednostka, będąc pod silną presją wymagań współczesnej cywilizacji, ma coraz mniejszy wpływ na zakres udostępnianej osobie informacji („.) Ciężar ochrony jednostki i jej prywatności przesuwa się coraz wyraźniej w kierunku instytucjonalnych, publicznoprawnych instytucji i środków. Dokonywać się więc będzie nie poprzez prawo prywatne, ale przez określenie granic obszaru chronionego w samym prawie publicznym, W konsekwencji obszar autonomii jednostki zawęża się (w niektórych polach całkowicie)”.
2. Stwierdzenie, że każdy ma prawo do ochrony dotyczących go danych stanowi przeniesienie na grunt ustawy założeń wyrażonych w art. 51 Konstytucji RF.
Określenie „każdy” należy — uwzględniając dalsze przepisy ustawy = rozumieć jako „każda osoba fizyczna”; równocześnie takie określenie pozwala przyjąć, że tego rodzaju „prawne przymioty” jednostki, jak na przykład jej narodowość, obywatelstwo, zdolność do czynności prawnych, podobnie jak wiek, nie odgrywają m względu na stosowanie ustawy żadnej roli. Analogicznie odnieść się należy do stanu psychicznego czy karalności/ a także do kwestii przysługiwania praw publicznych.
Pojawia się pytanie o zasadność tezy, w myśl której „wszystkim osobom przysługuje jednakowe (co do intensywności) prawo ochrony danych osobowych”, Sformułowanie komentowanego przepisu, jak i analiza dal-’ szych postanowień ustawy, przemawiają za udzieleniem w zasadzie odpowiedzi twierdzącej. Problem jest jednak złożony. Wyrdka to z „nakładania się” na siebie sfery powszechnej ochrony dóbr osobistych, w pierwszym rzędzie prywatności, oraz sfery ochrony danych osobowych. Jeżeli chodzi o ochronę prywatności, zarówno doktryna, jak i orzecznictwo wypracowały pewne reguły relatywizujące intensywność ochrony ze względu między innymi na takie okoliczności, jak pozycja i funkcja społeczna danej osoby. Osoby, które ze względu na swój udział na przykład w życiu politycznym, kulturalnym, sportowym uzyskują status osób powszechnie znanych, stają się przedmiotem zainteresowania społeczeństwa, obiektem zainteresowania opinii publicznej, muszą liczyć się z pewnym osłabieniem ochrony ich życia prywatnego; Niekiedy znajduje to wprost odbicie w przepisach prawa, jak ma to miejsce choćby w zakresie prawa do wizerunku regulowanego w art, 81 ust. 2 ustawy o prawie autorskim i prawach pokrewnych (przepis ten zezwala na rozpowszechnianie wizerunków osób powszechnie znanych, jeśli sporządzono je w związku z pełnieniem przez nie funkcji publicznych, w szczególności politycznych, społecznych, zawodowych), Ze specyficznymi ograniczeniami w tym zakresie spotykamy się także na gruncie prawa prasowego (por. na ten temat m.in. monografię J.D. Sieńczyło-Chlabicz, Naruszenie prywatności osób publicznych przez prasę.Analiza cywilnoprawna, Zakamycze 2006), W kontekście takich rozwiązań należałoby zająć stanowisko, iż przepisy mające na celu ochronę danych osobowych nie powinny stać się podstawą do usunięcia lub zawężenia istniejących swobód, wyznaczonych przez inne przepisy prawne, w zakresie zbierania i udostępniania informacji na temat osób powszechnie znanych. Interpretacji tej nie należy jednak traktować jako generalnego przyzwolenia na tworzenie baz danych osobowych, co do osób powszechnie znanych w sytuacji, gdy przepisy innych ustaw zezwalają jedynie na zbieranie informacji o takich osobach,
3. Przyznanie przez ustawodawcę każdemu „prawa do ochrony dotyczących go danych osobowych” skłania do postawienia pytania o charakter, przedmiot i treść tego prawa.
Wydaje się, że można wyróżnić dwa jego aspekty;
a)prywatnoprawny i
b)publicznoprawny.
Jeśli chodzi o aspekt prywatnoprawny, to można bronić stanowiska, iż przedmiotem ochrony na gruncie ustaw o ochronie danych osobowych jest w istocie pewien emocjonalny (osobisty) stosunek występujący między osobą fizyczną a dotyczącymi jej danymi. Mielibyśmy zatem do czynienia z ujmowaniem zagadnienia ochrony danych osobowych w sposób podobny do tego, w jaki ujmuje się ochronę dóbr osobistych. Niemniej przy szerokim podejściu, przy kreowaniu szczególnego dobra osobistego w postaci autonomii informacyjnej człowieka i przy rygorystycznym założeniu, że w istocie każde posłużenie się takimi danymi przez osobę trzecią bez zgody zainteresowanego narusza wspomniany stosunek, osiągnęlibyśmy w praktyce ochronę samych danych, Inaczej sytuacja przedstawiałaby się przy przyjęciu mniej intensywnej ochrony, przy akceptacji podejścia zrelatywizowanego, występującego w obrębie ochrony powszechnych dóbr osobistych, według którego chodzi o poszanowanie stanu niezakłóconego spokoju psychicznego; wówczas wkroczeniem w sferę objętą ochroną będzie nie każde posłużenie się danymi, ale tylko takie, które — według typowych, przeciętnych reakcji — przynosi ze sobą tego rodzaju zakłócenie.
Nie jest jednak wykluczone także odmienne nieco podejście i ujmowanie prawa do ochrony danych osobowych bardziej „w kategoriach własnościowych”. Ten punkt widzenia łączy się z traktowaniem danych osobowych jako swoistego niematerialnego dobra poddanego szeroko ujmowanej własności (niekiedy mówi się o sui generis własności), przysługującej tej osobie, której informacje (dane) dotyczą. Przedmiot ochrony stanowiłyby tu:
a) przy ujęciu najszerszym—same dane osobowe, niekiedy zaznacza się że człowiek jest właścicielem informacji, które go dotyczą, a państwo może o tyle tylko w tę autonomię informacyjną ingerować, o ile ma na to podstawę prawną, a więc zgodę parlamentu; można byłoby tu prze prowadzić porównanie z prawem, jakie człowiek ma do własnego ciała (T. Lipowicz);
b)przy ujęciu złagodzonym—nie tyle same dane, co raczej „status własnościowy”, władztwo (kontrola) sprawowane przez określoną osobę nad dotyczącymi ją danymi („danymi osobowymi”), niekiedy połączone z poufnością tego rodzaju informacji.
Dodajmy, że poufność ta nie oznacza:
– ani tego, że dana informacja w ogóle nie może być przez inne osoby osiągnięta; jej wartość polegać może na tym, iż uzyskanie inną drogąjest trudniejsze, bardziej czaso- lub pracochłonne;
– ani tego, że nie istnieje żaden inny dysponent takiej informacji; ważne jest tylko to, aby nie była to informacja powszechnie dostępna, która przy tym, uzyskana z innego źródła, ma tę samą „wiarygodność” co uzyskana od samego zainteresowanego.
Nie jest też niezbędne, aby zainteresowany przejawiał (demonstrował) wolę nieujawniania dotyczących go danych osobowych.
Wydaje się, że de legę lata łatwiej jest bronić koncepcji nawiązujących do ochrony powszechnych dóbr osobistych niż koncepcji własnościowych; Wątpliwe byłoby zwłaszcza opowiadanie się za tym, że pojedyncze informacje (dane osobowe) stanowią same „jako takie” przedmiot praw wyłącznych i wjako takie” mogą być przy tym przedmiotem obrotu prawnego, mogą być zbyte, w ścisłym tego słowa znaczeniu, innemu podmiotowi, na drodze przeniesienia prawa własności. Te stwierdzenia nie wykluczają jednak tego, iż w przyszłości być może w tym właśnie kierunku zmierzać będą konstrukcje i rozwiązania prawne.
Co przy tym istotne, ochrona słusznych interesów nie została tu oparta na konstrukcji deliktowej, na wyszczególnieniu czynów zakazanych, lecz ma swe źródło w przyznanym przez ustawę prawie. Nie podważa tego —. naszym zdaniem—sformułowanie użyte przez ustawodawcę, który nie odwołuje się do „prawa do danych”, lecz do „prawa do ochrony danych”. 4. Przy próbie scharakteryzowania „prawa do ochrony danych osobowych” nasunąć się może spostrzeżenie, iż mamy tu do czynienia z prawem cywilnym, którego przedmiotem jest swoiste dobro niematerialne. Takie zaszeregowanie nie sprzeciwia się w żadnej mierze temu, aby prawo to korzystało z ochrony także poprzez środki prawne i rozwiązania należące do innych dziedzin prawa, na przykład prawa karnego czy administracyjnego.
Przyjmując ten punkt widzenia należałoby omawiane prawo uznać za prawo niemajątkowe, ściśle związane z osobą. Wyklucza to w istocie obrót tym prawem, możliwość zrzeczenia się go, jak i uczynienie go przedmiotem dziedziczenia. Niemajątkowy charakter prawa nie odbiera jednak możliwo-ści osiągania korzyści majątkowych poprzez j ego wykonywanie.
2 prawa do ochrony danych ustawodawca wywodzi i przyznaje oso-bom uprawnienie zezwalania na przetwarzanie dotyczących ich danych, po-łączone z równoległym roszczeniem zakazowym, pozwalającym, poza szczególnymi przypadkami określonymi w ustawie, na sprzeciwienie się prze-twarzaniu danych bez zezwolenia. Nadto uprawniony może indywidualnie występować z dalszymi roszczeniami. Chodzi o:
a) umożliwienie dostępu do treści swoich danych osobowych (art, 34 ust. 1 pkt 3, art. 25 ust. pkt4);
b) poprawianie swoich danych osobowych lub ich usunięcie ze zbioru (art. 24 ust. 1 pkt 3, art. 25 ust. 1 pkt 4, art. 35);
c) umożliwienie sprawowania kontroli nad przetwarzaniem swoich danych osobowych, w szczególności poprzez uzyskiwanie informacji:
-o zbiorze, w którym takie dane są gromadzone, i o administratorze danych,
-o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
-o tym, od kiedy przetwarza się w zbiorze dane,
-o treści tych danych,
-o źródle, z którego pochodzą dane, chyba że administrator jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,
-o sposobie udostępniania danych, a w szczególności o odbiorcach lub
kategoriach odbiorców, którym są one udostępniane,
-o przesłankach podjęcia rozstrzygnięcia, którego treść jest wyłącznie
wynikiem operacji na danych osobowych prowadzonych w systemie
informatycznym (art. 32 ust. 1 pkt l-5a);
ustawa zastrzega jednak, że z; tymi roszczeniami informacyjnymi nie można występować częściej niż raz na 6 miesięcy, ograniczenie to nie obejmuje jedynie roszczenia o uzyskanie informacji dotyczących przesłanek podjęcia rozstrzygnięcia w sposób zautomatyzowany;
d)uzupełnienie, uaktualnienie, sprostowanie danych, czasowe lub stałe . wstrzymanie ich przetwarzania lub ich usunięcie, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane (art. 32 ust. 1 pkt 6);
e)zaprzestanie przetwarzania danych ze względu na szczególne okoliczności, mimo iż chodzi o przypadki przetwarzania dozwolone przez ustawę (art. 32 ust. 1 pkt 7-8);
f)żądanie ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej ostatecznie wbrew zakazowi określonemu w art. 26a ust. 1, w sposób zautomatyzowany (art. 32 ust. 1 pkt 9).
5. Jak wspomnieliśmy, prawo do ochrony danych osobowych posiada też — w istocie przeważający — aspekt publicznoprawny. Przetwarzanie danych osobowych poddane jest publicznoprawnej ocenie i regulacji. W konsekwencji takiego ujęcia można uznać, iż mimo że wraz ze śmiercią osoby zainteresowanej (której dane dotyczą) wygasa prywatnoprawny sub-strat omawianego prawa, przetwarzanie odnoszących się do tej osoby danych osobowych nie jest bynajmniej całkowicie wolne. Podlega ono wszystkim reżimom wyznaczonym przez ustawę, z wyjątkiem tych, które odnoszą się bezpośrednio do indywidualnych kompetencji zainteresowanego. Nie będą więc wówczas znajdować zastosowania przepisy odwołujące się do zgody osoby, której dane dotyczą, podobnie jak przepisy mówiące o zbieraniu danych osobowych od osoby, której te dane dotyczą (art. 24). Ponadto ograniczony zostanie zakres zastosowania przepisów, które zezwalają na pewne działania, na przykład pod warunkiem nienaruszania praw i wolności osoby, której dane dotyczą (art 23 ust. 1 pkt 5; art. 26 ust. 2) lub pod warunkiem, że jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą (art. 23 ust. 3, art. 47 ust. 3 pkt 5). Natomiast nie ulega wątpliwości, że w każdej sytuacji:
a)administrator danych przetwarzający dane powinien dokładać szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (art. 26 ust. 1);
b)respektowane powinny być ustawowe zasady dotyczące:
-dalszego udostępniania danych (art. 29-30),
-powierzania innemu podmiotowi, w drodze umowy, przetwarzaniadanych (art. 31), -zabezpieczenia danych osobowych i zbiorów danych rej estracji (rozdziały 5 i 6),
-przekazywania danych do państwa trzeciego (rozdział 7), jak również przepisy statuujące odpowiedzialność karną (rozdział 8).
Dopuszczalność stosowania komentowanej ustawy w zakresie danych osobowych osób nieżyjących może być jednak kwestionowana. Dwóch współautorów niniejszego komentarza opowiada się za poglądem, według którego całość przepisów ustawy, a zwłaszcza art. 1, stanowczo przesądzają o tym, iż
ustawy tej nie można stosować do danych o osobach zmarłych. Ograniczenia w przetwarzaniu takich danych mogą jednak występować ze względu na ochronę powszechnych dóbr osobistych (kult pamięci osoby zmarłej) oraz — na gruncie komentowanej ustawy.— wtedy, gdy dane dotyczące zmarłe go należy równocześnie traktować jako dotyczące określonej żyjącej osoby (por. też w tej kwestii pkt 10 komentarza do art. 6).
Publicznoprawny wymiar ustawowej regulacji, a zarazem określonego w niej prawa do ochrony danych osobowych przejawia się między innymi w tym, że ustawa nakłada na podmioty przetwarzające dane osobowe wiele obowiązków związanych bezpośrednio lub pośrednio z poszanowaniem tego prawa, których nieprzestrzeganie zagrożone jest sankcjami karnymi. Ponadto przepisy ustawy mają charakter bezwzględnie obowiązujący i stosowanie ich nie może być ograniczone ani wyłączone wolą stron. Ustawa ustanawia również administracyjny system rejestracji zbiorów danych oraz kontrolę zgodności przetwarzania danych osobowych z prawem, powierzając zadania w tym zakresie Generalnemu Inspektorowi Ochrony Danych Osobowych, który jest centralnym organem administracji państwowej.
6. Statuując ochronę danych osobowych nie powinno się pomijać innej respektowanej przez prawo w społeczeństwach demokratycznych wartości, jaką jest swoboda dostępu i przepływu informacji. Niekiedy w literaturze zagranicznej mówi się nawet o prawie jednostki do zbierania i przetwarzania danych (informacji), o prawie aktywnego dostępu do informacji.
Przypomnijmy w tym miejscu, iż obowiązująca Konstytucja RP zapewnia każdemu wolność pozyskiwania i rozpowszechniania informacji (art. 54 ust. 1). Powstaje jednak przy tym-— z jednej strony — wątpliwość, na ile wolność pozyskiwania informacji można traktować jako podstawę żądania dostępu do informacji. Z drugiej strony, wytyczając reguły ochrony danych osobowych, należy uważać, aby nie przekroczyć granicy, za którą trafne i szlachetne zamiary oraz założenia zaczynają już wywoływać negatywne skutki. Ma to miejsce na przykład wówczas, gdy zbyt rygorystyczne ograniczenia
w pozyskiwaniu i gromadzeniu informacji (danych osobowych) przeszkadzają w należytym zapewnieniu porządku i bezpieczeństwa, nie pozwalają administracji zajmującej się sprawami socjalnymi należycie wykonywać swych zadań i sprawiedliwie dzielić dobra między potrzebujących, pomniejszają rolę i zadania, jakie pełnić ma prasa w społeczeństwie demokratycznym.
W ustawodawstwach zagranicznych spotykamy szczególne ustawy dotyczące generalnie kwestii dostępu wszystkich obywateli do informacji zgromadzonych przez organy i instytucje sektora publicznego; bywa też, że brak w systemie prawnym regulacji ogólnej, natomiast w różnych aktach prawnych pojawiają się postanowienia gwarantujące dostęp do informacji (np. do określonych rejestrów, do informacji dotyczących środowiska naturalnego). Nie jest pozbawione racji stwierdzenie, że regulacje prawne dotyczące ochrony danych osobowych oraz przetwarzania takich danych stanowią swoistą wypadkową między szeroko unormowanym prawem do prywatności osób, których dane dotyczą, a swobodą zbierania, wykorzystania i przekazywania informacji. Mamy więc do czynienia z dwoma, poniekąd konkurującymi ze sobą, fundamentalnymi prawami. Ten konflikt starają się, przynajmniej w pewnej mierze, rozwiązać przepisy ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198 z późn. zm.), która weszła w życie z dniem 1 stycznia 2002 r.
Analizując różne prezentowane w ostatnich kilkunastu latach rozwiązania legislacyjne oraz poglądy doktryny dążące do pogodzenia wspomnianych przeciwstawnych wartości, wyróżnić można—w uproszczeniu—trzy zasadnicze podejścia. Pierwsze preferuje zasadę swobody dostępu do informacji, natomiast zakazuje przetwarzania danych osobowych wówczas, gdy prowadzi to do naruszenia praw lub słusznych interesów tych, których dane dotyczą. Drugie podejście, choć wychodzące z podobnych założeń, zawiera bardziej intensywne ograniczenia, jeśli chodzi o dopuszczalność przetwarzania danych i przyjmuje, że nie wystarczy brak zagrożenia praw czy interesów osób zainteresowanych, lecz trzeba ponadto, aby przetwarzający dane osobowe wskazał na swój słuszny interes, który usprawiedliwiałby ten rodzaj działalności.
Z oboma podanymi zapatrywaniami korespondują do pewnego stopnia te wypowiedzi (padające także ze strony organów ustawodawczych), iż funkcją ustawy o ochronie danych osobowych jest przeciwdziałanie nadużyciom w zakresie zbierania i przetwarzania tego rodzaju danych.
I wreszcie trzecie podejście. Umieszcza ono na pierwszym planie zakaz zbierania i przetwarzania danych osobowych i stara się usprawiedliwić to stwierdzeniem, które ma odzwierciedlać zachodzącą ewolucję rozwiązań prawnych: „od informacyjnej wolności do informacyjnych zakazów”. W obrębie tego stanowiska występuje wiele rozmaitych rozwiązań, które różnią się między sobą przede wszystkim zakresem i ujęciem przepisów wyjątkowych, przepisów czyniących wyłom we wspomnianej zasadzie. W praktyce chodzi o wprowadzanie dalszych przesłanek usprawiedliwiających przetwarzanie danych osobowych, poza dwoma, można rzec — oczywistymi, czyli:
a)zgodą zainteresowanych (tych, których dane dotyczą) i
b)wyraźnym upoważnieniem wyrażonym w przepisie prawa.
7.Ustawa podkreśla na wstępie (art 1 ust 2), iż przetwarzanie danych osobowych może mieć miejsce ze względu na:
a)dobro publiczne,
b)dobro osoby, której dane dotyczą, lub
c)dobro osób trzecich w zakresie i trybie określonym ustawą.
Jak widać, jest zamiarem ustawodawcy, aby przetwarzanie danych osobowych miało aksjologiczne usprawiedliwienie. Niemniej znaczenie i funkcja tego przepisu nie są w pełni zrozumiałe.
Pomijając nawet dyskusje, jakie mogą towarzyszyć sprecyzowaniu pojęcia „dobro publiczne”, poprzestańmy na wątpliwościach związanych z odwołaniem się do „dobra osób trzecich”. Czy określenie „dobro” użyte jest tu w szerokim znaczeniu, w znaczeniu pozytywnego interesu? Cała konstrukcja przepisu skłania raczej do przyjęcia takiego właśnie stanowiska. Wówczas jednak owo zastrzeżenie, iż przetwarzanie danych jest dozwolone, jeśli przemawia za tym dobro osób trzecich, pozwala usankcjonować właściwie wszelkie przypadki przetwarzania danych osobowych. Prawie zawsze będzie można wskazać na czyjeś dobro (na czyjś interes), w imię którego takie przetwarzanie jest dokonywane. Zauważmy, że może to być jakiekolwiek dobro (interes), a więc także majątkowe; za takim podejściem przemawia też art. 3 ust. 2 pkt 2 u.o.d.o., który mówi między innymi o przetwarzaniu danych w związku z działalnością zarobkową czy zawodową.
Ograniczenie dopuszczalności przetwarzania danych w oparciu o analizowany przepis mogłoby zatem nastąpić jedynie wówczas, gdybyśmy uznali, że chodzi tu o „kwalifikowane dobro osób trzecich”, a więc o „dobra prawem chronione” (dobra stanowiące przedmiot ochrony prawnej). Trzeba by zatem wykazać, że przetwarzanie cudzych danych osobowych służy ochronie czy realizacji własnego, chronionego prawem dobra (interesu).
8.Jak wynika z treści art. 1 ust 2, przetwarzanie danych osobowych
może być usprawiedliwione jedną z wymienionych tam wartości; nie musi być tak, aby przemawiał za tym równocześnie i interes publiczny, i interes osób, na temat których dane są zbierane, i interes osób trzecich. Nie powstają też wątpliwości w odniesieniu do sytuacji, gdy przetwarzanie danych służyć będzie któremuś z wymienionych dóbr, natomiast będzie to obojętne z punk-tu widzenia dóbr pozostałych. Zasadniczy problem pojawi się jednak wów-czas, gdy dojdzie do kolizji pomiędzy tymi dobrami; na przykład przetwa-rzanie danych służyć będzie interesowi publicznemu, natomiast nie będzie odpowiadać interesom osób, których dane miałyby być przetwarzane. Ocena będzie wówczas musiała być dokonywana na zasadzie wyważania koli-dujących dóbr (interesów).
9. Przepis art. 1 ust. 2 skłania do rozpatrzenia jednego jeszcze zagad-nienia. Chodzi mianowicie o stosunek tego przepisu do innych postanowień ustawy legalizujących przetwarzanie danych osobowych; mamy na myśli przede wszystkim art. 23. Nasuwa się pytanie, czy art. 1 ust. 2 powinno traktować się:
a)tylko jako deklarację, dotyczącą ogólnych założeń ustawy, deklarację co najwyżej w pewnym stopniu przydatną przy prowadzeniu wykładni i wyznaczaniu zakresu stosowania przepisów ustawy;
b)jako swego rodzaju klauzulę generalną o charakterze korygującym a więc nie wystarczałoby wskazanie na jakąś szczegółową przesłankę legalizującą (np. przepis prawa lub niezbędność dla wypełniania usprawiedliwionych celów administratorów danych w związku z ich działalnością), lecz potrzebne byłoby równocześnie wykazanie, iż służy to jednemu z wymienionych dóbr;
c)jako swego rodzaju klauzulę generalną o charakterze uzupełniającym a więc można byłoby dopuścić przetwarzanie danych ze względu na przykład na interes publiczny lub interes osób trzecich, mimo iż trudno byłoby wskazać na którąś ze szczegółowych przesłanek legalizujących takie działanie.
Wydaje się, że najbardziej usprawiedliwione byłoby przyznanie komentowanemu przepisowi pierwszej spośród wymienionych wyżej funkcji. Takie podejście miałoby też ten walor, iż nie wprowadzałoby niepewności prawnej i mnożenia niedookreślonych przesłanek prawnych decydujących o dopuszczalności przetwarzania danych osobowych. Pogląd, że względy wskazane w art. 1 ust. 2 ustawy nie stanowią samoistnych przesłanek dopuszczalności przetwarzania danych osobowych; zyskał uznanie w piśmiennictwie przedmiotu (por. m.in. A. Mednis, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 1999, s. 13; R. Szałowski,
Ochrona danych osobowych. Komentarz do ustawy z dnia 29 sierpnia 1997 r., Zielona Góra 2000, s. 13).
W doktrynie zaprezentowane zostało także stanowisko odmienne, bliskie drugiej z wskazanych powyżej interpretacji, zgodnie z którym art. 1 ust. 2 u.o.d.o. ma samodzielne znaczenie normatywne i nie należy traktować go jako wskazówki interpretacyjnej (tak A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2004, s. 14).
10. Zwrot przewidujący, że „przetwarzanie danych osobowych może następować tylko w zakresie i trybie określonym ustawą” nie sprzeciwia się temu, aby szczegółowe kwestie dotyczące przetwarzania danych w określonych dziedzinach, wskazanie przetwarzanych danych oraz sam tryb przetwarzania określone zostały w ustawach szczegółowych. Wykaz najważniej-szych szczegółowych regulacji prawnych odnoszących się do przetwarzania i ochrony danych osobowych zawarty został w części CIII Wstępu.
Co do znaczenia określenia „przetwarzanie danych”— zob. pkt 13-20 komentarza do art. 7.
Art. 2.1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
2.Ustawę stosuje się do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.
3. W odniesieniu do zbiorów danych osobowych sporządzanych do raźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
1. Funkcja komentowanego przepisu polega głównie na wyznaczeniu przedmiotowego zakresu stosowania ustawy. Jest on zdeterminowany między innymi pojęciem:
a) „dane osobowe” (zdefiniowanym w art. 6), które zakłada istnienie możliwości przyporządkowania danych (informacji) do określonej osoby; tak więc poza zakresem działania ustawy znajdują się wszelkie procedury przetwarzania takich informacji, które mają charakter anonimowy;
b)„przetwarzanie danych” (zdefiniowanym w art. 7 pkt 2), obejmującym wszelkie operacje dokonywane na danych osobowych;
c)„zbiór danych” (zdefiniowanym w art. 7 pkt 1), przez który rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy ze staw ten j est rozproszony lub podzielony funkcj onalnie;
d)„system informatyczny” (zdefiniowanym w art. 7 pkt 2a), przez który rozumie się zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
2.Brzmienie ust. 1 wskazuje przy tym jednoznacznie na to, że działaniem ustawy objęte są tylko przypadki przetwarzania danych osób fizycznych. Nie ma podstaw do stosowania, nawet per analogiam, przepisów ustawy do przetwarzania danych odnoszących się wyłącznie do osób prawnych lub j ednostek organizacyjnych nieposiadających osobowości prawnej. (Por. w związku z tym pkt E.IV Wstępu oraz komentarz do art. 6. )
3.Analiza wskazówek zawartych w ust. 1 komentowanego artykułu oraz porównanie jego ust. 1 i ust. 2 prowadzić może do wniosku, iż istnieją dwa odmienne, aczkolwiek wzajemnie powiązane, zakresy stosowania usta
wy i dwie zasadnicze grupy zagadnień przez nią regulowanych. Pierwszy dotyczy przetwarzania danych i postępowania przy tym przetwarzaniu; chodzi tu głównie o prawa i obowiązki administratorów danych, łącznie ze sprawowanym nad ich działalnością nadzorem („Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych”) w tym zakresie kwestia istnienia zbioru danych jest obojętna. Drugi dotyczy praw osób fizycznych, będących podmiotami przetwarzanych danych osobowych, przy czym w tym przypadku występuje odniesienie do zbioru danych („Ustawa określa (…) prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych”). Na temat praw służących osobom, których dane mają być lub są przetwarzane— zob. przede wszystkim art. 32 i komentarz do tego przepisu. Interpretacja taka znajduje oparcie w dalszych przepisach ustawy (por. m.in. art. 32-35), a także w tym, że określenie „są lub mogą być przetwarzane w zbiorach danych”, występujące w art. 2 ust. 1, odnosi się — ze względu na użycie słowa „których” w dopełniaczu — wyłącznie do zagadnienia posługiwania się danymi osobowymi w kontekście praw oznaczonych osób fizycznych. Pojedyncze dane osobowe, same jako takie, występujące „w oderwaniu”, w zasadzie nie są przedmiotem zainteresowania ustawodawcy. Ustawa o tyle dotyczy pojedynczych danych osobowych, o ile chodzi o ich przetwarzanie, a „po którejś stronie” mamy do czynienia ze zbiorem danych, kartoteką, skorowidzem, księgą, wykazem czy innym zbiorem ewidencyjnym (a więc gdy chodzi np. o zbieranie pojedynczych danych do zbioru czy udostępnianie takich danych ze zbioru). Samo operowanie pojedynczymi danymi, jako takie, zasadniczo nie mieści się w obszarze działania ustawy. Jednakże nowelizacja ustawy z dnia 22 stycznia 2004 r. wprowadziła istotny wyjątek od wskazanej powyżej zasady. Zgodnie z przepisem art. 2 ust. 2 pkt 2 ustawę stosuje się do przetwarzania danych osobowych w systemach informatycznych także w przypadku przetwarzania danych poza zbiorem danych. Oznacza to, że w systemie informatycznym ochroną objęte są dane osobowe, niezależnie od tego, czy są przetwarzane w zbiorze, czy też nie (szerzej na ten temat por. uwagi zamieszczone poniżej w pkt 7).
4. Redakcja postanowienia ust. 1 i 2 nie jest precyzyjna i może stać się źródłem odmiennych interpretacji.
Można bronić zdania, iż cała regulacja prawna zawarta w ustawie odnosi się tylko do sytuacji przetwarzania danych osobowych w zbiorach danych, a więc w posiadających strukturę zestawach danych, zapewniających dostęp do danych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie (na temat pojęcia zbioru danych zob. pkt 1-12 komentarza do art. 7), a w systemach informatycznych także poza zbiorami danych. Godząc się na ten punkt widzenia należałoby zatem przyjąć, że zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, jeżeli nie ma powiązania z jakimkolwiek zbiorem danych albo nie jest dokonywane w systemie informatycznym, nie jest objęte działaniem przepisów ustawy. Dodajmy, iż nie są zbiorami danych, w podanym wyżej znaczeniu, wszelkie nieuporządkowane, mechaniczne, w sposób ciągły dokonywane zapisy dokumentacje/jak choćby te, które sporządzane są w sklepach, w zakładach pracy, w otoczeniu różnych obiektów albo na ulicach przez ukryte lub umieszczone na widoku publicznym kamery. Nie oznacza to jednak, aby nie można było samego monitorowania takimi kamerami traktować jako prze-
twarzania danych. Legalizacji takich działań doszukiwać się można w przepi-sach prawa, w zezwoleniu zainteresowanego (zwłaszcza gdy wie on o moni-toringu i w sposób co najmniej konkludentny godzi się na objęcie nim swojej osoby), w przesłance mówiącej o przetwarzaniu niezbędnym do wykonania określonych prawem zadań (bezpieczeństwo, ochrona interesu publicznego i inne) realizowanych dla dobra publicznego. Zaznaczmy jednak, iż legalność działań z punktu widzenia ustawy o ochronie danych osobowych może nie zawsze okazać się wystarczająca do zakwestionowania bezprawności w zakresie naruszenia dóbr osobistych prawa cywilnego (np. prywatności czy wizerunku).
Dopuszczalne jest także inne, dyskusyjne, podejście, nawiązujące do dwóch wskazanych wyżej obszarów regulacji, według którego aspekt występowania „zbioru danych” jest istotny tylko w sferze ochrony praw osób, których dane są przetwarzane i tylko wtedy, gdy przepis ustawy do zbioru \ danych się odwołuje. Natomiast ustawa „zajmuje się” również, jak to wynh ka już z pierwszej części zdania zamieszczonego w art. 2 ust. 1, przetwarza niem danych osobowych „w ogóle”, a więc również poza zbiorami danych w rozumieniu art. 7 pkt 1.
Ograniczenie praw osób, których dane dotyczą, tylko do takich sytuacji, w których dane są lub mogą być przetwarzane w zbiorze, miałoby—zdaniem W. Zimnego — zapobiegać nadużywaniu praw przez osoby, których dane dotyczą, jeżeli w grę wchodzą pojedyncze dane lub nawet ich zestawienia (np. opublikowane w książce, gazecie, zaprezentowane na wystawie itp.) a których przetwarzanie następuje z przyczyn innych niż w celu włączenia do zbioru (por. W, Zimny, Zbieram dane moich klientów i pierwszy raz usłyszałem coś o ustawowej ochronie danych osobowych — czy to mnie dotyczy? (Ochrona Danych Osobowych, Biuletyn Administratorów Bezpieczeństwa Informacji 2000,2,8.5)
5. Konfrontując ust. 1 i 2 omawianego artykułu należy zastanowić się / również nad relacją zachodzącą między kategoriami zestawień danych wyszczególnionymi w art. 2 ust 2 pkt 1 (kartotekami, skorowidzami, księgami; wykazami oraz innymi zbiorami ewidencyjnymi) a zbiorem danych, o których stanowi art, 2 ust. 1, i którego definicję podaje art. 7 pkt 1. Chodzi tu ; o rozstrzygnięcie, czy
a)zbiór danych stanowi „postać kwalifikowaną” zestawień (zestawów),
o jakich mowa w art. 2 ust. 2 pkt 1, ze względu na rodzaj lub sposób „ustrukturyzowania” (różnic dopatrywać można by się było też w za- chowaniu bądź wyeliminowaniu dostępności danych według określonego kryterium w przypadku wtórnego rozproszenia lub podzielenia ich zestawienia), czy też
b)w przepisie art. 2 ust 2 pkt 1 wymienione są rozmaite „równoprawne” postacie zbiorów danych.
W pierwszym przypadku wyliczenie z ust. 2 pkt 1 miałoby rangę raczej uzupełniającą, w drugim — wyjaśniającą.
Pozytywnej odpowiedzi na pierwsze z postawionych wyżej pytań udziela W Zimny (por. bliżej na ten temat pkt 7-8 komentarza do art. 7). Podobny pogląd w tej kwestii prezentuje również A. Drozd (Zakres zakazu przetwarzania danych osobowych, PiP 2003, z. 2, s. 43-44), który kładzie nacisk na pojęcie „zbiór ewidencyjny”.
Naszym jednak zdaniem wykładnia prowadząca do takiego stanowiska, aczkolwiek formalnie dopuszczalna i poprawna, w istocie tworzy kategorię dla stosowania ustawy zbędną: uporządkowane zestawienia (zestawy, zbiory ewidencyjne) danych niespełniające cechy zbioru danych. Zbędność ta uwidacznia się zwłaszcza przy przyjętym przez nas stanowisku (o czym bliżej pkt 10-11 komentarza do art. 7), iż dla stwierdzenia istnienia zbioru danych uznajemy jako dostateczne uporządkowanie danych według jednego kryterium. Według nas funkcją ust 2 pkt 1 nie jest tworzenie nowych, niezależnych od „zbioru danych”, kategorii, lecz raczej przybliżenie pojęcia zbioru danych i — przede wszystkim — podkreślenie, że przetwarzanie danych może być prowadzone zarówno w systemach informatycznych, jak i „tradycyjnych”. Odmienne podejście byłoby uzasadnione wtedy, gdyby ustawodawca konsekwentnie i wyraźnie różnicował w dalszych przepisach ustawy regulacje w zależności od tego, czy chodzi o przetwarzanie „w zbiorach danych”, czy o przetwarzanie w kartotekach, skorowidzach, zbiorach ewidencyjnych bądź w innych zestawach (zestawach o bardziej uproszczonej niż ma to miejsce w przypadku zbiorów wewnętrznej organizacji). Tymczasem ustawodawca tak nie czyni. Zróżnicowanie, jakiego dopatrzyć się możemy w uregulowaniach, polega na rozgraniczaniu sytuacji, w których istotne jest istnienie zbioru danych, oraz sytuacji, w których sposób organizacji danych oraz dostępności do nich nie ma znaczenia,
W tym stanie rzeczy skłonni jesteśmy raczej przyjąć, że zestawienia podane w art. 2 ust. 2 pkt 1 są egzemplifikacją zbiorów danych, o których mowa w art, 2 ust. 1 oraz w art 7 pkt 1. Podobne stanowisko, uznające, że przepisy ust. 1 i 2 komentowanego artykułu dotyczą zbiorów danych w rozumieniu art. 7 pkt 1, zajmuje Generalny Inspektor Ochrony Danych Osobowych, który (w dziale „Zapytania i odpowiedzi dotyczące zagadnień prawnych” znajdującym się na jego stronie www — www.giodo.gov.pl) stwierdza: „Wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy. Konsekwencją tego jest wyłączenie stosowania art. 29 ustawy, w wypadku Ą udostępniania danych w celu włączenia do tych akt. Artykuł 29 ma bowiemzastosowanie jedynie do udostępniania danych w celu innym niż włączenie do zbioru”. W opinii tej widać wyraźnie, iż Generalny Inspektor utożsamia pojęcie „zbioru danych” z takimi zestawieniami, jąkną przykład akta sądowe; czy z niedookreślonym pojęciem „zbioru” występującym w art. 29.
6. Ściśle semantyczna interpretacja art. 2 ust. 2 pkt 1 prowadzić może do wniosku, że do czasu utworzenia zbiorów, o których stanowi powołany przepis, brak jest podstaw do stosowania ustawy. Nie jest bowiem wówczas zrealizowana ani przesłanka „istnienia zbioru”, ani „przetwarzania danych w zbiorze”. Rozumowanie takie nie wydaje się jednak trafne. Naszym zdaniem ustawę, w tym przepisy mówiące o zbiorach danych, należy stosować w odniesieniu do stanów faktycznych występujących już na etapie gromadzenia danych osobowych z przeznaczeniem stworzenia w oparciu o nie zbioru (a więc zanim powstanie ostatecznie ich zbiór, a także zanim dane zostaną włączone do zbioru już istniejącego). Zdaniem E. Mednisa do konkluzji takiej upoważnia treść przepisu art. 2 ust. 1 w tej jego części, w której stanowi, że ustawa dotyczy „danych, które są lub mogą być przetwarzane w zbiorach”. Dalszych argumentów na rzecz tej tezy doszukać się można w:
a)celu i funkcji ustawy;
b)treści przepisów art. 51 ust. 1 i 2 Konstytucji RP w tym zakresie, w jakim dotyczą ochrony obywateli w związku ze zbieraniem o nich informacji, w fazie ich pozyskiwania;
c)w dyrektywie 95/46/WE, która w art. 3 ust. 1 wyraźnie przesądza o jej stosowaniu do przetwarzania danych, o ile dane te mają figurować w zbiorze (mają wejść w skład systemu ewidencyjnego) lub o ile mają być przetwarzane automatycznie.
Należy też zwrócić uwagę na punkt widzenia, za jakim opowiedział się Sąd Najwyższy w postanowieniu z dnia 11 grudnia 2000 r. (IIKKN 438/00, OSNKW 2001, nr 3-4, poz. 33). Zdaniem Sądu: „Dane osobowe korzysta ją z ochrony przewidzianej ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 z późn. zm.) już wówczas, jeżeli tylko mogą znaleźć się w zbiorze danych osobowych, bez względu na to, czy się w nim ostatecznie znalazły, a ustawa w odniesieniu do różnych etapów i rodzajów przetwarzania danych określa jeszcze dodatkowe uprawnienia osób, których dane te dotyczą (rozdział 4 ustawy). Rzecz bowiem w tym, że każdy ma prawo do ochrony dotyczących go danych osobowych (art. 1 ust. 1 ustawy), a nie jedynie ten, czyje dane znalazły się już w zbiorze. Jeżeli zaś, stosownie do art. 7 omawianej ustawy, przetwarzaniem danych jest ich zbieranie, przechowywanie i usuwanie, a usuwaniem m.in. niszczenie (pkt 2 i 3 art. 7), to nie powinno budzić wątpliwości, iż ochrona danych osobowych, o jakiej mowa w ustawie z 1997 r., odnosi się już do etapu ich zbierania, a następnie fazy przechowywania i niszczenia, i to choćby nie znalazły się one ostatecznie w zbiorze danych osobowych. Nie może bowiem być pozbawiona w ogóle ochrony prawnej płynącej z ustawy w odniesieniu do swych danych osoba, której dane — mimo że zbierane, czyli przetwarzane w rozumieniu tej ustawy — nie znalazły się w zbiorze, i to tylko dlatego, że nie weszły one do zbioru”.
Uzasadniając tę ważną interpretację Sąd Najwyższy stwierdził: „Ochro-na danych osobowych wynika z art. 51 Konstytucji RP i bez wątpienia ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie jest jedynym aktem prawnym chroniącym te dane” (Szerzej na ten temat wypowiadają się w literaturze m.in. A. Bierć, Ochrona prawna danych osobowych w sferze działalności gospodarczej w Polsce—aspekty cywilnoprawne; W Kulesza, Ochrom danych osobowych a nowa kodyfikacja prawa karnego w Polsce; A. Mednis, Ochrona prawna danych osobowych a zagrożenie prywatności — rozwiązania polskie opracowania zamieszczone (w:) Ochrona danych osobowych (zbiór referatów wygłoszonych na poświęconej problematyce ochrony danych osobowych konferencji naukowej w dniach 27-28II1998 r.), red. M. Wyrzykowski, Warszawa 1999).
Na gruncie tej ustawy wypowiadane są jednak rozbieżne w istocie swej poglądy co do zakresu jej działania. Wedle niektórych autorów ustawa ta „j est aktem kompleksowo ujmującym całość zagadnienia, bez względu na sposób, w jaki przetwarza się dane osobowe, elektronicznie czy też manualnie” (tak B. Banaszak, K. Wygoda, Regulacja prawna ochrony danych osobowych w Polsce w świetle ustawy z dnia 29 sierpnia 1997 r. i standardów europejskich (w:) Ochrona danych osobowych…, s. 53). Inni z kolei podnoszą, że „ochrona ta dotyczy przede wszystkim sytuacji, gdy dane te przetwarza w systemach informatycznych” (tak A. Bierć, Ochrona prawna danych osobowych…, Si-112), a więc nie tylko danych przetwarzanych w owych systemach. Jeszcze inni uważają, iż „na pytanie, czy przepisy (…) ustawy stosuje się do wszelkich danych osobowych, czy tylko do takich, które znajdują się w lub mają się znaleźć w zbiorze, nie można odpowiedzieć jednoznacznie”, przy czym przyjmują, że gdy chodzi o dane przetwarzane ręcznie, to „korzystają one z ochrony o tyle, o ile są lub mają być elementem zbioru” (tak A. Mednis, Ustawa o ochronie…, s. 15).
Analizując przepisy ustawy z 1997 r. zauważamy, że już z j ej tytułu wy-nika, iż dotyczy ona ochrony danych osobowych, a nie danych osobowych w zbiorach. Zgodzić się trzeba, że sam tytuł ustawy nie musi jeszcze przesądzać o zakresie jej działania, choć co do zasady powinien, i na pewno ma znaczenie dla interpretacji danego aktu prawnego. Ale zresztą już w art. 1 ustawa zakłada, że każdy ma prawo do ochrony danych osobowych (ust. 1), a ich przetwarzanie może mieć miejsce tylko z uwagi na wskazane w ustawie dobra i jedynie w zakresie i trybie określonym ustawą (ust. 2). W art. 2 ust. 1 ustawa wskazuje z kolei, że „określa zasady postępowania przy przetwarzaniu danych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych”. Nie chodzi przy tym o prawami
osób, których dane—jak twierdzą niektórzy autorzy—„są lub mają być elementem zbioru” (tak A. Mednis), ale które „są lub mogą być przetwarzane zbiorach”. Zgodnie zaś z ustawą przetwarzanie danych to „wszelkie operacje na tych danych” — a nie na zbiorze takich danych — w tym m.in. „takie jak zbieranie, utrwalanie, przechowywanie (…) i usuwanie” (art. 7 pkt 2) Tym samym dane osobowe korzystają z ochrony przewidzianej ustawą już wówczas, jeżeli tylko mogą znaleźć się w zbiorze, bez wzglądu na to, czy się w nim ostatecznie znalazły, a ustawa w odniesieniu do różnych etapów i rodzajów przetwarzania danych określa jeszcze dodatkowe uprawnienia osób, których dane te dotyczą (rozdz. 4 ustawy). Ustawa określa przy tym, do jakich podmiotów przetwarzających dane się odnosi (art. 3 ust. 1-2) i zastrzega, iż nie stosuje się jej norm tylko wobec osób fizycznych przetwarzających dane osobowe w celach osobistych lub domowych (art. 3a ust. 1 pkt 1), podmiotów mających siedzibę w państwie trzecim, a wykorzystujących środki techniczne znajdujące się na terytorium Polski wyłącznie do tranzytu danych (art. 3a ust. 1 pkt 2), a także do prasowej działalności dziennikarskiej oraz działalności literackiej i artystycznej (art, 3a ust. 2). Wypada zwrócić także uwagę na spostrzeżenia W Zimnego w omawianej materii {Trudności z terminem „zbiór danych” w ustawie o ochranie danych-osobowych, maszynopis udostępniony przez Autora). Polemizuje on z kategorycznym stanowiskiem, które istotne znaczenie przypisuje zamierzonemu przeznaczeniu danych. Uważa, że problem nie w tym, czy dane osobowe w trakcie ich zbierania mają podlegać ochronie, lecz chodzi o pytanie, czy na tym etapie można już mówić o „zbiorach danych” z wszystkimi płynący mi stąd konsekwencjami. Odpowiedź twierdząca pociąga za sobą wątpliwości na przykład co do oznaczenia momentu, w którym dokonane ma zostać zgłoszenie zbioru do rejestracji. Odpowiedź przecząca nie pozbawia danych osobowych ochrony, bowiem istnienie „zbioru danych” nie jest warunkiem sine quo. non stosowania komentowanej ustawy. Wynika to z treści art, 2 ust. 1, który na wstępie posługuje się ogólną formułą: „Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych (…)”.
Na marginesie warto zauważyć, iż w piśmiennictwie wskazuje się wy-raźnie na to, że wzorcem dla regulacji polskiej z 1997 r. stały się unormowania zachodnioeuropejskie oraz konwencja 108 Rady Europy z dnia 26 stycznia 1981 r, i dyrektywa Unii Europejskiej 95/46/WE z dnia 24 października 1995 r., a o ile początkowo ustawodawstwo europejskie chroniło praktycznie wyłącznie zbiory danych osobowych, o tyle obecnie, wraz z rozwojem technologii, uznano, iż nieobjęcie ochroną pojedynczych danych byłoby niewłaściwe (zob. A. Mednis, Ustawa o ochronie danych osobowych s. 7 i 14).
7. Jak już zaznaczyliśmy, głównym celem ust. 2 komentowanego artykułu jest — jak się wydaje — podkreślenie, że dla stosowania ustawy nie ma znaczenia sam sposób przetwarzania danych osobowych. Ustawa dotyczy zarówno przetwarzania takich danych w nowoczesnych zautomatyzowanych systemach informatycznych, j ak i przetwarzania metodami tradycyjnymi, manualnymi, w kartotekach, skorowidzach, różnych wykazach, zbiorach ewidencyjnych itp., aczkolwiek pierwotnie miała odnosić się tylko do dziedzin zinformatyzowanych. W zakresie działania ustawy znajdują się także wszelkie systemy mieszane. Obojętne jest przy tym, na jakich nośnikach (papierowych, elektronicznych lub innych) dane są utrwalane. Takie rozwiązanie ma m.in. tę zaletę, że przeciwdziała próbom obejścia przepisów ustawy poprzez przenoszenie danych z jednych nośników na drugie.
Zaznaczmy w tym miejscu, że definicję systemu informatycznego zawiera przepis art, 7 ust. 2a u.o.d.o.
Przepis art. 2 ust 2 był źródłem wątpliwości interpretacyjnych również w zakresie przetwarzania danych osobowych w systemach informa-tycznych. Zgodnie z pierwotnym brzmieniem tego przepisu, ustawa miała zastosowanie do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych. Problem sprowadzał się do odpowiedzi na pytanie, czy ustawę stosuje się w sytuacjach, gdy w systemach informatycznych przetwarzane są dane osobowe, które nie tworzą zbioru danych. Na gruncie komentowanego przepisu we wskazanym powyżej brzmieniu zaprezentowano wykładnię, iż przy przetwarzaniu danych osobowych w systemach informatycznych okolicznością irrelewantną jest istnienie zbioru danych. Innymi słowy: w systemach informatycznych w istocie przedmiotem ochrony stawałyby się poniekąd same dane osobowe (w literaturze polskiej ten pogląd wyraża A. Mednis). Takiej wykładni można bronić posługując się kilkoma argumentami.
Po pierwsze, brzmienie art. 2 ust. 2 wskazywałoby na to, że ustawodawca odmiennie traktuje przetwarzanie danych osobowych w systemach informatycznych, a odrębnie w kartotekach, skorowidzach, księgach/wykazach i w innych zbiorach ewidencyjnych. Tylko w tym drugim przypadku mamy do czynienia—jak już wyżej była mowa — z odniesieniem się do zbiorów danych.
Po drugie, „uchwytność” zbiorów danych w rozległych sieciach telein-formatycznych jest bardzo trudna. Rygorystyczne uzależnianie przewidzianej ustawą ochrony osób, których dane dotyczą, od wskazania zbioru czyniłoby bardzo często tę ochronę iluzoryczną.
Po trzecie, za proponowaną wykładnią przemawiała potrzeba zharmonizowania zakresu regulacji komentowanej ustawy z zakresem regulacji przytoczonej dyrektywy Unii Europejskiej. Ściśle bowiem rzecz ujmując można było dopatrzyć się w omawianym zakresie pewnego odstępstwa polskiej ustawy od rozwiązań zawartych w cytowanej dyrektywie (choć dopuszczalnego w świetle jej postanowień także dla krajów członkowskich Unii). Otóż, zgodnie z art 3 dyrektywy, stosuje się ją do wszystkich danych osobowych przetwarzanych w systemach informatycznych, natomiast tylko w przypadku przetwarzania danych osobowych bez wykorzystania środków automatycznych (jak to się niekiedy określa: „w sposób manualny”) dyrektywa znajduje zastosowanie o tyle, o ile istnieje zestawienie o cechach zbioru danych.
Jak się wydaje, trzeci ze wskazanych powyżej względów przesądził o nowelizacji komentowanego przepisu, która została dokonana ustawą z dnia 22 stycznia 2004 r. Zgodnie z nowym brzmieniem art. 2 ust 2 pkt 2 ustawę stosuje się do przetwarzania danych osobowych w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. Podobną regulację zawiera ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.), której art. 16 ust. 2 stanowi, iż „dane osobowe podlegają ochronie (…) w zakresie ich przetwarzania niezależnie od tego, czy jest ono dokonywane w zbiorach danych”. Tego rodzaju wyznaczenie zakresu stosowania przepisów o ochronie danych osobowych stanowi wyraz uwzględnienia specyfiki przetwarzania danych w sposób zautomatyzowany, co pociąga za sobą z jednej strony niezwykłą łatwość dokonywania różnego rodzaju operacji na danych osobowych, a z drugiej strony sprawia niekiedy trudności z ustaleniem istnienia zbioru danych.
8. Przyjęcie ogólnej zasady równouprawnienia różnych metod przetwarzania danych znalazło także swój wyraz w ujednoliceniu przepisów dotyczących zabezpieczenia danych. Wspomniana powyżej nowelizacja ustawy objęła swoim zasięgiem również przepisy, które pierwotnie odnosiły się do zabezpieczenia zbiorów danych, w tym także przepisy dotyczące jedynie przetwarzania danych w systemach informatycznych. Rozdział 5 po nowelizacji ma znacznie szerszy zakres, gdyż reguluje problematykę zabezpieczenia danych, a nie — jak do tej pory — jedynie zabezpieczenia zbiorów danych, co wydaje się szczególnie istotne w kontekście przetwarzania danych w systemach informatycznych. Ponadto w art. 36 nałożono na administratora obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych. Gdy chodzi o obowiązki, które pierwotnie adresowane były tylko do podmiotów przetwarzających dane w systemach informatycznych (określone w art. 37 i 38 u.o.d.o.), to wskutek nowelizacji objęto nimi również innych administratorów danych. Szczegółowe uwzględnienie specyfiki zautomatyzowanego przetwarzania danych ma odbywać się na płaszczyźnie przepisów wykonawczych. Ustawa zawiera delegację do wydania rozporządzenia przez ministra właściwego do spraw administracji, w porozumieniu z ministrem właściwym do spraw informatyzacji, które określi podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych (art. 39a). Por. też komentarz do art 36-39a.
9.Dla stosowania ustawy nie ma właściwie znaczenia cel (charakter) przetwarzania danych. Może być on zarówno komercyjny, zawodowy, handlowy, jak i niekomercyjny (np. przetwarzanie danych przez organizacje typu non profit itp.). Wyjątkami od tej zasady są sytuacje opisane w art. 3a ust. 1 pkt 1 (przetwarzanie danych osobowych przez osoby fizyczne wyłącznie w celach osobistych lub domowych), art. 3a ust. 1 pkt 2 (tzw. tranzyt danych przez terytorium Polski), art. 3a ust 2 (prasowa działalność dzienni karska, działalność literacka lub artystyczna) oraz w ust. 3 komentowanego artykułu. Nadto cel przetwarzania danych posiadać może znaczenie dla stosowania poszczególnych regulacji ustawowych (zob. np. art. 25 ust. 2 pkt 3;art. 26 ust. 2; art. 43 ust. 1 u.o.d.o.).
10.Przepis ust. 3 wprowadza istotne ograniczenie, jeśli chodzi o zakres stosowania uregulowań przewidzianych ustawą. Nie jest on jednak jasno sformułowany i dopuszcza w istocie dwie inożEwe interpretacje.
W myśl pierwszej, ustawa nie będzie znajdować zastosowania (poza przepisami rozdziału 5), jeśli zajdzie któraś, choćby jedna, spośród podanych okoliczności:
a)zbiór sporządzany jest doraźnie albo
b)zbiór powstaje wyłącznie ze względów technicznych (ćo występuje m.in.przy sterowanym programem komputerowym przetwarzaniu danych w systemach informatycznych czy telekomunikacyjnych), albo
c)zbiór sporządzany jest ze względów szkoleniowych {np. dotyczy osób uczestniczących w kursach, odbywających praktykę), albo
d) zbiór sporządzany jest w związku z prowadzoną dydaktyką w szkołach wyższych (obejmuje studiujących), a nadto dane zostaną niezwłocznie po ich wykorzystaniu usunięte albo poddane anonimizacji.
Druga interpretacja jest bardziej rygorystyczna. Przyjmuje, że poza za-kresem działania ustawy pozostają jedynie zbiory danych osobowych sporządzane doraźnie, które (nadto) powstały wyłącznie:
-ze względów technicznych albo
-ze względów szkoleniowych, albo
-w związku z dydaktyką w szkołach wyższych,
przy zastrzeżeniu, że dane te po ich wykorzystaniu będą niezwłocznie usunięte albo poddane anonimizacji. Spełnienie podanych warunków prowadzi do sytuacji, w której zagrożenie dla słusznych interesów osób, których dane dotyczą, ulega znacznemu zmniejszeniu.
Konsekwencje, do jakich prowadzą obie wykładnie, można krytykować. W przypadku pierwszej pojawia się obawa, a zarazem zarzut, iż wiele zbiorów danych osobowych, i to nawet danych wrażliwych, znajdzie się poza regulacją ustawową tylko dlatego, że można im przypisać (bliżej niezdefiniowany) „doraźny charakter”. Ten stan rzeczy niesie ze sobą niewątpliwie zagrożenie dla interesów osób, których dotyczą przetwarzane dane; Zastrzeżenia, jakie z kolei budzi druga interpretacja, wiążą się z przesadnym skrępowaniem rygorami ustawy (m.in. obowiązkiem rejestracji zbioru, obo-wiązkami informacyjnymi) doraźnego (incydentalnego, krótkotrwałego) posługiwania się danymi, nadto niezwłocznie po wykorzystaniu usuwanymilub anonimizowanymi, przy których to działaniach trudno dopatrzyć się czy to technicznego zdeterminowania, czy to celu szkoleniowego lub powiązania z dydaktyką w szkołach wyższych. Za przykład może posłużyć gromadzenie danych o uczestnikach wycieczki albo gromadzenie danych potrzebnych przy pisaniu pracy naukowej. Bardziej uzasadniona wydaje się — naszym zdaniem — druga spośród podanych interpretacji. Uważamy, że przesłanka „doraźności” nie ma charakteru samodzielnego; spełnienie tej przesłanki jest konieczne, niemniej wymaga uzupełnienia poprzez „względy” natury technicznej, szkoleniowej lub dydaktycznej.
11. Niezależnie od wskazanych w poprzednim punkcie komentarza rozbieżności interpretacyjnych powstają dalsze jeszcze trudności związane ze stosowaniem art. 2 ust 3, a w konsekwencji i z wyznaczeniem w sposób dokładny zakresu statuowanego wyłączenia. Mają one swe źródło w nieostrości użytych w tym przepisie określeń, takich chociażby, jak „doraźność”, „niezwłoczność”, a także „względy techniczne” czy „względy szkoleniowe”.
Nie jest również w pełni klarowne ratio legis wskazanego przepisu. Można by na przykład zastanawiać się, czy analizowanym wyłączeniem objęte są dane osobowe uczniów szkół podstawowych, średnich, zawodowych, a jeśli nie — to dlaczego. Na pewno nie wchodzi tu w rachubę przesłanka odwołująca się do „dydaktyki w szkołach wyższych”. Wobec braku uzasadnienia dla sytuacji, w której dane uczniów miałyby być poddane bardziej intensywnej ochronie niż dane studentów, należałoby być może skłonić się do tego, iż wchodzą tu w rachubę szeroko rozumiane „względy szkoleniowe”. Jeszcze trudniej przesłanką tą posłużyć się w odniesieniu do doraźnie sporządzanych zbiorów danych o uczestnikach różnorakich imprez (wycieczek, kolonii, konkursów, zawodów sportowych, turniejów itp.), aczkolwiek przecież i w tych przypadkach istnieją racje, nie mniejsze niż w przypadku studentów, ku temu, aby odejść od rygorów komentowanej ustawy.
Kłopoty związane z wyznaczeniem granic wyłączenia widać też na przykładzie propozycji, aby zakresem tym objąć przypadki rejestrowania w systemach informatycznych, przez tzw. biura przepustek, osób wchodzących do danego budynku publicznego (zob. G. Raszkowska, Wejście przez komputer, Rzeczpospolita z 6 października 1999 r.). Praktyka pokazuje, iż dane znajdujące się w takich zbiorach nie są bynajmniej niezwłocznie usuwane ani poddawane anonimizacji. A skoro tak, to — twierdzi się—powinny w pełni podlegać rygorom ustawy, łącznie z obowiązkiem ich rejestracji. Jednakże Generalny Inspektor Ochrony Danych Osobowych uznaje, że są to zbiory danych przetwarzanych w zakresie drobnych, bieżących spraw życia codziennego, a więc zbiory, których administratorzy, zgodnie z art. 41 ust. 1 pkt 11 u.o.d.o. zwolnieni są z obowiązku rejestracyjnego (por. m.in. Sprawozdanie z działalności Generalnego Inspektora Ochrony Danych Osobowych za okres 01.01.2001-S1.12.2001 r., druk sejmowy nr 322 z 8 marca 2002 r., s. 349).
Generalny Inspektor Ochrony Danych Osobowych uznaje, iż przy ocenie, czy zbiór danych ma charakter doraźny, „(…) konieczne jest odwołanie się do konkretnych okoliczności faktycznych towarzyszących przetwarzaniu danych przez konkretnego administratora, przetwarzającego je dla określonych, precyzyjnie wskazanych celów. Wykładni art. 2 ust. 3 nie można bowiem dokonywać w sposób abstrakcyjny, nie znając szczegółowo okoliczności przetwarzania danych w konkretnym przypadku. Nie ulega jednak wątpliwości, że istotną rolę w zakresie praktycznego rozumienia art. 2 ust. 3 odgrywa czynnik czasu, w ciągu którego są przetwarzane dane osobowe. Poza tym konieczne jest rozważenie celu (zadań), któremu służyć ma przetwarzanie danych w określonej strukturze. O ile pierwszy z tych czynników (czas) nie jest z oczywistych powodów ściśle, ustawowo określony (tzn. trudno o wskazanie ścisłych, czasowych granic zbioru doraźnego), o tyle pojęcie doraźności musi być uzależnione od celu przetwarzania danych w zbiorze. Jeżeli dane tworzące określoną strukturę służą realizacji zasadniczego, głównego celu przetwarzania, trudno uznać tę strukturę za zbiór doraźny. Nie zmienia tego okoliczność, że okres jej przetwarzania jest relatywnie krótki.” (pogląd wyrażony na oficjalnej stronie GIODO, w dziale Pytania i odpowiedzi, www.giodo.gov.pl).
12.Omawiane wyłączenie z art. 2 ust. 3 dotyczy zarówno „tradycyjnych” zbiorów danych, jaki zbiorów zautomatyzowanych, funkcjonującychw systemach informatycznych.
Wyłączenie nie rozciąga się jednak na przepisy rozdziału 5 ustawy: „Zabezpieczenie danych osobowych”. W rezultacie, nawet przy takich doraźnych zbiorach, administrator danych jest obowiązany:
a)zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, za braniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;
b)prowadzić dokumentację opisującą Sposób przetwarzania danych oraz podjęte środki zabezpieczające;
c)wyznaczyć administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności;
d)zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane;
e)prowadzić ewidencję osób upoważnionych do przetwarzaniu danych.
Poza tym:
a)do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych;
b)osoby upoważnione do przetwarzania danych obowiązane są do zachowania w tajemnicy danych i sposobów ich zabezpieczenia.
13.Ustawa nie wyróżnia, znanej niektórym zagranicznym porządkom prawnym, kategorii wewnętrznych zbiorów, kartotek (w prawie niemieckim określanych jako internę Dataien), przetwarzanych danych metodami tradycyjnymi (niezautomatyzowanymi), do których tylko w wąskim zakresie (głównie gdy chodzi o bezpieczeństwo danych) znajdowałyby zastosowanie przepisy aktu prawnego służącego ochronie danych osobowych. Chodzi tu o takie sytuacje, w których zebrane dane osobowe z natury rzeczy nie mają być przekazywane osobom trzecim, lecz są tylko wykorzystywane „wewnętrznie” (np. dane o wpłacanych przez pracowników składkach na fundusz socjalny czy do kasy zapomogowo-pożyczkowej; podobnie ocenić trzeba gromadzone w sekretariatach instytucji zbiory danych potrzebnych do prowadzenia działalności bieżącej).
Art. 3.1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1)podmiotów niepublicznych realizujących zadania publiczne,
2)osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
1. Przepis art. 3 wytycza zakres stosowania ustawy ód strony podmiotowej. Komentowany przepis uległ istotnym zmianom w wyniku nowelizacji dokonanej ustawą z dnia 22 stycznia 2004 r. Zakresem stosowania ustawy objęte są wszelkie podmioty dokonujące przetwarzania danych. Ustawa wymienia je w ust. 1 i 2 dzieląc na dwie grupy.
Do pierwszej zalicza podmioty publiczne, a to:
a)organy państwowe (organy władzy państwowej: Sejm, Senat, Prezydent oraz organy administracji rządowej);
b)organy samorządu terytorialnego;
c)inne państwowe i komunalne jednostki organizacyjne.
Podmioty te mogą decydować o celu przetwarzania danych osobowych w ramach zadań, jakie mają wykonywać zgodnie z przepisami prawa i które tymi przepisami zostały wyznaczone.
Z kolei drugą grupę tworzą podmioty prywatne:
a) podmioty niepubliczne realizujące zadania publiczne; do tej kategorii zaliczyć by można na przykład prywatne, zakłady opieki zdrowotnej, prywatne szkoły, przedszkola (warto wspomnieć, iż podmioty niepaństwowe realizujące zadania publiczne przed nowelizacją zaliczane były do grupy podmiotów publicznych);
b) osoby fizyczne;
c)osoby prawne inne niż te, które należą do grupy pierwszej (np. kapitałowe spółki prawa handlowego — spółki z o.o. i spółki akcyjne, stowarzyszenia, spółdzielnie, fundacje
d)jednostki organizacyjne niebędące osobami prawnymi (np. niemające osobowości prawnej spółki prawa handlowego).
Podmioty prywatne objęte są zakresem stosowania ustawy, j eżeli przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Wymogu tego ustawa nie odnosi do podmiotów niepublicznych realizujących zadania publiczne, jednakże — jak się wydaje — trudno byłoby wskazać podmioty niepubliczne, które realizują zadania niezwiązane z ich działalnością zarobkową, zawodową lub realizacją celów statutowych.
W rozróżnieniu na podmioty publiczne i prywatne dopatrzyć się można refleksu rozwiązań spotykanych w zagranicznych ustawodawstwach, gdzie problematykę przetwarzania danych osobowych ujmuje się odrębnie dla sektora publicznego i odrębnie dla sektora prywatnego (taknp. w ustawie niemieckiej). Przetwarzanie danych w każdym z tych sektorów poddawane jest innemu reżimowi prawnemu. Towarzyszą temu szczególne przepisy dotyczące przepływu danych pomiędzy wymienionymi sektorami.
Z łatwo widocznej, również w sferze przetwarzania danych osobowych, specyfiki obydwu sektorów ustawodawca polski—jak będzie można dostrzec w toku dalszych wywodów komentarza — nie wyprowadził jednak zasadniczych konsekwencji prawnych wyrażających się w istotnej odmienności regulacji prawnej. Rozróżnienie pomiędzy wspomnianymi sektorami, które w pierwotnym brzmieniu ustawy znajdowało swoje istotne odbicie w art. 23 ust. 1 pkt 5 (i w konsekwencji w art. 32 ust. 1 pkt 7-8) oraz w art. 29 u.o.d.o., utraciło częściowo swoje znaczenie wskutek nowelizacji wskazanych powyżej przepisów, dokonanej ustawą z dnia 22 stycznia 2004 r,
W obowiązującym obecnie stanie prawnym różnice w regulacji przetwarzania danych osobowych w sektorze publicznym i prywatnym dostrzec można jedynie w nielicznych przepisach ustawy (por. art. 7 pkt 6 lit. e; częściowo art. 25 ust. 2 pkt 5; art. 43 ust. 1 pkt 1, la, 2,2a, 6,7). Różnice w podejściu ustawodawcy do przetwarzania i ochrony danych osobowych znacznie dobitniej uwidaczniają się w tzw. regulacjach sektorowych, uwzględniających specyfikę różnych dziedzin działalności.
Zaznaczmy, iż szerokie ujęcie podmiotowego zakresu działania ustawy nakazuje stosować jej przepisy także m.in. do pracodawców i zbieranych przez nich danych osobowych na temat osób zatrudnionych oraz starających się o pracę. Prawny status pracodawcy nie ma przy tym znaczenia.
2. Obowiązujący do czasu wejścia w życie wspomnianej nowelizacji przepis art. 3 ust. 3 u.o.d.o. stanowił, że ustawa znajduje zastosowanie do podmiotów (zarówno publicznych, jak i prywatnych), które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej lub przetwarzają dane przy wykorzystaniu środków technicznych znajdujących się na tym terytorium. Dla stwierdzenia właściwości komentowanej ustawy wystarczyło więc wykazanie spełnienia jednej z wskazanych w tym przepisie przesłanek. W wyniku nowelizacji treść art. 3 uległa istotnym zmianom. Zgodnie z nowym brzmieniem art. 3 ust. 2 ustawę stosuje się do podmiotów prywatnych, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczpospolitej Polskiej. Wskazany powyżej przepis może być interpretowany w dwojaki sposób.
Według jednej z interpretacji, w przepisie tym ustawodawca wskazał dwie przestanki, które muszą być spełnione kumulatywnie: pierwszą z przesłanek jest siedziba lub miejsce zamieszkania, natomiast drugą przesłankę stanowi wykorzystywanie przy przetwarzaniu danych środków technicznych znajdujących się na terytorium RP. Innymi słowy: dla stwierdzenia właściwości ustawy nie wystarczyłoby, aby podmiot przetwarzający dane miał siedzibę w Polsce (lub w kraju trzecim), ale trzeba byłoby jeszcze wykazać, że podmiot ten przetwarza dane osobowe korzystając ze środków technicznych znajdujących się w naszym kraju. Do takiego wniosku prowadzić może wykładnia językowa komentowanego przepisu. Taka wykładnia jest jednak—naszym zdaniem — niewłaściwa, gdyż stoi w jawnej sprzeczności z przepisem art. 4 dyrektywy 95/46/WE. Jako ogólną zasadę art. 4 ust. 1 lit. a) dyrektywy przyjmuje kryterium „przetwarzania danych w kontekście prowadzenia przez administratora działalności gospodarczej na terytorium państwa członkowskiego” („the processing is carried out in the context of the acn”vities of an establishment of the controller on the territory of the Member State”). Z punktu widzenia dyrektywy decydujące znaczenie ma miejsce prowadzenia działalności, natomiast fakt wykorzystywania środków technicznych znajdujących się na terytorium państwa członkowskiego jest istotny tylko w odniesieniu do podmiotów, które nie prowadzą działalności gospodarczej na terytorium
Wspólnoty, a jedynie wykorzystują środki znajdujące się na terytorium państwa członkowskiego (por. art. 4 ust. 1 lit. c) dyrektywy). Dlatego też wymóg przetwarzania danych osobowych przy wykorzystaniu środków technicznych, które znajdują się na terytorium naszego kraju, w stosunku do pod-miotów mających siedzibę w Polsce budzić może uzasadnione wątpliwości. Ponadto przyjęcie takiej wykładni prowadziłoby do znacznego i w dużej o mierze nieuzasadnionego ograniczenia zakresu stosowania przepisów ustawy. Warto w tym miejscu wspomnieć, iż głównym celem nowelizacji dokonanej dnia 22 stycznia 2004 r. było właśnie dostosowanie ustawy do standardów dyrektywy 95/46/WE (por. Uzasadnienie projektu ustawy o zmianie ustawy o ochronie danych osobowych, druk sejmowy nr 2120 z 16 października 2003 r, s. 1), trudno byłoby więc bronić interpretacji, która byłaby niezgodna z implementowaną dyrektywą.
3. Ze wskazanych powyżej względów uważamy, że należy opowiedzieć się za interpretacją, według której ustawa znajduje zastosowanie do dwóch grup podmiotów prywatnych, przetwarzających dane w związku z działalnością zarobkową, zawodową lub realizacją celów statutowych:
1)podmiotów, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej;
2)podmiotów, które mają siedzibę albo miejsce zamieszkania w państwietrzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
W odniesieniu do pierwszej z grup podmiotów przesłanka siedziby lub miejsca zamieszkania jest przesłanką wystarczającą, nie ma — naszym zdaniem —. potrzeby wykazywania, iż podmioty te przetwarzają dane przy wykorzystaniu środków znajdujących się na terytorium RP Natomiast w przypadku podmiotów z drugiej grupy konieczne jest łączne spełnienie obu wskazanych w art. 3 ust. 2 przesłanek. Wskazana tu interpretacja pozo
staje w zgodności z dyrektywą 95/46/WE.
Okolicznością nieistotną, jeśli chodzi o stosowanie polskiej ustawy, jest „lokalizacja zbioru danych”. Kryterium to lansowane było w początkowych etapach prac nad dyrektywą UE, później zostało zarzucone przede wszystkim z powodu nieadekwatności do warunków komunikacji cyfrowej. Podobnie za nietrafne uznano zasadniczo kryterium „miejsca przetwarzania danych”. Trudno nie zauważyć, że przesłanie danych drogą sieci komputerowej (np. poprzez internet) prowadzi do tego, iż w ramach tej jednej operacji następuje wiele (można powiedzieć podporządkowanych) aktów przetwarzania tych danych. Mamy na myśli choćby zdeterminowane warunkami technicznymi pośrednie zapisy danych, niekiedy też swoiste ich przetwarzanie.
4. Podstawową przesłanką, o której mowa w art. 3 ust. 2 pkt 2, jest kryterium siedziby lub miejsca zamieszkania. Jeżeli ustawa lub oparty na niej statut nie stanowi inaczej, siedzibą osoby prawnej jest miejscowość, w której ma siedzibę jej organ zarządzający — art. 41 k.c; z kolei miejscem zamieszkania osoby fizycznej jest miejscowość, w której osoba ta przebywa z zamiarem stałego pobytu — art. 25 k.c. Brzmienie przepisu art. 3 ust. 2 u.o.d.o. nie przesądza jednak o tym, czy wystarczająca jest „jakakolwiek siedziba”, czy też (jak to się niekiedy przyjmuje na gruncie innych ustaw) znaczenie ma tylko siedziba „poważna”. Doniosłe znaczenie przy interpretacji tego pojęcia ma niewątpliwie specjalna definicja siedziby zawarta w preambule dyrektywy (pkt 19), umożliwiająca objęcie jej działaniem szerokiego kręgu podmiotów. Zasadniczym kryterium pozwalającym oznaczyć siedzibę jest—według dyrektywy — miejsce, gdzie występuje efektywne i rzeczywiste wykonywanie określonej działalności w sposób stały; nie ma natomiast decydującego znaczenia status prawny tego rodzaju działalności, a więc to, czy jest ona prowadzona przez jednostkę podporządkowaną, przez oddział czy filię posiadającą osobowość prawną.
5. Pod pojęciem „państwo trzecie” rozumie się państwo nienależące do Europejskiego Obszaru Gospodarczego (do EOG należą państwa członkowskie Unii Europejskiej oraz Norwegia, Islandia i Lichtenstein; szerzej na ten temat por. pkt 37 komentarza do art. 7). W odniesieniu do tych podmiotów ustawa przewiduje konieczność spełnienia dodatkowej przesłanki: przetwarzania danych osobowych przy wykorzystaniu środków technicznych, które znajdują się na terytorium RP, Ustawa nie precyzuje, o jakie środki techniczne chodzi, dlatego pojęcie to należy interpretować szeroko, jako różnego rodzaju środki (zarówno tradycyjne, jak też elektroniczne), które służą do przetwarzania danych, leżeli warunek ten nie jest spełniony, brak pod staw do stwierdzenia właściwości ustawy polskiej, nawet jeśli przetwarzane dane dotyczą obywateli polskich. Ustawa nie przesądza także, czy na terenie RP znajdować się muszą wszystkie, czy wystarczy, że tylko niektóre, środki techniczne wykorzystywane przy przetwarzaniu danych; opowiedzenie się za pierwszą spośród tych możliwości wydaje się dyskusyjne; w dobie global’ nych, ponadkraj owych sieci informatycznych bardzo łatwo byłoby włączyć do procesu przetwarzania danych środki techniczne (np. serwery) zlokalizowane na terytorium innego kraju po to tylko, aby uwolnić się od podporządkowania polskiej ustawie, niemniej, z drugiej strony, nie powinien o właściwości polskiej ustawy przesądzać fakt, iż na terytorium kraju znajdują się środki techniczne wyłącznie „transmisyjne”, przy wykorzystaniu których dane są jedynie przesyłane.
Objęcie zakresem stosowania polskiej ustawy podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, jeżeli podmioty te przetwarzają dane przy wykorzystaniu środków technicznych znajdujących się na terytorium RP, stanowi implementację normy wyrażonej w art 4 ust. 1 lit. c) dyrektywy 95/46/WE. Stosowanie polskiej regulacji prawnej (podobnie jak regulacji krajowych w państwach członkowskich UE) w tej sytuacji uzasadnione jest tym, że państwa trzecie mogą nie posiadać regulacji prawnych gwarantujących adekwatny poziom ochrony i poddanie przetwarzania danych regulacjom obowiązującym w tych państwach (jeżeli w ogóle konkretne państwo taką regulację posiada) mogłoby spowodować obniżenie poziomu ochrony danych osobowych. Dodatkowo dyrektywa stanowi, iż powinny istnieć gwarancje, zapewniające przestrzeganie w praktyce praw i obowiązków odnoszących się do przetwarzania danych. Realizacji tego postulatu służyć ma nałożony na administratora danych obowiązek wyznaczenia swojego przedstawiciela w naszym kraju, w przypadku gdy dane przetwarzane są przez podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim (por. na ten temat komentarz do art. 31a).
Ustawa nie ma jednak zastosowania do tzw. tranzytu danych przez terytorium Polski dokonywanego przez podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim. Szerzej na ten temat por. komentarz
do art. 3a ust. 1 pkt 2.
6. W praktyce może powstać wątpliwość, czy ustawa znajduje zastosowanie do podmiotów zagranicznych z państw należących do Europejskiego Obszaru Gospodarczego, w przypadku gdy podmioty te prowadzą działalność na terytorium kilku państw (w tym także w Polsce). W tej sytuacji istotne jest to, gdzie znajduje się siedziba (miejsce zamieszkania) danego podmiotu; Jak już wcześniej wskazywaliśmy, dyrektywa nakazuje interpretować pojęcie siedziby jako miejsce, gdzie występuje efektywne i rzeczywiste wykonywanie określonej działalności w sposób stały. Przy wykładni tego pojęcia nie ma decydującego znaczenia status prawny tego rodzaju działalności, a więc to, czy jest ona prowadzona przez jednostkę podporządkowaną, przez oddział czy filię posiadającą osobowość prawną. Ponadto art. 4 ust. 1 lit. a) dyrektywy stanowi, że jeżeli ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku państw członkowskich, musi on podjąć niezbędne działania, aby zapewnić, że każda z tych firm wywiązuje się z obowiązków ustalonych przez stosowane prawo krajowe.
Problematykę prowadzenia działalności gospodarczej w naszym kraju przez przedsiębiorców zagranicznych reguluje ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. Nr 137, poz. 1807 z późn. zm.). Typowymi formami prowadzenia działalności przez przedsiębiorców zagranicznych (podmioty mające siedzibę lub miejsce zamieszkania za granicą i wykonujące działalność za granicą) w Polsce są oddziały i przedstawicielstwa. Zgodnie z art 5 pkt 4 u.s.d.g. oddział stanowi wyodrębnioną i samodzielną organizacyjnie część działalności gospodarczej, wykonywaną przez przedsiębiorcę poza siedzibą przedsiębiorcy lub głównym miejscem wykonywania działalności. Dla wykonywania działalności gospodarczej na terytorium Rzeczypospolitej Polskiej przedsiębiorcy zagraniczni mogą tworzyć oddziały z siedzibą na terytorium Rzeczypospolitej Polskiej (art. 85 u.s.d.g.). Oddział może prowadzić działalność gospodarczą wyłącznie w zakresie przedmiotu działalności przedsiębiorcy zagranicznego (art. 86 u.s.d.g.). Przedsiębiorca zagraniczny może także utworzyć przedstawicielstwo z siedzibą na terytorium Rzeczypospolitej Polskiej (art. 93 u.s.d.g.), przy czym zakres działania przedstawicielstwa jest znacznie węższy, niż zakres działania oddziału, gdyż, zgodnie z art. 94 u.s.d.g., może obejmować wyłącznie prowadzenie działalności w zakresie reklamy i promocji przedsiębiorcy zagranicznego lub promocji i reklamy gospodarki kraju siedziby osób zagranicznych, które utworzyły przedstawicielstwo (art. 95 u.s.d.g.). Przepisy odnoszące się do działalności gospodarczej nakładają na podmioty prowadzące działalność w formie oddziału i przedstawicielstwa wiele obowiązków (szerzej na ten temat por. M. Zdyb, Działalność gospodarcza i publiczne prawo gospodarcze, Zakamycze 2002, s. 99 i n.). Z przytoczonych powyżej przepisów wynika, że zarówno oddziały, jak i przedstawicielstwa przedsiębiorców zagranicznych maj ą swoją siedzibę w Polsce. Tak więc przedsiębiorcy zagraniczni (z państw należących do EOG) prowadzący w naszym kraju działalność gospodarczą w formie oddziałów lub przedstawicielstw podlegają przepisom ustawy o ochronie danych osobowych.
Dodajmy, iż nie powoduje wyłączenia stosowania przepisów ustawy okoliczność, że podmiot wymieniony w art. 3 ust. 2, który ma na terytorium Rzeczypospolitej Polskiej swą siedzibę albo miejsce zamieszkania, zleci przetwarzanie danych osobowych instytucji zlokalizowanej poza granicami naszego kraju. Ustawa nie znajduje zastosowania do podmiotów, które mają siedzibę lub miejsce zamieszkania w państwie należącym do EOG (poza obszarem Polski, a w naszym kraju nie mają oddziału ani przedstawicielstwa) i przetwarzają dane w kontekście prowadzonej w tym państwie działalności, na
wet wówczas, gdy podmioty te będą przetwarzać te dane przy wykorzystaniu środków technicznych znajdujących się w Polsce. W tym przypadku prawem właściwym będzie prawo obowiązujące w państwie, w którym siedzibę ma administrator danych. Wynika to z przyjęcia założenia, które przewiduje art. 4 dyrektywy, a które znajduje potwierdzenie w większości regulacji prawnych obowiązujących w państwach należących do Europejskiego Obszaru Gospodarczego, iż zasadniczo decydujące znaczenie dla wskazania prawa właściwego ma faktyczne miejsce prowadzenia działalności, z którą wiąże się przetwarzanie danych osobowych, a nie miejsce, w którym ulokowane są środki techniczne służące przetwarzaniu danych.
7. Warto wspomnieć, iż możliwa jest — choć naszym zdaniem nietrafna — odmienna interpretacja komentowanego przepisu, zgodnie z którą w przypadku, gdy przedsiębiorca zagraniczny (z kraju należącego do EOG) prowadzi działalność w Polsce w formie oddziału lub przedstawicielstwa, nie podlega on przepisom polskiej ustawy, a przepisom obowiązującym w tym państwie, w którym siedzibę ma zakład główny tego przedsiębiorcy. Argumentem przemawiającym za taką interpretacją jest fakt, iż zazwyczaj siedzibą ; administratora (podmiotu, który decyduje o celach i środkach przetwarzaniadanych) jest siedziba zakładu głównego. Jednakże przeciwko takiej wykładni przemawia to, iż dyrektywa łączy kwestie prawa właściwego z miejscem,gdzie faktycznie wykonywana jest działalność, w związku z którą dane osobowe są przetwarzane, natomiast okoliczność, czy działalność ta jest prowadzona przez jednostkę podporządkowaną, przez oddział czy filię, a także kwestia posiadania przez ten podmiot osobowości prawnej nie są tu decydujące. Za odrzuceniem interpretacji nieuznającej w omawianym przypadku właściwości polskiej ustawy przemawiają także konsekwencje, jakie poda gałoby za sobą przyjęcie takiego stanowiska. Stwierdzenie, że polska ustawa nie miałaby w omawianym przypadku zastosowania, spowodowałoby m.in; wyłączenie możliwości kontroli takiej działalności przez Generalnego Inspektora Ochrony Danych Osobowych, a także istotne ograniczenie praw osób, których dane dotyczą (z uwagi na to, iż dochodzenie swoich praw przez te osoby u podmiotów mających siedzibę za granicą byłoby znacznie utrudnione i zazwyczaj uciążliwe). Za nietrafny należy także uznać zarzut poddania omawianej działalności regulacji dwóch ustaw (polskiej i obcej), jako że do działalności wykonywanej przez podmioty mające siedzibę w naszym kraju . (oddziały i przedstawicielstwa) mają zastosowanie przepisy prawa polskiego, natomiast podobne przepisy (uznające właściwość prawa krajowego w odniesieniu do podmiotów mających siedzibę w tych krajach) obowiązują także że w innych państwach Unii Europejskiej.
W piśmiennictwie zaprezentowany został pogląd, zgodnie z którym obecna redakcja komentowanego przepisu oznacza, iż ustawę stosuje się do administratorów z UE (EOG) tylko wtedy, gdy prowadzą oni działalność na terytorium Polski poprzez zależną osobę prawną, posiadającą u nas siedzibę, natomiast w razie prowadzenia w naszym kraju działalności w fonnie oddziału czy przedstawicielstwa u.o.d.o. nie ma zastosowania (por. X. Konarski, G. Sibiga, Przepisy trzeba poprawić, Rzeczpospolita z 26 listopada 2004 r., nr 177). Odmienne stanowisko w tej kwestii zaprezentował J. Trekla (Unijny administrator odpowiada inaczej. Rzeczpospolita z 23 grudnia 2004 r., nr 301), zdaniem którego każdy organ, jednostka organizacyjna, podmiot lub osoba, choćby na gruncie prawa cywilnego miała miejsce zamieszkania lub siedzibę w kraju EEA, podlega ustawie, jeśli tylko przetwarza dane w związku z prowadzoną w naszym kraju działalnością zarobkową, zawodową lub dla realizacji celów statutowych oraz decyduje o celach i środkach tego przetwarzania. Wynika to stąd, iż dla podmiotowości administracyjnoprawnej (możności uznania za administratora danych) kwestia osobowości prawnej jest nieistotna.
8. Należy przy tym dodać, iż jednym z podstawowych celów dyrektywy 95/46/WE jest wyrównanie poziomu ochrony danych osobowych w państwach członkowskich Unii Europejskiej po to, aby umożliwić swobodny przepływ danych na obszarze wspólnego rynku. Istotnym instrumentem służącym realizacji tego celu są reguły dotyczące prawa właściwego, zawarte w art. 4 dyrektywy, Z założenia mają one pozwolić uniknąć konfliktów w zakresie stosowania prawa krajowego (tzn. sytuacji, w których albo właściwe są dwie ustawy różnych państw, albo nie jest właściwe żadne prawo krajowe).
9. W odniesieniu do stosowania zamieszczonych w komentowanej ustawie przepisów karnych i wynikających z niej odpowiedzialności zastosowanie zachowuje podstawowa zasada terytorialności wyrażona w art. 5 k.k Zgodnie z nią przepisy te będą znajdowały zastosowanie do sprawcy, który popełnił czyn zabroniony na terytorium Rzeczypospolitej Polskiej, jak również na polskim statku wodnym lub powietrznym, chyba że umowa między-narodowa, której Rzeczpospolita jest stroną, stanowi inaczej. Jak przy tym wyjaśnia art. 6 § 2 kk: „Czyn zabroniony uważa się za popełniony w miejscu, w którym sprawca działał lub zaniechał działania, do którego był obowiązany, albo gdzie skutek stanowiący znamię czynu zabronionego nastąpił lub według zamiaru sprawcy miał nastąpić”.
Art. 3a. 1. Ustawy nie stosuje się do:
1)osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych
2)podmiotów mających siedzibę lub miejsce zamieszkania w państwietrzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.
2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. — Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn; zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
1.Przepis art 3a dodany został do ustawy w wyniku nowelizacji z dnia 22 stycznia 2004 r. W komentowanym przepisie zawarto wyłączenia z zakresu stosowania ustawy, przy czym pierwsze z wyłączeń odpowiada wyłączeniu, które pierwotnie określone było w art. 3 ust. 4 u.o.d.o., natomiast pozostałe wyłączenia stanowią istotne novum w omawianej ustawie.
2.Poza regulacją ustawową postawiono przetwarzanie danych przez osoby fizyczne, dokonywane wyłącznie w celach osobistych lub domowych najbardziej typowe przykłady to: gromadzenie danych w osobistych notatnikach, notebookach, domowych komputerach.
Jeżeli te warunki dotyczące celu przetwarzania danych są spełnione, to nie ma istotnego znaczenia, czy zbieranie, przetwarzanie dokonywane jest „osobiście” czy przez inną osobę. Nie ma również znaczenia sposób pozyskania danych, jak i ich rodzaj: na przykład czy są to dane sensytywne.
Trzeba się j ednak liczyć z tym, iż w konkretnych przypadkach powstać mogą wątpliwości:
a)czy dana działalność mieści się jeszcze w granicach „celów osobistych lub domowych”, czy też już poza nie wykracza (zresztą i rozgraniczenie między celami osobistymi i celami domowymi nie wydaje się łatwe, o ile w ogóle możliwe);
b)jak traktować przetwarzanie danych, które służy nie tylko celom osobistym czy domowym.
Powstaje na przykład problem kwalifikowania zbiorów danych gromadzonych i wykorzystywanych dla własnej (indywidualnej) działalności, która może mieć pewną komercyjną wartość (np. w przypadku kolekcjonerów). Choć z reguły cel osobisty jest równoznaczny z działaniem nieprzyno-szącym jakichkolwiek korzyści majątkowych, to jednak nie można takiej zależności traktować jako niewzruszalnej reguły. Nie jest tak, aby jakikolwiek, nawet pośrednio osiągany dochód w związku z przetwarzaniem danych przez osobę fizyczną oznaczał, że w żadnej mierze nie można już mówić o celach osobistych lub domowych i od razu należy przestrzegać wszelkich ograniczeń i rygorów przewidzianych ustawą.
Zastrzeżenia, iż wyłączenie dotyczy jedynie przetwarzania danych „przez osoby fizyczne” oraz „w celach osobistych i domowych” nie pozwalają poza zakresem stosowania ustawy postawić przetwarzania danych przez przedsiębiorstwa, spółki, rozmaite jednostki organizacyjne, w tym nawet prowadzone przez niewielkie związki osób fizycznych, korporacje, stowarzyszenia, kluby, a także — oczywiście — inne organizacje lub osoby prawne. Nie mogą się one „uwolnić” od regulacji przewidzianej ustawą, powołując się na to, że dokonywane przez nie przetwarzanie danych służy wyłącznie własnym potrzebom, celom wewnętrznym, swoistym „celom osobistym” (użytkowi osobistemu).
3.Naszym zdaniem dopuszczalna jest interpretacja oraz stosowanie wyjątku, jaki wprowadza art 3a ust. 1 pkt 1, w sposób nieco szerszy niż tylko do zbiorów znajdujących się „w dyspozycji jednostkowej”; sprzyja temu m.in.
okoliczność, że przepis ten posługuje się liczbą mnogą (stanowi o „osobach fizycznych”). Cel (użytek) osobisty można ujmować tak, jak czyni to art. 23 ust. 2 ustawy o prawie autorskim i prawach pokrewnych, który stwierdza, że „zakres własnego użytku osobistego obejmuje krąg osób pozostających w związku osobistym, w szczególności pokrewieństwa, powinowactwa lub stosunku towarzyskiego”. Akceptacja takiego punktu widzenia otwierałaby możliwość „oderwania” od rygorów ustawowych zbiorów danych osobowych istniejących, tworzonych i wykorzystywanych w rodzinach lub w niewielkich zespołach ludzi, pomiędzy którymi występuje towarzyska zażyłość.
4.Rozwiązanie analogiczne do tego, jakie przyjął polski ustawodawca, znajdujemy też w dyrektywie Unii Europejskiej, która stawia poza prawną regulacją przetwarzanie danych prowadzone przez osobę fizyczną, a podejmowane wyłącznie dla wykonywania działalności osobistej lub rodzinnej. Wypada jednak zaznaczyć, iż w toku prac nad dyrektywą proponowany był, ostatecznie odrzucony, o wiele większy zakres wyłączeń, obejmujący przetwarzanie m.in
a) w ramach statutowej działalności i na potrzeby członków stowarzyszeń politycznych, filozoficznych, religijnych, kulturalnych, zawodowych czy sportowych
b)przez prasę, agencje fotograficzne, przedsiębiorstwa filmowe, stacje radiowe i telewizyjne, dziennikarzy, redaktorów radiowych i telewizyjnych, wydawców — o ile służy to jedynie celowi publicznej informacji a cel ten nie koliduje z prawem jednostki do ochrony prywatności;
c)przez archiwa;
d)do celów obliczania zapłaty i wynagrodzenia,
5.Jak wspomnieliśmy już wcześniej (por. pkt 5 komentarza do art. 3 ust. 2), ustawy nie stosuje się do tzw. transferu (tranzytu) danych przez terytorium Polski dokonywanego przez podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim. Warunkiem wyłączenia stosowania polskich przepisów jest to, aby środki techniczne znajdujące się na terytorium RP były wykorzystywane wyłącznie do przekazywania danych. Wyłączenie to odpowiada regule określonej w art. 4 ust. 1 lit. c) in fine dyrektywy 95/46/WE. Chodzi tu o przekaz danych bez ingerowania w treść przekazywanych informacji. Omawiane wyłączenie nie obejmuje sytuacji, w których przekazywane przez terytorium naszego kraju dane podlegają w trakcie przekazu jakimkolwiek modyfikacjom czy też są w jakikolwiek sposób wykorzystywane.
6.Wyłączenia określone w art. 3a ust. 2 dotyczą prasowej działalności dziennikarskiej, działalności literackiej oraz działalności artystycznej. Komentowany przepis stanowi implementację art. 9 dyrektywy 95/46/WE Wyłączenie stosowania większości przepisów ustawy uzasadnione jest koniecznością pogodzenia prawa do ochrony danych osobowych z wolnością wyrażania poglądów oraz pozyskiwania i rozpowszechniania informacji, gwarantowaną w art. 54 Konstytucji oraz wolnością twórczości artystycznej którą gwarantuje art. 73 ustawy zasadniczej. W pierwotnym tekście ustawy o ochronie danych osobowych nie prze-widziano stosownych wyłączeń, dlatego też podmioty wykonujące działalność prasową, literacką i artystyczną zobowiązane były stosować wszystkie przepisy ustawy. Pociągnęło to za sobą istotne utrudnienia zwłaszcza w działalności mediów. Problemy powstające na tym obszarze próbowano łagodzić w drodze odpowiedniej wykładni ustawy, jednak nawet najbardziej liberalna interpretacja przepisów nie pozwalała na pełne uwzględnienie specyfiki przetwarzania danych w omawianym zakresie działalności. Potrzeba dokonania zmian była powszechnie akceptowana i nie budziła wątpliwości Istotnym argumentem, przemawiającym także za dokonaniem nowelizacji, był uzasadniony zarzut sprzeczności polskiej ustawy w omawianym zakresie z dyrektywą 95/46/WE.
7. W wyniku nowelizacji z dnia 22 stycznia 2004 r. wyłączono z zakresu stosowania ustawy prasową działalność dziennikarską (w rozumieniu ustawy z dnia 26 stycznia 1984 r. — Prawo prasowe) oraz działalność literacką, a także działalność artystyczną. Wyłączenie to nie ma jednak charakteru absolutnego, ponieważ nie obejmuj e przepisów dotyczących kontroli przetwarzania danych sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych (por. komentarz do art. 14-19), a także obowiązku zastosowania środków technicznych i organizacyjnych w celu zapewnienia ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną (por. komentarz do art. 36 ust. 1).
Nasuwa się w związku z tym wątpliwość, jaki jest zakres kontroli sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych w odniesieniu do podmiotów objętych wyłączeniem z art, 3a ust 2. Prima facie można odnieść wrażenie, że zakres kontroli GIODO obejmuje tylko sprawdzanie wywiązywania się tych podmiotów z obowiązku zabezpieczenia danych, określonego art. 36 ust. 1 ustawy, jako że poza przepisami o kontroli wyłączenie nie obejmuje tylko tego jednego przepisu. Wydaje nam się jednak, że zakres kontroli GIODO j est w tym przypadku znacznie szerszy i obejmuje wszelkie kwestie związane z kontrolą zgodności przetwarzania danych z przepisami o ochronie danych (co wynika z art. 12 u.o.d.o.). Wykładnię taką uzasadnia również fakt, iż podmioty objęte wyłączeniem z art. 3a ust. 2 bardzo często przetwarzają dane także w innym zakresie, którego nie dotyczy omawiane tu wyłączenie (np. redakcje prasowe przetwarzają dane w związku z prenumeratą czasopism). Generalny Inspektor niewątpliwie ma uprawnienia do badania, w jakim zakresie i w jakim celu dane są przetwarzane oraz czy następuje to zgodnie z prawem.
W piśmiennictwie przedmiotu zaprezentowany został pogląd, w myśl którego z uwagi na to, że realizacja uprawnień przewidzianych w art. 14-19 u.o.d.o. może pociągnąć za sobą naruszenie tajemnicy dziennikarskiej, przepisy te nie powinny być stosowane (M. Sakowska, A. Młynarska-Sobaczew-ska, „Klauzula prasowa” z ustawy o ochronie danych osobowych jako gwarancja wolności wypowiedzi, PiP 2005, nr 1, s. 74). Stanowisko takie jest jednak—naszym zdaniem — zbyt daleko idące.
8. Pierwszy zakres wyłączeń przewidzianych w komentowanym artykule dotyczy prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. — Prawo prasowe (Dz. U- Nr 5, poz. 24 z późn. zm.). W związku z szerokim ujęciem prasy wyłączenie stosowania przepisów ustawy o ochronie danych osobowych odnosi się do rozległego obszaru obejmującego publikacje periodyczne, które nie tworzą zamkniętej, jednorodnej całości, ukazujące się nie rzadziej niż raz do roku, opatrzone stałym tytułem albo nazwą, numerem bieżącym i datą, a w szczególności: dzienniki i czasopisma, serwisy agencyjne, stałe przekazy teleksowe, biuletyny, programy radiowe i telewizyjne oraz kroniki filmowe; prasą są także wszelkie istniejące i powstające w wyniku postępu technicznego środki masowego przekazywania, w tym także rozgłośnie oraz tele- i radiowęzły zakładowe, upowszechniające publikacje periodyczne za pomocą druku, wizji, fonii lub innej techniki rozpowszechniania; prasa obejmuje również zespoły ludzi i poszczególne osoby zajmujące się działalnością dziennikarską (art. 7 ust. 2 pkt 1 pr. pras.). Wyłączenie to odnosi się więc do różnego rodzaju mediów (w tym do prasy w potocznym tego słowa znaczeniu, ale także do radia i telewizji) i określane jest niekiedy mianem tzw. przywileju dziennikarskie go. Ustawy o ochronie danych osobowych nie stosuje się więc do zbierania opracowywania i przygotowywania, a także publikacji materiałów w prasie. Podstawę prawną działalności dziennikarskiej stanowią przepisy prawa prasowego. Omawiane wyłączenie dotyczy jedynie działalności dziennikarskiej, natomiast nie obejmuj e innych rodzaj ów działalności mediów (m.in. działalności wydawniczej, marketingowej itp.).Szerzej na temat przetwarzania danych osobowych w działalności mediów por. część EM Wstępu, zwłaszcza pkt 5-13.
9. Kolejne wyłączenie dotyczy działalności literackiej. Ustawa nie definiuje pojęcia „działalność literacka”, nie odsyła również do innych przepisów w tym zakresie, dlatego też przy dokonywaniu wykładni komentowanego przepisu należy przyjąć, iż chodzi tu o powszechne rozumienie tego określenia. W zakresie działalności literackiej mieści się niewątpliwie stworzenie utworu literackiego (np. napisanie powieści). Ustawa nie ma zastosowania do gromadzenia, przechowywania i wykorzystywania danych, które pozostają w ścisłym związku z procesem tworzenia utworów literackich. Wyłączenie dotyczące działalność literackiej odnosi się jedynie do autora oraz do procesu tworzenia utworu literackiego, natomiast nie obejmuje swoim zakresem działalności wydawniczej. Jeżeli wydawca przetwarza w związku z procesem wydawniczym dane osobowe (np. dane o autorach), obowiązany jest w tym zakresie stosować ustawę o ochronie danych osobowych. Omawiane wyłączenie nie dotyczy także działalności polegającej na sprzedaży zwielokrotnionych egzemplarzy utworów literackich (np. sprzedaży książek przez wydawnictwa, księgarnie itp.). Wyłączenie stosowania przepisów komentowanej ustawy uzasadnione jest potrzebą zapewnienia wolności wyrażania poglądów oraz wolności twórczości artystycznej. Do istotnych cech działalności literackiej należy przedstawianie poglądów i opinii autora, a niekiedy również nadawanie im wyrazu artystycznego. Mając to na uwadze należy stwierdzić, iż nie stanowi działalności literackiej opracowywanie różnego rodzaju informatorów, skorowidzów, spisów, wykazów oraz ich publikacja (niezależnie od formy), a także tworzenie różnego rodzaju baz danych. Tego rodzaju działalności nie sposób określić mianem działalności literackiej, dlatego też w tym zakresie przepisy ustawy o ochronie danych osobowych mają pełne zastosowanie. Me stoi temu na przeszkodzie możliwość uznania takich zbiorów za utwory w rozumieniu prawa autorskiego i objęcia ich prawnoautorską ochroną. Możliwa jest także—choć naszym zdaniem nietrafna—odmienna interpretacja pojęcia „działalność literacka” obejmująca zakresem omawianego wyłączenia wszelkie formy opracowań pisemnych przeznaczonych do publikacji książkowej. Taka wykładnia stanowiłaby zbytnie rozszerzenie zakresu wyłączenia stosowania ustawy, nieznajdujące uzasadnienia w celu wprowadzenia komentowanego przepisu.
10.Ostatnie z wyłączeń stosowania ustawy odnosi się do działalności artystycznej. Podobnie jak w przypadku działalności literackiej, także w odniesieniu do działalności artystycznej ustawa nie zawiera definicji ani odesłania do innych przepisów. Opierając się na wykładni językowej można przyjąć, że chodzi tu o działalność twórczą związaną z szeroko pojętą sztuką (plastyczną, muzyczną, teatralną, telewizyjną, filmową itp.). Zakres tego wyłączenia jest niezwykle pojemny i obejmuje działalność różnego rodzaju twórców (np. malarzy, rzeźbiarzy) i wykonawców (np. piosenkarzy, aktorów). Ustawa nie zawiera wymogu wykonywania działalności artystycznej w sposób profesjonalny, dlatego należy przyjąć/iż wyłączenie to odnosi się również do różnego rodzaju działalności amatorskiej (np. wykonywanej przez tzw. twórców ludowych, amatorskie zespoły artystyczne).
11.Poważne wątpliwości i zastrzeżenia budzi sformułowanie zawarte w końcowej części komentowanego przepisu. Artykuł 3a ust. 2 in fine stanowi, iż „Ustawy (…) nie stosuje się (…), chyba że wolność wyrażania swoichpoglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.” Literalna wykładnia komentowanego przepisu prowadzi do wniosku, że w przypadku gdy wolność wyrażania poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą, wyłączenie z art. 3a ust. 2 nie obowiązuj e, a więc zastosowanie mają wszystkie przepisy ustawy o ochronie danych osobowych. W praktyce jednak we wskazanej powyżej sytuacji nie ma możliwości wypełnienia wymogów przewidzianych przepisami ustawy, gdyż przepisy te chronią osobę, której dane dotyczą, przed naruszeniem jej praw i wolności. Artykuł 26 u.o.d.o. określający podstawowe zasady przetwarzania i ochrony danych osobowych nakłada na administratora danych ogólny obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Niewątpliwie przetwarzanie danych osobowych, które „istotnie narusza prawa i wolności osoby, której dane dotyczą”, stanowi jednocześnie naruszę-nie wskazanego powyżej ogólnego obowiązku, przewidzianego w ustawie.
Warto odnotować, iż sformułowanie przepisu odnoszącego się do tzw. przywileju medialnego zostało w doktrynie poddane srogiej krytyce (por. M. Sakowska, A. Młynarska-Sobaczewska, „Klauzula prasowa”…, s. 68 i n.).
12. Ustawa nie zawiera ogólnego wyłączenia w stosunku do przetwarzania danych dotyczących bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (w tym gospodarczego dobrobytu państwa, gdy proces przetwarzania dotyczy spraw bezpieczeństwa tego państwa) oraz działalności państwa w sferze prawa karnego. Takie wyłączenie przewidziane zostało w art. 3 ust. 2 dyrektywy 95/46/WE (por. na ten temat uwagi zawarte powyżej w pkt. D.7 Wstępu). Polska ustawa przewiduje w tym zakresie je-dynie wyłączenie niektórych uprawnień kontrolnych Generalnego Inspek-tora Ochrony Danych Osobowych (por. komentarz do art. 15 ust. 2 oraz 43ust. 2 u.o.d.o.), zwolnienia z obowiązku rejestracji zbiorów (por. komentarz do art. 43 u.o.do.) oraz odmowę udostępnienia danych (por. komentarz do art. 30 u.o.d.o.).
Nie oznacza to jednak — na co zwraca się uwagę w literaturze przedt. miotu — że do przetwarzania danych przez podmioty wykonujące zadania w sferze bezpieczeństwa publicznego, obronności i bezpieczeństwa pań-stwa należy stosować wszystkie pozostałe przepisy komentowanej ustawy, gdyż z reguły przepisy stosownych ustaw wyłączają stosowanie u.o.d.o. (por.A. Drozd, Ustawa o ochronie danych., s. 29).
Art. 4. Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej.
1. Komentowany przepis zwraca uwagę na kwestię relacji zachodzącej między prawem polskim a prawem międzynarodowym.
Podstawową umową międzynarodową dotyczącą ochrony danych osobowych jest konwencja 108 Rady Europy z 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych, wraz z protokołem dodatkowym sporządzonym 20 lat później. Polska podpisała tę konwencję dnia 21 kwietnia 1999 r., a ratyfikowała dnia 24 kwietnia 2002 r. (Dz. U. z 2003 r. Nr 3, poz. 25), natomiast protokół dodatkowy został ratyfikowany w roku 2005 (Dz. U. z 2006 r. Nr 3, poz. 15). Analiza przepisów konwencji oraz polskiej ustawy o ochronie danych osobowych pozwala przyjąć, iż występujące w nich regulacje są zharmonizowane oraz że nie będzie zachodził przypadek, o którym stanowi art. 4 ustawy.
Na temat konwencji — zob. pkt B.111.1 Wstępu.
Nie mają natomiast charakteru międzynarodowych umów rezolucje (zalecenia) Rady Europy, jak i rezolucje Parlamentu Europejskiego (zob. pktBM.2 Wstępu).
2.Przy stosowaniu ustawy o ochronie danych osobowych należy także uwzględniać postanowienia ratyfikowanej przez Polskę europejskiej konwencji o ochronie praw człowieka i podstawowych wolności z dnia 4 listopada 1950 r. Chodzi tu zwłaszcza o treść art. 8 tej konwencji, który w ust. 1 stanowi:
„Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji”. Prawo to nie ma charakteru bezwzględnego w tym sensie, że istnieją okoliczności uzasadniające ingerencję władzy publicznej w korzystanie z tego prawa. Stosownie bowiem do ust. 2 tego przepisu jest ona dopuszczalna w przypadkach przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób.
Normy Europejskiej Konwencji Praw Człowieka (w tym także wyrażone w art. 10 w odniesieniu do swobody wyrażania opinii) stanowią dodatkowe wskazówki oraz granicę przy interpretacji postanowień komentowanej ustawy w tym zakresie, w którym zawiera ona ograniczenia prawa doprywatności. Szczególne znaczenie dla stwierdzania, czy wynikające z ustawy ograniczenia w zakresie ochrony danych osobowych są zgodne z powołaną konwencją, posiadają orzeczenia Sądu w Strasburgu (por. w tej mierze zwłaszcza orzeczenie z 1988 r. w sprawie Gaskin v. Wielka Brytania, opisane skrótowo w pktB.n.4 Wsffpw).
3.Warto wspomnieć również o dwustronnych umowach międzynarodowych, w których uregulowane zostały kwestie ochrony danych osobowych. Kilka tego rodzaju umów Polska zawarła ż Republiką Federalną Niemiec. Cechą charakterystyczną wspomnianych regulacji jest to, iż dotyczą one różnych obszarów współpracy między państwami-stronami, a kwestie odnoszące się do problematyki ochrony danych osobowych stanowią jedynie uzupełnienie (ogólnie określone są zazwyczaj w jednym artykule urno-wy, a uszczegółowione w załączniku do umowy), nie są jednak głównym przedmiotem regulacji. Należy zwrócić uwagę, że umowy te zostały zawarte jeszcze przed wejściem w życie ustawy o ochronie danych osobowych. Nie które spośród omawianych umów miały umożliwić realizację konkretnych przedsięwzięć i ich cel został już osiągnięty (np. umowa o połączeniu autostrad oraz o budowie i przebudowie mostu granicznego w rejonie Olszyny i Forstu, sporządzona w Warszawie dnia 20 marca 19951, Dz. U. z 1997 r. Nr 127, poz. 821), natomiast inne dotyczą stałej współpracy między państwami: w określonych dziedzinach (por. umowa o wzajemnej pomocy podczas katastrof i klęsk żywiołowych lub innych poważnych wypadków, sporządzona w Warszawie dnia 10 kwietnia 1997 r., Dz. U. z 1999 r. Nr 22, poz. 201). Przepisy o ochronie danych osobowych, zawarte w umowach (np. w art. 12 wskazanej powyżej umowy o wzajemnej pomocy podczas katastrof), Odnoszą się do przekazywania danych osobowych między państwami i zawierają zastrzeżenie, iż postanowienia zawarte w załączniku do umowy (określające zakres i cel, a także inne szczegółowe kwestie dotyczące przetwarzania danych) obowiązywać będą z uwzględnieniem przepisów prawa obowiązujących każdą z umawiających się stron. Niemniej przepisy zawarte w umowie ograniczają zakres przetwarzania danych w stosunku do ogólnych regulacji zawartych w polskiej ustawie (min. dopuszczają wykorzystanie danych wyłącznie w celu oraz zgodnie z warunkami określonymi przez instytucję przekazującą dane, nie przewidują wyjątków od tej zasady); nakładają na odbiorców danych dodatkowe obowiązki, których ustawa o ochronie danych nie zawiera (np. odbiorca powinien poinformować instytucję przekazującą dane, na jej wniosek, o sposobie wykorzystania przekazanych danych), oraz zawierają inne różnice w odniesieniu do szczegółowych kwestii związanych z przetwarzaniem danych. W tym zakresie uważamy, iż należy uznać, że przepisy umowy międzynarodowej wyłączają stosowanie odpowiednich przepisów ustawy, które zawierają odmienne postanowienia, natomiast w pozostałych kwestiach, nieuregulowanych odmiennie w umowie zastosowanie mają przepisy zawarte w ustawie.
Potrzeba formułowania w umowach dwustronnych szczegółowych po-stanowień odnoszących się do ochrony danych osobowych pojawia się w sytuacji, gdy umowy takie dotyczą współpracy pomiędzy Polską a państwami spoza Europejskiego Obszaru Gospodarczego, które w wewnętrznym porządku prawnym nie posiadają regulacji gwarantujących minimalny poziom ochrony danych osobowych. W większości umowy te dotyczą współpracy i wzajemnej pomocy w sprawach celnych (por. np. umowę między Rządem Rzeczypospolitej Polskiej a Rządem Republiki Azerbejdżanu o współpracy i wzajemnej pomocy w sprawach celnych, podpisaną w Warszawie dnia 30 marca 2005 r., Dz. U. z 2006 r. Nr 145, poz. 1053, wraz z załącznikiem, w którym określone zostały podstawowe zasady ochrony danych).
Art. 5. Jeżeli przepisy odrębnych ustaw, które odnoszą się do prze-twarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z ni-niejszej ustawy, stosuje się przepisy tych ustaw.
O ile art. 4 ustawy dotyczy relacji zachodzących między prawem polskim a prawem międzynarodowym, o tyle art. 5 dotyczy relacji między normami prawa wewnętrznego. Przyjęta w komentowanym przepisie reguła służy realizacji dwóch postulatów w przypadku pojawienia się kolizji ustaw we wspomnianym zakresie.
Po pierwsze, ustawodawca przyjmuje zasadę rozstrzygania zbiegu norm na korzyść tych norm, które przewidują wyższy poziom ochrony. Zatem jeśli chodzi o dane osobowe związane ze stanem zdrowia pacjenta zakładu psychiatrycznego, ochronę dalej idącą niż ta, która wynika z komentowanej ustawy (art. 27), wprowadza—jak przyjmuje Generalny Inspektor —ustawa z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (Dz. U. Nr 111, poz. 535 z późn. zm.). Do ustaw „bardziej intensywnie chroniących dane osobowe” zaliczyć należy też ustawę z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (tekst jedn. Dz. U. z 2005 r. Nr 196, poz.1631 z późn. zm.) wraz z odpowiedzialnością przewidzianą w kodeksie karnym za przestępstwa przeciw ochronie tajemnicy państwowej lub służbowej. Tak więc o zakresie i sposobie ochrony informacji o osobach (danych osobowych) stanowiących tajemnicę państwową lub służbową rozstrzygać będą przepisy wymienionej ustawy z 1999 r., a nie ustawy, do której odnosi się niniejszy komentarz. To samo można w zasadzie stwierdzić o danych osobowych stanowiących równocześnie przedmiot tajemnicy zawodowej (np. bankowej). Jak się słusznie podkreśla, przepisy o tajemnicy bankowej nie wyłączają stosowania ustawy o ochronie danych osobowych w całości, natomiast czynią to w zakresie, w którym zapewniają ochronę dalej idącą niż ta ustawa, a więc tylko jeśli chodzi o zasady udostępniania osobom i podmiotom trzecim informacji, o których mowa w art. 104 prawa bankowego, o ile oczywiście są to dane osobowe (G. Sibiga, Obowiązki banku jako administratora danych osobowych, Bank 1999, nr 11, s. 43). Odmiennie w tej kwestii wypowiedział się Naczelny Sąd Administracyjny w wyroku z dnia 4 kwietnia 2003 r. (II SA 2935/02, niepubl.), uznając iż w przypadku udostępnienia przez kasjerkę banku danych osobowych klienta Generalny Inspektor Ochrony Danych Osobowych ma obowiązek zastosować w stosunku do administratora danych środki przewidziane w art. 18 ustawy. Orzeczenie to zostało poddane krytyce (por. glosa M. Swory, PiP 2004, z. 1, s. 124) z uwagi na to, że zagadnienia dotyczące tajemnicy bankowej i odpowiedzialności za jej naruszenie są przedmiotem regulacji prawa bankowego, które przewiduje w tym zakresie ochronę dalej idącą, niż przewidziana przepisami komentowanej ustawy.
Określenie „przepisy odrębnych ustaw” należy przy tym odnosić także — naszym zdaniem — do obowiązujących rozporządzeń wydanych na podstawie ustaw. Takiej „dalej idącej ochrony” dopatrzyć się można na przykład w rozporządzeniu Ministra Sprawiedliwości z dnia 18 czerwca 2003 r. w sprawie postępowania o zachowanie w tajemnicy okoliczności umożliwiających ujawnienie tożsamości świadka oraz sposobu postępowania z protokołami z zeznań tego świadka (Dz. U. Nr 108, poz. 1024).
Równocześnie, po drugie, możemy tu dopatrzyć się refleksu reguły kolizyjnej lex specialis derogat legi generali. Stosuje się ją wówczas, gdy mamy co prawda do czynienia z dwoma różnymi hipotezami i dwoma różnymi dyspozycjami, lecz cały przynajmniej jeden zakres (np. adresaci, okoliczności; zachowania) hipotezy lex specialis jest zawarty w hipotezie lex generalis, natomiast zakresy pozostałe mają przynajmniej częściowo wspólne elementy. Norma derogująca (specialis) pozbawia mocy normę derogowaną (generalis) nie w całości ale tylko dla tych stosunków, dla których odmiennie reguluje zachowanie się adresata. Zakresy przepisów specjalne i ogólne, będące pozornie w relacji podporządkowania, w istocie się wykluczają. Przepis specjalny nie uchyla jednak przepisu ogólnego w całości, lecz tylko w takim zakresie, jakiego dotyczy lex specialis. Uchylenie takiego przepisu w całości nie dałoby się pogodzić z założeniem o racjonalności prawodawcy.
O relacji lex spcialis/lex generalis pisze A. Kisielewicz zestawiając prze-pisy ustawy z dnia 6 kwietnia 1990 r. o Policji z przepisami komentowanej i ustawy. Jego zdaniem nie budzi wątpliwości myśl, że niektóre przewidziane w ustawie o ochronie danych osobowych procedury — ograniczenia w za-kresie gromadzenia, przechowywania i udostępniania danych osobowych — v niejako „nie pasują” do działalności takich organów jak Policja i UOE Rów-nocześnie zaznacza, iż nie jest jasne, czy przepis art. 5 u.o.d.o. jest wystarczającą podstawą do generalnego wyłączenia stosowania ustawy o ochronie i danych osobowych do przetwarzania danych osobowych przez te organy. W każdym razie nie potwierdza tego treść art. 3 ust. 1 i 2 u.o.d.o., w którym za administratora danych uważa się każdy organ państwowy, nie wyłączając Policji. Za dyskusyjny uważa on przy tym kategoryczny pogląd Naczelnego Sądu Administracyjnego (wyrażony w wyroku z dnia 21 lutego 2000 r., II SA 52/00), iż działania Policji i UOP w zakresie przetwarzania danych znajdują się całkowicie poza zasięgiem komentowanej Ustawy, Generalny Inspektor nie ma w tym zakresie żadnych uprawnień kontrolnych, a obywatel nie może w obrębie stosunków z tymi organami liczyć na ochronę swej prywatności ze strony Generalnego Inspektora i w konsekwencji NSA (zob. A. Kisielewicz, Ochrona danych osobowych w praktyce orzeczniczej Naczelnego Sądu Administracyjnego, Glosa 2001, nr 2, s. 32 i n.). Zdaniem tego autora wydaje się wątpliwe, czy same tylko ograniczenia i zakazy ujawniania informacji zawarte w ustawach szczególnych dotyczących działalności Policji czy UOP (podobnie Straży Granicznej i Inspekcji Celnej) można uznać za ochronę dalej idącą w rozumieniu art. 5, wyłączającą stosowanie wszelkich przepisów ustawy o ochronie danych osobowych, nie bacząc że te szczególne przepisy nie przewidują możliwości żądania na drodze instancyjnego postępowania administracyjnego przywrócenia stanu zgodnego z prawem o prawa skargi do sądu (ibidem).
Podobnie, zdaniem A. Kiselewicza, ocenić trzeba relację występującą między przepisami kodeksu postępowania karnego dotyczącymi zbierania i innych form przetwarzania danych osobowych a ustawą o ochronie danych osobowych. Ustawa ta nie zawiera postanowień, które by stawiały organy prokuratury poza zakresem jej działania. Ograniczenia jej stosowania w odniesieniu do prokuratorskich działań związanych ze zbieraniem, przechowywaniem i udostępnianiem danych osobowych mogą być wyprowadzane tylko z art. 5 u.o.d.o., jeżeli uda się wykazać, iż przepisy procedury karnej gwarantują dalej idącą ochronę takich danych niż komentowana ustawa (problem ten pojawił się w postępowaniu zakończonym wyrokiem NSA z dnia 28 czerwca 1999 r., II SA 728/99).
2. Wyrażonej w art. 5 regule należy przyznać prymat przed innymi przyjmowanymi metodami usuwania sytuacji kolizyjnych; mamy na myśli na przykład przypadek, gdy przepisy przewidujące dalej idącą ochronę weszły w życie wcześniej niż niniejsza ustawa. Nie znajdowałaby wówczas zastosowania powszechnie aprobowana zasada lex posierior derogat legi priori, a jedynym rozstrzygającym kryterium pozostawałoby to, którym przepisom przypisać można miano przepisów ustanawiających intensywniejszą ochronę danych.
3. Posługiwanie się wytyczną podaną w komentowanym przepisie wymaga sięgnięcia po kryterium nie zawsze poddające się łatwej weryfikacji. Jednoznaczne wskazanie, która norma przewiduje dalej idącą ochronę danych, może w niektórych przypadkach przysporzyć wiele trudności. Często nie jest bowiem proste rozstrzygnięcie, gdzie mamy do czynienia z bardziej intensywną ochroną, a jedyną usprawiedliwioną odpowiedzią będzie stwierdzenie, iż dane przepisy przewidują ochronę „inaczej ukształtowaną”, niż ma to miejsce na gruncie ustawy o ochronie danych osobowych. Wówczas kolizję prawa rozwiązywać trzeba będzie odwołując się do wypracowanych i przyjętych reguł, m.in. reguły lex specialis derogat legi generali. W polskim systemie prawnym istnieje relatywnie wiele przepisów odrębnych ustaw, które odnoszą się do szeroko rozumianego przetwarzania danych, przy czym znaczna ich część wydana została wcześniej, niż. Weszła w życie ustawa z 1997 r. Wykaz najważniejszych aktów prawnych zawierających przepisy dotyczące przetwarzania i ochrony danych osobowych zamieszczony został w pkt C.III Wstępu. W niektórych przypadkach trzeba uznać, iż przewidują one nie „dalej idącą”, lecz „słabszą” ochronę danych od tej, jaka wynika z postanowień komentowanej ustawy. Wówczas pierwszeństwo na leży przyznawać regulacji przyjętej w ustawie o ochronie danych osobowych mimo że do odmiennej konkluzji skłaniałaby zasada lex specialis derogat legi generali. Dodatkowy argument stanowić może okoliczność, że komentowana ustawa jest aktem prawnym „późniejszym”.
Niemniej stosując ustawę należy starać się prowadzić wykładnię w ten sposób, aby unikać pełnego zakwestionowania znaczenia i mocy wiążącej przepisów szczególnych; z drugiej strony powinno się również — w miarę możliwości — dbać o to, aby wykładnia i stosowanie przepisów szczególnych dotyczących przetwarzania danych osobowych nie prowadziło do kwestionowania lub marginalizacji znaczenia i podważania zasad sformułowanych w ustawie o ochronie danych osobowych.
Co do stosowania przepisów szczególnych dotyczących przetwarza nia danych osobowych, a także relacji takich przepisów do przepisów ustawy — zob. też pkt 1 oraz pkt 14-20 komentarza do art. 23.
4. Komentowana ustawa w żadnej mierze nie narusza przepisów innych ustaw wprowadzających tajemnice zawodowe. Oznacza to, iż przy przetwarzaniu danych osobowych należy w pełnym zakresie uwzględniać tego rodzaju tajemnice oraz płynące z nich ograniczenia swobody dostępu i ujawniania informacji. Tak samo odnieść się należy do przepisów mających za przedmiot tajemnice przedsiębiorstwa (art. 11 u.z.n.k.), tajemnice handlowe, bankowe, maklerskie, ubezpieczeniowe i inne.
Ustawa nie ogranicza poza tym swobody stron, jeśli chodzi o uznanie w umowie określonych wiadomości za poufne. Mogą to być także tego rodzaju wiadomości, które mają charakter danych osobowych.
5. Komentowana ustawa nie przewiduje przypadków, w których określone rodzaje danych osobowych zostaną mocą innych aktów prawnych wyłączone spod zakresu płynącej z jej przepisów ochrony. Formalnie jednak taki zabieg, jeśli dokonany zostanie na drodze ustawowej, nie jest wykluczony. Pozostaje wówczas kwestią wymagającą oceny, czy tego rodzaju przepisy są zgodne z konstytucją, z zawartymi w niej postanowieniami dotyczącymi udostępniania informacji czy gwarantującymi ochronę życia prywatnego. Wątpliwości tego rodzaju pojawiły się w polskiej doktrynie (W. Zimny) co do przepisu art 15 ustawy z dnia 3 marca 2000 r. o wynagradzaniu osób kierujących niektórymi podmiotami prawnymi (Dz. U. Nr 26, poz. 306); przepis ten stwierdza: „Informacje o wynagrodzeniu osób podlegających przepisom ustawy oraz o nagrodach rocznych, świadczeniach dodatkowych i odprawach są jawne i nie podlegają ochronie danych osobowych ani tajemnicy handlowej”
Wyłączenie stosowania ustawy o ochronie danych osobowych zostało wprowadzone również do ustawy z dnia 19 listopada 1999 r. — Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 z późn. zm.) i odnosi się do danych o osobach fizycznych będących przedsiębiorcami. Zgodnie z art. 7a ust. 2 p.d.g. „Ewidencja działalności gospodarczej jest jawna i dane osobo we w niej zawarte nie podlegają przepisom ustawy z dnia 29 sierpnia 1997 r. ochronie danych osobowych”. Jednakże nowa ustawa z dnia 2 lipca 2004 r. swobodzie działalności gospodarczej (Dz. U. Nr 173, poz. 1807 z późn. zm.), której przepisy mają zastąpić od początku 2007 r. dotychczasowe regulacje odnoszące się do ewidencji działalności gospodarczej, nie przewiduje już takiego wyłączenia.
Z częściowym wyłączeniem stosowania przepisów ustawy o ochronie danych osobowych mamy do czynienia na gruncie ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.). Artykuł 16 ust. 1 u.s.u.d.e. zawiera normę, zgodnie z którą do przetwarzania danych osobowych w związku ze świadczeniem usług drogą elektroniczną stosuje się przepisy ustawy o ochronie danych osobowych, o ile przepisy rozdziału 4 ustawy o świadczeniu usług drogą elektroniczną nie stanowią inaczej. Szerzej na ten temat por. pkt E.VI.19 Wstępu.
Z jeszcze innym rozwiązaniem prawnym mamy do czynienia na gruncie ustawy z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych (Dz. U. Nr 110, poz. 1189 z późn. zm.), której art. 18 nakazuje „w zakresie gromadzenia, przetwarzania i udostępniania informacji kryminalnych” stosować tylko niektóre, enumeratywnie wskazane w tym artykule przepisy ustawy ó ochronie danych osobowych (art. 12,14-19,26 ust. 1, art. 27 ust. 2 pkt 2, art. 32 ust. 1 pkt 1,2,4 i 6, art. 33 ust. 1 pkt 1-3, art. 34-39). Oznacza to, że pozostałe przepisy komentowanej ustawy nie mają w tym zakresie zastosowania.
Art. 6.1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
1.Komentowany przepis definiuje podstawowe dla ustawy pojęcie „dane osobowe”. Został on zasadniczo zmieniony nowelą z 2001 r. w celu jego zharmonizowania z prawem Unii Europejskiej. Obecna definicja danych osobowych odpowiada definicji, jaką posługuje się dyrektywa 95/46/WE; jest też w zasadzie zbieżna z definicją zamieszczoną w konwencji 108 Rady Europy (w myśl art. 2 lit. a) tej konwencji wyrażenie „dane osobowe” oznacza „wszelką informację dotyczącą osoby fizycznej o ustalonej tożsamości albo dającej się zidentyfikować”).
Na gruncie nowego stanu prawnego nie budzi już wątpliwości, że danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub dającej się zidentyfikować osoby, a nie tylko takie informacje, które same służą identyfikacji. Bowiem sama pojedyncza informacja jako taka w zasadzie nigdy (z wyjątkiem np. zdjęcia czy kodu genetycznego) nie pozwala na określenie tożsamości osoby, której dotyczy.
2.Za dane osobowe uważa się — według ustawy — „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Definicja ta odpowiada zasadniczo przyjętej dla „danych jednostkowych” w ustawie z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. Nr 88, poz. 439 z późn. zm.), gdzie uznano, że są nimi „dane osobowe dające się powiązać z konkretną osobą fizyczną” (dalej dodano, iż danymi jednostkowymi są też dane indywidualne dające się powiązać z podmiotem gospodarczym albo inną osobą prawną bądź jednostką organizacyjną nieposiadającą osobowości prawnej).
Prima facie wydaje się, iż poprawniejsze byłoby posłużenie się w definicji zawartej w art. 6 ustawy zwrotem „za daną osobową”, jednak rzeczownik „dane” nie ma w języku polskim liczby pojedynczej. Wyraz „dana” występuje jedynie jako imiesłów bierny od czasownika „dać”, w użyciu przymiotnikowym jako „ta, o której mowa: przytoczona” (por. Słownik języka polskiego, red. M. Szymczak, Warszawa 1995,1.1, s. 337). Z tego względu niekiedy formułowany jest nawet postulat zastąpienia terminu „dane osobowe” innym określeniem na przykład „informacje imienne”, jako że wyraz „informacja” może być używany zarówno w liczbie pojedynczej, jak i mnogiej (zob. A. Har-la, Termin „dane osobowe” — uwagi de lege lata i de lege ferenda na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Palestra 2001, ni 1, s. 38). Wydaje nam się jednak, że nie ma potrzeby dokonywania zmian, gdyż określenie „dane osobowe” trafnie oddaje istotę omawianego pojęcia. Określenie „dane osobowe” jest ponadto dokładnym odpowiednikiem terminów używanych w dyrektywie 95/46/WE w języku angielskim (personal data) i w języku niemieckim (Personenbezogene Daten), które to określenia także występują tylko w liczbie mnogiej.
3. W omawianej definicji z art. 6 u.o.d.o. wyróżnić należy następujące elementy (przesłanki):
1. informacja:
2. dotycząca osoby fizycznej,
3. zidentyfikowanej lub możliwej do zidentyfikowania
4. Pierwsza przesłanka podana w analizowanej definicji dotyczy „informacji”. Pojęcie to oznacza komunikaty (wiadomości, wypowiedzi, prezentacje) wyrażone i zapisane w jakikolwiek sposób: znakami graficznymi, symbolami, w języku komputerowym, na fotografii, na taśmie magnetofonowej lub magnetowidowej itd.), niezależnie od sposobu,1 zakresu i swobody ich udostępniania, jak i niezależnie od sposobu ich pozyskania. Dla kwalifikacji określonego komunikatu do kategorii „danych osobowych” zasadniczo nie ma znaczenia jego prawdziwość. Zatem to, czy informacja jest prawdziwa czy nie, jeżeli tylko spełnione zostaną dalsze przesłanki, jest z tego punktu widzenia okolicznością nieistotną. Natomiast ma to znaczenie dla wykony wania niektórych uprawnień przez osobę zainteresowaną (żądanie wprowadzenia korekty danych osobowych). „Informacja” może odnosić się do tego, co istniało, istnieje lub co ma lub może istnieć. Danymi osobowymi są zatem też takie dane, które dotyczą okoliczności planowanych („dane planowane”), na przykład planowany przebieg zatrudnienia czy służby określonej osoby.
Obojętny jest poza tym także sposób wyrażenia (komunikowania) informacji. Może być ona zatem wyrażona słowem, dźwiękiem, obrazem (np. jako zdjęcie fotograficzne, rentgenowskie), w tym też obrazem ruchomym, : może przybierać formę zapisu informatycznego itd. Chodzi przy rym zarówno o informację zrozumiałą dla każdego, jak i zrozumiałą tylko dla nie/ których osób lub tylko po zastosowaniu odpowiednich procedur (informacja kodowana). Bez znaczenia jest również źródło pochodzenia informacji; danymi osobowymi są też informacje osiągnięte w rezultacie przetwarzania innych danych.
Użycie zwrotu „wszelkie informacje” służy podkreśleniu, iż w grę wchodzą informacje odnoszące się do każdego aspektu osoby, jej stosunków osobistych i rzeczowych, jej żyda zawodowego, prywatnego, wykształcenia; wiedzy czy cech charakteru. Nie ma znaczenia, w jakiej roli występuje w danym przypadku osoba (np, członka rodziny, członka grupy zawodowej czy przedsiębiorcy).
Danymi osobowymi są zarówno informacje już rozpowszechnione lub opublikowane (zamieszczone w publikowanych materiałach), jak i w ogóle jeszcze nieujawnione.
5. Aby określoną informację można było zaliczyć do danych osobowych, powinna ona charakteryzować się nadto dwoma cechami, musi:
a) dotyczyć osoby fizycznej, której
b) tożsamość jest ustalona lub możliwa do ustalenia.
Zastrzeżenie, iż informacje powinny „dotyczyć osoby fizycznej” ma to znaczenie, że poza polem zainteresowania sytuuje zbiory informacji (ujęte np. w formę rejestrów i ewidencji) dotyczących podmiotów innych niż osoby fizyczne, a więc wszelkich jednostek organizacyjnych, niezależnie od tego, czy posiadają one osobowość prawną (w tym klubów, stowarzyszeń, grup nieformalnych), organów administracji państwowej oraz samorządowej i innych. Nie jest to co prawda założenie przyjmowane powszechnie, niemniej występuje w wielu zagranicznych ustawach o ochronie danych osobowych (np. w ustawie niemieckiej, francuskiej), jak również w dyrektywie 95/46/WE.
Dane dotyczące osób prawnych korzystają z ochrony w świetle ustawy norweskiej, szwajcarskiej, austriackiej; w węższym zakresie — z ochrony przewidzianej ustawą włoską; w niektórych krajach (np. w Danii) zakresem regulacji objęte są dane jednostek organizacyjnych.
Na temat ochrony danych osób prawnych zob. też pkt E.IV Wstępu.
W Polsce ochrona danych dotyczących osób prawnych realizowana jest w pewnej mierze poprzez postanowienia kodeksu cywilnego o ochro nie dóbr osobistych osób prawnych, jak również—bezpośrednio—poprzez przepisy niektórych ustaw szczegółowych, jak na przykład ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. Nr 88, poz. 439 z późn.zm.). Postanowienia tej ustawy zakazują publikowania i innego udostępniania informacji statystycznych możliwych do powiązania z konkretną osobą oraz danych indywidualnych charakteryzujących wyniki ekonomiczne przedsiębiorców, w szczególności jeśli na daną agregację składają się mniej niż trzy podmioty lub udział jednego podmiotu w jakimś zestawieniu jest większy niż trzy czwarte całości (art 38 ust 2).
6. Trzeba zaznaczyć, że informacja o osobie fizycznej może niekiedy wynikać z informacji odnoszącej się do osoby prawnej (np. dotyczącej składu osobowego organów spółki); niekiedy też granica między informacjami o osobie prawnej i osobie fizycznej zaciera się (jak to ma miejsce przy informacjach na temat jednoosobowej spółki z ograniczoną odpowiedzialnością).
Na kontrowersje występujące w tym zakresie wskazują niżej podane oceny. Zdaniem A. Mednisa (Ustawa o ochronie danych osobowych. Komentarz, Warszawa 1999, s. 25) dane o osobach fizycznych prowadzących działalność gospodarczą lub o wspólnikach spółki cywilnej nie zostały wyłączone spod działania komentowanej ustawy. Autor ten wyraźnie pisze, że takie informacje również podlegają przewidzianej ustawą ochronie, o ile identyfikują konkretne osoby. Nie ma przy tym znaczenia fakt, że są to dane ogólnodostępne. Także S. Grynhoff i E Woźny (Ochrona danych osobowych w praktyce, red. P. Woźny, Poznań 2000, pkt 1/1.1, s. 2) stwierdzają, że ustawa reguluje zasady przetwarzania informacji osobowych dotyczących też tych osób fizycznych, które dysponują statusem przedsiębiorcy w rozumieniu przepisów ustawy z dnia 23 grudnia 1988 r. o działalności gospodarczej, jak również funkcjonują w ramach jednostek organizacyjnych dysponujących takim statusem. Obecnie por. art. 4 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. Nr 173, poz. 1807 z późn. zm.). Natomiast zdaniem Generalnego Inspektora Ochrony Danych Osobowych (które wyrażone zostało na stronie www: Generalny Inspektor Ochrony Danych Osobowych sygnalizuje, www.giodo.gov.pl): „Ewidencja działalności gospodarczej jest zbiorem danych o przedsiębiorstwach, zgłaszających prowadzoną działalność, pomimo że mogą być w niej zawarte dane osobowe. Ustawy o ochronie danych osobowych nie stosuje się więc do przedsiębiorcy, którym może być również osoba fizyczna”. Generalny Inspektor wyjaśnia dalej, że obowiązkiem organu ewidencyjnego jest udostępnienie informacji z ewidencji działalności gospodarczej, a także okazanie wszelkiej pomocy w odszukaniu odpowiednich danych. Oznacza to, że każda osoba nia możliwość dostępu do danych zawartych w ewidencji, bez potrzeby przedstawiania swej tożsamości ani wykazywania jakiegokolwiek interesu faktycznego lub prawnego. Podobne stanowisko w tej kwestii zajął NSA w wyroku z dnia 28 listopada 2002 r. (E SA 3389/01, Mon. Pr. 2003, nr 3, poz. 99), stwierdzając iż „Jeżeli u przedsiębiorca objął zakresem danych indywidualnych dotyczących firmy swoje dane osobowe, w sytuacji gdy dane te pokrywają się, nie może on jako osoba fizyczna domagać się ochrony swoich danych osobowych, które są wykorzystywane nie jako dane osobowe, lecz jako dane firmy. Decydując się na utożsamianie tych danych godzi się tym samym na szersze ich ujawnianie i słabszą ochronę”.
W naszym przekonaniu, w przypadkach gdy opisane wyżej podmioty nie mają statusu osoby prawnej, istnieją racje dla stosowania do nich komentowanej ustawy. Bardziej rygorystyczne podejście skłaniałoby do różnego traktowania poszczególnych rodzajów danych dotyczących tego rodzą- ; ju podmiotów, zaś kryterium podziału stanowiłaby okoliczność, czy dane te. związane są koniecznie z funkcjonowaniem podmiotu gospodarczego; w odniesieniu do tego rodzaju informacji stosowanie ustawy o ochronie danych osobowych nie wchodziłoby w rachubę. A. Mednis (Uwagi na temat ustawy z 26′] lipca 2001 r. o zmianie ustawy o ochronie danych osobowych, po poprawkach Senatu z 9 sierpnia 20011, Ochrona Danych Osobowych. Biuletyn Administratorów ; \ Bezpieczeństwa Informacji 2001, nr 18, s. 4) dostrzega przy tym, że w wyniku nowelizacji przybędzie dodatkowy argument za taką wykładnią; pisze on: „w nowej definicji danych jednym z kryteriów identyfikacji są czynniki ekonomiczne (a więc może to być prowadzona działalność gospodarcza)”.
Z dniem 1 stycznia 2004 r. uległ zmianie stan prawny odnoszący się do przetwarzania danych o osobach fizycznych prowadzących działalność gospodarczą, zawartych w ewidencji działalności gospodarczej. Na mocy nowelizacji dokonanej dnia 14 października 2003 r. (Dz. U. Nr 217, poz. 2125) do ustawy — Prawo działalności gospodarczej wprowadzony został m.in. przepis art 7a ust. 2, zgodnie z którym ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy o ochronie danych osobowych.
Ewidencja działalności gospodarczej służyć ma jawności i pewności obrotu gospodarczego. Osoby fizyczne podejmujące działalność gospodarczą mają obowiązek zgłosić do ewidencji następujące dane: oznaczenie przedsiębiorcy oraz numer ewidencyjny PESEL, o ile taki posiadają; oznaczenie miejsca zamieszkania i adresu przedsiębiorcy, a jeżeli stale wykonują działalność poza miejscem zamieszkania — również wskazanie tego miejsca i adresu zakładu głównego, oddziału lub innego miejsca wykonywania działalności; określenie przedmiotu wykonywanej działalności gospodarczej zgodnie z Polską Klasyfikacją Działalności (PKD) oraz wskazanie daty rozpoczęcia działalności gospodarczej. Dane te zasadniczo służą ewidencjonowaniu przedsiębiorców, ale mogą być wykorzystywane przez różne podmioty na przykład w celu wstępnej weryfikacji kontrahentów w obrocie profesjonalnym, dochodzenia praw przez konsumentów itp. Wyłączenie stosowania ustawy o ochronie danych osobowych dotyczy danych osobowych zawartych w ewidencji.
Przyjęte przez ustawodawcę wyłączenie nie wydaje się rozwiązaniem najlepszym. Uważamy, iż znacznie korzystniejsze byłoby dopuszczenie przetwarzania danych o przedsiębiorcach będących osobami fizycznymi w zakresie związanym z prowadzoną przez te podmioty działalnością gospodarczą na nieco łagodniejszych zasadach, a nie całkowite wyłączenie stosowania przepisów komentowanej ustawy. Obecny stan prawny może prowadzić do pozbawienia ochrony osób fizycznych prowadzących działalność gospodarczą także w zakresie zupełnie niezwiązanym z prowadzoną działalnością (np. poprzez wykorzystywanie danych pochodzących z ewidencji działalności gospodarczej do różnych innych celów).
Ponadto warto zauważyć, że ustawa o Krajowym Rejestrze Sądowym (tekst jedn. Dz. U. z 2001 r. Nr 17, poz. 209 z późn. zm.), która reguluje m.in. kwestie rejestracji przedsiębiorców niebędących osobami fizycznymi, nie zawiera przepisu, który wyłączałby stosowanie ustawy o ochronie danych oso -bowych w odniesieniu do danych o osobach fizycznych wpisanych do tego rejestru (np. członkach władz spółek, prokurentach itp.).
Kończąc ten wątek rozważań wypada j eszcze dodać, iż nowa ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. Nr 173, : poz. 1807zpóźn. zm.), której przepisy mają z dniem 1 stycznia 2007 zastąpić : ustawę — Prawo działalności gospodarczej w zakresie ewidencji działalności gospodarczej, nie przewiduje wyłączenia stosowania przepisów o ochronie danych osobowych.
7. Zaznaczmy, iż niekiedy proponuje się, aby obok danych osobowych wyróżniać kategorię danych indywidualnych (dających się powiązać z podmiotami gospodarczymi albo inną osobą prawną bądź jednostką organizacyjną niemającą osobowości prawnej). Natomiast obie te kategorie (tzn. dane osobowe i dane indywidualne) miałyby tworzyć razem kategorię danych jednostkowych (zob. G. Szpor, Publicznoprawna ochrona danych osobowych, PUG1999, nr 12, s. 6).
8. Dla zaklasyfikowania określonej informacji do kategorii danych osobowych w rozumieniu ustawy nie ma znaczenia status prawny określonej osoby, jej zdolność do czynności prawnych, to czy przysługują jej prawa publiczne; nie ma znaczenia także jej obywatelstwo. Ustawie podlegają nie tylko dane osobowe obywateli polskich, ale i cudzoziemców, o ile spełnione są warunki z art. 2 i 3. Przepisy ustawy obowiązują tylko na terenie państwa polskiego.
Za dane osobowe w rozumieniu ustawy nie można oczywiście uznawać też informacji na temat osób (postaci) nierzeczywistych, fikcyjnych, występujących w bajkach, powieściach, filmach, grach itp.
9. Zasadniczo dane osobowe odnoszą się do jednej osoby; przemawia za tym też literalna wykładnia komentowanego przepisu, w którym użyto liczby pojedynczej w odniesieniu do „osoby fizycznej”. Wyjątkowo danymi osobowymi będą informacje dotyczące więcej niż jednej osoby (dane o „podwójnym odniesieniu”), na przykład informacje o połączeniach (rozmowach) telefonicznych, o zatrudnieniu osoby A u osoby B, o korzystaniu osoby X z pomocy medycznej lekarza Y itp. Zastrzeżenie, że chodzi o „informację dotyczącą osoby fizycznej” daje podstawy do tego, by poza zakresem działania ustawy pozostawiać dane dotyczące rodzin czy rodów jako takich (przykład: „pierwsze wzmianki o rodzinie X pochodzą z XVIII wieku”). Inną ocenę należy przyjąć, gdy „informacja o rodzime” stanowi równocześnie informację o dających się zidentyfikować pojedynczych jej członkach (przykład: „wszyscy członkowie rodziny X zapisali, się do partii Y”).
Dodajmy, iż dane osobowe mogą być niekiedy wyprowadzone z „informacji zbiorczych” (np. z informacji: „wszyscy członkowie klubu X zarabiają powyżej 3000 zł miesięcznie”); w tym też nawet z takich, które prima facie mają anonimowy charakter (jak np. z informacji: „10 absolwentów, którzy ukończyli wydział X w roku Y, pracuje w zakładzie Z”, jeżeli w tym roku wydział ten ukończyło tylko 10 osób).
10. Odrębnym problemem, który tutaj tylko sygnalizujemy bez podejmowania próby przeprowadzenia analizy, jest rozstrzygnięcie, czy ochrona danych osobowych ma odnosić się tylko do osób żywych czy też rozciągać się na osoby zmarłe. Ustawa polska nie rozstrzyga tej kwestii wprost. Niemniej zarówno fakt, że.pojęcie „osoba fizyczna” stosowane jest w prawie w odniesieniu do osób żywych, jak i treść większości przepisów ustawy wskazuje na to, iż poza zakresem stosowania ustawy pozostają dane o określonych osobach nieżyjących. Również Generalny Inspektor Ochrony Danych Osobowych w piśmie z dnia 12 lutego 2001 r. (znak GI-DP~024/145/01/427) uznał, że regulacja ustawy o ochronie danych osobowych dotyczy wyłącznie osób żyjących, a w związku z tym nie stawia ona żadnych przeszkód zarówno w uzyskiwaniu informacji, jak i publikowaniu biografii dotyczących osób zmarłych. Rozpowszechnianie informacji dotyczących zmarłych poddane jest natomiast tym ograniczeniom, które mają swe źródło w powszechnej ochronie dóbr osobistych w ramach dobra osobistego określanego jako „kult pamięci osoby zmarłej”. Por. jednak pkt 5 komentarza do art. 1, gdzie przedstawiono możliwość odmiennej interpretacji.
Można bronić zdania, iż charakter danych osobowych posiadają in-formacje o osobach poczętych, lecz jeszcze nienarodzonych; taki też pogląd wyrażony jest w rekomendacji 97 Komitetu Ministrów Rady Europy z dnia 13 lutego 1997 r. w sprawie ochrony danych medycznych. Nie ulega wątpliwości, że tego rodzaju informacje po urodzeniu się dziecka mają status danych osobowych.
11. Informacja wtedy „dotyczy osoby fizycznej”, gdy „przekazuje” (komunikuje) coś na jej temat. Ustawowa definicja wprowadza w tej mierze jednak — literalnie rzecz ujmując — istotne ograniczenie. Za dane osobowe pozwala bowiem uznawać tylko te informacje, które „umożliwiają ustalenie tożsamości osoby fizycznej”, a więc takie jak na przykład imię i nazwisko, w połączeniu z dodatkowymi wskazówkami (data i miejsce urodzenia czy cechy zewnętrzne), numer PESEL, struktura DNA, Nie uważamy przy tym, aby całość danych umożliwiających identyfikację osoby, do której się one odnoszą, musiała być usytuowana w zbiorze danych. Przyjmujemy, że do danych osobowych można zaliczyć także taką informację, która pozwala na określenie tożsamości osoby, do której się odnosi, dopiero w połączeniu z informacją spoza zbioru danych.
Por. w tej kwestii nadto uwagi w pkt 13.
Nie są natomiast danymi osobowymi wszelkie informacje anonimowe— tak jak ma to zazwyczaj miejsce w przypadku danych pozyskiwanych do celów statystycznych — niedające się powiązać z indywidualnymi osobami.
12. Sformułowanie, że „danymi osobowymi są informacje dotyczące : osoby fizycznej” bywa niekiedy rozumiane w sposób zawężający. Przyjmuje się (tak A. Bierć, Ochrona prawna danych osobowych w sferze działalności gospodarczej w Polsce — aspekty cywilnoprawne (w:) Ochrona danych osobowych…, s. 121-122), że chodzi tu niewątpliwie o szeroki krąg informacji o stosunkach osobistych jednostki (od nazwiska i daty urodzenia, poprzez zainteresowania do planów awansu służbowego), natomiast już nie o informacje o stosunkach majątkowych. Poparciem dla takiego stanowiska mogłoby być orzeczenie (uchwała 7 sędziów SN) z dnia 16 lipcą.1993 r, (OSN1994, nr 1, poz. 2), w którym stwierdzono, że ujawnienie osobom trzecim wysokości wynagrodzenia za pracę nie stanowi samo w sobie naruszenia sfery prywatności, chyba że informacja taka wkraczałaby w sferą intymności pracownika (np. ujawniałaby dokonywanie potrąceń należności alimentacyjnych). Towarzyszy temu konstatacja, że w sferze gospodarczej tajemnica danych osobowych jedynie uzupełnia inne środki ochronne (tajemnice), związane na przykład z tajemnicą bankową. To ona oraz tajemnica przedsiębiorstwa (tajemnica handlowa) i tajemnica zawodowa związana z charakterem działalności gospodarczej ma w sferze działalności gospodarczej duże, można nawet rzec: pierwszoplanowe, znaczenie. Tajemnice te chronią zarówno interesy osobiste, jak i majątkowe przedsiębiorców ”
Niemniej tego rodzaju zawężające ujmowanie kategorii danych osobowych nie wydaje się jednak — naszym zdaniem — trafne i nie ma dostatecznego oparcia w brzmieniu postanowień komentowanej ustawy.
13. W świetle nowej redakcji art. 6 nie budzi już wątpliwości, że pojęcie „dane osobowe” na gruncie prawa polskiego obejmuje wszelkie informacje dotyczące osoby fizycznej, o ile możliwe jest zidentyfikowanie tej osoby. Za osobę możliwą do zidentyfikowania uważana jest osoba, której toż samość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jego cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 u.o.d.o.). Numerami identyfikacyjnymi, o których mowa w komentowanym przepisie, są: numer powszechnego elektronicznego systemu ewidencji ludności (PESEL); numer identyfikacji podatkowej (NIP), a także numer dokumentu tożsamości (dowodu osobistego oraz paszportu). Czynnikami określającymi cechy osoby mogą być m.in.: wygląd zewnętrzny, wzór siatkówki oka (cechy fizyczne); struktura kodu genetycznego, grupa krwi (cechy fizjologiczne) status majątkowy (cechy ekonomiczne); pochodzenie, poglądy polityczne, przekonania religijne lub filozoficzne oraz przynależność wyznaniowa, partyjna lub związkowa (cechy te można zaliczyć do cech umysłowych, kulturowych lub społecznych, w zależności od sposobu interpretacji tych pojęć). Wskazane powyżej czynniki nie wyczerpują otwartego katalogu rodzajów informacji które mogą być przypisane konkretnej osobie fizycznej.
Przy okazji analizy pojęcia „dane osobowe” na gruncie przepisu art. 6 w związku z potrzebą jego nowelizacji zaprezentowany został postulat wyróżnienia w ramach tego pojęcia trzech kategorii danych: personalnych, adresowych oraz osobistych (por A. Harla, Termin „dane osobowe”…, s. 39). Wydaje nam się jednak, że tego rodzaju rozróżnienie nie jest potrzebne, gdyż ustawa co do zasady nie różnicuje poziomu ochrony w zależności od rodzaju danych :! (wyjątkiem S4 jedynie tzw. dane sensytywne, o których mowa w art. 27).
14. Przyjmując że pojęcie danych osobowych obejmuje także informacje, które tylko w połączeniu z danymi spoza zbioru umożliwiają identyfikację danej osoby, należy rozstrzygnąć, kiedy — z perspektywy kwalifikowania informacji jako danych osobowych — możliwe jest ustalenie tożsamości ! osoby, której dotyczy pewna informacja, innymi słowy: kiedy informacja pozwala określić tożsamość osoby. Posłużmy się przykładem. Czy do kategorii danych osobowych zakwalifikujemy na przykład stwierdzenie, iż najemca oznaczonego lokalu posiada zarobki miesięczne przekraczające kwotę X lub zaopatruje się z reguły w sklepie Y bez podawania imienia i nazwiska najemcy? Albo: czy danymi osobowymi są informacje, że samochody o określonych, podanych numerach rejestracyjnych zostały uszkodzone w wypadkach drogowych?
W podanych przykładach same informację nie określają tożsamości osoby, nie wskazują na żadną oznaczoną osobę, niemniej otwierają możliwość ustalenia tożsamości osoby, z którą inf ormacj a jest związana. I tak przecież, docierając do odpowiedniego spisu lokatorów czy do właściwej ewidencji pojazdów samochodowych, można powiązać informację z osobą (będącą najemcą, właścicielem samochodu). Kontynuując to rozumowanie dojdzie my do wniosku, iż w zasadzie każda wiadomość o jakimś zdarzeniu, o jakiejś sytuacji z udziałem człowieka, może zostać uznana za wiadomość zindywidualizowaną, gdyż:— co najmniej teoretycznie—zawsze istnieje możliwość określenia tożsamości tego człowieka.
W tym stanie rzeczy pojawia się dalsze, zasadnicze pytanie, czy danymi osobowymi są tylko takie dane, które od razu, ze względu na swą treść, pozwalają określić tożsamość osoby (jak się określa: „osoby zainteresowanej”), czy również takie dane, przy których co prawda takie bezpośrednie odniesienie do osoby nie istnieje, niemniej podanie jej tożsamości jest możliwe. Przychylenie się do drugiej możliwości wywołuje dalsze pytania. Odnoszą się one do stopnia nakładów potrzebnych do ustalenia tożsamości. Innymi słowy chodzi o to, czy do danych osobowych powinno się zaliczać tylko takie dane (inf ormacj e), przy których określenie tożsamości jest proste (względnie nie przysparza znacznych trudności) i dostępne dla przeciętnej : osoby. Alternatywą byłoby przyjęcie, że przesłanką danych osobowych jest w ogóle możliwość określenia tożsamości, choćby wymagało to szczególnych nakładów, przygotowania, wiedzy, kompetencji.
Przepis art. 6 ust. 2 wyjaśnia, iż osobą możliwą do zidentyfikowania j est taka osoba, której tożsamość da się określić bądź bezpośrednio, bądź pośrednio, w szczególności odwołując się do numeru identyfikacyjnego albo do jednego lub wielu specyficznych czynników określających jej cechy fizycznej i fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
15. Przedstawione dylematy starano się rozwiązać dokonując w 2001 r, nowelizacji komentowanej ustawy. I tak wprowadzono wskazówkę, iż informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Stanowisko, że nie mają charakteru danych osobowych informacje, przy których ustalenie tożsamości osoby wymaga nieproporcjonalnie dużego nakładu czasu, pracy czy kosztów, wyrażone zostało również w raporcie wyjaśniającym do konwencji strasburskiej oraz w rekomendacjach Komitetu Ministrów Rady Europy (rekomendacji 10 (91) na temat udostępniania danych osobowych będących w dyspozycji instytucji publicznych oraz rekomendacji 19 (90) w sprawie chrony danych osobowych wykorzystywanych dla potrzeb płatności oraz innych analogicznych operacji).
Informacje zatem, które bez nadzwyczajnego wysiłku, bez nieproporcjonalnie dużych nakładów dają się „powiązać” z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, również zasługują na zaliczenie ich do kategorii danych osobowych. Na przykład niekiedy nawet opisanie zachowań czy cech charakteru „organisty w miejscowości X”, „wieloletniego woźnego w przedsiębiorstwie Y” może uzyskać — ze względu na powiązanie z dającą się oznaczyć osobą — kwalifikacje danych osobowych. Nie zasługują na taką kwalifikację te informacje . których „powiązanie” z oznaczoną osobą nie jest łatwo osiągalne, wymaga nakładów nadzwyczajnych.
Przy tego rodzaju podejściu trzeba by stwierdzić, iż z reguły nie mają :. statusu danych osobowych informacje odnoszone na przykład do numerów rejestracyjnych samochodów. Łatwiej natomiast status taki przyznać informacjom odnoszonym do ściśle podanych adresów. Pojęcie danych osobowych traci swe ścisłe bezwzględne znaczenie i staje się pojęciem relatywnym.
Należy przy tym naturalnie mieć świadomość, że przesłanka „nad-mierności” kosztów czasu lub działań jest niedookreślona i jej rzeczywiste znaczenie zostanie dopiero ukształtowane przez rozstrzygnięcia GIODO dotyczące konkretnych spraw.
16. Charakteryzując warunek, jakim jest możliwość określenia tożsamości osoby, zaznaczmy od razu, że podanie nazwiska, a nawet imienia i nazwiska osoby, nie zawsze jest okolicznością pozwalającą stwierdzić, iż wymóg ten jest spełniony. Dotyczy to zwłaszcza popularnych imion i nazwisk. Wówczas dopiero informacje dodatkowe, kontekstowe mogą doprowadzić do sytuacji, w której ustalenie tożsamości staje się możliwe.
17. W kontekście zmiany definicji danych osobowych należy zgodzić się z wykładnią proponowaną przez G. Sibigę (Nowelizacja ustawy o ochronie danych osobowych, Mon. Pr. 2001, nr 23, s. 1153-1158), iż obecnie wywieszenie przez administratorów zasobów mieszkaniowych na klatkach tzw. list dłużników, które zawierają jedynie numer lokalu, okres niepłacenia i kwotę zaległości, stanowi przetwarzanie danych osobowych. Autor wskazuje bowiem, że „pomimo iż brak jest bezpośredniej identyfikacji, przy niewielkim nakładzie środków i czasu jesteśmy w stanie określić tożsamość takiej osoby na podstawie np. numeru lokalu i stąd wywieszenie wykazu stanowi przetwarzanie danych”.
18. Charakter danych osobowych posiadają informacje „z różnych dziedzin życia”, o ile tylko istnieje możliwość powiązania ich z oznaczoną osobą; mogą to być informacje o charakterze obiektywnym lub subiektywnym, wymiernym lub ocennym, o okolicznościach dawnych, obecnych lub przyszłych, trwałych lub przemijających. Danymi osobowymi są między innymi informacje:
a) o zasadniczo „niezależnych okolicznościach” (imię,; nazwisko, płeć, wzrost, znaki szczególne, obywatelstwo, linie papilarne, miejsce i data urodzenia, cechy dokumentów tożsamości, numer PESEL); .
b) o cechach nabytych (wykształcenie, znajomość języków, posiadane uprawnienia, charakter pisma, stan cywilny);
c) o cechach osobowościowych, psychologicznych, w tym o przekonaniach, zainteresowaniach, światopoglądzie, upodobaniach, sposobie spędzania wolnego czasu;
d) o sytuacji majątkowej, operacjach finansowych, w tym też „zaniecha niach” (np. lista zaległości czynszowych);.
e) o najróżniej szych przejawach działalności (np. podróżach, uczestniczeniu w życiu kulturalnym);
f) dotyczące aktywnego lub biernego uczestnictwa w różnego rodzaju wydarzeniach.
Część informacji już z natury rzeczy identyfikuje osobę. Większość uzyskuje charakter danych osobowych dopiero w połączeniu z informacjami identyfikującymi wprost lub pośrednio osobę (podmiot). Pod tym warunkiem danymi osobowymi stają się m.in. informacje o stanie fizycznym i psychicznym, o przebytych chorobach, o kalectwie, o wynikach badań medycznych (zdjęcie rentgenowskie, ciśnienie krwi, poziom cukru i wiele innych), o rezultatach testów psychologicznych, zręcznościowych. Do kategorii danych osobowych zaliczyć trzeba także wyniki egzaminów, rezultaty uzyskiwane na zawodach sportowych.
Charakter danych osobowych posiadają informacje dotyczące przygotowania zawodowego i przebiegu pracy danej osoby, o jej sytuacji rodzinnej, o stanie posiadania (w tym o posiadanych dobrach, o zgromadzonych i oszczędnościach, kontach bankowych, o wysokości płaconych podatków); o jej zachowaniach (zakupach towarów lub usług, prowadzonych rozmowach telefonicznych, w tym tzw. billing), naruszeniach prawa, a także wszelkie opinie na temat danej osoby oraz dotyczące jej prognozy (starania o uzyskanie stypendium, o awans itd.). Do rzędu danych osobowych zaliczyć również należy min. informacje także o tym, czyim klientem jest określona osoba, z kim wiąże ją stosunek prawny o charakterze ciągłym. W jednej że swych decyzji francuska Państwowa Komisja do spraw Informatyki i Wolności Obywatelskich (C.N.LL.) zaliczyła do kategorii danych podlegających ochronie na podstawie ustawy z 1978 r. „informacje o klientach przechowywane i przetwarzane przy pomocy maszyny do przetwarzania tekstów dla potrzeb marketingu bezpośredniego”.
W kontekście prowadzonych rozważań na odnotowanie zasługuje orzeczenie z dnia 17 listopada 2000 r. (II SA 1860/2000), w którym NSA uznał, że „Danymi osobowymi w rozumieniu ustawy są informacje, pozwalające na określenie tożsamości osoby, czyli: imię, nazwisko, adres, numery PESEL i NIP. Pozostałe dane, jak np. dane z rejestru urzędu pracy zawierają natomiast informacje o osobie”. W tej sprawie NSA przyjął, że informacja o tym, że ktoś jest bezrobotnym lub że korzysta z zasiłku dla bezrobotnych, nie jest objęta ustawą o ochronie danych osobowych. Nie znamy uzasadnienia do tego rozstrzygnięcia, sama teza wydaje się jednak zdecydowanie błędna. Dane dotyczące określonej osoby (informacje o osobie), jeżeli tylko jest możliwe ich odniesienie do konkretnej osoby, są danymi osobowymi w rozumieniu art. 6 u.o.d.o. Dodajmy, że wspomniane orzeczenie wydane zostało przed nowelizacją ustawy zmieniającą brzmienie komentowanego przepisu i w obecnym stanie prawnym nie powinno budzić wątpliwości zaliczenie do danych osobowych informacji o tym, że konkretna osoba ma status bezrobotnego, czy też o tym, że osoba ta korzysta z zasiłku dla bezrobotnych, :
19, Ustawa polska nie wprowadziła kategorii „danych wolnych”. Prze-widywał ją m.in. rządowy projekt niemieckiej ustawy o ochronie danych osobowych. Stanowił, iż dozwolone jest podawanie (udostępnianie) następujących danych (określanych czasem w literaturze niemieckiej freie Daten): nazwisko, tytuł i stopień naukowy, data urodzenia, zawód, określenie branż i dziedzin handlowych, adres, numer telefonu. Obecnie obowiązująca w tym kraju ustawa przyjmuje nieco ostrożniejsze rozwiązanie. Uznaje (§ 28), że dozwolone jest w ramach niepublicznego sektora (lub z sektora niepublicznego do publicznego) przekazywanie i wykorzystywanie danych, jeśli:
a) następuje to w postaci danych osób należących do jakiejś grupy, które to dane zestawione są w listę (lub w podobny sposób) i ograniczone do: 1) podania przynależności do tej grupy osób, 2) oznaczenia zawodu, branży lub pola działalności handlowej, 3) nazwiska, 4) tytułu, 5) stopnia akademickiego, 6) adresu, 7) roku urodzenia;
b) nie istnieją podstawy do przyjęcia, iż po stronie zainteresowanego istnieje zasługujący na ochronę interes przemawiający za wyłączeniem przekazywania danych.
Przyjęte w tym zakresie liberalne rozwiązanie usprawiedliwia się m.in. tym, iż mamy tu do czynienia z danymi, które — z niewieloma wyjątkami — można z reguły łatwo ustalić na podstawie na przykład książki adresowej czy telefonicznej.
Podkreślmy, że na gruncie komentowanej polskiej ustawy nie mają charakteru „danych wolnych” ani te dane, które zostały podane do wiadomości publicznej (wymienione w art. 27 ust. 2 pkt 8), ani dane powszechnie czy ogólnie dostępne (o których mowa w art. 43 ust. 1 pkt 9 oraz art. 47 ust. 3 pkt 6).
20. Przedstawione dotychczas wyjaśnienia związane z definiowaniem pojęcia „dane osobowe” nie usuwają wszelkich wątpliwości, jakie pojawia ją się w tym zakresie. I tak nasuwa się pytanie, czy do tej kategorii zaliczyć należy informa-cje odnoszące się nie wprost do określonej osoby, lecz do jej bliskich, na przykład informacje na temat małżonka lub dziecka, przy założeniu, że towarzyszy temu informacja pozwalająca ustalić węzeł rodzinny, węzeł pokrewieństwa. Odpowiedź na to pytanie zależy od tego, jak rozumieć będziemy warunek, który wymaga, aby informacja „dotyczyła” oznaczonej osoby. Jak już zaznaczyliśmy, informacja wtedy spełnia tę przesłankę, gdy stanowi coś na temat tej osoby. Nie jest pozbawione racji twierdzenie, iż niekiedy można scharakteryzować do pewnego stopnia daną osobę nie pisząc wprost o niej, a tylko o jej bliskich, o członkach jej rodziny czy nawet o osobach z jej środowiska. Godząc się na tego rodzaju ujmowanie „danych osobowych” należy jednak — naszym zdaniem — przyjąć, iż chodzi tu raczej o sytuacje wyjątkowe i sprzeciwiać się zbyt szerokiej interpretacji. Ważne jest, aby tego rodzaju informacje nie będąc „informacjami wprost”, lecz „informacjami pośrednimi” odgrywały istotną rolę przy charakterystyce osoby; tylko wtedy ewentualnie można by przypisać im, w stosunku do tej osoby, rangę „danych osobowych”. Natomiast nie będą mogły raczej zostać w ten sposób zakwalifikowane informacje niepełniące już takiej roli, na przykład te, które dotyczą miejsca zamieszkania czy wieku członków rodziny, ich postępowania, dokonywanych przez nich transakcji itd.
Zdajemy sobie sprawę, że podane rozgraniczenie oparte jest na nieostrych kryteriach, a przez to też obarczone wadą niepewności prawnej. Krótki okres, w jakim obowiązuje w Polsce ustawa o ochronie danych osobowych, nie pozwala odwołać się pomocniczo do wykształconych w praktyce zasad; nie pozwala też przewidzieć, jakie najprawdopodobniej stanowisko zająłby w tej mierze sąd w razie sporu. Można co najwyżej zakładać, iż oceny mogą okazać się zróżnicowane, a wpływać na nie będzie w konkretnych przypadkach m.in. stopień „jawności” informacji, jej mniej lub bardziej prywatny charakter, cel zbierania i wykorzystania.
21. Specyficzna problematyka powstaje w odniesieniu do traktowania jako danych osobowych adresów internetowych, zwłaszcza adresów poczty elektronicznej (e-mail). Wątpliwość pierwsza bierze się stąd, że adres internetowy odnosi się w istocie nie tyle do osoby, ile do komputera, z którego może przecież korzystać wiele różnych osób. Pojawia się zatem kwestia możliwości pośredniej identyfikacji osoby w takiej sytuacji. Po drugie, szczególny problem powstaje w odniesieniu do tzw. dynamicznych adresów IP (czyli zmieniających się adresów przyznawanych przez dostawcę dostępu do sieci końcowemu użytkownikowi w każdym przypadł. ku korzystania przez niego z sieci).
Wydaje się, że należy zgodzić się z interpretacją uznającą, iż adresy internetowe spełniają kryteria przewidziane dla danych osobowych tylko wówczas, gdy bądź samoistnie (przez swoją treść, np. zawierającą nazwisko i skrót imienia), bądź łącznie z innymi przetwarzanymi wraz z adresem informacjami (np. adresem „normalnym”) pozwalają zidentyfikować Osobę użytkownika (tak E Carey, E-mail Addresses — are they Personal Data 1, Ent.L.R. 2000,nrl,s. 10 i n.).
Należy tu jednak wskazać, że na gruncie prawa obowiązującego w Wielkiej Brytanii przyjmuje się, że wszystkie osobiste adresy internetowe stanowią dane osobowe z tego względu, iż każdy z nich jest połączony zawsze tylko z jedną osobą, a w związku z tym elektroniczny zbiór danych może być zestawiany „wokół” osoby wyznaczonej przez ten adres. Tego rodzaju interpretacja, podobna do przyjmowanej w odniesieniu do numerów rejestracyjnych samochodu czy numerów telefonicznych, zaprezentowana została również w orzeczeniu francuskim C.N.I.L, nr 96-069 z 10 września 1996 r. (cyt. za S. Louveaux, Prwacy Issues (w:) ESPRIT Project 27028 Electronic Commerce Legał Issues Platform). Interpretacja, zgodnie z którą każdy adres e-mail stanowi dane osobowe, zaprezentowana została także w polskiej doktrynie przez W. Zimnego, który twierdzi, iż wynika to z samej możliwości identyfikacji odbiorcy. Zdaniem W. Zimnego: „skoro wiadomość dociera do odbiorcy po adresie e-mailowym, to znaczy, że jest:on identyfikowalny przez ten adres” (W Zimny, Czy adresy e-mailowe są danymi osobowymi, Ochrona Informacji 2002, nr 2, s. 6). Trudno zgodzić się z tym poglądem z dwóch powodów. Po pierwsze fakt, iż wiadomość dociera do odbiorcy, nie zawsze oznacza, że nadawca ma możliwość ustalenia tożsamości odbiorcy. Po drugie, istnieją konta poczty elektronicznej (a także przypisane im adresy e-mail), które związane są z określoną działalnością lub funkcją, a nie z konkretną osobą — w tym przypadku nie ma możliwości zidentyfikowania osoby odbiorcy (np. adres: marketing@firma.com.pl).
Przy interpretacji polskiej ustawy przyłączamy się do opinii A. Kaczmarka (Problemy ochrony danych osobowych., http://www.giodo.gov.pl/nauk_ pol2b.htm), zgodnie z którą adres poczty elektronicznej w większości przypadków umożliwia jednoznaczną identyfikację właściciela konta, czyli osoby, której dotyczy, i powinien być traktowany jako dane osobowe. Wydaje się nam, że stanowią dane osobowe adresy tworzone na bezpłatnych kontach pocztowych także wówczas, gdy administrator nie weryfikował pod względem prawdziwości danych identyfikujących dostarczanych przez osobę zakładającą konto. Brak jest przesłanek dla takiej oceny — jak słusznie stwierdza A. Kaczmarek — w przypadku adresów internetowych przypisanych określonym funkcjom, tworzonych bezimiennie w charakterze skrzynek kontaktowych.
Wątpliwości dotyczą adresów o „przypadkowej” nazwie, co do której administrator nie zadbał o przypisanie odpowiednich informacji osobowych w systemie zarządzającym. X. Konarski (Internet i prawo w praktyce, Warszawa 2002, s. 120) stwierdza, że nie są danymi osobowymi adresy przydzielane bezpłatnie, jeżeli ich treść nie pozwala na identyfikację właściciela (np. gdy użyto pseudonimu), a nie ma możliwości identyfikacji na podstawie innych posiadanych informacji (gdy dostawca usług zaniechał zbierania informacji). W praktyce jednak taka sytuacja zdarza się niezwykle rzadko. Nie sposób jednak zgodzić się z poglądem tegoż autora, iż „o możliwości identyfikacji posiadacza danego adresu e-mail przesądza użycie w nim słownych informacji” (X. Konarski, Komentarz do ustawy o świadczeniu usług drogą elektroniczną, Warszawa 2004, s. 164-165). Mimo „użycia w adresie słownych informacji” ustalenie tożsamości osoby może być niemożliwe, jak również „użycie w adresie informacji numerycznych” nie przesądza jeszcze o braku możliwości identyfikacji użytkownika.
Omawianej problematyki dotyczy też artykuł J. Ożegalskiej-Trybal-skiej, Adresy e-moilowe a dane osobowe (Ochrona Danych Osobowych. Biuletyn Administratorów Bezpieczeństwa Informacji 2001, nr 23, s. 10-13). Autorka ta wyraża pogląd, iż tylko niektóre adresy internetowe mogą identyfikować osoby fizyczne, które się nimi posługują, i związku z tym powinny być traktowane jako dane osobowe. Zwraca też uwagę na problem, jaki się z tym wiąże dla : podmiotów, które w ramach swej działalności prowadzą bazy i zbiory adresów e-mailowych, jako adresów kontaktowych swych klientów. Jeżeli w takiej ’ bazie znajdują się zarówno adresy, które można traktować jako dane osobo- we, jak i takie, które nie spełniają tych kryteriów, to administrator staje przed pytaniem, czy ma obowiązek zgłosić taki zbiór do rej estracji, czy też nie musi tego czynić. Wydaje się, że odpowiedź pozytywna jest tu jedyną trafną.
Art. 7. Ilekroć w ustawie jest mowa o:
1) zbiorze danych — rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
2) przetwarzaniu danych — rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
2a) systemie informatycznym—rozumie się przez to zespól współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
2b) zabezpieczeniu danych w systemie informatycznym — rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nie-uprawnionym przetwarzaniem,
3) usuwaniu danych — rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
4) administratorze danych — rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,
5) zgodzie osoby, której dane dotyczą—rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniema na lub dorozumiana z oświadczenia woli o innej treści,
6) odbiorcy danych — rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upoważnionej do przetwarzania danych,
c) przedstawiciela, o którym mowa w art 31a,
d) podmiotu, o którym mowa w art. 31,
e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem,
7) państwie trzecim — rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego.
1. Pojęcie „zbiór danych” należy do podstawowych pojęć omawianej ustawy. Ustalenie zakresu tego pojęcia ma zasadnicze znaczenie dla wyznaczenia zakresu stosowania całej ustawy oraz jej poszczególnych rozwiązań. W rozumieniu komentowanej ustawy zbiorem danych jest:
– zestaw danych o charakterze osobowym,
– posiadający własną strukturę,
– w którym dane są dostępne według określonych kryteriów.
Nie jest natomiast istotne to, czy zestaw ten jest scentralizowany czy rozproszony, jednolity albo podzielony funkcjonalnie (dyrektywa ujmuje to następująco: „whether centralized, decentralized or disperset on a functional or geographical basis”). Takie podejście uniemożliwia lub przynajmniej utrudnia unikanie poddania się reżimom ustawy o ochronie danych osobowych poprzez dekoncentrację zasobów informatycznych.
2. Pojęcie zbioru danych obejmuje swym zakresem, podobnie jak to czyni dyrektywa, zarówno zbiory zautomatyzowane, jak i niezautomatyzo-wane (manualne, tradycyjne). Jak się zaznacza, w komentarzach do dyrektywy 95/46/WE, która zawiera podobną jak polska ustawa definicję zbioru danych (personal data filing system: „filing system”), zbiorami takimi mogą być również ręczne zbiory ewidencyjne, zgromadzone akta (teczki, kartoteki) osobowe,a nawet zgromadzone znormalizowane materiały, na przykład formularze, kwestionariusze (jednakowe karty o takiej samej strukturze) uporządkowane i ułożone w odpowiedni sposób. Poza zakresem działania przepisów pozostawione są natomiast takie akta, które nie posiadają żadnego strukturalnego układu danych osobowych. Jeśli chodzi o zbiory zautomatyzowane, to będą nimi—jak zaznacza Kaczmarek (Obowiązki administratora danych oraz administratora bezpieczeństwa informacji wynikające z przepisów ustawy o ochronie danych osobowych.
Prawa i obowiązki administratora bezpieczeństwa informacji w świetle -przepisów ustawy ochronie danych osobowych, red. A. Bierć, Warszawa 2000, s. 22) — m.in. bazy danych tworzone przez profesjonalne systemy zarządzania bazami danych, jaki pliki zawierające dane, których strukturę definiuje programista indywidualnie na potrzeby danego systemu. Jak podkreśla przy tym ten autor, kryterium dostępności danych zawartych w zbiorze informatycznym „nie należy oceniać biorąc pod uwagę postać zapisu tych danych na nośniku komputerowym, gdzie są przechowywane, ale przede wszystkim przetwarzający je system komputerowy”. Poza tym „w systemie informatycznym ważne jest to, aby sposób zapisu danych na nośniku komputerowym oraz wbudowane w system procedury ich przetwarzania umożliwiały prawidłowe zestawienie ich struktury wtedy, kiedy to jest potrzebne w czasie ich przetwarzania. Z punktu widzenia ustawy nie jest istotne to, czy dane osobowe zapisane w zbiorze znajdują się fizycznie w jednym pliku danych, rozumianym jako obszar danych na nośniku komputerowym identyfikowany przez system operacyjny komputera, czy w kilkudziesięciu”.
Tak więc można przyjąć w zasadzie jako założenie, iż ochrona nie jest uzależniona od techniki zastosowanej przy tworzeniu czy eksploatowaniu zbioru. Nieistotny jest też rodzaj nośnika zbioru danych; Inne bowiem podejście mogłoby się stać źródłem obchodzenia ochrony. Niemniej:
a) przed nowelizacją z dnia 22 stycznia 2004 r. ustawa czyniła w niektórych rozwiązaniach prawnych dystynkcje wynikające z metody przetwarzania danych i wyróżnia te sytuacje, w których dane przetwarzane są w systemach informatycznych (art. 37 i 38) w wyniku dokonanej zmiany przepisów w zasadzie zrezygnowano z odmiennego traktowania w ustawie przetwarzania danych w systemach informatycznych, pozostawiono jedynie delegację do określenia w drodze rozporządzenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych:
b) w doktrynie podkreśla się specyfikę przetwarzania danych osobowych w systemach informatycznych; prezentowane jest m.in. stanowisko Mednis), iż w ich obrębie za przedmiot ochrony należy uznać poszczególne dane; wskutek nowelizacji z 2004 r. ustawa znajduje zastosowanie do przetwarzania danych w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych (por. komentarz do art. 2 ust. 2); należy odnotować również pogląd (W. Zimny), że wprowadzenie danych osobowych do informatycznej bazy danych przesądza już o tym, iż mamy do czynienia ze „zbiorem danych”, bo-wiem baza taka zapewnia odpowiednią organizację i łatwą dostępność do danych według odpowiednich kryteriów (natomiast jedynie „zestawami danych”, a nie zbiorami w rozumieniu ustawy, pozostają dane osobowe przetwarzane metodami informatycznymi poza bazą danych, np. w plikach tekstowych, plikach edytorów i arkuszach kalkulacyjnych).
3. Zawartość zbioru tworzyć mogą dane (informacje) wyrażone w różny sposób, słowem, dźwiękiem (np. zbiory nagranych wypowiedzi), obrazem(np. zbiory zdjęć używane do identyfikacji sprawców przestępstw) itd.
Można przy tym uznać, że zbiorem danych osobowych jest zarówno zestaw danych odnoszących się do wielu osób, jak i do jednej osoby.
4. Wskazane cechy zbioru pozwalają stwierdzić, że do definiowanego pojęcia nie należą pojedyncze informacje o osobie. Ile ich musi być, aby można było mówić o zbiorze—jest kwestią otwartą. Ustawa nie podaje żadnych wskazówek ilościowych; nie określa, od jakiej liczby danych osobowych możemy mówić o zbiorze relewantnym z punktu widzenia przepisów komentowanej ustawy (w toku prac nad ustawą formułowany był postulat wyznaczenia dla obowiązku rejestracyjnego „dolnej granicy” na poziomie danych dotyczących 100 osób). Nadto, co istotne, nie każde zestawienie danych stanowi ich zbiór w rozumieniu ustawy.
W praktyce pojawiać się mogą trudności także w rozstrzyganiu kwestii, czy w konkretnym przypadku (np. w określonym urzędzie lub w instytucji) mamy do czynienia z jednym zbiorem, w skład którego wchodzi wiele mniejszych podzbiorów, czy też z wielością zbiorów, które łączy pewien związek funkcjonalny. Rozwiązanie tego problemu ma nie tylko wymiar teoretyczny, ale i praktyczny w kontekście obowiązku rejestracji zbiorów.
Ustawa nie wypowiada się również w kwestii trwałości zbioru. Ten stan rzeczy skłania do zajęcia stanowiska, że definicji ustawowej odpowiadają także „zbiory krótkotrwałe”, o ile spełniają pozostałe przesłanki.
Zastrzeżenie, że dane zawarte w zbiorze muszą być „dostępne”, pozwala na wyeliminowanie zestawów (zapisów danych) efemerycznych. Zaznaczmy równocześnie, iż — stosownie do art. 2 ust. 3 — do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddawanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5 u.o.d.o.
Wprawdzie ustawa nie wypowiada się w kwestii, kiedy dane można uznać za dostępne, niemniej trzeba przyjąć, iż trudno uznać ten warunek za spełniony, gdy dotarcie do poszukiwanych danych jest wprawdzie możliwe, lecz bardzo skomplikowane, utrudnione.
6. Zwrócenie uwagi na aspekt struktury zbioru (jego treści, zawartości) daje szansę wykluczenia z zakresu pojęcia zbioru danych różnych „tekstów potoczystych”. Wspomniany zbiór musi wykazywać się strukturą uporządkowaną. Nie powinien być zatem luźnym zestawem, samą tylko sumą elementów składowych. Jak podkreśla A. Mednis (Ustawa o ochronie danych osobowych.., s. 27), tym, co odróżnia zbiór danych od innych zestawów danych jest istnienie cechy albo cech pozwalających na odnalezienie informacji bez potrzeby przeglądania całego zestawu.
Konsekwencją tego uporządkowania jest to, że różne rodzaje danych przedstawiane są w określonym przestrzennym rozmieszczeniu na manualnym nośniku (nośnikach) albo w określonej fizycznej czy logicznej strukturzena nośnikach odczytywanych automatycznie. Głównym tego celem jest ułatwienie wyszukiwania i dostępu do informacji. Jak się zauważa w literaturze (zob. G. Szpor, Publicznoprawna ochrona…, s. 6), w praktyce dość często pojąwiać się mogą wątpliwości, czy w danym przypadku mamy do czynienia ze zbiorem danych w rozumieniu komentowanej ustawy. Rozstrzygnięcie tego leży w sferze uznania administracyjnego, a prawidłowość kwalifikacji podlega weryfikacji ze strony Naczelnego Sądu Administracyjnego.
W literaturze (H. Rowie, Data Protedion Ad 1998, A Practical Guide, London 2000, s. 64) zwraca się uwagę na to, iż uporządkowanie (struktura) zbioru :” może odnosić się albo do indywidualnych osób (oznaczonych nazwiskiem, numerem identyfikacyjnym), albo do oznaczonych kryteriów łączących pewne grupy osób (np. wiek, wykonywana praca, preferencje co do zakupów, prawo do określonych przywilejów, członkostwo w organizacjach).
7. Analizując kwestię definicji zbioru danych pod kątem widzenia organizacji i dostępności jego zawartości podnosi się w literaturze (W. Zimny, Trudności z terminem „zbiór danych”…), że z perspektywy komentowanej ustawy dane mogą występować w trojaki sposób:
b) pojedynczo,
c) w zestawach,
d) w zbiorach.
Podstawowe znaczenie miałoby przy tym rozróżnienie „zestawów” i „zbiorów” oraz odpowiedź na pytanie, czy komentowana ustawa odnosi się tylko do działań związanych ze zbiorami danych, czy też obejmuje zakresem swej regulacji również zestawy danych, a być może nawet pojedyncze dane. Towarzyszy temu pytanie o ilość i charakter kryteriów służących wyszukiwaniu danych niezbędnych po to, aby można było mówić o „zbiorze danych” w rozumieniu ustawy.
8. Zdaniem W Zimnego dane osobowe występują najczęściej w zestawach. Od zbiorów różni je przede wszystkim to, że nie zapewniają jeszcze łatwego dostępu do danych według określonych, co najmniej dwóch, kryteriów. Autor ten zaznacza, iż o złożoności zabiegu przekształcenia zestawu w zbiór danych stanowi wymóg utrzymania dostępności do danych w sytuacji ich wtórnego rozpraszania lub dzielenia na podzbiory; przekształcenie zestawu w zbiór ma zapewnić tę niezależność, nie bacząc na to, czy jest to nam faktycznie potrzebne czy nie. Ujmując w ten sposób, fizycznie, zbiór danych, można wskazać precyzyjnie moment przejścia zestawu w zbiór (gdy pierwsza informacja z zestawu zostanie wprowadzona do pustej jeszcze bazy danych).
Temu rozróżnieniu towarzyszy odmienne traktowanie przez ustawodawcę. Formułuje on pod adresem administratora zestawu danych łagodniejsze wymagania, które dotyczą:
a) wykazania się przesłankami legalizacyjnymi (art. 23 i 27),
b) udzielenia odpowiednich informacji przy zbieraniu danych (art. 24-25),
c) dopełnienia obowiązków z art. 26 oraz
d) dopełnienia obowiązków z art. 47-48 dotyczących przekazywania danych do państwa trzeciego.
Natomiast administratorzy zbiorów danych muszą nadto:
a) przestrzegać szczególnego trybu udostępniania danych znajdujących się w zbiorach (art. 29-30), przed nowelizacją z dnia 22 stycznia 2004 r. przepis art. 29 dotyczył jedynie administratorów z sektora publicznego, natomiast obecnie odnosi się również do sektora prywatnego
b) uwzględniać prawa osób, których dane dotyczą (art. 32-35)
c) dbać o zabezpieczenie zbiorów (art. 36-39), jednakże nowelizacja z roku 2004 zmieniła treść przepisów rozdziału 5, które odnoszą się obecnie do zabezpieczenia danych, a nie—jak wcześniej — do zabezpieczenia zbiorów;
d) zgłosić zbiór do rejestracji (art. 40).
Znacznie bardziej rozbudowana jest też odpowiedzialność karna administratorów zbiorów danych, bowiem do nich odnoszą się postanowienia art. 49,50,52-54.
Niemniej ustawę stosuje się nie tylko do zbiorów danych, ale także do ich zestawów. Tymi ostatnimi są — według W Zimnego — w zdecydowanej większości przypadków skorowidze, rozmaite księgi i wykazy.Nie podzielamy w pełni przedstawionego poglądu (zob. w tej mierze wcześniej już zgłoszone uwagi w pkt 5 komentarza do art. 2), czemu bynajmniej nie sprzeciwia się fakt, iż zgadzamy się z tym, że sposób zorganizowania zebranych danych może w poszczególnych przypadkach wykazywać znaczące różnice. Naszym zdaniem pokazane wyżej dwie grupy przepisów nie upoważniają do stwierdzenia, iż na gruncie ustawy istnieją dwa reżimyprawne: „łagodny” — dla zestawów danych i ich administratorów, oraz „surowy” — dla zbiorów danych i ich administratorów, zwłaszcza gdy przyjmuje się, że nie jest celowe i wymagane przez ustawodawcę dokonywanie
wyraźnej cezury w sferze prawnych uwarunkowań przy pomocy (trudne go zresztą do wykazania) kryterium powstania zbioru. Zauważmy przy tym, iż ustawodawca posługuje się w całej ustawie ogólnym określeniem „administrator danych”, nie wyodrębniając „administratora zbioru danych” i „administratora zestawu danych”. Poza tym przyjęcie, iż niektóre przepisy, na przykład art. 32-35 u.o.d.o., znajdują zastosowanie jedynie w pewnych, nie licznych przypadkach przetwarzania danych, a to wtedy, gdy mamy do czynienia ze zbiorem, a nie zestawem danych — w dużej mierze osłabiałoby ochronę osób, których dotyczą przetwarzane dane. Trudno uzasadnić, dlaczego nie można byłoby powołać się wobec dysponenta na gwarantowane”. ustawą prawo poprawienia, uzupełnienia czy uaktualnienia danych zawartych w zestawie.
9. Jak już zaznaczaliśmy, cechę zbioru danych stanowić ma—stosownie do ustawowej definicji—„dostępność (zawartości danych) według określonych kryteriów”. Jak się czasem zaznacza, chodzi o kryteria pozwalają-ce na w miarę szybki i bezpośredni dostęp do oznaczonych danych. W grę. wchodzi też kryterium alfabetycznego ułożenia nazwisk. Chodzi tu o sytuację, w której po to, aby znaleźć pewne dane, nie jest potrzebne przeglądanie sukcesywnie wszystkich składników zbioru, lecz posłużyć się można kryteriami selekcjonującymi; można przyjąć, iż „dostępność według określonych kryteriów zapewnia już indeks (skorowidz) alfabetyczny”. Takie też stanowisko zajmuje Generalny Inspektor Ochrony Danych Osobowych, który stwierdza: „Każdy zestaw danych osobowych, który umożliwia dostęp do poszczególnych danych przez jakiekolwiek kryterium, jest zbiorem danych w rozumieniu art. 7 pkt 1 ustawy. Alfabetyczne ułożenie danych osobowych według nazwiska lub nazwiska i imienia pozwala na szybkie odnalezienie informacji o osobie bez potrzeby przeglądania całego zestawu” (Wystarczy ułożyć alfabetycznie, Rzeczpospolita z 20 lipca 2000 r., nr 168).
Zdaniem A. Mednisa (Ustawa o ochronie danych osobowych…, s. 27) o zbiorze danych osobowych będzie można mówić tylko wtedy, gdy w rozpatrywanym zestawie istnieć będzie możliwość dostępu do danych poprzez „kryterium osobowe”; zbiorem nie będzie więc wiele akt sądowych poukładanych według sygnatur/według numerów sprawy, mimo iż zawierają one dane osobowe. Według tego autora zbiorem danych nie są także zestawy uporządkowane jedynie chronologicznie, ponieważ „aby znaleźć w nim informacje o konkretnej osobie, niezbędne byłoby przejrzenie całego zbioru, a to nie stanowi poważnego zagrożenia dla prywatności”. Podkreśla on przy tym, że zbiory danych uzyskały szczególną ochronę w ustawodawstwie europejskim ze względu na zagrożenie wynikające z możliwości łatwego dostępu do (uporządkowanych, np. alfabetycznie) danych (zob. A. Mednis, Postulowane zmiany w ustawie o ochronie danych osobowych, Ochrona Danych Osobowych. Biuletyn Administratorów Bezpieczeństwa Informacji 2000, nr 3, s. 13-14).
Odmiennego zdania jest G. Szpor (Publicznoprawna ochrona…, s. 12), którą uważa, iż takie podejście pozwala uniknąć rejestracji zbiorów, mimo że połączenie danych z kilku zbiorów znajdujących się u tego samego administratora pozwala dotrzeć do poszukiwanych danych osobowych bez przeszukiwania całości akt. sądowych.
Należy także wskazać na stanowisko Generalnego Inspektora Ochrony Danych Osobowych w omawianej kwestii. Stwierdza on (w dziale „Zapytania i odpowiedzi”, dostępnym w internecie: www.giodo.gov.pl), że kryterium dostępności z art 7 pkt 1 dotyczy „konkretnych danych osobowych, a nie innych informacji, które mogą w sposób pośredni umożliwić dostęp do poszukiwanych danych. Publikacje w prasie i w książkach są z samej istoty publikacjami, w których pojawiają się dane osobowe, jednak zasadnicze znaczenie ma tutaj to, czy mamy do czynienia z przetwarzaniem w zbiorze. Niewątpliwie, w świetle definicji z art. 7 pkt 1 ustawy, za przetwarzanie w zbiorze uznać należy publikowanie nazwisk w formie list, not biograficznych czy też opracowań encyklopedycznych lub leksykalnych”. Jak dodaje dalej Generalny Inspektor, „uporządkowanie strukturalne oraz kryterium dostępu są tu jasne i określone; występującemu zazwyczaj kryterium alfabetycznemu towarzyszą czasami dodatkowe kryteria (dziedzina, rok ukończenia szkoły itp.). Informacji publikowanych w formie nieuporządkowanej, a więc np. nazwisk, które wymieniane są w artykułach, nie można uznać za formę przetwarzania danych osobowych w zbiorze, Tym samym nie podlegają one przepisom komentowanej ustawy”. Do kategorii zbiorów danych osobowych. Generalny Inspektor zaliczył także ewidencję gruntów i budynków prowadzoną na podstawie ustawy — Prawo geodezyjne i kartograficzne, jak również — co istotne — materiały gromadzone w formie akt, w tym akt sądowych, prokuratorskich i policyjnych (zob. S. Grynhoff i P Woźny (w:) Ochrona danych osobowych w praktyce, pkt 1/1.2, s. 1).
Przy takim podejściu na pytanie o stosowanie ustawy do publikacji-I książkowych (niekiedy też prasowych) zawierających indeksy osobowe należałoby — kierując się przywołanym wyżej wyjaśnieniem oraz stanowiskiem I Generalnego Inspektora — udzielić odpowiedzi twierdzącej. Niemniej :warto pamiętać o zmianach, jakich w tym zakresie dokonała nowelizacja ustawy i uchwalona dnia 22 stycznia 2004 r., wprowadzając wyłączenie stosowania komentowanej ustawy do prasowej działalności dziennikarskiej oraz działalności literackiej i artystycznej (por. na ten temat komentarz do art. 3a ust. 2).
10. Na gruncie niektórych zagranicznych ustawodawstw przyjmuje się iż dla zbiorów danych konieczna jest możliwość porządkowania zawartych w nich danych według co najmniej dwóch kryteriów; w literaturze polskiej do takiego stanowiska przychyla się W Zimny. W przypadku uznania takiego poglądu nie będą stanowić baz danych osobowych liczne sporządzane w tradycyjny sposób listy czy zestawy (np. książki telefoniczne). Inaczej natomiast zostaną ocenione dostarczające więcej możliwości wyszukiwawczych zbiory tych samych danych ujęte na CD-ROM-ie. Konsekwencją przedstawionego podejścia jest zakwestionowanie uznania za zbiór w powyższym rozumieniu taśmy filmowej (kasety wideo) z zapisem zachowań określonych osób (np. zapis dokonany kamerą umieszczoną w miejscu pracy), przy przyjęciu kryterium chronologiczności zapisu.
Użycie w ustawie polskiej, w art. 7 pkt 1, liczby mnogiej („określonych kryteriów”) może wskazywać na to, że także w świetle prawa polskiego konieczne jest istnienie co najmniej dwóch kryteriów umożliwiających dostęp i korzystanie z zawartości zestawu danych po to, aby można było go traktować jako „zbiór danych” w rozumieniu ustawy (tak np. W Zimny, Zbieram.. s. 3). Ewentualny zarzut, jaki wywoływać może takie stanowisko, a który polega na tym, iż prowadzi ono do osłabienia ochrony praw jednostki, daje się w pewnym stopniu łagodzić przez opowiedzenie się za stosowaniem ustawy także do zestawów danych wymienionych w art. 2 ust. 2 (przyjmując że mamy tu do czynienia z kategorią odrębną od „zbioru danych”). Podobne stanowisko w tej kwestii przedstawia A. Drozd (Zakres zakazu, s. 45). v Odmienne jednak podejście—jak się wydaje — prezentuje Generalny Inspektor Ochrony Danych Osobowych. Jego zdaniem nie jest istotna ilość oraz rodzaj kryteriów. W oświadczeniu dostępnym drogą internetową, na rozpowszechnianej z własnej inicjatywy stronie www, który (w dziale „Zapytania i odpowiedzi”, dotyczącym zagadnień prawnych) stwierdza, że „wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy”. A zauważmy, że rzadko tak się zdarza, aby akta tego rodzaju były układane (wewnętrznie porządkowane) według dwóch różnych kryteriów.
Można przypuszczać, że stanowisko to oparte jest na szczególnym odczytaniu art. 7 ust. 1. Wskazuje na to inna odpowiedź Generalnego Inspektora (dotycząca kwestii, czy publikacje w prasie i książkach podlegają przepisom ustawy o ochronie danych osobowych), w której zaznaczono, że „zgodnie z definicją zbioru zawartą w art. 7 pkt 1 ustawy, poprzez zbiór rozumiemy zestaw danych dostępnych według określonego kryterium i posiadający strukturę”. Jak widać, mówiąc o „kryteriach”, liczbę mnogą (którą posłużył się ustawodawca) zastąpiono przez liczbę pojedynczą. Usprawiedliwieniem takiego podejścia jest tego rodzaju rozumienie treści art. 7 pkt 1, w którym odwołanie się przez ustawodawcę do „kryteriów” (wielu kryteriów) ma raczej zwrócić uwagę na to, iż mogą to być różnorakie kryteria, niż stawiać wymóg występowania co najmniej dwóch kryteriów ułożenia zbioru w każdym przypadku.
11. Omawiane zagadnienie ma doniosłe znaczenie praktyczne. W zależności od tego, czy uznamy za cechę konieczną zbioru posłużenie się co najmniej dwoma kryteriami umożliwiającymi dostęp do znajdujących się w zbiorze danych czy też wymagania ograniczymy do jednego kryterium— różny będzie przedmiotowy zakres m.in. obowiązku rejestracyjnego (art. 40), informacyjnego (art. 32), a także odpowiedzialności karnej. Biorąc pod uwagę stanowisko Generalnego Inspektora, interpretacje przyjęte w polskiej doktrynie, przedstawione wyżej argumenty, a także cel i funkcje przepisów o ochronie danych osobowych, przychylamy się do stanowiska, według którego wy-starcza występowanie jednego kryterium wyszukiwawczego w zestawieniu danych, aby zaklasyfikować go jako zbiór danych w rozumieniu art. 7 pkt 1 ustawy, mimo że stanowisko to nie odpowiada literalnemu brzmieniu definicji sformułowanej w art. 7 pkt 1 LL6.da Naszym zdaniem wykładnia językowa powinna w tym przypadku ustąpić pierwszeństwa wykładni celowościowej. Trudno nie dostrzec, że skrupulatne przestrzeganie wymogu co najmniej dwóch kryteriów otwierałoby pole do łatwego obchodzenia ustawy i stawiałoby pod znakiem zapytania osiągnięcie celów, jakim ta ustawa ma służyć. Nadto — powtórzmy sygnalizowaną już interpretację—mówienie o „kryteriach” można traktować jako zwrócenie uwagi na dopuszczalną różnorodność kryteriów, a nie jako stawianie wymogu występowania więcej niż jednego kryterium w każdym przypadku. Takie stanowisko w omawianej kwestii zyskało aprobatę także w. piśmiennictwie przedmiotu (por, M, Sakowska, Pojęcie „zbiór danych” na gruncie ustawy o ochronie danych osobowych, Radca Prawny 2005, nr 2, s. 62).
Postulowana wyżej przez nas wykładnia może być jednak, przyznajmy, kwestionowana. Zastrzeżenia co do niej będą zrozumiałe zwłaszcza na gruncie zamieszczonych w ustawie przepisów karnych; łatwo bowiem podnieść argument, że rozszerzenie znaczenia pojęcia „zbiór danych” prowadzi równocześnie do poszerzenia granic odpowiedzialności karnej. Zdając sobie sprawę z wewnętrznej sprzeczności tego rodzaju interpretacji, uważamy, że na gruncie przepisów karnych pojęcie „zbiór danych” należy interpretować zgodnie z literalnym brzmieniem art. 7 pkt 1, a więc ograniczyć je do ułożonego co najmniej według dwóch kryteriów.
Jednakże odmienna interpretacja tego samego pojęcia na gruncie różnych przepisów jednego aktu normatywnego prowadzić może do poważnych problemów w praktyce stosowania ustawy. Dlatego też warto byłoby rozważyć możliwość jednoznacznego rozstrzygnięcia tej kwestii przy okazji kolejnej nowelizacji ustawy.
12. Przy rozpatrywaniu pojęcia „zbiór danych” pojawiać się mogą pytania i wątpliwości, czy takie ujęcie, z jakim mamy do czynienia na gruncie ’ ustawy, wyznaczające też zakres jej stosowania, jest odpowiednie w przypadku przetwarzania danych osobowych w rozległych, otwartych sieciach komputerowych. Czy w przypadku przynajmniej niektórych operacji na danych osobowych, które odbywając się w sieciach komputerowych, będzie można wskazać na „zbiór” w znaczeniu, które podaje komentowany przepis? Mając na uwadze tego rodzaju wątpliwości, w dyrektywie —jak się zaznacza w komentarzach, chociaż sam tekst nie jest całkowicie jednoznaczny (zob. E. Eh-mann, M. Heflich, EG Datenschutzrichtlinie — Kurzkommentar, Koln 1999, s. 91 in.) — przyjęto, iż zakresem działania jej przepisów objęte jest:
a) zautomatyzowane przetwarzanie, bez odniesienia się do zbiorów danych,
b) niezautomatyzowane przetwarzanie; gdy dane są zgromadzone w zbiorze lub ich zapisanie w takim zbiorze jest zamierzone.
Obowiązek stosowania komentowanej ustawy do zautomatyzowanego przetwarzania danych osobowych {w systemach informatycznych), niezależnie od tego, czy odbywa się ono w zbiorze danych, został zawarty w ustawie w wyniku nowelizacji dokonanej dnia 22 stycznia 2004 r. (por. komentarz do art. 2 ust. 2 pkt 2).
13. Przepis art. 7 pkt 2 wprowadza bardzo szeroko ujętą definicję „przetwarzania danych”, jednego z centralnych pojęć komentowanej ustawy. Oznacza ono jakiekolwiek operacje wykonywane na danych osobowych, od ich pozyskania do usunięcia (wymazania). Terminem tym objęte są takie działania, jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, łączenie, zestawianie, wywoływanie, udostępnianie, rozpowszechnianie, przesyłanie, usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Wystarczy zatem, iż realizowana jest którakolwiek z podanych operacji (np. samo zbieranie danych), a nawet operacja inna niż wymieniona w tym przepisie mająca za przedmiot dane osobowe, aby należało uznać, że dochodzi do „przetwarzania danych”, co otwiera drogę do stosowania regulacji zawartej w omawianej ustawie. Można nawet twierdzić, iż samo czytanie danych osobowych przez administratora danych lub jego pracownika stanowi już przetwarzanie danych w rozumieniu ustawy.
Z materiałów dotyczących prac nad dyrektywą, w której zamieszczono podobnie szeroką definicję pojęcia przetwarzania danych (processing of personal data, „processing”), można wnioskować, iż pojęciem przetwarzania zamierzano objąć też operacje „rozgrywające się” wewnątrz przedsiębiorstwa czy innej jednostki organizacyjnej, w której działa administrator, a więc na przykład przekazywanie danych innym pracownikom jednostki. Za udostępnianie danych należy w każdym razie uznać ich przekazanie innym przedsiębiorstwom należącym do koncernu czy holdingu.
14. Wprawdzie ustawa posługuje się szeroko rozumianym ogólnym pojęciem „przetwarzanie danych”, to jednak przewiduje wyodrębnioną regulację dla niektórych jej „etapów”; chodzi zwłaszcza o:
a)zbieranie danych (art 24 i 25) i
b)udostępnianie danych (art. 29 i 30).
W literaturze zagranicznej niekiedy wyróżniane są trzy podstawowe kategorie czy innymi słowy: stadia, związane z posługiwaniem się danymi, a to:
a) stadium wstępne–zbieranie
b) przetwarzanie,
c) stadium końcowe— wykorzystanie.
15. Przetwarzanie danych nie jest czynnością prawną, lecz czynnością realną, faktyczną, co oczywiście nie wyklucza, iż wypływają z niej konsekwencje prawne. W doktrynie prawa administracyjnego tego typu działa nia określa się mianem czynności materialno-technicznych
16. Przetwarzanie danych może przebiegać w sposób niezautomatyzowany albo zautomatyzowany, całkowicie lub częściowo. Takie podejście odpowiada temu, co przyjmuje dyrektywa Unii, natomiast wykracza poza ramy konwencji 108 Rady Europy z 1981 r., która przedmiotem swego zainteresowania uczyniła zasadniczo tylko automatyczne przetwarzanie danych.
Stwierdzenie ustawodawcy polskiego, że przetwarzaniem danych są zwłaszcza operacje wykonywane w systemach informatycznych, ma chyba za zadanie jedynie podkreślić rangę problematyki przetwarzania danych z wykorzystaniem nowoczesnej techniki informatycznej i przypomnieć o potrzebie poddania tej sfery ocenie prawnej z punktu widzenia niniejszej ustawy. Nie ma żadnych podstaw—wbrew sugestii, jaka wypływać może z wykładni semantycznej — aby zwrot „a zwłaszcza” interpretować w kierunku przyznania przetwarzaniu danych osobowych w systemach informatycznych wyższego poziomu ochrony lub specjalnego traktowania.
17. Ustawodawca polski nie przyjął, znanego niektórym zagranicznym porządkom prawnym, rozwiązania, które poza zakresem pojęcia „przetwarzanie danych” sytuuje dwie odrębne kategorie:
a) zbieranie danych i
b) wykorzystywanie danych.
Konsekwencją tego rozróżnienia jest odrębne traktowanie ograniczeń w sferze przetwarzania i w sferze wykorzystywania danych.
Regulacja występująca w polskiej ustawie z 1997 r. nawiązuje raczej do ujęcia przyjętego w dyrektywie 95/46/WE, gdzie pojęciu „przetwarzanie danych” nadano bardzo szerokie znaczenie. Tak więc de legę lata w Polsce ten, kto jedynie pozyskuje dane osobowe, powinien zważać zarówno na te przepisy, które odnoszą się wprost do ich zbierania, jak i na te, które dotyczą w ogóle procesów przetwarzania.
18. Nowelizacja ustawy o ochronie danych osobowych dokonana w 2001 r. wprowadziła dwie nowe definicje. Pierwsza z nich dotyczy „systemu informatycznego”; uprzednio definicję tego pojęcia zawierał § 1 pkt 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521).
Systemem informatycznym — według tej definicji — był „system przetwarzania informacji wraz ze związanymi z nim ludźmi oraz zasobami technicznymi i finansowymi, który dostarcza i rozprowadza informacje”. Nowa definicja wyjaśnia, iż przez „system informatyczny” należy rozumieć „zespól współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych”. Zasadnicza różnica pomiędzy przytoczonymi definicjami polega na pominięciu obecnie „czynnika ludzkiego” i doprecyzowaniu (uszczegółowieniu) części składowych tego systemu (urządzenia, programy, procedury, narzędzia programowe).
Na temat pojęcia „system informatyczny” wypowiedział się Naczelny Sąd Administracyjny w wyroku z dnia 3 grudnia 2003 r. (II SA 232/02, Wspólnota 2003, nr 26, s. 52). NSA stwierdził, iż: „Definicja systemu informatycznego w ustawie o ochronie danych osobowych jest bardzo pojemna. Nie można z niej wyeliminować procedur przetwarzania danych w innych formach niż elektroniczna. Procedury te mogą mieć charakter tradycyjny (np. ewidencje, skoroszyty), a nie tylko formę skondensowanego, jednomodułowego zbioru danych, np. w komputerze lub na dyskietce. ZUS i inne podmioty mogą więc—jeśli tak wynika z przyjętych przez nie procedur — gromadzić dane w systemie elektronicznym, a w inny sposób rejestrować informacje o osobach, które miały do nich dostęp oraz o czasie udostępniania danych”. Wskazane powyżej orzeczenie straciło częściowo swoją aktualność wskutek wydania rozporządzenia wykonawczego do ustawy, w którym przewidziany został wymóg odnotowywania informacji automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych do systemu informatycznego (por. § 7 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Dz. U. Nr 100, poz. 1024).
Druga nowa definicja w ustawie odnosi się do „zabezpieczenia danych w systemie informatycznym”. Wcześniej pojęciem tym ustawodawca się nie posługiwał i nie było ono definiowane także w aktach wykonawczych do ustawy. Ma ono jednak znaczenie ze względu na rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), które zastąpiło poprzednie rozporządzenie z dnia 3 czerwca.” 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521). Przez wspomniane zabezpieczenie rozumie się „wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem”. Jak łatwo zauważyć, definicja ta bazuje na kryterium ocennym i zrelatywizowanym mamy na myśli odwołanie się do środków „stosownych”. Ową stosowność oceniać wypada nie abstrakcyjnie, lecz z perspektywy konkretnego stanu faktycznego, w tym też konkretnego stopnia zagrożenia, jeśli chodzi o nieuprawnione przetwarzanie danych
Na temat zabezpieczenia danych por. komentarz do przepisów rozdziału piątego ustawy.
19. Niektóre przepisy ustawy wymagają w określonych sytuacjach „usuwania danych” (art. 2 ust. 3, art. 7 pkt 2, art 18 ust. 1 pkt 6, art. 32 .ust. l pkt 6, art. 35 ust. 1). Przez usuwanie danych należy rozumieć:
a) zniszczenie danych osobowych lub
b) taką modyfikację danych osobowych, jaka nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą; w tym przypadku dane tracą śwoj osobowy charakter.
Określenie „usuwanie danych” oznacza zatem takie procedury, których rezultatem jest pozbawienie administratora możliwości jakiegokolwiek dalszego przetwarzania danych osobowych.
W niektórych przepisach (np. art 32) obok kategorii „usuwanie danych” występuje kategoria „wstrzymanie (czasowego lub stałego) przetwarzania danych”. W tych przypadkach zadaniem administratora nie jest wyeliminowanie możności dysponowania określonymi danymi osobowymi, lecz zadbanie o to, aby ich przetwarzanie zostało terminowo lub bezterminowi zawieszone. Bezterminowe (stałe) wstrzymanie przetwarzania danych swymi skutkami zbliża się do usuwania danych, aczkolwiek wspomniane wstrzymanie może być związane z pewnymi okolicznościami, których ustąpienie pozwoli na ponowne przetwarzanie danych.
Por. też komentarz do art. 32.
Stosowanie wielu przepisów komentowanej ustawy wymaga wskazania „administratora danych” (określanego w dyrektywie contro ller, responsable du traitement, für die Verarbeitung Verantwortlicker). Zgodnie z ustawową definicją za administratora danych (w art. 7 pkt 4 u.o.d.o.) uznaje się:
a) organ państwowy lub samorządowy,
b) państwową lub komunalną jednostkę organizacyjną,
c) podmiot niepubliczny realizujący zadania publiczne,
d) osobę prawną, jednostkę organizacyjną nieposiadającą osobowości prawnej lub osobę fizyczną, przetwarzającą dane w związku ze swą działalnością zarobkową, zawodową albo dla realizacji celów statutowych
– który (która) decyduje o celach i środkach przetwarzania danych osobowych (w dyrektywie: „witch determines the purposes and means of the processing of personal data”).
Pojęcie „administrator danych” wprowadzono do polskiego porządku prawnego komentowaną ustawą, jak stwierdza G. Sibiga (Postępowanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 53) „dla oznaczenia podmiotu praw i obowiązków związanych z udziałem w procesie przetwarzania danych osobowych”. Administrator danych to podmiot uprawniony do decydowania o celach i środkach przetwarzania danych osobowych, na który ustawa nakłada wiele obowiązków związanych z przetwarzaniem danych. Administratorem może być zarówno podmiot publiczny, jaki podmiot prywatny.
21. Gdy chodzi o podmioty publiczne, ustalenie kto jest administratorem danych, może niekiedy nie być sprawą prostą. Trudność wynika z dwóch istotnych przyczyn:
– po pierwsze — w odniesieniu do podmiotów publicznych o celu i środkach przetwarzania danych osobowych decyduje zazwyczaj ustawodawca, stanowiąc przepisy prawa;
– po drugie — art. 7 pkt 4 stanowi, iż administratorem może być organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3.
Pierwsza ze wskazanych powyżej kwestii jest konsekwencją zasady legalizmu, zgodnie z którą organy władzy publicznej (administracji publicznej) działają na podstawie i w granicach określonych przepisami prawa (por. art. 7 Konstytucji oraz art. 6 k.p.a.). Podmioty publiczne są zobowiązane do przetwarzania danych osobowych dla realizacji określonych ustawowo celów. Zazwyczaj także środki, jakie służyć mają przetwarzaniu danych osobowych wskazane są w przepisach ustawowych lub w wydanych na ich podstawie przepisach aktów wykonawczych. Stąd też możność decydowania przez Bladoty publiczne o celu i środkach przetwarzania danych osobowych jest stosunkowo niewielka. Jak słusznie stwierdza R. Hauser–(Przetwarzanie danych osobowych: cel i środki, Rzeczpospolita z 6 kwietnia 1999 r.), cel przetwarzania danych osobowych będzie mniej lub bardziej ogólnie wyznaczony przepisami prawa, a określony ich administrator, decydując o celu przetwarzania danych, będzie jedynie konkretyzował jego zakres, aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego.
Druga przyczyna wątpliwości powstających w tym obszarze dotyczy szerokiego kręgu podmiotów publicznych, które mogą być uznane za administratorów danych. Z analizy wskazanych powyżej przepisów ustawy wynika, że administratorem danych mogą być organy państwowe, organy samorządu terytorialnego, ale także państwowe i komunalne jednostki organizacyjne. Niekiedy jednak pojawiają się trudności z jednoznacznym rozstrzygnięciem, czy administratorem danych jest określony organ administracji czy jednostka organizacyjna. Wątpliwości w tym zakresie skłaniają do przyznania racji R. Hauserowi, który stwierdza, że „o tym, czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania. Do uznania danego podmiotu za administratora danych potrzebna jest jednak zawsze analiza konkretnych przepisów mających zastosowanie, w określonej sytuacji, dokonywana często wedle skomplikowanych reguł interpretacji tekstu prawnego” (R.Kauser, Przetwarzanie…)
Różnorodność podmiotów, które mogą być uznawane za administratorów, uwidacznia się dobitnie w sprawozdaniach Generalnego Inspektora Ochrony Danych Osobowych (por. np. Sprawozdanie z działalności Generalnego Inspektora Ochrony Danych Osobowych za okres 01.0l.2002r-31.12.2002 r., druk sejmowy nr 1802 z dnia 15 lipca 2003 r.). Za administratorów danych Generalny Inspektor uznaje różne organy i jednostki organizacyjne, na przykład za administratora danych zawartych w ewidencji kierowców prowadzonej w związku z wydawaniem praw jazdy uznawany jest starosta powiatowy (ibidem, s. 19); za administratora danych właścicieli pojazdów przetwarzanych w związku z pobieraniem opłat za parkowanie pojazdów GIODO uznaje miasto (gminę) (ibidem, s. 21); za administratora danych przetwarzanych przez Miejski Ośrodek Pomocy Rodzinie uznawany jest dyrektor tego ośrodka (ibidem, s. 44); za administratora danych osób bezrobotnych zarejestrowanych w Powiatowym Urzędzie Pracy GIODO uznaje ten urząd (ibidem, s. 48), za administratora danych dotyczących członków służby zagranicznej uznawane jest Ministerstwo Spraw Zagranicznych (ibidem, s. 64).
Niekiedy jednak, nawet po dokonaniu szczegółowej analizy przepissów, trudno jednoznacznie rozstrzygnąć, kto w konkretnym przypadku jest administratorem danych osobowych. Możliwość zaistnienia tego rodzaju problemów dostrzeżono podczas prac nad dyrektywą 95/46/WE, co znalazło odzwierciedlenie w przepisie art. 2 Ht. d) dyrektywy, zgodnie z którym jeżeli cele i sposoby przetwarzania danych są określone w ustawach i innych przepisach krajowych lub przepisach Wspólnoty, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalone przez ustawodawstwo krajowe lub ustawodawstwo Wspólnoty.
Z takiej możliwości skorzystał kilkakrotnie polski ustawodawca, wskazując konkretne podmioty jako administratorów danych. Zgodnie z przepisami ustawy z dnia 20 czerwca 1997 r. — Prawo o ruchu drogowym (tekst jedn. Dz. U. z 2003 r. Nr 58, poz. 515 z późn. zm.) administratorem danych zawartych w centralnej ewidencji pojazdów oraz centralnej ewidencji kierowców jest minister właściwy do spraw administracji publicznej (por. art. 80a ust. 4 oraz art. 100a ust. 4). Ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. Nr 50, poz. 580 z późn. zm.) wskazuje Biuro Informacyjne Kra-jowego Rejestru Karnego jako administratora danych zgromadzonych w rejestrze (art. 4 ust. 2). Organem Biura, który kieruje jego działalnością, jest, zgodnie z art. 3 ustawy, dyrektor Biura, powoływany i odwoływany przez Ministra Sprawiedliwości. W art. 80 ust. 3 ustawy z dnia 6 września 2001 r. transporcie drogowym (Dz. U. Nr 125, poz. 1371 z późn, zm.) określono, że administratorem danych zgromadzonych w centralnej ewidencji naruszeń stwierdzonych w wyniku przeprowadzanych kontroli jest Główny Inspektor Transportu Drogowego — centralny organ administracji rządowej podległy ministrowi właściwemu do spraw transportu.
Jednakże nadal, w przeważającej większości przypadków, regulacje prawne nie zawierają wskazania podmiotów publicznych będących administratorami danych i ocena w tym zakresie opierać się musi na analizie przepisów dotyczących zakresu kompetencji związanych z przetwarzaniem danych, pozwalających na stwierdzenie, kto decyduje o konkretyzacji celów środków przetwarzania danych osobowych
22. Administratorami danych osobowych mogą być także podmioty prywatne (podmioty niepubliczne realizujące zadania publiczne, osoby fizyczne, osoby prawne oraz jednostki organizacyjne nieposiadające osobowości prawnej, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych), które decyduj ą o celach i środkach przetwarzania danych osobowych. Administratorem danych może więc być na przykład bank, fundusz emerytalny, firma ubezpieczeniowa, dowolna spółka, a także hurtownia lub wypożyczalnia kaset wideo. Co istotne, to właśnie te podmioty mają status administratora danych, natomiast administratorem nie jest osoba lub osoby pełniące funkcje kierownicze (dyrektor, prezes, zarząd itd.), podobnie jak oznaczony pracownik, któremu powierzono wykonywanie obowiązków związanych z ochroń ną i operacjami na danych osobowych. Funkcji administratora danych nie można na takie osoby scedować. Powyższą interpretację potwierdzają nie-które inne przepisy ustawy (np. art. 15,16,23 ust. 1 pkt. 5, art. 24 ust. 1 pkt.l, art. 25 ust. 1 pkt. 1 oraz ust 2 pkt 4, art. 31 ust. 1, art. 40,46), a także przepisy rozporządzeń wykonawczych do ustawy.
Administratorem danych może być również osoba fizyczna, jednak— jak stwierdza G. Sibiga—tylko w sytuacji indywidualnego, niezinstytucjonalizowanego przetwarzania danych osobowych, na przykład naukowiec, który dla potrzeb własnej pracy badawczej gromadzi dane osobowe w ramach prze- prowadzanych ankiet (G. Sibiga, Postępowanie w sprawach ochrony…, s. 54),
23. Administratorem jest podmiot zajmujący się (przede wszystkim lub ubocznie, na własne lub cudze potrzeby) przetwarzaniem danych, o ile tylko podejmuje samodzielnie decyzje dotyczące celów i środków przetwarzania. Należy przy tym — naszym zdaniem — przyjąć, iż pojęcie „administrator danych” nie powinno być zawężone do tych podmiotów, które wykonują wszystkie operacje składające się na pojęcie „przetwarzanie” danych.
Za administratorów uznać trzeba też te podmioty, które samodzielnie prowadzą jedynie na przykład zbieranie i przechowywanie danych czy zajmu ją się wyłącznie ich opracowywaniem albo udostępnianiem. W piśmiennictwie przedmiotu przyjmuje się, że w odniesieniu do kwestii ochrony pracowniczych danych osobowych oraz kierowania pracownikami przetwarzającymi wszelkie kategorie danych osobowych w zakładzie pracy status administratora należy przypisać pracodawcy w rozumieniu art. 3 k.p. (J. Borowicz, Obowiązek prowadzenia przez pracodawcę dokumentacji osobowej i organizacyjnej z zakresu ochrony danych osobowych, Praca i Zabezpieczenie Społeczne 2001, nr 3, s. 10). Zgodnie ze wskazanym powyżej przepisem pracodawcą jest jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudniają one pracowników. Za pracodawcę będącego jednostką organizacyjną czynności w sprawach z zakresu prawa pracy dokonuje osoba lub organ zarządzający tą jednostką albo inna wyznaczona do tego osoba (art. 31 § 1 k,p.).
Niekiedy wskazuje się, iż do podstawowych obowiązków administratora należą:
a) obowiązki informacyjne w stosunku do tych, których dotyczą przetwarzane dane,
b) obowiązki rejestracyjne co do zbiorów danych osobowych,
c) zabezpieczenie danych, zachowanie ich poufności, integralności i nienaruszalności.
Obowiązki administratora dzieli się też na takie, które mają charakter:
a) administracyjny,
b) osobowy,
c) techniczny.
Administrator, co chyba najistotniejsze, odpowiada za legalność przetwarzania danych oraz za zapewnienie odpowiednich warunków (technicznych i organizacyjnych) decydujących o właściwej ochronie danych osobowych.
24. W naszym przekonaniu nie ma przeszkód, aby z danym zbiorem związanych było dwóch lub nawet więcej administratorów. Sytuacja taka wystąpić może wówczas, gdy zbiór pozostaje we wspólnej dyspozycji więcej niż jednego podmiotu. W tym przypadku — jak to wyraźnie przewiduje na przykład ustawa brytyjska — mogą oni działać wspólnie (a więc decyzje dotyczące zbioru podejmować we wzajemnym uzgodnieniu, w tym także opartym na podziale kompetencji) albo samodzielnie (i wtedy każdy z nich posiadałby status samodzielnego administratora, łącznie z wiążącymi się z tym uprawnieniami i obowiązkami).
Wielość administratorów danych może zaistnieć również na gruncie art. 31, jeśli osoba, która przetwarza dane na podstawie umowy zawartej z administratorem, wykracza swym działaniem poza ramy tej umowy. W zakresie, w którym decyduje ona o celach i środkach przetwarzania danych, staje się także administratorem danych. Ustawę interesuje przede wszystkim „faktyczne” decydowanie o celach i środkach przetwarzania danych; czy i w jakim stopniu to decydowanie jest „legalne”, nie ma dla definicji pojęcia administratora danych rozstrzygającego znaczenia. Możliwa jest jednak odmienna interpretacja, zgodnie z którą administratorem danych jest jedynie podmiot uprawniony do decydowania o celach i środkach przetwarzania danych, natomiast podmiot, który bezprawnie przywłaszczył sobie dane osobowe, nie jest administratorem danych, a jedynie administrującym danymi. Taką wykładnię przyjął Naczelny Sąd Administracyjny w wyroku z dnia 30 stycznia 2002 r. (II SA 1098/01, Wokanda 2002, nr 7-8, poz. 70).
25. Charakter prawny podmiotu jest w zasadzie obój ętny dla przyznania statusu administratora danych; nie maj ą też znaczenia inne okoliczności, jak choćby to, kogo obciążają koszty finansowe przetwarzania danych. Natomiast wspomniany prawny charakter, podobnie jak sposób przetwarzania danych (tradycyjny lub informatyczny), cel przetwarzania danych osobowych (badanie opinii publicznej — art. 25 ust 1 pkt 3; marketing — art. 32 ust. 1 pkt 8 i ust. 3; wystawienie faktury, rachunku, prowadzenie sprawozdawczości finansowej — art. 43 ust. 1 pkt 8) wpływają na zakres obowiązków administratora związanych z przetwarzaniem danych.
26.Administrator danych nie musi oczywiście „osobiście” przetwarzać danych. Tak więc nie każdy dysponent danych jest „administratorem danych” w podanym wyżej znaczeniu. Nie jest administratorem ten, kto przetwarza dane w pełni według poleceń, wskazówek innego podmiotu, na jego zlecenie. Jak wyjaśnił Generalny Inspektor Ochrony Danych Osobowych (Agent nie jest administratorem, Rzeczpospolita z 3 listopada 1999 r.), nie jest administratorem danych sam agent ubezpieczeniowy, który zawiera umowy z poszczególnymi klientami i uzyskuje od nich dane osobowe, lecz towarzystwo ubezpieczeniowe. Agent przetwarza dane na rzecz towarzystwa ubezpieczeniowego, które „decyduje o celach i środkach” tego przetwarzania. Na nim też ciąży min. obowiązek zgłoszenia zbioru do rejestracji. Natomiast agent jest tu podmiotem, któremu administrator danych powierza w umowie — na mocy art. 31 u.o.d.o. — przetwarzanie danych. Jego obowiązkiem jest podjęcie przed rozpoczęciem przetwarzania danych środków technicznych i organizacyjnych (o których mowa w art. 36-39) mających na celu zabezpieczenie danych, w szczególności przed udostępnieniem danych osobom nieupoważnionym, zabraniem przez osobę nieupoważnioną, uszkodzeniem lub zniszczeniem. Odmienny status mają brokerzy ubezpieczeniowi oraz asekuracyjni, którzy są uznawani za administratorów danych ze względu na to, że występują jako pełnomocnicy ubezpieczonego i decydują o celu i środkach przetwarzania danych klientów (D. Gaudyn, Doświadczenia zakładów ubezpieczeń w stosowaniu ustawy o ochronie danych osobowych, Prawo Asekuracyjne 2003, nr 1, s. 53).
Wątpliwości rodzić się mogą co do tego, w jakim zakresie dostawcy usług w sieciach komputerowych (service providers) powinni być uznawani za administratorów danych w rozumieniu komentowanej ustawy. W tych najbardziej typowych sytuacjach, gdy nie mają oni bezpośredniego lub pośredniego wpływu na treść danych, gdy nie zaznajamiają się z ich treścią i—co zasadnicze — nie mają wpływu na cel przetwarzania danych, brak pod- staw do traktowania ich jako administratorów danych. Ten punkt widzenia nie wyłącza oczywiście w żadnej mierze oceniania ich postępowania z perspektywy innych przepisów prawa; nie wyłącza również ich odpowiedzialności na innej niż ustawa o ochronie danych osobowych podstawie, zwłaszcza na podstawie przepisów kodeksu cywilnego.
27. Nie jest — dodajmy dla wyjaśnienia — administratorem danych osoba, której administrator powierzył przetwarzanie danych. Wskazuje na to brzmienie przepisu art. 31 u.o.d.o., w szczególności jego ust. 4. Przypomnijmy, iż ustawa w powołanym przepisie przewiduje sytuacje, w których administrator danych powierza innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Nie ma chyba też przeszkód, aby powierzenie obejmowało samo zbieranie danych.
Przyznanie przez ustawodawcę zasadniczej roli kryterium „samodzielności podejmowania decyzji dotyczących celów i środków przetwarzania” może skłaniać do tego, aby status administratora danych przyznać któremuś z wyżej wymienionych podmiotów, mimo iż sam nie będzie zbierał czy przetwarzał danych osobowych, lecz czynności te zleci osobie trzeciej. Może też być tak, że administrator tylko w pewnym zakresie będzie sam przetwarzał dane, wykonywanie zaś pozostałych operacji powierzy innemu podmiotowi. Dla kwestii określenia administratora zawsze ważne pozostanie tylko to, kto podejmuje decyzje wskazujące na cele i środki przetwarzania danych.
Nie bardzo natomiast wiadomo, j ak ustosunkować się do — nie tylko chyba teoretycznej — sytuacji, w której podmiot zlecający zbieranie i przetwarzanie danych zarazem określa cele tego przetwarzania, natomiast zleceniobiorca decyduje o środkach tego przetwarzania. Trudność wynika stąd, iż — ściśle interpretując art. 7 pkt 4—dla statusu „administratora danych” wymagane jest kumulatywne spełnienie obydwu wskazanych przesłanek (decydowanie o celach i decydowanie o środkach przetwarzania). Wydaje się, że ustawodawca nie przewidział tego, iż kompetencje te mogą być rozłączne.
28. Zrozumienie, kogo właściwie należy na gruncie ustawy uznawać za administratora danych, komplikuje fakt, że ustawa wielokrotnie posługuje się też zwrotem „ten, kto administruje zbiorem danych”. Prima facie można sądzić, że chodzi tu o synonim określenia „administrator danych”. Tak jednak nie jest. Wspomnianym zwrotem posługują się przepisy karne omawianej ustawy (art. 50-52 i 54). Nakładaj ą one kary (grzywny) ograniczenia wolności, pozbawienia wolności) na tych, którzy administrując zbiorem danych:
a) przechowują w zbiorze dane osobowe niezgodne z celem utworzenia zbioru,
b) udostępniają lub umożliwiają dostęp do danych osobowych osobom nieupoważnionym, mimo zobowiązania do ochrony tych danych,
c) naruszają obowiązek zabezpieczenia danych przed ich zabraniem przez osobę nieupoważnioną, przed uszkodzeniem, przed zniszczeniem,
d) nie dopełniają obowiązku informowania osoby, której dane dotyczą, o jej prawach lub obowiązku przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych w ustawie
Sformułowania przytoczonych przepisów, a przede wszystkim podstawowe zasady prawa karnego, nakazują w „tym, kto administruje zbiorem danych” widzieć tylko osobę fizyczną. Należy przyjąć, że w sytuacjach, gdy status administratora danych osobowych nie przysługuje osobie fizycznej—„administrującym (tym, kto administruje) zbiorem danych” nie jest administrator danych, lecz: albo
a) osoba kierująca określoną jednostką, albo
b) osoba działająca w tej jednostce, do obowiązków której to osoby należy zbieranie danych osobowych i „obsługa” zbioru takich danych.
Prawidłowe wydaje się — naszym zdaniem — stanowisko pierwsze
Por. w tej kwestii komentarz do art. 50.
Na rozróżnienie pomiędzy administratorem danych a administrującym danymi wskazał Sąd Najwyższy w postanowieniu z dnia 11 grudnia 2000 r (IIKKN 438/00, OSNKW 2001, nr 3-4, poz. 33). Zgodnie z tezą tego orzeczenia, na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania tych danych (art. 7 pkt 4 ustawy), natomiast administrującym —także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 50,51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy, przy czym odpowiedzialność karna administrującego niebędącego administratorem danych wchodzi w rachubę wówczas, gdy jego zachowanie — uznane za karalne przez ustawę — wynika z powierzonych mu czynności przetwarzania danych.)
Na tle rozgraniczenia funkcji „administratora danych” i,,administru-jącego danymi” wydane zostało orzeczenie Naczelnego Sądu Administracyjnego z dnia 30 stycznia 2002 r. (II SA 1098/01, Wokanda 2002, nr 7-8, poz. 70),NSA podkreślił w nim, że są to różne podmioty, a Generalny Inspektor Danych Osobowych może ze swych kompetencji korzystać tylko w stosunku do administratora danych. Natomiast samemu administrującemu nie możeon nic nakazać ani zastosować w stosunku do niego żadnego z przyznanych mu środków, bowiem administrujący nie może być adresatem jakiejkolwiek decyzji Generalnego Inspektora. Należy tu jednak wspomnieć, iż wskutek nowelizacji z dnia 22 stycznia 2004 r. zmianie uległ art. 18; zgodnie z obecnym brzmieniem tego przepisu adresatem decyzji GIODO mogą być także inne podmioty, a nie tylko — jak pierwotnie przewidywał wskazany przepis — administrator danych. Pojęcie administrującego—według NSA—ma szerszy charakter; obejmuje zarówno administratora, jak i administrującego, który znalazł się nielegalnie w posiadaniu danych bądź nielegalnie je przetwarza. Bezprawne przejęcie danych nie oznacza, że sprawca stał się ich administratorem. Wyjaśnijmy, że w rozstrzyganej sprawie status administrującego przyznany został byłemu prezesowi spółki, który odchodząc zatrzymał nielegalnie sporządzony w spółce zbiór danych osobowych. Zdaniem NSA były prezes nie jest administratorem danych — tj. osobą fizyczną przetwarzającą dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (art. 3 u.o.d.o.). Stanowisko NSA spotkało się z krytyką ze strony skarżącego. Podniósł on m.in., że status administratora nie zależy przecież od tego, w jaki sposób ktoś wszedł w posiadanie danych, lecz od tego, czy je przetwarza.
29. Niezależnie od wskazanych już niejasności sytuację prawną komplikować mogą dodatkowo inne przepisy, które wzbogacają omawiany „pejzaż terminologiczny”. Chodzi tu przede wszystkim o przepis art. 36 ust. 3, w którym ustawa nakłada na administratora danych obowiązek wyznaczenia administratora bezpieczeństwa informacji. Wskazany przepis został do dany do ustawy wskutek nowelizacji z dnia 22 stycznia 2004 r. Przed nowelizacją obowiązek taki przewidziany był w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 z późn. zm.), jednak legalność wprowadzenia tego obowiązku w przepisach aktu wykonawczego była kwestionowana (por. W. Zwany, Legalność ustanowienia, relacja do administratora danych, odpowiedzialność i rola administratora bezpieczeństwa informacji Ochrona Danych Osobowych. Biuletyn Administratorów Bezpieczeństwa Informacji 2000,nr 1,8.6)
Przedstawione wyżej ujęcie koresponduje z treścią art. 51 u.o.d.o. i potwierdza wcześniej wyrażony pogląd, iż „tym, kto administruje zbiorem danych” — tam, gdzie nie chodzi o przetwarzanie danych przez osoby fizyczne —nie jest pracownik, lecz raczej kierownik czy osoba działająca w charakterze organu osoby prawnej, która to osoba prawna (i podobnie—jednostka organizacyjna nieposiadająca osobowości prawnej) zachowuje status „administratora danych”. Wspomniany art. 51 wyróżnia bowiem dwie kategorie osób:
a) tego, kto administruje zbiorem danych i
b) tego, kto jest obowiązany do ochrony danych osobowych.
Tą drugą osobą będzie zapewne osoba posiadająca upoważnienie do przetwarzania danych nadane przez administratora danych, w tym również pracownik pełniący rolę administratora bezpieczeństwa informacji (przypomnijmy, art. 51 ust. 1 u.o.d.o. stanowi: „Kto administrując zbiorem danych lub będąc zobowiązanym do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega (…)”).
Trudno tego fragmentu komentarza nie zakończyć uwagą, iż uregulowanie, przy którym precyzyjne wyznaczenie treści poszczególnych pojęć przysparza znacznych kłopotów, a nadto terminy bardzo bliskoznaczne używane są w różnym znaczeniu, pozostawia wiele do życzenia, jeśli chodzi o poprawność techniki legislacyjnej i o spełnienie postulatu jasności prawa.
30. W wielu przepisach ustawa uzależnia przetwarzanie danych od zgody osoby, której te dane dotyczą. Równocześnie podane zostały dwie istotne wskazówki co do samej zgody i jej wyrażenia.
Po pierwsze, ustawa jednoznacznie uznaje zgodę (czy raczej udzielenie zgody) za oświadczenie woli. Po drugie, zastrzeżono, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Tak więc zgoda jedynie domniemana lub dorozumiana jest prawnie nieskuteczna jako przesłanka legalizująca przetwarzanie danych.
31. Stwierdzenie, że zgodę na przetwarzanie danych traktować należy jako oświadczenie woli, otwiera drogę do wykorzystania przepisów kodeksu cywilnego poświęconych oświadczeniom woli. Mamy na myśli prze de wszystkim przepisy o wykładni oświadczeń woli, o wadach oświadczeń woli oraz o chwili złożenia i odwołania oświadczenia woli (por. pkt 7 komentarza do art. 23).
Jeżeli osoba zbierająca czy w inny sposób przetwarzająca dane osobowe zwraca się o zgodę, musi to zostać sformułowane w sposób jednoznaczny i wyróżniać się spośród innych pochodzących od tej osoby informacji i oświadczeń. W żadnej mierze nie jest wystarczające odsyłanie do treści innych dokumentów, na przykład ogólnych warunków umów, do odrębnie rozsyłanych prospektów lub reklam; podobnie odnieść się należy do powoływania się na znajdujące się w lokalu wywieszki.
Traktowanie zgody jako oświadczenia woli nie jest równoznaczne z uznaniem, że występuje tu czynność prawna. Można bronić zdania, iż nie ma podstaw ku temu, aby dopatrywać się tu czynności prawnej z wszystkimi wynikającymi z tego konsekwencjami; mamy na myśli zwłaszcza ocenę skuteczności zgody ze względu na zdolność do czynności prawnej osoby, która takiej zgody udziela. A zatem o tym, czy zgoda jest skuteczna, nie decydowałby automatycznie wiek osoby (ewentualnie orzeczenie w sprawie ubezwłasnowolnienia), lecz takie okoliczności, jak to, czy określona osoba jest w stanie ocenić i zrozumieć „istotę” zgody, jej znaczenie i skutki. Naturalnie w licznych przypadkach z brakiem tych zdolności faktycznych może iść w parze brak pełnej zdolności do czynności prawnych w rozumieniu prawa cywilnego. Wówczas do przetwarzania danych osobowych, na przykład niepełnoletnich, potrzebna będzie zgoda ich przedstawicieli ustawowych, zazwyczaj rodziców (nie zastępuje jej zgoda kierownika szkoły, wychowawcy itp.). Potrzeba zgody przedstawiciela wydaje się niewątpliwa, zwłaszcza gdy w grę wchodzą dane sensytywne. Może być jednak inaczej; w szczególności osoba, która nie osiągnęła jeszcze pełnej zdolności do czynności prawnych, może postępować z całkowitym rozeznaniem, jeśli chodzi o zezwalanie na przetwarzanie jej danych osobowych i nie ma powodów, aby skuteczność jej zgody pozbawić znaczenia, natomiast w to miejsce domagać się zgody przedstawiciela ustawowego. Wyjątek w tej mierze stanowić może ewentualnie zezwolenie na przetwarzanie danych sensytywnych, co zaznacza art. 27 ust. 2 pkt 3 u.o.d.o. (zob. też komentarz do art. 23 ust 1 pkt 1 oraz do art. 27 ust. 2 pkt 3).
Uważamy, iż dopuścić należy—choć jej nie preferujemy—odmienną od wyżej przedstawionej interpretację, w myśl której zezwolenie na przetwarzanie danych oceniane byłoby w kategoriach oświadczeń o randze czynności prawnych; do dyskusji pozostałaby jednak wówczas kwestia, czy udzielając zgody na przetwarzanie danych osoba ograniczona w zdolności do czynności prawnych „zaciąga zobowiązanie lub rozporządza swoim prawem” (tak stanowi art. 17 k.c), czy zatem ważność takiej czynności zależy od zgody przedstawiciela ustawowego.
Nadto zaznaczmy, iż przy udzielaniu zgody przez przedstawiciela ustawowego pojawia się jeszcze dalsze pytanie: czyjego zgoda, wobec braku udzielenia zgody (lub, co ważniejsze, wręcz odmowie udzielenia) ze strony osoby niemającej pełnej zdolności do czynności prawnych, jest wystarczająca? Zastrzeżenia biorą się stąd, że prawo do prywatności, a w istocie także prawo do ochrony danych osobowych, mają status podstawowych praw konstytucyjnych, przyznanych i gwarantowanych każdemu, niezależnie od takich okoliczności, jak na przykład wiek. Jeżeli zatem nawet opowiemy się za stanowiskiem, iż wykonywanie tych praw powinno być, pomimo tego statusu, poddawane ogólnym regułom wykonywania praw cywilnych, to trudno nie dostrzec wątpliwości, jakie pojawiać się będą w niektórych sytuacjach, na przykład wówczas gdy daną osobę dzieli już niewiele od uzyskania pełnoletności, jej sprzeciw co do przetwarzania danych jest jednoznaczny i kategoryczny, zaś zgoda przedstawiciela wyrażona została dla osiągnięcia korzyści majątkowej. Być może w wielu przypadkach racjonalne byłoby przyjęcie interpretacji, według której zgoda na przetwarzanie danych w odniesieniu do osoby małoletniej lub ubezwłasnowolnionej powinna być wyrażona przez przedstawiciela, z zastrzeżeniem skuteczności tylko wobec braku sprzeciwu ze strony bezpośrednio zainteresowanego. Dalej idącą interpretację w tym zakresie zaprezentował R. Adamus, zdaniem którego w przypadku osoby posiadającej ograniczoną zdolność do czynności prawnych wymagana jest zarówno zgoda tej osoby, jak i jej przedstawiciela ustawowego (R. Adamus Zgoda na przetwarzanie danych osobowych osoby nią/osiadającej -pełnej zdolności do. czynności prawnych, Gazeta Sądowa 2005, nr 2, s. 24).
Jeden z współautorów niniejszego komentarza uważa jednak, że zdolność do wyrażenia zgody na przetwarzanie danych osobowych należy oceniać w oparciu o ogólne kryteria przewidziane w kodeksie cywilnym, co jego zdaniem wynika z faktu, iż ani ustawa o ochronie danych osobowych, ani też inne akty normatywne odnoszące się do przetwarzania danych nie ustalają innych wymogów co do zdolności wyrażenia zgody na przetwarzanie danych. Dodatkowym argumentem przemawiającym za przyjęciem takiego stanowiska jest okoliczność, iż ocena tego, czy osoba, która wyraża zgodę, jest w stanie zrozumieć i ocenić skutki zgody, a zatem czy działa z rozeznaniem, jest w przypadku zgody na przetwarzanie danych często niezwykle trudna a niekiedy nawet niemożliwa. ; ;
32. Odwoływanie się do zgody osoby, której dane dotyczą, nie wyklucza, iż zgoda udzielona może być nie tylko „osobiście”, ale również przez osobę upoważnioną, przez przedstawiciela. Potrzeba taka pojawić się może na przykład w zakresie zbierania niektórych danych osobowych dotyczących pracowników. Mogą oni w tym względzie udzielić upoważnienia organizacjom reprezentującym zatrudnionych.
Jeżeli działanie przedstawiciela mieści się w granicach udzielonego mu upoważnienia, zaś sama zgoda ma charakter wyraźny, wywołuje ona takie same skutki, jak zgoda osoby, której dane są przedmiotem przetwarzania.
Określić także należy, komu zgoda powinna być złożona, czy innymi słowy: komu ma być złożone oświadczenie woli wyrażające zgodę. Należy przyjąć, iż powinno być ono złożone temu, kto decyduje o przetwarzaniu danych osobowych, a więc administratorowi danych. Nic nie stoi jednak na przeszkodzie, aby administrator upoważnił określoną osobę do przyjmowania takich oświadczeń.
33. Wykluczenie możliwości wyrażenia zgody w sposób domniemany lub dorozumiany służy istotnemu wzmocnieniu pozycji i ochrony interesów osób, których dane osobowe są przetwarzane. Brzmienie komentowanego przepisu skłania do wniosku, iż zgoda nie może być wyrażona per facta concludentia. Taką regulację uznać by można za j eden z przypadków przewidzianych przepisem art. 60 k.c. Stwierdza on bowiem, że „z zastrzeżeniem wyjątków w ustawie przewidzianych wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny (oświadczenie woli)”. W tym kontekście należy też opowiedzieć się za tym, że zgoda na przetwarzanie danych nie może być wyrażona poprzez milczenie lub inne tylko „pasywne” działanie.
Czy generalny brak akceptacji dla zgody dorozumianej jest trafnym rozwiązaniem legislacyjnym — to kwestia dyskusyjna. Zauważmy, że polska ustawa jest w tej mierze bardziej restryktywna niż dyrektywa UE; łatwo również wskazać na sytuacje, gdy określone zachowanie zainteresowanego, związane z przekazywaniem przez niego danych osobowych, jednoznacznie wskazuje na jego zgodę na przetwarzanie tych danych w granicach celu ich przekazania.
W orzeczeniu z dnia 4 kwietnia 2003 r. (II SA 2135/02, omówienie Mon. Pl. 2003, nr 10, s. 435) Naczelny Sąd Administracyjny podkreślił, że zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażenia. W stanie faktycznym, który był podstawą orzekania, osoby fizyczne udzielały zgody na przetwarzanie danych osobowych zgodnie z regulaminem, który jednak nie był dołączony do deklaracji o zgodzie. Co przy tym istotne, z treści regulaminu wynikał bardzo szeroki zakres, jaki obejmowała zgoda (m.in. przesyłanie materiałów promocyjnych i przekazywanie danych innym podmiotom). Sąd, podzielając stanowisko GIODO, stwierdził, że w zakresie udzielenia zgody na przekazywanie danych innym podmiotom nie ma zastosowania przepis art. 384 § 2 k.c. (pozwalający posługiwać się w stosunkach z konsumentami wzorcami umów, nawet jeżeli wzorce te nie zostały im doręczone, o ile strona umowy z łatwością mogła dowiedzieć się o treści wzorca), gdyż umowę o przekazanie danych nie można uznać za umowę zawieraną w drobnych, bieżących sprawach życia codziennego.
34. Zastrzeżenie, iż zgoda nie może być dorozumiana, nie jest równo znaczne z obowiązkiem wyrażenia zgody w formie pisemnej. Tego rodzaju „podwyższone” wymaganie odnosi się do przetwarzania szczególnej kategorii danych osobowych—tzw. danych wrażliwych (art. 27 ust. 2 pkt 1). W pozostałych przypadkach dostateczna jest zgoda ustna. Musi być ona jednak wyrażona ze świadomością wynikających z niej tak korzystnych, jak i nie korzystnych konsekwencji.
Zgoda nie powinna mieć charakteru abstrakcyjnego, nie może doty-czyć przetwarzania danych osobowych w ogóle. Chodzi zatem o to, by odnosiła się do skonkretyzowanego stanu faktycznego, obejmowała tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania. Zgoda może mieć bądź charakter bezterminowy, bądź zezwalać na przetwarzanie danych jedynie przez oznaczony okres.
35.Na temat zgody zob. też komentarz do art. 23 (zwłaszcza pkt 5-11.)
36.Definicja „odbiorcy danych” wprowadzona została do ustawy nowelizacją z dnia 22 stycznia 2004 r. Pojęcie to obejmuje podmioty, którym dane osobowe są udostępniane. Ustawa nie definiuje pojęcia „udostępnianie danych”, zalicza je do szerokiego zakresu przetwarzania danych (na ten temat por. uwagi zamieszczone powyżej). Definicja wzorowana jest na przepisie art. 2 lit. g) dyrektywy 95/46/WE.
Z zakresu pojęcia „odbiorcy danych” wyłączone są jednak niektóre kategorie podmiotów, a mianowicie: osoby, których dane dotyczą; osoby upoważnione do przetwarzania danych (dopuszczone do przetwarzania danych zgodnie z art. 37) przedstawiciele administratorów danych mających siedzibę na terytorium państwa trzeciego, przetwarzających dane przy wykorzystaniu środków technicznych znajdujących się na terytorium RP (wyznaczeni zgodnie z art. 31a); podmioty, które przetwarzają dane na podstawie umowy z administratorem (zgodnie z art. 31), a także organy państwowe oraz organy samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.” Zgodnie z brzmieniem art; 23 ust. 1 pkt 5 po nowelizacji z 2004 r., przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów – danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Oznacza to, iż tzw. klauzula usprawiedliwionego celu obejmuje także podmioty, którym dane są udostępniane, z wyłączeniem jednak podmiotów, które zgodnie z art. 7 pkt 6 nie są uznawane za odbiorców danych.
Konsekwencją wprowadzenia omawianego pojęcia, a raczej wyłączeń w tym zakresie, jest także wyłączenie obowiązków (określonych w art 24,: ust. 1 pkt 2 oraz art. 25 ust. 1 pkt 2, a także uprawnienia z art. 32 ust. 1 pkt 5) dotyczących informowania osoby, której dane dotyczą, o podmiotach, którym udostępniane są dane, jeżeli podmioty te nie są odbiorcami danych. Innymi słowy administrator danych nie musi informować osoby, której dane dotyczą, o udostępnieniu jej danych podmiotom, które nie zostały zaliczone do kategorii odbiorców danych, ani odnotowywać faktu udostępnienia danych tym podmiotom. Administrator nie ma także obowiązku wskazywania objętych wyłączeniem podmiotów, którym udostępnia dane, w zgłoszeniu zbioru danych osobowych do rejestracji zgodnie z art. 41 ust. 1.
Odbiorcy nie należy utożsamiać z pojęciem „osoby trzeciej”, choć są to niewątpliwie pojęcia zbliżone. Szerzej na ten temat por. pkt 4 komentarza do art 29.
37. Kolejnym nowym pojęciem, które zostało wprowadzone do usta- wy na mocy noweli z dnia 22 stycznia 2004 r., jest pojęcie państwa trzeciego. Zgodnie z art. 7 pkt 7 pod tym pojęciem rozumie się państwo nienależące do Europejskiego Obszaru Gospodarczego.
Wprowadzenie komentowanego przepisu do ustawy jest konsekwencją przystąpienia Polski do Unii Europejskiej. Do podstawowych założeń dyrektywy 95/46/WE zalicza się dążenie do ujednolicenia poziomu ochrony w państwach członkowskich Unii Europejskiej oraz zapewnienie swobodnego przepływu danych osobowych na obszarze Wspólnoty. Gdy chodzi o przekazywanie danych osobowych pomiędzy państwami, dyrektywa rozróżnia państwa członkowskie i inne państwa (państwa trzecie). Polska ustawa wprowadzą podobne rozróżnienie, definiując pojęcie państwa trzeciego.
Państwami trzecimi nie są, zgodnie z komentowanym przepisem, pań stwa należące do Europej skiego Obszaru Gospodarczego—EOG (European Economic Area — EEA). EOG tworzą państwa członkowskie Unii Europejskiej (po rozszerzeniu 25 państw: Austria, Belgia, Cypr, Czechy, Dania, Estonia, Finlandia, Pranej a, Grecj a, Hiszpania, Holandia, Irlandia, Litwa, Luksemburg, Łotwa, Malta, Niemcy, Polska, Portugalia, Słowacja, Słowenia, Szwecja, Węgry, Wielka Brytania oraz Włochy), a także trzy państwa członkowskie Europejskiego Stowarzyszenia Wolnego Handlu (European Free Trade Association — EFTA): Islandia, Lichtenstein i Norwegia, które zobowiązały się dostosować część swego ustawodawstwa do prawa Wspólnot Europejskich i dzięki temu traktowane są tak jak państwa członkowskie UE. Podstawowym celem EOG jest ustanowienie swobodnego przepływu towarów, kapitału, pracowników oraz usług między państwami członkowskimi. Państwa EFTA, które przystąpiły do EOG, nie uczestniczą jednak we wspólnej polityce rolnej Wspólnot Europejskich.
Państwa, które nie należą do EOG, są w rozumieniu ustawy państwami trzecimi. Zgodnie z postanowieniami dyrektywy przepływ danych osobowych pomiędzy państwami członkowskimi ma odbywać się w sposób wolny (przekazywanie danych z Polski do państwa należącego do EOG traktowane być powinno tak jak przekazywanie danych na terytorium naszego kraju), natomiast transfer danych do państw trzecich podlega ograniczeniom. Zasada ta ma swoje odzwierciedlenie w przepisach ustawy dotyczących przekazywania danych osobowych do państwa trzeciego.
Komentowana definicja ma istotne znaczenie w kontekście przepisów dotyczących zakresu stosowania ustawy (art. 3 ust. 2), obowiązku wyznaczenia przedstawiciela (art. 31a) oraz przepisów rozdziału 7 dotyczących przekazywania danych osobowych do państwa trzeciego (art. 47-48). Szerzej na ten temat por. komentarz do wskazanych tu przepisów ustawy.