Janusz Barta, Pawe\u0142 Fajgielski, Ryszard Markiewicz<\/p>\n
Wydawnictwo Wolters Kluwer business. Wydanie IV. 2008<\/p>\n
\nArt. 1.1. Ka\u017cdy ma prawo do ochrony dotycz\u0105cych go danych osobowych.
\n2. Przetwarzanie danych osobowych mo\u017ce mie\u0107 miejsce ze wzgl\u0119du na dobro publiczne, dobro osoby, kt\u00f3rej dane dotycz\u0105, lub dobro os\u00f3b trzecich w zakresie i trybie okre\u015blonym ustaw\u0105.<\/p>\n
1. Deklaracja ustawodawcy zawarta w art. 1 traktowana jest niekiedy jako refleks og\u00f3lnej zasady autonomii informacyjnej cz\u0142owieka. Znajduje w nim sw\u00f3j wyraz idea powszechno\u015bci ochrony danych osobowych. Prawo do takiej ochrony przys\u0142uguje bowiem ka\u017cdemu.
\nNasuwa si\u0119 spostrze\u017cenie, \u017ce tak uj\u0119te prawo stanowi swego rodzaju emanacj\u0119 og\u00f3lnego prawa gwarantowanego Konstytucj\u0105 (art. 47), w my\u015bl kt\u00f3rego \u201eKa\u017cdy ma prawo do ochrony prawnej \u017cycia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim \u017cyciu osobistym”. Spostrze\u017cenie to oparte jest na za\u0142o\u017ceniu, i\u017c dane osobowe s\u0105 niejako cz\u0119\u015bci\u0105 \u017cycia prywatnego lub rodzinnego, wzgl\u0119dnie \u017ce pos\u0142ugiwanie si\u0119 danymi dotycz\u0105cymi innej osoby wkracza w przyznan\u0105 jej kompetencj\u0119 \u201edecydowania o swoim \u017cyciu osobistym”.
\nPodobny nieco punkt widzenia zdaje si\u0119 prezentowa\u0107 Trybuna\u0142 Konstytucyjny w jednym ze swych orzecze\u0144 (K. 21\/96,225), aczkolwiek trzeba uwzgl\u0119dni\u0107, \u017ce chodzi tu o orzeczenie wydane jeszcze przed uchwaleniem ustawy o ochronie danych osobowych, a tak\u017ce obowi\u0105zuj\u0105cej dzi\u015b Konstytucji RP Trybuna\u0142 uzna\u0142, i\u017c gwarancja prawa do prywatno\u015bci jest niejako elementem demokratycznego pa\u0144stwa prawnego i stwierdzi\u0142, \u017ce prawo do prywatno\u015bci oznacza m.in. \u201eprawo do zachowania w tajemnicy informacji o swoim \u017cyciu prywatnym”. Wi\u0105\u017ce si\u0119 z tym\u2014wed\u0142ug Trybuna\u0142u \u2014 konieczno\u015b\u0107 ochrony tajemnicy danych dotycz\u0105cych sytuacji maj\u0105tkowej obywatela, w tym jego transakcji dokonywanych za po\u015brednictwem bank\u00f3w.
\nR\u00f3wnie\u017c w orzeczeniu z dnia 19 lutego 2002 r. (U3\/01) Trybuna\u0142 Konstytucyjny uzna\u0142, i\u017c tzw. autonomia informacyjna jednostki (gwarantowana w art. 51 Konstytucji), oznaczaj\u0105ca prawo do samodzielnego decydowania o ujawnianiu innym informacji dotycz\u0105cych swojej osoby, a tak\u017ce prawo do sprawowania kontroli nad takimi informacjami, znajduj\u0105cymi si\u0119 w posiadaniu innych podmiot\u00f3w, s\u0105 elementami sk\u0142adowymi prawa do ochrony prawnej \u017cycia prywatnego, gwarantowanego w art. 47 Konstytucji.
\nMo\u017cna jednak\u017ce te\u017c przyjmowa\u0107, i\u017c zar\u00f3wno prawo do prywatno\u015bci, jak i prawo ochrony danych osobowych (nie wnikaj\u0105c w relacje mi\u0119dzy nimi) s\u0105\u2014co najmniej na pewnym polu \u2014 sk\u0142adnikami og\u00f3lnego prawa wyra\u017caj\u0105cego si\u0119 w autonomii informacyjnej.
\nWarto w tym miejscu przywo\u0142a\u0107 tak\u017ce pogl\u0105d M, Safjana (Prawo do prywatno\u015bci i ochrona danych osobowych w spo\u0142ecze\u0144stwie informatycznym, PiP 2002, z. 6, s. 5), \u017ce \u201emamy do czynienia z kreowaniem swoistego pozoru autonomii informacyjnej, gdy\u017c jednostka, b\u0119d\u0105c pod siln\u0105 presj\u0105 wymaga\u0144 wsp\u00f3\u0142czesnej cywilizacji, ma coraz mniejszy wp\u0142yw na zakres udost\u0119pnianej osobie informacji (\u201e.) Ci\u0119\u017car ochrony jednostki i jej prywatno\u015bci przesuwa si\u0119 coraz wyra\u017aniej w kierunku instytucjonalnych, publicznoprawnych instytucji i \u015brodk\u00f3w. Dokonywa\u0107 si\u0119 wi\u0119c b\u0119dzie nie poprzez prawo prywatne, ale przez okre\u015blenie granic obszaru chronionego w samym prawie publicznym, W konsekwencji obszar autonomii jednostki zaw\u0119\u017ca si\u0119 (w niekt\u00f3rych polach ca\u0142kowicie)”.
\n2. Stwierdzenie, \u017ce ka\u017cdy ma prawo do ochrony dotycz\u0105cych go danych stanowi przeniesienie na grunt ustawy za\u0142o\u017ce\u0144 wyra\u017conych w art. 51 Konstytucji RF.
\nOkre\u015blenie \u201eka\u017cdy” nale\u017cy \u2014 uwzgl\u0119dniaj\u0105c dalsze przepisy ustawy = rozumie\u0107 jako \u201eka\u017cda osoba fizyczna”; r\u00f3wnocze\u015bnie takie okre\u015blenie pozwala przyj\u0105\u0107, \u017ce tego rodzaju \u201eprawne przymioty” jednostki, jak na przyk\u0142ad jej narodowo\u015b\u0107, obywatelstwo, zdolno\u015b\u0107 do czynno\u015bci prawnych, podobnie jak wiek, nie odgrywaj\u0105 m wzgl\u0119du na stosowanie ustawy \u017cadnej roli. Analogicznie odnie\u015b\u0107 si\u0119 nale\u017cy do stanu psychicznego czy karalno\u015bci\/ a tak\u017ce do kwestii przys\u0142ugiwania praw publicznych.
\nPojawia si\u0119 pytanie o zasadno\u015b\u0107 tezy, w my\u015bl kt\u00f3rej \u201ewszystkim osobom przys\u0142uguje jednakowe (co do intensywno\u015bci) prawo ochrony danych osobowych”, Sformu\u0142owanie komentowanego przepisu, jak i analiza dal-’ szych postanowie\u0144 ustawy, przemawiaj\u0105 za udzieleniem w zasadzie odpowiedzi twierdz\u0105cej. Problem jest jednak z\u0142o\u017cony. Wyrdka to z \u201enak\u0142adania si\u0119” na siebie sfery powszechnej ochrony d\u00f3br osobistych, w pierwszym rz\u0119dzie prywatno\u015bci, oraz sfery ochrony danych osobowych. Je\u017celi chodzi o ochron\u0119 prywatno\u015bci, zar\u00f3wno doktryna, jak i orzecznictwo wypracowa\u0142y pewne regu\u0142y relatywizuj\u0105ce intensywno\u015b\u0107 ochrony ze wzgl\u0119du mi\u0119dzy innymi na takie okoliczno\u015bci, jak pozycja i funkcja spo\u0142eczna danej osoby. Osoby, kt\u00f3re ze wzgl\u0119du na sw\u00f3j udzia\u0142 na przyk\u0142ad w \u017cyciu politycznym, kulturalnym, sportowym uzyskuj\u0105 status os\u00f3b powszechnie znanych, staj\u0105 si\u0119 przedmiotem zainteresowania spo\u0142ecze\u0144stwa, obiektem zainteresowania opinii publicznej, musz\u0105 liczy\u0107 si\u0119 z pewnym os\u0142abieniem ochrony ich \u017cycia prywatnego; Niekiedy znajduje to wprost odbicie w przepisach prawa, jak ma to miejsce cho\u0107by w zakresie prawa do wizerunku regulowanego w art, 81 ust. 2 ustawy o prawie autorskim i prawach pokrewnych (przepis ten zezwala na rozpowszechnianie wizerunk\u00f3w os\u00f3b powszechnie znanych, je\u015bli sporz\u0105dzono je w zwi\u0105zku z pe\u0142nieniem przez nie funkcji publicznych, w szczeg\u00f3lno\u015bci politycznych, spo\u0142ecznych, zawodowych), Ze specyficznymi ograniczeniami w tym zakresie spotykamy si\u0119 tak\u017ce na gruncie prawa prasowego (por. na ten temat m.in. monografi\u0119 J.D. Sie\u0144czy\u0142o-Chlabicz, Naruszenie prywatno\u015bci os\u00f3b publicznych przez pras\u0119.Analiza cywilnoprawna, Zakamycze 2006), W kontek\u015bcie takich rozwi\u0105za\u0144 nale\u017ca\u0142oby zaj\u0105\u0107 stanowisko, i\u017c przepisy maj\u0105ce na celu ochron\u0119 danych osobowych nie powinny sta\u0107 si\u0119 podstaw\u0105 do usuni\u0119cia lub zaw\u0119\u017cenia istniej\u0105cych swob\u00f3d, wyznaczonych przez inne przepisy prawne, w zakresie zbierania i udost\u0119pniania informacji na temat os\u00f3b powszechnie znanych. Interpretacji tej nie nale\u017cy jednak traktowa\u0107 jako generalnego przyzwolenia na tworzenie baz danych osobowych, co do os\u00f3b powszechnie znanych w sytuacji, gdy przepisy innych ustaw zezwalaj\u0105 jedynie na zbieranie informacji o takich osobach,
\n3. Przyznanie przez ustawodawc\u0119 ka\u017cdemu \u201eprawa do ochrony dotycz\u0105cych go danych osobowych” sk\u0142ania do postawienia pytania o charakter, przedmiot i tre\u015b\u0107 tego prawa.
\nWydaje si\u0119, \u017ce mo\u017cna wyr\u00f3\u017cni\u0107 dwa jego aspekty;
\na)prywatnoprawny i
\nb)publicznoprawny.
\nJe\u015bli chodzi o aspekt prywatnoprawny, to mo\u017cna broni\u0107 stanowiska, i\u017c przedmiotem ochrony na gruncie ustaw o ochronie danych osobowych jest w istocie pewien emocjonalny (osobisty) stosunek wyst\u0119puj\u0105cy mi\u0119dzy osob\u0105 fizyczn\u0105 a dotycz\u0105cymi jej danymi. Mieliby\u015bmy zatem do czynienia z ujmowaniem zagadnienia ochrony danych osobowych w spos\u00f3b podobny do tego, w jaki ujmuje si\u0119 ochron\u0119 d\u00f3br osobistych. Niemniej przy szerokim podej\u015bciu, przy kreowaniu szczeg\u00f3lnego dobra osobistego w postaci autonomii informacyjnej cz\u0142owieka i przy rygorystycznym za\u0142o\u017ceniu, \u017ce w istocie ka\u017cde pos\u0142u\u017cenie si\u0119 takimi danymi przez osob\u0119 trzeci\u0105 bez zgody zainteresowanego narusza wspomniany stosunek, osi\u0105gn\u0119liby\u015bmy w praktyce ochron\u0119 samych danych, Inaczej sytuacja przedstawia\u0142aby si\u0119 przy przyj\u0119ciu mniej intensywnej ochrony, przy akceptacji podej\u015bcia zrelatywizowanego, wyst\u0119puj\u0105cego w obr\u0119bie ochrony powszechnych d\u00f3br osobistych, wed\u0142ug kt\u00f3rego chodzi o poszanowanie stanu niezak\u0142\u00f3conego spokoju psychicznego; w\u00f3wczas wkroczeniem w sfer\u0119 obj\u0119t\u0105 ochron\u0105 b\u0119dzie nie ka\u017cde pos\u0142u\u017cenie si\u0119 danymi, ale tylko takie, kt\u00f3re \u2014 wed\u0142ug typowych, przeci\u0119tnych reakcji \u2014 przynosi ze sob\u0105 tego rodzaju zak\u0142\u00f3cenie.
\nNie jest jednak wykluczone tak\u017ce odmienne nieco podej\u015bcie i ujmowanie prawa do ochrony danych osobowych bardziej \u201ew kategoriach w\u0142asno\u015bciowych”. Ten punkt widzenia \u0142\u0105czy si\u0119 z traktowaniem danych osobowych jako swoistego niematerialnego dobra poddanego szeroko ujmowanej w\u0142asno\u015bci (niekiedy m\u00f3wi si\u0119 o sui generis w\u0142asno\u015bci), przys\u0142uguj\u0105cej tej osobie, kt\u00f3rej informacje (dane) dotycz\u0105. Przedmiot ochrony stanowi\u0142yby tu:
\na) przy uj\u0119ciu najszerszym\u2014same dane osobowe, niekiedy zaznacza si\u0119 \u017ce cz\u0142owiek jest w\u0142a\u015bcicielem informacji, kt\u00f3re go dotycz\u0105, a pa\u0144stwo mo\u017ce o tyle tylko w t\u0119 autonomi\u0119 informacyjn\u0105 ingerowa\u0107, o ile ma na to podstaw\u0119 prawn\u0105, a wi\u0119c zgod\u0119 parlamentu; mo\u017cna by\u0142oby tu prze prowadzi\u0107 por\u00f3wnanie z prawem, jakie cz\u0142owiek ma do w\u0142asnego cia\u0142a (T. Lipowicz);
\nb)przy uj\u0119ciu z\u0142agodzonym\u2014nie tyle same dane, co raczej \u201estatus w\u0142asno\u015bciowy”, w\u0142adztwo (kontrola) sprawowane przez okre\u015blon\u0105 osob\u0119 nad dotycz\u0105cymi j\u0105 danymi (\u201edanymi osobowymi”), niekiedy po\u0142\u0105czone z poufno\u015bci\u0105 tego rodzaju informacji.
\nDodajmy, \u017ce poufno\u015b\u0107 ta nie oznacza:
\n– ani tego, \u017ce dana informacja w og\u00f3le nie mo\u017ce by\u0107 przez inne osoby osi\u0105gni\u0119ta; jej warto\u015b\u0107 polega\u0107 mo\u017ce na tym, i\u017c uzyskanie inn\u0105 drog\u0105jest trudniejsze, bardziej czaso- lub pracoch\u0142onne;
\n– ani tego, \u017ce nie istnieje \u017caden inny dysponent takiej informacji; wa\u017cne jest tylko to, aby nie by\u0142a to informacja powszechnie dost\u0119pna, kt\u00f3ra przy tym, uzyskana z innego \u017ar\u00f3d\u0142a, ma t\u0119 sam\u0105 \u201ewiarygodno\u015b\u0107” co uzyskana od samego zainteresowanego.
\nNie jest te\u017c niezb\u0119dne, aby zainteresowany przejawia\u0142 (demonstrowa\u0142) wol\u0119 nieujawniania dotycz\u0105cych go danych osobowych.
\nWydaje si\u0119, \u017ce de leg\u0119 lata \u0142atwiej jest broni\u0107 koncepcji nawi\u0105zuj\u0105cych do ochrony powszechnych d\u00f3br osobistych ni\u017c koncepcji w\u0142asno\u015bciowych; W\u0105tpliwe by\u0142oby zw\u0142aszcza opowiadanie si\u0119 za tym, \u017ce pojedyncze informacje (dane osobowe) stanowi\u0105 same \u201ejako takie” przedmiot praw wy\u0142\u0105cznych i wjako takie” mog\u0105 by\u0107 przy tym przedmiotem obrotu prawnego, mog\u0105 by\u0107 zbyte, w \u015bcis\u0142ym tego s\u0142owa znaczeniu, innemu podmiotowi, na drodze przeniesienia prawa w\u0142asno\u015bci. Te stwierdzenia nie wykluczaj\u0105 jednak tego, i\u017c w przysz\u0142o\u015bci by\u0107 mo\u017ce w tym w\u0142a\u015bnie kierunku zmierza\u0107 b\u0119d\u0105 konstrukcje i rozwi\u0105zania prawne.
\nCo przy tym istotne, ochrona s\u0142usznych interes\u00f3w nie zosta\u0142a tu oparta na konstrukcji deliktowej, na wyszczeg\u00f3lnieniu czyn\u00f3w zakazanych, lecz ma swe \u017ar\u00f3d\u0142o w przyznanym przez ustaw\u0119 prawie. Nie podwa\u017ca tego \u2014. naszym zdaniem\u2014sformu\u0142owanie u\u017cyte przez ustawodawc\u0119, kt\u00f3ry nie odwo\u0142uje si\u0119 do \u201eprawa do danych”, lecz do \u201eprawa do ochrony danych”. 4. Przy pr\u00f3bie scharakteryzowania \u201eprawa do ochrony danych osobowych” nasun\u0105\u0107 si\u0119 mo\u017ce spostrze\u017cenie, i\u017c mamy tu do czynienia z prawem cywilnym, kt\u00f3rego przedmiotem jest swoiste dobro niematerialne. Takie zaszeregowanie nie sprzeciwia si\u0119 w \u017cadnej mierze temu, aby prawo to korzysta\u0142o z ochrony tak\u017ce poprzez \u015brodki prawne i rozwi\u0105zania nale\u017c\u0105ce do innych dziedzin prawa, na przyk\u0142ad prawa karnego czy administracyjnego.
\nPrzyjmuj\u0105c ten punkt widzenia nale\u017ca\u0142oby omawiane prawo uzna\u0107 za prawo niemaj\u0105tkowe, \u015bci\u015ble zwi\u0105zane z osob\u0105. Wyklucza to w istocie obr\u00f3t tym prawem, mo\u017cliwo\u015b\u0107 zrzeczenia si\u0119 go, jak i uczynienie go przedmiotem dziedziczenia. Niemaj\u0105tkowy charakter prawa nie odbiera jednak mo\u017cliwo-\u015bci osi\u0105gania korzy\u015bci maj\u0105tkowych poprzez j ego wykonywanie.
\n2 prawa do ochrony danych ustawodawca wywodzi i przyznaje oso-bom uprawnienie zezwalania na przetwarzanie dotycz\u0105cych ich danych, po-\u0142\u0105czone z r\u00f3wnoleg\u0142ym roszczeniem zakazowym, pozwalaj\u0105cym, poza szczeg\u00f3lnymi przypadkami okre\u015blonymi w ustawie, na sprzeciwienie si\u0119 prze-twarzaniu danych bez zezwolenia. Nadto uprawniony mo\u017ce indywidualnie wyst\u0119powa\u0107 z dalszymi roszczeniami. Chodzi o:
\na)\tumo\u017cliwienie dost\u0119pu do tre\u015bci swoich danych osobowych (art, 34 ust. 1 pkt 3, art. 25 ust. pkt4);
\nb)\tpoprawianie swoich danych osobowych lub ich usuni\u0119cie ze zbioru (art. 24 ust. 1 pkt 3, art. 25 ust. 1 pkt 4, art. 35);
\nc)\tumo\u017cliwienie sprawowania kontroli nad przetwarzaniem swoich danych osobowych, w szczeg\u00f3lno\u015bci poprzez uzyskiwanie informacji:
\n-o zbiorze, w kt\u00f3rym takie dane s\u0105 gromadzone, i o administratorze danych,
\n-o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
\n-o tym, od kiedy przetwarza si\u0119 w zbiorze dane,
\n-o tre\u015bci tych danych,
\n-o \u017ar\u00f3dle, z kt\u00f3rego pochodz\u0105 dane, chyba \u017ce administrator jest zobowi\u0105zany do zachowania w tym zakresie tajemnicy pa\u0144stwowej, s\u0142u\u017cbowej lub zawodowej,
\n-o sposobie udost\u0119pniania danych, a w szczeg\u00f3lno\u015bci o odbiorcach lub
\nkategoriach odbiorc\u00f3w, kt\u00f3rym s\u0105 one udost\u0119pniane,
\n-o przes\u0142ankach podj\u0119cia rozstrzygni\u0119cia, kt\u00f3rego tre\u015b\u0107 jest wy\u0142\u0105cznie
\nwynikiem operacji na danych osobowych prowadzonych w systemie
\ninformatycznym (art. 32 ust. 1 pkt l-5a);
\nustawa zastrzega jednak, \u017ce z; tymi roszczeniami informacyjnymi nie mo\u017cna wyst\u0119powa\u0107 cz\u0119\u015bciej ni\u017c raz na 6 miesi\u0119cy, ograniczenie to nie obejmuje jedynie roszczenia o uzyskanie informacji dotycz\u0105cych przes\u0142anek podj\u0119cia rozstrzygni\u0119cia w spos\u00f3b zautomatyzowany;
\nd)uzupe\u0142nienie, uaktualnienie, sprostowanie danych, czasowe lub sta\u0142e . wstrzymanie ich przetwarzania lub ich usuni\u0119cie, je\u017celi s\u0105 one niekompletne, nieaktualne, nieprawdziwe lub zosta\u0142y zebrane z naruszeniem ustawy albo s\u0105 ju\u017c zb\u0119dne do realizacji celu, dla kt\u00f3rego zosta\u0142y zebrane (art. 32 ust. 1 pkt 6);
\ne)zaprzestanie przetwarzania danych ze wzgl\u0119du na szczeg\u00f3lne okoliczno\u015bci, mimo i\u017c chodzi o przypadki przetwarzania dozwolone przez ustaw\u0119 (art. 32 ust. 1 pkt 7-8);
\nf)\u017c\u0105danie ponownego, indywidualnego rozpatrzenia sprawy rozstrzygni\u0119tej ostatecznie wbrew zakazowi okre\u015blonemu w art. 26a ust. 1, w spos\u00f3b zautomatyzowany (art. 32 ust. 1 pkt 9).
\n5. Jak wspomnieli\u015bmy, prawo do ochrony danych osobowych posiada te\u017c \u2014 w istocie przewa\u017caj\u0105cy \u2014 aspekt publicznoprawny. Przetwarzanie danych osobowych poddane jest publicznoprawnej ocenie i regulacji. W konsekwencji takiego uj\u0119cia mo\u017cna uzna\u0107, i\u017c mimo \u017ce wraz ze \u015bmierci\u0105 osoby zainteresowanej (kt\u00f3rej dane dotycz\u0105) wygasa prywatnoprawny sub-strat omawianego prawa, przetwarzanie odnosz\u0105cych si\u0119 do tej osoby danych osobowych nie jest bynajmniej ca\u0142kowicie wolne. Podlega ono wszystkim re\u017cimom wyznaczonym przez ustaw\u0119, z wyj\u0105tkiem tych, kt\u00f3re odnosz\u0105 si\u0119 bezpo\u015brednio do indywidualnych kompetencji zainteresowanego. Nie b\u0119d\u0105 wi\u0119c w\u00f3wczas znajdowa\u0107 zastosowania przepisy odwo\u0142uj\u0105ce si\u0119 do zgody osoby, kt\u00f3rej dane dotycz\u0105, podobnie jak przepisy m\u00f3wi\u0105ce o zbieraniu danych osobowych od osoby, kt\u00f3rej te dane dotycz\u0105 (art. 24). Ponadto ograniczony zostanie zakres zastosowania przepis\u00f3w, kt\u00f3re zezwalaj\u0105 na pewne dzia\u0142ania, na przyk\u0142ad pod warunkiem nienaruszania praw i wolno\u015bci osoby, kt\u00f3rej dane dotycz\u0105 (art 23 ust. 1 pkt 5; art. 26 ust. 2) lub pod warunkiem, \u017ce jest to niezb\u0119dne do ochrony \u017cywotnych interes\u00f3w osoby, kt\u00f3rej dane dotycz\u0105 (art. 23 ust. 3, art. 47 ust. 3 pkt 5). Natomiast nie ulega w\u0105tpliwo\u015bci, \u017ce w ka\u017cdej sytuacji:
\na)administrator danych przetwarzaj\u0105cy dane powinien dok\u0142ada\u0107 szczeg\u00f3lnej staranno\u015bci w celu ochrony interes\u00f3w os\u00f3b, kt\u00f3rych dane dotycz\u0105 (art. 26 ust. 1);
\nb)respektowane powinny by\u0107 ustawowe zasady dotycz\u0105ce:
\n-dalszego udost\u0119pniania danych (art. 29-30),
\n-powierzania innemu podmiotowi, w drodze umowy, przetwarzaniadanych (art. 31), -zabezpieczenia danych osobowych i zbior\u00f3w danych rej estracji (rozdzia\u0142y 5 i 6),
\n-przekazywania danych do pa\u0144stwa trzeciego (rozdzia\u0142 7), jak r\u00f3wnie\u017c przepisy statuuj\u0105ce odpowiedzialno\u015b\u0107 karn\u0105 (rozdzia\u0142 8).
\nDopuszczalno\u015b\u0107 stosowania komentowanej ustawy w zakresie danych osobowych os\u00f3b nie\u017cyj\u0105cych mo\u017ce by\u0107 jednak kwestionowana. Dw\u00f3ch wsp\u00f3\u0142autor\u00f3w niniejszego komentarza opowiada si\u0119 za pogl\u0105dem, wed\u0142ug kt\u00f3rego ca\u0142o\u015b\u0107 przepis\u00f3w ustawy, a zw\u0142aszcza art. 1, stanowczo przes\u0105dzaj\u0105 o tym, i\u017c
\nustawy tej nie mo\u017cna stosowa\u0107 do danych o osobach zmar\u0142ych. Ograniczenia w przetwarzaniu takich danych mog\u0105 jednak wyst\u0119powa\u0107 ze wzgl\u0119du na ochron\u0119 powszechnych d\u00f3br osobistych (kult pami\u0119ci osoby zmar\u0142ej) oraz \u2014 na gruncie komentowanej ustawy.\u2014 wtedy, gdy dane dotycz\u0105ce zmar\u0142e go nale\u017cy r\u00f3wnocze\u015bnie traktowa\u0107 jako dotycz\u0105ce okre\u015blonej \u017cyj\u0105cej osoby (por. te\u017c w tej kwestii pkt 10 komentarza do art. 6).
\nPublicznoprawny wymiar ustawowej regulacji, a zarazem okre\u015blonego w niej prawa do ochrony danych osobowych przejawia si\u0119 mi\u0119dzy innymi w tym, \u017ce ustawa nak\u0142ada na podmioty przetwarzaj\u0105ce dane osobowe wiele obowi\u0105zk\u00f3w zwi\u0105zanych bezpo\u015brednio lub po\u015brednio z poszanowaniem tego prawa, kt\u00f3rych nieprzestrzeganie zagro\u017cone jest sankcjami karnymi. Ponadto przepisy ustawy maj\u0105 charakter bezwzgl\u0119dnie obowi\u0105zuj\u0105cy i stosowanie ich nie mo\u017ce by\u0107 ograniczone ani wy\u0142\u0105czone wol\u0105 stron. Ustawa ustanawia r\u00f3wnie\u017c administracyjny system rejestracji zbior\u00f3w danych oraz kontrol\u0119 zgodno\u015bci przetwarzania danych osobowych z prawem, powierzaj\u0105c zadania w tym zakresie Generalnemu Inspektorowi Ochrony Danych Osobowych, kt\u00f3ry jest centralnym organem administracji pa\u0144stwowej.
\n6. Statuuj\u0105c ochron\u0119 danych osobowych nie powinno si\u0119 pomija\u0107 innej respektowanej przez prawo w spo\u0142ecze\u0144stwach demokratycznych warto\u015bci, jak\u0105 jest swoboda dost\u0119pu i przep\u0142ywu informacji. Niekiedy w literaturze zagranicznej m\u00f3wi si\u0119 nawet o prawie jednostki do zbierania i przetwarzania danych (informacji), o prawie aktywnego dost\u0119pu do informacji.
\nPrzypomnijmy w tym miejscu, i\u017c obowi\u0105zuj\u0105ca Konstytucja RP zapewnia ka\u017cdemu wolno\u015b\u0107 pozyskiwania i rozpowszechniania informacji (art. 54 ust. 1). Powstaje jednak przy tym-\u2014 z jednej strony \u2014 w\u0105tpliwo\u015b\u0107, na ile wolno\u015b\u0107 pozyskiwania informacji mo\u017cna traktowa\u0107 jako podstaw\u0119 \u017c\u0105dania dost\u0119pu do informacji. Z drugiej strony, wytyczaj\u0105c regu\u0142y ochrony danych osobowych, nale\u017cy uwa\u017ca\u0107, aby nie przekroczy\u0107 granicy, za kt\u00f3r\u0105 trafne i szlachetne zamiary oraz za\u0142o\u017cenia zaczynaj\u0105 ju\u017c wywo\u0142ywa\u0107 negatywne skutki. Ma to miejsce na przyk\u0142ad w\u00f3wczas, gdy zbyt rygorystyczne ograniczenia
\nw pozyskiwaniu i gromadzeniu informacji (danych osobowych) przeszkadzaj\u0105 w nale\u017cytym zapewnieniu porz\u0105dku i bezpiecze\u0144stwa, nie pozwalaj\u0105 administracji zajmuj\u0105cej si\u0119 sprawami socjalnymi nale\u017cycie wykonywa\u0107 swych zada\u0144 i sprawiedliwie dzieli\u0107 dobra mi\u0119dzy potrzebuj\u0105cych, pomniejszaj\u0105 rol\u0119 i zadania, jakie pe\u0142ni\u0107 ma prasa w spo\u0142ecze\u0144stwie demokratycznym.
\nW ustawodawstwach zagranicznych spotykamy szczeg\u00f3lne ustawy dotycz\u0105ce generalnie kwestii dost\u0119pu wszystkich obywateli do informacji zgromadzonych przez organy i instytucje sektora publicznego; bywa te\u017c, \u017ce brak w systemie prawnym regulacji og\u00f3lnej, natomiast w r\u00f3\u017cnych aktach prawnych pojawiaj\u0105 si\u0119 postanowienia gwarantuj\u0105ce dost\u0119p do informacji (np. do okre\u015blonych rejestr\u00f3w, do informacji dotycz\u0105cych \u015brodowiska naturalnego). Nie jest pozbawione racji stwierdzenie, \u017ce regulacje prawne dotycz\u0105ce ochrony danych osobowych oraz przetwarzania takich danych stanowi\u0105 swoist\u0105 wypadkow\u0105 mi\u0119dzy szeroko unormowanym prawem do prywatno\u015bci os\u00f3b, kt\u00f3rych dane dotycz\u0105, a swobod\u0105 zbierania, wykorzystania i przekazywania informacji. Mamy wi\u0119c do czynienia z dwoma, poniek\u0105d konkuruj\u0105cymi ze sob\u0105, fundamentalnymi prawami. Ten konflikt staraj\u0105 si\u0119, przynajmniej w pewnej mierze, rozwi\u0105za\u0107 przepisy ustawy z dnia 6 wrze\u015bnia 2001 r. o dost\u0119pie do informacji publicznej (Dz. U. Nr 112, poz. 1198 z p\u00f3\u017an. zm.), kt\u00f3ra wesz\u0142a w \u017cycie z dniem 1 stycznia 2002 r.
\nAnalizuj\u0105c r\u00f3\u017cne prezentowane w ostatnich kilkunastu latach rozwi\u0105zania legislacyjne oraz pogl\u0105dy doktryny d\u0105\u017c\u0105ce do pogodzenia wspomnianych przeciwstawnych warto\u015bci, wyr\u00f3\u017cni\u0107 mo\u017cna\u2014w uproszczeniu\u2014trzy zasadnicze podej\u015bcia. Pierwsze preferuje zasad\u0119 swobody dost\u0119pu do informacji, natomiast zakazuje przetwarzania danych osobowych w\u00f3wczas, gdy prowadzi to do naruszenia praw lub s\u0142usznych interes\u00f3w tych, kt\u00f3rych dane dotycz\u0105. Drugie podej\u015bcie, cho\u0107 wychodz\u0105ce z podobnych za\u0142o\u017ce\u0144, zawiera bardziej intensywne ograniczenia, je\u015bli chodzi o dopuszczalno\u015b\u0107 przetwarzania danych i przyjmuje, \u017ce nie wystarczy brak zagro\u017cenia praw czy interes\u00f3w os\u00f3b zainteresowanych, lecz trzeba ponadto, aby przetwarzaj\u0105cy dane osobowe wskaza\u0142 na sw\u00f3j s\u0142uszny interes, kt\u00f3ry usprawiedliwia\u0142by ten rodzaj dzia\u0142alno\u015bci.
\nZ oboma podanymi zapatrywaniami koresponduj\u0105 do pewnego stopnia te wypowiedzi (padaj\u0105ce tak\u017ce ze strony organ\u00f3w ustawodawczych), i\u017c funkcj\u0105 ustawy o ochronie danych osobowych jest przeciwdzia\u0142anie nadu\u017cyciom w zakresie zbierania i przetwarzania tego rodzaju danych.
\nI wreszcie trzecie podej\u015bcie. Umieszcza ono na pierwszym planie zakaz zbierania i przetwarzania danych osobowych i stara si\u0119 usprawiedliwi\u0107 to stwierdzeniem, kt\u00f3re ma odzwierciedla\u0107 zachodz\u0105c\u0105 ewolucj\u0119 rozwi\u0105za\u0144 prawnych: \u201eod informacyjnej wolno\u015bci do informacyjnych zakaz\u00f3w”. W obr\u0119bie tego stanowiska wyst\u0119puje wiele rozmaitych rozwi\u0105za\u0144, kt\u00f3re r\u00f3\u017cni\u0105 si\u0119 mi\u0119dzy sob\u0105 przede wszystkim zakresem i uj\u0119ciem przepis\u00f3w wyj\u0105tkowych, przepis\u00f3w czyni\u0105cych wy\u0142om we wspomnianej zasadzie. W praktyce chodzi o wprowadzanie dalszych przes\u0142anek usprawiedliwiaj\u0105cych przetwarzanie danych osobowych, poza dwoma, mo\u017cna rzec \u2014 oczywistymi, czyli:
\na)zgod\u0105 zainteresowanych (tych, kt\u00f3rych dane dotycz\u0105) i
\nb)wyra\u017anym upowa\u017cnieniem wyra\u017conym w przepisie prawa.
\n7.Ustawa podkre\u015bla na wst\u0119pie (art 1 ust 2), i\u017c przetwarzanie danych osobowych mo\u017ce mie\u0107 miejsce ze wzgl\u0119du na:
\na)dobro publiczne,
\nb)dobro osoby, kt\u00f3rej dane dotycz\u0105, lub
\nc)dobro os\u00f3b trzecich w zakresie i trybie okre\u015blonym ustaw\u0105.
\nJak wida\u0107, jest zamiarem ustawodawcy, aby przetwarzanie danych osobowych mia\u0142o aksjologiczne usprawiedliwienie. Niemniej znaczenie i funkcja tego przepisu nie s\u0105 w pe\u0142ni zrozumia\u0142e.
\nPomijaj\u0105c nawet dyskusje, jakie mog\u0105 towarzyszy\u0107 sprecyzowaniu poj\u0119cia \u201edobro publiczne”, poprzesta\u0144my na w\u0105tpliwo\u015bciach zwi\u0105zanych z odwo\u0142aniem si\u0119 do \u201edobra os\u00f3b trzecich”. Czy okre\u015blenie \u201edobro” u\u017cyte jest tu w szerokim znaczeniu, w znaczeniu pozytywnego interesu? Ca\u0142a konstrukcja przepisu sk\u0142ania raczej do przyj\u0119cia takiego w\u0142a\u015bnie stanowiska. W\u00f3wczas jednak owo zastrze\u017cenie, i\u017c przetwarzanie danych jest dozwolone, je\u015bli przemawia za tym dobro os\u00f3b trzecich, pozwala usankcjonowa\u0107 w\u0142a\u015bciwie wszelkie przypadki przetwarzania danych osobowych. Prawie zawsze b\u0119dzie mo\u017cna wskaza\u0107 na czyje\u015b dobro (na czyj\u015b interes), w imi\u0119 kt\u00f3rego takie przetwarzanie jest dokonywane. Zauwa\u017cmy, \u017ce mo\u017ce to by\u0107 jakiekolwiek dobro (interes), a wi\u0119c tak\u017ce maj\u0105tkowe; za takim podej\u015bciem przemawia te\u017c art. 3 ust. 2 pkt 2 u.o.d.o., kt\u00f3ry m\u00f3wi mi\u0119dzy innymi o przetwarzaniu danych w zwi\u0105zku z dzia\u0142alno\u015bci\u0105 zarobkow\u0105 czy zawodow\u0105.
\nOgraniczenie dopuszczalno\u015bci przetwarzania danych w oparciu o analizowany przepis mog\u0142oby zatem nast\u0105pi\u0107 jedynie w\u00f3wczas, gdyby\u015bmy uznali, \u017ce chodzi tu o \u201ekwalifikowane dobro os\u00f3b trzecich”, a wi\u0119c o \u201edobra prawem chronione” (dobra stanowi\u0105ce przedmiot ochrony prawnej). Trzeba by zatem wykaza\u0107, \u017ce przetwarzanie cudzych danych osobowych s\u0142u\u017cy ochronie czy realizacji w\u0142asnego, chronionego prawem dobra (interesu).
\n8.Jak wynika z tre\u015bci art. 1 ust 2, przetwarzanie danych osobowych
\nmo\u017ce by\u0107 usprawiedliwione jedn\u0105 z wymienionych tam warto\u015bci; nie musi by\u0107 tak, aby przemawia\u0142 za tym r\u00f3wnocze\u015bnie i interes publiczny, i interes os\u00f3b, na temat kt\u00f3rych dane s\u0105 zbierane, i interes os\u00f3b trzecich. Nie powstaj\u0105 te\u017c w\u0105tpliwo\u015bci w odniesieniu do sytuacji, gdy przetwarzanie danych s\u0142u\u017cy\u0107 b\u0119dzie kt\u00f3remu\u015b z wymienionych d\u00f3br, natomiast b\u0119dzie to oboj\u0119tne z punk-tu widzenia d\u00f3br pozosta\u0142ych. Zasadniczy problem pojawi si\u0119 jednak w\u00f3w-czas, gdy dojdzie do kolizji pomi\u0119dzy tymi dobrami; na przyk\u0142ad przetwa-rzanie danych s\u0142u\u017cy\u0107 b\u0119dzie interesowi publicznemu, natomiast nie b\u0119dzie odpowiada\u0107 interesom os\u00f3b, kt\u00f3rych dane mia\u0142yby by\u0107 przetwarzane. Ocena b\u0119dzie w\u00f3wczas musia\u0142a by\u0107 dokonywana na zasadzie wywa\u017cania koli-duj\u0105cych d\u00f3br (interes\u00f3w).
\n9. Przepis art. 1 ust. 2 sk\u0142ania do rozpatrzenia jednego jeszcze zagad-nienia. Chodzi mianowicie o stosunek tego przepisu do innych postanowie\u0144 ustawy legalizuj\u0105cych przetwarzanie danych osobowych; mamy na my\u015bli przede wszystkim art. 23. Nasuwa si\u0119 pytanie, czy art. 1 ust. 2 powinno traktowa\u0107 si\u0119:
\na)tylko jako deklaracj\u0119, dotycz\u0105c\u0105 og\u00f3lnych za\u0142o\u017ce\u0144 ustawy, deklaracj\u0119 co najwy\u017cej w pewnym stopniu przydatn\u0105 przy prowadzeniu wyk\u0142adni i wyznaczaniu zakresu stosowania przepis\u00f3w ustawy;
\nb)jako swego rodzaju klauzul\u0119 generaln\u0105 o charakterze koryguj\u0105cym a wi\u0119c nie wystarcza\u0142oby wskazanie na jak\u0105\u015b szczeg\u00f3\u0142ow\u0105 przes\u0142ank\u0119 legalizuj\u0105c\u0105 (np. przepis prawa lub niezb\u0119dno\u015b\u0107 dla wype\u0142niania usprawiedliwionych cel\u00f3w administrator\u00f3w danych w zwi\u0105zku z ich dzia\u0142alno\u015bci\u0105), lecz potrzebne by\u0142oby r\u00f3wnocze\u015bnie wykazanie, i\u017c s\u0142u\u017cy to jednemu z wymienionych d\u00f3br;
\nc)jako swego rodzaju klauzul\u0119 generaln\u0105 o charakterze uzupe\u0142niaj\u0105cym a wi\u0119c mo\u017cna by\u0142oby dopu\u015bci\u0107 przetwarzanie danych ze wzgl\u0119du na przyk\u0142ad na interes publiczny lub interes os\u00f3b trzecich, mimo i\u017c trudno by\u0142oby wskaza\u0107 na kt\u00f3r\u0105\u015b ze szczeg\u00f3\u0142owych przes\u0142anek legalizuj\u0105cych takie dzia\u0142anie.
\nWydaje si\u0119, \u017ce najbardziej usprawiedliwione by\u0142oby przyznanie komentowanemu przepisowi pierwszej spo\u015br\u00f3d wymienionych wy\u017cej funkcji. Takie podej\u015bcie mia\u0142oby te\u017c ten walor, i\u017c nie wprowadza\u0142oby niepewno\u015bci prawnej i mno\u017cenia niedookre\u015blonych przes\u0142anek prawnych decyduj\u0105cych o dopuszczalno\u015bci przetwarzania danych osobowych. Pogl\u0105d, \u017ce wzgl\u0119dy wskazane w art. 1 ust. 2 ustawy nie stanowi\u0105 samoistnych przes\u0142anek dopuszczalno\u015bci przetwarzania danych osobowych; zyska\u0142 uznanie w pi\u015bmiennictwie przedmiotu (por. m.in. A. Mednis, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 1999, s. 13; R. Sza\u0142owski,<\/p>\n
Ochrona danych osobowych. Komentarz do ustawy z dnia 29 sierpnia 1997 r., Zielona G\u00f3ra 2000, s. 13).
\nW doktrynie zaprezentowane zosta\u0142o tak\u017ce stanowisko odmienne, bliskie drugiej z wskazanych powy\u017cej interpretacji, zgodnie z kt\u00f3rym art. 1 ust. 2 u.o.d.o. ma samodzielne znaczenie normatywne i nie nale\u017cy traktowa\u0107 go jako wskaz\u00f3wki interpretacyjnej (tak A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2004, s. 14).
\n10. Zwrot przewiduj\u0105cy, \u017ce \u201eprzetwarzanie danych osobowych mo\u017ce nast\u0119powa\u0107 tylko w zakresie i trybie okre\u015blonym ustaw\u0105” nie sprzeciwia si\u0119 temu, aby szczeg\u00f3\u0142owe kwestie dotycz\u0105ce przetwarzania danych w okre\u015blonych dziedzinach, wskazanie przetwarzanych danych oraz sam tryb przetwarzania okre\u015blone zosta\u0142y w ustawach szczeg\u00f3\u0142owych. Wykaz najwa\u017cniej-szych szczeg\u00f3\u0142owych regulacji prawnych odnosz\u0105cych si\u0119 do przetwarzania i ochrony danych osobowych zawarty zosta\u0142 w cz\u0119\u015bci CIII Wst\u0119pu.
\nCo do znaczenia okre\u015blenia \u201eprzetwarzanie danych”\u2014 zob. pkt 13-20 komentarza do art. 7.<\/p>\n
Art. 2.1. Ustawa okre\u015bla zasady post\u0119powania przy przetwarzaniu danych osobowych oraz prawa os\u00f3b fizycznych, kt\u00f3rych dane osobowe s\u0105 lub mog\u0105 by\u0107 przetwarzane w zbiorach danych.
\n2.Ustaw\u0119 stosuje si\u0119 do przetwarzania danych osobowych:
\n1) w kartotekach, skorowidzach, ksi\u0119gach, wykazach i w innych zbiorach ewidencyjnych,
\n2) w systemach informatycznych, tak\u017ce w przypadku przetwarzania danych poza zbiorem danych.
\n3. W odniesieniu do zbior\u00f3w danych osobowych sporz\u0105dzanych do ra\u017anie, wy\u0142\u0105cznie ze wzgl\u0119d\u00f3w technicznych, szkoleniowych lub w zwi\u0105zku z dydaktyk\u0105 w szko\u0142ach wy\u017cszych, a po ich wykorzystaniu niezw\u0142ocznie usuwanych albo poddanych anonimizacji, maj\u0105 zastosowanie jedynie przepisy rozdzia\u0142u 5.
\n1. Funkcja komentowanego przepisu polega g\u0142\u00f3wnie na wyznaczeniu przedmiotowego zakresu stosowania ustawy. Jest on zdeterminowany mi\u0119dzy innymi poj\u0119ciem:
\na) \u201edane osobowe” (zdefiniowanym w art. 6), kt\u00f3re zak\u0142ada istnienie mo\u017cliwo\u015bci przyporz\u0105dkowania danych (informacji) do okre\u015blonej osoby; tak wi\u0119c poza zakresem dzia\u0142ania ustawy znajduj\u0105 si\u0119 wszelkie procedury przetwarzania takich informacji, kt\u00f3re maj\u0105 charakter anonimowy;
\nb)\u201eprzetwarzanie danych” (zdefiniowanym w art. 7 pkt 2), obejmuj\u0105cym wszelkie operacje dokonywane na danych osobowych;
\nc)\u201ezbi\u00f3r danych” (zdefiniowanym w art. 7 pkt 1), przez kt\u00f3ry rozumie si\u0119 ka\u017cdy posiadaj\u0105cy struktur\u0119 zestaw danych o charakterze osobowym, dost\u0119pnych wed\u0142ug okre\u015blonych kryteri\u00f3w, niezale\u017cnie od tego, czy ze staw ten j est rozproszony lub podzielony funkcj onalnie;
\nd)\u201esystem informatyczny” (zdefiniowanym w art. 7 pkt 2a), przez kt\u00f3ry rozumie si\u0119 zesp\u00f3\u0142 wsp\u00f3\u0142pracuj\u0105cych ze sob\u0105 urz\u0105dze\u0144, program\u00f3w, procedur przetwarzania informacji i narz\u0119dzi programowych zastosowanych w celu przetwarzania danych.
\n2.Brzmienie ust. 1 wskazuje przy tym jednoznacznie na to, \u017ce dzia\u0142aniem ustawy obj\u0119te s\u0105 tylko przypadki przetwarzania danych os\u00f3b fizycznych. Nie ma podstaw do stosowania, nawet per analogiam, przepis\u00f3w ustawy do przetwarzania danych odnosz\u0105cych si\u0119 wy\u0142\u0105cznie do os\u00f3b prawnych lub j ednostek organizacyjnych nieposiadaj\u0105cych osobowo\u015bci prawnej. (Por. w zwi\u0105zku z tym pkt E.IV Wst\u0119pu oraz komentarz do art. 6. )
\n3.Analiza wskaz\u00f3wek zawartych w ust. 1 komentowanego artyku\u0142u oraz por\u00f3wnanie jego ust. 1 i ust. 2 prowadzi\u0107 mo\u017ce do wniosku, i\u017c istniej\u0105 dwa odmienne, aczkolwiek wzajemnie powi\u0105zane, zakresy stosowania usta
\nwy i dwie zasadnicze grupy zagadnie\u0144 przez ni\u0105 regulowanych. Pierwszy dotyczy przetwarzania danych i post\u0119powania przy tym przetwarzaniu; chodzi tu g\u0142\u00f3wnie o prawa i obowi\u0105zki administrator\u00f3w danych, \u0142\u0105cznie ze sprawowanym nad ich dzia\u0142alno\u015bci\u0105 nadzorem (\u201eUstawa okre\u015bla zasady post\u0119powania przy przetwarzaniu danych osobowych”) w tym zakresie kwestia istnienia zbioru danych jest oboj\u0119tna. Drugi dotyczy praw os\u00f3b fizycznych, b\u0119d\u0105cych podmiotami przetwarzanych danych osobowych, przy czym w tym przypadku wyst\u0119puje odniesienie do zbioru danych (\u201eUstawa okre\u015bla (…) prawa os\u00f3b fizycznych, kt\u00f3rych dane osobowe s\u0105 lub mog\u0105 by\u0107 przetwarzane w zbiorach danych”). Na temat praw s\u0142u\u017c\u0105cych osobom, kt\u00f3rych dane maj\u0105 by\u0107 lub s\u0105 przetwarzane\u2014 zob. przede wszystkim art. 32 i komentarz do tego przepisu. Interpretacja taka znajduje oparcie w dalszych przepisach ustawy (por. m.in. art. 32-35), a tak\u017ce w tym, \u017ce okre\u015blenie \u201es\u0105 lub mog\u0105 by\u0107 przetwarzane w zbiorach danych”, wyst\u0119puj\u0105ce w art. 2 ust. 1, odnosi si\u0119 \u2014 ze wzgl\u0119du na u\u017cycie s\u0142owa \u201ekt\u00f3rych” w dope\u0142niaczu \u2014 wy\u0142\u0105cznie do zagadnienia pos\u0142ugiwania si\u0119 danymi osobowymi w kontek\u015bcie praw oznaczonych os\u00f3b fizycznych. Pojedyncze dane osobowe, same jako takie, wyst\u0119puj\u0105ce \u201ew oderwaniu”, w zasadzie nie s\u0105 przedmiotem zainteresowania ustawodawcy. Ustawa o tyle dotyczy pojedynczych danych osobowych, o ile chodzi o ich przetwarzanie, a \u201epo kt\u00f3rej\u015b stronie” mamy do czynienia ze zbiorem danych, kartotek\u0105, skorowidzem, ksi\u0119g\u0105, wykazem czy innym zbiorem ewidencyjnym (a wi\u0119c gdy chodzi np. o zbieranie pojedynczych danych do zbioru czy udost\u0119pnianie takich danych ze zbioru). Samo operowanie pojedynczymi danymi, jako takie, zasadniczo nie mie\u015bci si\u0119 w obszarze dzia\u0142ania ustawy. Jednak\u017ce nowelizacja ustawy z dnia 22 stycznia 2004 r. wprowadzi\u0142a istotny wyj\u0105tek od wskazanej powy\u017cej zasady. Zgodnie z przepisem art. 2 ust. 2 pkt 2 ustaw\u0119 stosuje si\u0119 do przetwarzania danych osobowych w systemach informatycznych tak\u017ce w przypadku przetwarzania danych poza zbiorem danych. Oznacza to, \u017ce w systemie informatycznym ochron\u0105 obj\u0119te s\u0105 dane osobowe, niezale\u017cnie od tego, czy s\u0105 przetwarzane w zbiorze, czy te\u017c nie (szerzej na ten temat por. uwagi zamieszczone poni\u017cej w pkt 7).
\n4. Redakcja postanowienia ust. 1 i 2 nie jest precyzyjna i mo\u017ce sta\u0107 si\u0119 \u017ar\u00f3d\u0142em odmiennych interpretacji.
\nMo\u017cna broni\u0107 zdania, i\u017c ca\u0142a regulacja prawna zawarta w ustawie odnosi si\u0119 tylko do sytuacji przetwarzania danych osobowych w zbiorach danych, a wi\u0119c w posiadaj\u0105cych struktur\u0119 zestawach danych, zapewniaj\u0105cych dost\u0119p do danych wed\u0142ug okre\u015blonych kryteri\u00f3w, niezale\u017cnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie (na temat poj\u0119cia zbioru danych zob. pkt 1-12 komentarza do art. 7), a w systemach informatycznych tak\u017ce poza zbiorami danych. Godz\u0105c si\u0119 na ten punkt widzenia nale\u017ca\u0142oby zatem przyj\u0105\u0107, \u017ce zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udost\u0119pnianie i usuwanie danych osobowych, je\u017celi nie ma powi\u0105zania z jakimkolwiek zbiorem danych albo nie jest dokonywane w systemie informatycznym, nie jest obj\u0119te dzia\u0142aniem przepis\u00f3w ustawy. Dodajmy, i\u017c nie s\u0105 zbiorami danych, w podanym wy\u017cej znaczeniu, wszelkie nieuporz\u0105dkowane, mechaniczne, w spos\u00f3b ci\u0105g\u0142y dokonywane zapisy dokumentacje\/jak cho\u0107by te, kt\u00f3re sporz\u0105dzane s\u0105 w sklepach, w zak\u0142adach pracy, w otoczeniu r\u00f3\u017cnych obiekt\u00f3w albo na ulicach przez ukryte lub umieszczone na widoku publicznym kamery. Nie oznacza to jednak, aby nie mo\u017cna by\u0142o samego monitorowania takimi kamerami traktowa\u0107 jako prze-
\ntwarzania danych. Legalizacji takich dzia\u0142a\u0144 doszukiwa\u0107 si\u0119 mo\u017cna w przepi-sach prawa, w zezwoleniu zainteresowanego (zw\u0142aszcza gdy wie on o moni-toringu i w spos\u00f3b co najmniej konkludentny godzi si\u0119 na obj\u0119cie nim swojej osoby), w przes\u0142ance m\u00f3wi\u0105cej o przetwarzaniu niezb\u0119dnym do wykonania okre\u015blonych prawem zada\u0144 (bezpiecze\u0144stwo, ochrona interesu publicznego i inne) realizowanych dla dobra publicznego. Zaznaczmy jednak, i\u017c legalno\u015b\u0107 dzia\u0142a\u0144 z punktu widzenia ustawy o ochronie danych osobowych mo\u017ce nie zawsze okaza\u0107 si\u0119 wystarczaj\u0105ca do zakwestionowania bezprawno\u015bci w zakresie naruszenia d\u00f3br osobistych prawa cywilnego (np. prywatno\u015bci czy wizerunku).
\nDopuszczalne jest tak\u017ce inne, dyskusyjne, podej\u015bcie, nawi\u0105zuj\u0105ce do dw\u00f3ch wskazanych wy\u017cej obszar\u00f3w regulacji, wed\u0142ug kt\u00f3rego aspekt wyst\u0119powania \u201ezbioru danych” jest istotny tylko w sferze ochrony praw os\u00f3b, kt\u00f3rych dane s\u0105 przetwarzane i tylko wtedy, gdy przepis ustawy do zbioru \\ danych si\u0119 odwo\u0142uje. Natomiast ustawa \u201ezajmuje si\u0119” r\u00f3wnie\u017c, jak to wynh ka ju\u017c z pierwszej cz\u0119\u015bci zdania zamieszczonego w art. 2 ust. 1, przetwarza niem danych osobowych \u201ew og\u00f3le”, a wi\u0119c r\u00f3wnie\u017c poza zbiorami danych w rozumieniu art. 7 pkt 1.
\nOgraniczenie praw os\u00f3b, kt\u00f3rych dane dotycz\u0105, tylko do takich sytuacji, w kt\u00f3rych dane s\u0105 lub mog\u0105 by\u0107 przetwarzane w zbiorze, mia\u0142oby\u2014zdaniem W. Zimnego \u2014 zapobiega\u0107 nadu\u017cywaniu praw przez osoby, kt\u00f3rych dane dotycz\u0105, je\u017celi w gr\u0119 wchodz\u0105 pojedyncze dane lub nawet ich zestawienia (np. opublikowane w ksi\u0105\u017cce, gazecie, zaprezentowane na wystawie itp.) a kt\u00f3rych przetwarzanie nast\u0119puje z przyczyn innych ni\u017c w celu w\u0142\u0105czenia do zbioru (por. W, Zimny, Zbieram dane moich klient\u00f3w i pierwszy raz us\u0142ysza\u0142em co\u015b o ustawowej ochronie danych osobowych \u2014 czy to mnie dotyczy? (Ochrona Danych Osobowych, Biuletyn Administrator\u00f3w Bezpiecze\u0144stwa Informacji 2000,2,8.5)
\n5. Konfrontuj\u0105c ust. 1 i 2 omawianego artyku\u0142u nale\u017cy zastanowi\u0107 si\u0119 \/ r\u00f3wnie\u017c nad relacj\u0105 zachodz\u0105c\u0105 mi\u0119dzy kategoriami zestawie\u0144 danych wyszczeg\u00f3lnionymi w art. 2 ust 2 pkt 1 (kartotekami, skorowidzami, ksi\u0119gami; wykazami oraz innymi zbiorami ewidencyjnymi) a zbiorem danych, o kt\u00f3rych stanowi art, 2 ust. 1, i kt\u00f3rego definicj\u0119 podaje art. 7 pkt 1. Chodzi tu ; o rozstrzygni\u0119cie, czy
\na)zbi\u00f3r danych stanowi \u201eposta\u0107 kwalifikowan\u0105” zestawie\u0144 (zestaw\u00f3w),
\no jakich mowa w art. 2 ust. 2 pkt 1, ze wzgl\u0119du na rodzaj lub spos\u00f3b \u201eustrukturyzowania” (r\u00f3\u017cnic dopatrywa\u0107 mo\u017cna by si\u0119 by\u0142o te\u017c w za- chowaniu b\u0105d\u017a wyeliminowaniu dost\u0119pno\u015bci danych wed\u0142ug okre\u015blonego kryterium w przypadku wt\u00f3rnego rozproszenia lub podzielenia ich zestawienia), czy te\u017c
\nb)w przepisie art. 2 ust 2 pkt 1 wymienione s\u0105 rozmaite \u201er\u00f3wnoprawne” postacie zbior\u00f3w danych.
\nW pierwszym przypadku wyliczenie z ust. 2 pkt 1 mia\u0142oby rang\u0119 raczej uzupe\u0142niaj\u0105c\u0105, w drugim \u2014 wyja\u015bniaj\u0105c\u0105.
\nPozytywnej odpowiedzi na pierwsze z postawionych wy\u017cej pyta\u0144 udziela W Zimny (por. bli\u017cej na ten temat pkt 7-8 komentarza do art. 7). Podobny pogl\u0105d w tej kwestii prezentuje r\u00f3wnie\u017c A. Drozd (Zakres zakazu przetwarzania danych osobowych, PiP 2003, z. 2, s. 43-44), kt\u00f3ry k\u0142adzie nacisk na poj\u0119cie \u201ezbi\u00f3r ewidencyjny”.
\nNaszym jednak zdaniem wyk\u0142adnia prowadz\u0105ca do takiego stanowiska, aczkolwiek formalnie dopuszczalna i poprawna, w istocie tworzy kategori\u0119 dla stosowania ustawy zb\u0119dn\u0105: uporz\u0105dkowane zestawienia (zestawy, zbiory ewidencyjne) danych niespe\u0142niaj\u0105ce cechy zbioru danych. Zb\u0119dno\u015b\u0107 ta uwidacznia si\u0119 zw\u0142aszcza przy przyj\u0119tym przez nas stanowisku (o czym bli\u017cej pkt 10-11 komentarza do art. 7), i\u017c dla stwierdzenia istnienia zbioru danych uznajemy jako dostateczne uporz\u0105dkowanie danych wed\u0142ug jednego kryterium. Wed\u0142ug nas funkcj\u0105 ust 2 pkt 1 nie jest tworzenie nowych, niezale\u017cnych od \u201ezbioru danych”, kategorii, lecz raczej przybli\u017cenie poj\u0119cia zbioru danych i \u2014 przede wszystkim \u2014 podkre\u015blenie, \u017ce przetwarzanie danych mo\u017ce by\u0107 prowadzone zar\u00f3wno w systemach informatycznych, jak i \u201etradycyjnych”. Odmienne podej\u015bcie by\u0142oby uzasadnione wtedy, gdyby ustawodawca konsekwentnie i wyra\u017anie r\u00f3\u017cnicowa\u0142 w dalszych przepisach ustawy regulacje w zale\u017cno\u015bci od tego, czy chodzi o przetwarzanie \u201ew zbiorach danych”, czy o przetwarzanie w kartotekach, skorowidzach, zbiorach ewidencyjnych b\u0105d\u017a w innych zestawach (zestawach o bardziej uproszczonej ni\u017c ma to miejsce w przypadku zbior\u00f3w wewn\u0119trznej organizacji). Tymczasem ustawodawca tak nie czyni. Zr\u00f3\u017cnicowanie, jakiego dopatrzy\u0107 si\u0119 mo\u017cemy w uregulowaniach, polega na rozgraniczaniu sytuacji, w kt\u00f3rych istotne jest istnienie zbioru danych, oraz sytuacji, w kt\u00f3rych spos\u00f3b organizacji danych oraz dost\u0119pno\u015bci do nich nie ma znaczenia,
\nW tym stanie rzeczy sk\u0142onni jeste\u015bmy raczej przyj\u0105\u0107, \u017ce zestawienia podane w art. 2 ust. 2 pkt 1 s\u0105 egzemplifikacj\u0105 zbior\u00f3w danych, o kt\u00f3rych mowa w art, 2 ust. 1 oraz w art 7 pkt 1. Podobne stanowisko, uznaj\u0105ce, \u017ce przepisy ust. 1 i 2 komentowanego artyku\u0142u dotycz\u0105 zbior\u00f3w danych w rozumieniu art. 7 pkt 1, zajmuje Generalny Inspektor Ochrony Danych Osobowych, kt\u00f3ry (w dziale \u201eZapytania i odpowiedzi dotycz\u0105ce zagadnie\u0144 prawnych” znajduj\u0105cym si\u0119 na jego stronie www \u2014 www.giodo.gov.pl) stwierdza: \u201eWszelkie materia\u0142y gromadzone w formie akt, w tym s\u0105dowe, prokuratorskie, policyjne i inne zawieraj\u0105ce dane osobowe, s\u0105 zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy. Konsekwencj\u0105 tego jest wy\u0142\u0105czenie stosowania art. 29 ustawy, w wypadku \u0104 udost\u0119pniania danych w celu w\u0142\u0105czenia do tych akt. Artyku\u0142 29 ma bowiemzastosowanie jedynie do udost\u0119pniania danych w celu innym ni\u017c w\u0142\u0105czenie do zbioru”. W opinii tej wida\u0107 wyra\u017anie, i\u017c Generalny Inspektor uto\u017csamia poj\u0119cie \u201ezbioru danych” z takimi zestawieniami, j\u0105kn\u0105 przyk\u0142ad akta s\u0105dowe; czy z niedookre\u015blonym poj\u0119ciem \u201ezbioru” wyst\u0119puj\u0105cym w art. 29.
\n6. \u015aci\u015ble semantyczna interpretacja art. 2 ust. 2 pkt 1 prowadzi\u0107 mo\u017ce do wniosku, \u017ce do czasu utworzenia zbior\u00f3w, o kt\u00f3rych stanowi powo\u0142any przepis, brak jest podstaw do stosowania ustawy. Nie jest bowiem w\u00f3wczas zrealizowana ani przes\u0142anka \u201eistnienia zbioru”, ani \u201eprzetwarzania danych w zbiorze”. Rozumowanie takie nie wydaje si\u0119 jednak trafne. Naszym zdaniem ustaw\u0119, w tym przepisy m\u00f3wi\u0105ce o zbiorach danych, nale\u017cy stosowa\u0107 w odniesieniu do stan\u00f3w faktycznych wyst\u0119puj\u0105cych ju\u017c na etapie gromadzenia danych osobowych z przeznaczeniem stworzenia w oparciu o nie zbioru (a wi\u0119c zanim powstanie ostatecznie ich zbi\u00f3r, a tak\u017ce zanim dane zostan\u0105 w\u0142\u0105czone do zbioru ju\u017c istniej\u0105cego). Zdaniem E. Mednisa do konkluzji takiej upowa\u017cnia tre\u015b\u0107 przepisu art. 2 ust. 1 w tej jego cz\u0119\u015bci, w kt\u00f3rej stanowi, \u017ce ustawa dotyczy \u201edanych, kt\u00f3re s\u0105 lub mog\u0105 by\u0107 przetwarzane w zbiorach”. Dalszych argument\u00f3w na rzecz tej tezy doszuka\u0107 si\u0119 mo\u017cna w:
\na)celu i funkcji ustawy;
\nb)tre\u015bci przepis\u00f3w art. 51 ust. 1 i 2 Konstytucji RP w tym zakresie, w jakim dotycz\u0105 ochrony obywateli w zwi\u0105zku ze zbieraniem o nich informacji, w fazie ich pozyskiwania;
\nc)w dyrektywie 95\/46\/WE, kt\u00f3ra w art. 3 ust. 1 wyra\u017anie przes\u0105dza o jej stosowaniu do przetwarzania danych, o ile dane te maj\u0105 figurowa\u0107 w zbiorze (maj\u0105 wej\u015b\u0107 w sk\u0142ad systemu ewidencyjnego) lub o ile maj\u0105 by\u0107 przetwarzane automatycznie.
\nNale\u017cy te\u017c zwr\u00f3ci\u0107 uwag\u0119 na punkt widzenia, za jakim opowiedzia\u0142 si\u0119 S\u0105d Najwy\u017cszy w postanowieniu z dnia 11 grudnia 2000 r. (IIKKN 438\/00, OSNKW 2001, nr 3-4, poz. 33). Zdaniem S\u0105du: \u201eDane osobowe korzysta j\u0105 z ochrony przewidzianej ustaw\u0105 z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 z p\u00f3\u017an. zm.) ju\u017c w\u00f3wczas, je\u017celi tylko mog\u0105 znale\u017a\u0107 si\u0119 w zbiorze danych osobowych, bez wzgl\u0119du na to, czy si\u0119 w nim ostatecznie znalaz\u0142y, a ustawa w odniesieniu do r\u00f3\u017cnych etap\u00f3w i rodzaj\u00f3w przetwarzania danych okre\u015bla jeszcze dodatkowe uprawnienia os\u00f3b, kt\u00f3rych dane te dotycz\u0105 (rozdzia\u0142 4 ustawy). Rzecz bowiem w tym, \u017ce ka\u017cdy ma prawo do ochrony dotycz\u0105cych go danych osobowych (art. 1 ust. 1 ustawy), a nie jedynie ten, czyje dane znalaz\u0142y si\u0119 ju\u017c w zbiorze. Je\u017celi za\u015b, stosownie do art. 7 omawianej ustawy, przetwarzaniem danych jest ich zbieranie, przechowywanie i usuwanie, a usuwaniem m.in. niszczenie (pkt 2 i 3 art. 7), to nie powinno budzi\u0107 w\u0105tpliwo\u015bci, i\u017c ochrona danych osobowych, o jakiej mowa w ustawie z 1997 r., odnosi si\u0119 ju\u017c do etapu ich zbierania, a nast\u0119pnie fazy przechowywania i niszczenia, i to cho\u0107by nie znalaz\u0142y si\u0119 one ostatecznie w zbiorze danych osobowych. Nie mo\u017ce bowiem by\u0107 pozbawiona w og\u00f3le ochrony prawnej p\u0142yn\u0105cej z ustawy w odniesieniu do swych danych osoba, kt\u00f3rej dane \u2014 mimo \u017ce zbierane, czyli przetwarzane w rozumieniu tej ustawy \u2014 nie znalaz\u0142y si\u0119 w zbiorze, i to tylko dlatego, \u017ce nie wesz\u0142y one do zbioru”.
\nUzasadniaj\u0105c t\u0119 wa\u017cn\u0105 interpretacj\u0119 S\u0105d Najwy\u017cszy stwierdzi\u0142: \u201eOchro-na danych osobowych wynika z art. 51 Konstytucji RP i bez w\u0105tpienia ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie jest jedynym aktem prawnym chroni\u0105cym te dane” (Szerzej na ten temat wypowiadaj\u0105 si\u0119 w literaturze m.in. A. Bier\u0107, Ochrona prawna danych osobowych w sferze dzia\u0142alno\u015bci gospodarczej w Polsce\u2014aspekty cywilnoprawne; W Kulesza, Ochrom danych osobowych a nowa kodyfikacja prawa karnego w Polsce; A. Mednis, Ochrona prawna danych osobowych a zagro\u017cenie prywatno\u015bci \u2014 rozwi\u0105zania polskie opracowania zamieszczone (w:) Ochrona danych osobowych (zbi\u00f3r referat\u00f3w wyg\u0142oszonych na po\u015bwi\u0119conej problematyce ochrony danych osobowych konferencji naukowej w dniach 27-28II1998 r.), red. M. Wyrzykowski, Warszawa 1999).
\nNa gruncie tej ustawy wypowiadane s\u0105 jednak rozbie\u017cne w istocie swej pogl\u0105dy co do zakresu jej dzia\u0142ania. Wedle niekt\u00f3rych autor\u00f3w ustawa ta \u201ej est aktem kompleksowo ujmuj\u0105cym ca\u0142o\u015b\u0107 zagadnienia, bez wzgl\u0119du na spos\u00f3b, w jaki przetwarza si\u0119 dane osobowe, elektronicznie czy te\u017c manualnie” (tak B. Banaszak, K. Wygoda, Regulacja prawna ochrony danych osobowych w Polsce w \u015bwietle ustawy z dnia 29 sierpnia 1997 r. i standard\u00f3w europejskich (w:) Ochrona danych osobowych…, s. 53). Inni z kolei podnosz\u0105, \u017ce \u201eochrona ta dotyczy przede wszystkim sytuacji, gdy dane te przetwarza w systemach informatycznych” (tak A. Bier\u0107, Ochrona prawna danych osobowych…, Si-112), a wi\u0119c nie tylko danych przetwarzanych w owych systemach. Jeszcze inni uwa\u017caj\u0105, i\u017c \u201ena pytanie, czy przepisy (…) ustawy stosuje si\u0119 do wszelkich danych osobowych, czy tylko do takich, kt\u00f3re znajduj\u0105 si\u0119 w lub maj\u0105 si\u0119 znale\u017a\u0107 w zbiorze, nie mo\u017cna odpowiedzie\u0107 jednoznacznie”, przy czym przyjmuj\u0105, \u017ce gdy chodzi o dane przetwarzane r\u0119cznie, to \u201ekorzystaj\u0105 one z ochrony o tyle, o ile s\u0105 lub maj\u0105 by\u0107 elementem zbioru” (tak A. Mednis, Ustawa o ochronie…, s. 15).
\nAnalizuj\u0105c przepisy ustawy z 1997 r. zauwa\u017camy, \u017ce ju\u017c z j ej tytu\u0142u wy-nika, i\u017c dotyczy ona ochrony danych osobowych, a nie danych osobowych w zbiorach. Zgodzi\u0107 si\u0119 trzeba, \u017ce sam tytu\u0142 ustawy nie musi jeszcze przes\u0105dza\u0107 o zakresie jej dzia\u0142ania, cho\u0107 co do zasady powinien, i na pewno ma znaczenie dla interpretacji danego aktu prawnego. Ale zreszt\u0105 ju\u017c w art. 1 ustawa zak\u0142ada, \u017ce ka\u017cdy ma prawo do ochrony danych osobowych (ust. 1), a ich przetwarzanie mo\u017ce mie\u0107 miejsce tylko z uwagi na wskazane w ustawie dobra i jedynie w zakresie i trybie okre\u015blonym ustaw\u0105 (ust. 2). W art. 2 ust. 1 ustawa wskazuje z kolei, \u017ce \u201eokre\u015bla zasady post\u0119powania przy przetwarzaniu danych oraz prawa os\u00f3b fizycznych, kt\u00f3rych dane osobowe s\u0105 lub mog\u0105 by\u0107 przetwarzane w zbiorach danych”. Nie chodzi przy tym o prawami
\nos\u00f3b, kt\u00f3rych dane\u2014jak twierdz\u0105 niekt\u00f3rzy autorzy\u2014\u201es\u0105 lub maj\u0105 by\u0107 elementem zbioru” (tak A. Mednis), ale kt\u00f3re \u201es\u0105 lub mog\u0105 by\u0107 przetwarzane zbiorach”. Zgodnie za\u015b z ustaw\u0105 przetwarzanie danych to \u201ewszelkie operacje na tych danych” \u2014 a nie na zbiorze takich danych \u2014 w tym m.in. \u201etakie jak zbieranie, utrwalanie, przechowywanie (…) i usuwanie” (art. 7 pkt 2) Tym samym dane osobowe korzystaj\u0105 z ochrony przewidzianej ustaw\u0105 ju\u017c w\u00f3wczas, je\u017celi tylko mog\u0105 znale\u017a\u0107 si\u0119 w zbiorze, bez wzgl\u0105du na to, czy si\u0119 w nim ostatecznie znalaz\u0142y, a ustawa w odniesieniu do r\u00f3\u017cnych etap\u00f3w i rodzaj\u00f3w przetwarzania danych okre\u015bla jeszcze dodatkowe uprawnienia os\u00f3b, kt\u00f3rych dane te dotycz\u0105 (rozdz. 4 ustawy). Ustawa okre\u015bla przy tym, do jakich podmiot\u00f3w przetwarzaj\u0105cych dane si\u0119 odnosi (art. 3 ust. 1-2) i zastrzega, i\u017c nie stosuje si\u0119 jej norm tylko wobec os\u00f3b fizycznych przetwarzaj\u0105cych dane osobowe w celach osobistych lub domowych (art. 3a ust. 1 pkt 1), podmiot\u00f3w maj\u0105cych siedzib\u0119 w pa\u0144stwie trzecim, a wykorzystuj\u0105cych \u015brodki techniczne znajduj\u0105ce si\u0119 na terytorium Polski wy\u0142\u0105cznie do tranzytu danych (art. 3a ust. 1 pkt 2), a tak\u017ce do prasowej dzia\u0142alno\u015bci dziennikarskiej oraz dzia\u0142alno\u015bci literackiej i artystycznej (art, 3a ust. 2). Wypada zwr\u00f3ci\u0107 tak\u017ce uwag\u0119 na spostrze\u017cenia W Zimnego w omawianej materii {Trudno\u015bci z terminem \u201ezbi\u00f3r danych” w ustawie o ochranie danych-osobowych, maszynopis udost\u0119pniony przez Autora). Polemizuje on z kategorycznym stanowiskiem, kt\u00f3re istotne znaczenie przypisuje zamierzonemu przeznaczeniu danych. Uwa\u017ca, \u017ce problem nie w tym, czy dane osobowe w trakcie ich zbierania maj\u0105 podlega\u0107 ochronie, lecz chodzi o pytanie, czy na tym etapie mo\u017cna ju\u017c m\u00f3wi\u0107 o \u201ezbiorach danych” z wszystkimi p\u0142yn\u0105cy mi st\u0105d konsekwencjami. Odpowied\u017a twierdz\u0105ca poci\u0105ga za sob\u0105 w\u0105tpliwo\u015bci na przyk\u0142ad co do oznaczenia momentu, w kt\u00f3rym dokonane ma zosta\u0107 zg\u0142oszenie zbioru do rejestracji. Odpowied\u017a przecz\u0105ca nie pozbawia danych osobowych ochrony, bowiem istnienie \u201ezbioru danych” nie jest warunkiem sine quo. non stosowania komentowanej ustawy. Wynika to z tre\u015bci art, 2 ust. 1, kt\u00f3ry na wst\u0119pie pos\u0142uguje si\u0119 og\u00f3ln\u0105 formu\u0142\u0105: \u201eUstawa okre\u015bla zasady post\u0119powania przy przetwarzaniu danych osobowych (…)”.
\nNa marginesie warto zauwa\u017cy\u0107, i\u017c w pi\u015bmiennictwie wskazuje si\u0119 wy-ra\u017anie na to, \u017ce wzorcem dla regulacji polskiej z 1997 r. sta\u0142y si\u0119 unormowania zachodnioeuropejskie oraz konwencja 108 Rady Europy z dnia 26 stycznia 1981 r, i dyrektywa Unii Europejskiej 95\/46\/WE z dnia 24 pa\u017adziernika 1995 r., a o ile pocz\u0105tkowo ustawodawstwo europejskie chroni\u0142o praktycznie wy\u0142\u0105cznie zbiory danych osobowych, o tyle obecnie, wraz z rozwojem technologii, uznano, i\u017c nieobj\u0119cie ochron\u0105 pojedynczych danych by\u0142oby niew\u0142a\u015bciwe (zob. A. Mednis, Ustawa o ochronie danych osobowych s. 7 i 14).
\n7. Jak ju\u017c zaznaczyli\u015bmy, g\u0142\u00f3wnym celem ust. 2 komentowanego artyku\u0142u jest \u2014 jak si\u0119 wydaje \u2014 podkre\u015blenie, \u017ce dla stosowania ustawy nie ma znaczenia sam spos\u00f3b przetwarzania danych osobowych. Ustawa dotyczy zar\u00f3wno przetwarzania takich danych w nowoczesnych zautomatyzowanych systemach informatycznych, j ak i przetwarzania metodami tradycyjnymi, manualnymi, w kartotekach, skorowidzach, r\u00f3\u017cnych wykazach, zbiorach ewidencyjnych itp., aczkolwiek pierwotnie mia\u0142a odnosi\u0107 si\u0119 tylko do dziedzin zinformatyzowanych. W zakresie dzia\u0142ania ustawy znajduj\u0105 si\u0119 tak\u017ce wszelkie systemy mieszane. Oboj\u0119tne jest przy tym, na jakich no\u015bnikach (papierowych, elektronicznych lub innych) dane s\u0105 utrwalane. Takie rozwi\u0105zanie ma m.in. t\u0119 zalet\u0119, \u017ce przeciwdzia\u0142a pr\u00f3bom obej\u015bcia przepis\u00f3w ustawy poprzez przenoszenie danych z jednych no\u015bnik\u00f3w na drugie.
\nZaznaczmy w tym miejscu, \u017ce definicj\u0119 systemu informatycznego zawiera przepis art, 7 ust. 2a u.o.d.o.
\nPrzepis art. 2 ust 2 by\u0142 \u017ar\u00f3d\u0142em w\u0105tpliwo\u015bci interpretacyjnych r\u00f3wnie\u017c w zakresie przetwarzania danych osobowych w systemach informa-tycznych. Zgodnie z pierwotnym brzmieniem tego przepisu, ustawa mia\u0142a zastosowanie do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, ksi\u0119gach, wykazach i w innych zbiorach ewidencyjnych. Problem sprowadza\u0142 si\u0119 do odpowiedzi na pytanie, czy ustaw\u0119 stosuje si\u0119 w sytuacjach, gdy w systemach informatycznych przetwarzane s\u0105 dane osobowe, kt\u00f3re nie tworz\u0105 zbioru danych. Na gruncie komentowanego przepisu we wskazanym powy\u017cej brzmieniu zaprezentowano wyk\u0142adni\u0119, i\u017c przy przetwarzaniu danych osobowych w systemach informatycznych okoliczno\u015bci\u0105 irrelewantn\u0105 jest istnienie zbioru danych. Innymi s\u0142owy: w systemach informatycznych w istocie przedmiotem ochrony stawa\u0142yby si\u0119 poniek\u0105d same dane osobowe (w literaturze polskiej ten pogl\u0105d wyra\u017ca A. Mednis). Takiej wyk\u0142adni mo\u017cna broni\u0107 pos\u0142uguj\u0105c si\u0119 kilkoma argumentami.
\nPo pierwsze, brzmienie art. 2 ust. 2 wskazywa\u0142oby na to, \u017ce ustawodawca odmiennie traktuje przetwarzanie danych osobowych w systemach informatycznych, a odr\u0119bnie w kartotekach, skorowidzach, ksi\u0119gach\/wykazach i w innych zbiorach ewidencyjnych. Tylko w tym drugim przypadku mamy do czynienia\u2014jak ju\u017c wy\u017cej by\u0142a mowa \u2014 z odniesieniem si\u0119 do zbior\u00f3w danych.
\nPo drugie, \u201euchwytno\u015b\u0107” zbior\u00f3w danych w rozleg\u0142ych sieciach telein-formatycznych jest bardzo trudna. Rygorystyczne uzale\u017cnianie przewidzianej ustaw\u0105 ochrony os\u00f3b, kt\u00f3rych dane dotycz\u0105, od wskazania zbioru czyni\u0142oby bardzo cz\u0119sto t\u0119 ochron\u0119 iluzoryczn\u0105.
\nPo trzecie, za proponowan\u0105 wyk\u0142adni\u0105 przemawia\u0142a potrzeba zharmonizowania zakresu regulacji komentowanej ustawy z zakresem regulacji przytoczonej dyrektywy Unii Europejskiej. \u015aci\u015ble bowiem rzecz ujmuj\u0105c mo\u017cna by\u0142o dopatrzy\u0107 si\u0119 w omawianym zakresie pewnego odst\u0119pstwa polskiej ustawy od rozwi\u0105za\u0144 zawartych w cytowanej dyrektywie (cho\u0107 dopuszczalnego w \u015bwietle jej postanowie\u0144 tak\u017ce dla kraj\u00f3w cz\u0142onkowskich Unii). Ot\u00f3\u017c, zgodnie z art 3 dyrektywy, stosuje si\u0119 j\u0105 do wszystkich danych osobowych przetwarzanych w systemach informatycznych, natomiast tylko w przypadku przetwarzania danych osobowych bez wykorzystania \u015brodk\u00f3w automatycznych (jak to si\u0119 niekiedy okre\u015bla: \u201ew spos\u00f3b manualny”) dyrektywa znajduje zastosowanie o tyle, o ile istnieje zestawienie o cechach zbioru danych.
\nJak si\u0119 wydaje, trzeci ze wskazanych powy\u017cej wzgl\u0119d\u00f3w przes\u0105dzi\u0142 o nowelizacji komentowanego przepisu, kt\u00f3ra zosta\u0142a dokonana ustaw\u0105 z dnia 22 stycznia 2004 r. Zgodnie z nowym brzmieniem art. 2 ust 2 pkt 2 ustaw\u0119 stosuje si\u0119 do przetwarzania danych osobowych w systemach informatycznych, tak\u017ce w przypadku przetwarzania danych poza zbiorem danych. Podobn\u0105 regulacj\u0119 zawiera ustawa z dnia 18 lipca 2002 r. o \u015bwiadczeniu us\u0142ug drog\u0105 elektroniczn\u0105 (Dz. U. Nr 144, poz. 1204 z p\u00f3\u017an. zm.), kt\u00f3rej art. 16 ust. 2 stanowi, i\u017c \u201edane osobowe podlegaj\u0105 ochronie (…) w zakresie ich przetwarzania niezale\u017cnie od tego, czy jest ono dokonywane w zbiorach danych”. Tego rodzaju wyznaczenie zakresu stosowania przepis\u00f3w o ochronie danych osobowych stanowi wyraz uwzgl\u0119dnienia specyfiki przetwarzania danych w spos\u00f3b zautomatyzowany, co poci\u0105ga za sob\u0105 z jednej strony niezwyk\u0142\u0105 \u0142atwo\u015b\u0107 dokonywania r\u00f3\u017cnego rodzaju operacji na danych osobowych, a z drugiej strony sprawia niekiedy trudno\u015bci z ustaleniem istnienia zbioru danych.
\n8. Przyj\u0119cie og\u00f3lnej zasady r\u00f3wnouprawnienia r\u00f3\u017cnych metod przetwarzania danych znalaz\u0142o tak\u017ce sw\u00f3j wyraz w ujednoliceniu przepis\u00f3w dotycz\u0105cych zabezpieczenia danych. Wspomniana powy\u017cej nowelizacja ustawy obj\u0119\u0142a swoim zasi\u0119giem r\u00f3wnie\u017c przepisy, kt\u00f3re pierwotnie odnosi\u0142y si\u0119 do zabezpieczenia zbior\u00f3w danych, w tym tak\u017ce przepisy dotycz\u0105ce jedynie przetwarzania danych w systemach informatycznych. Rozdzia\u0142 5 po nowelizacji ma znacznie szerszy zakres, gdy\u017c reguluje problematyk\u0119 zabezpieczenia danych, a nie \u2014 jak do tej pory \u2014 jedynie zabezpieczenia zbior\u00f3w danych, co wydaje si\u0119 szczeg\u00f3lnie istotne w kontek\u015bcie przetwarzania danych w systemach informatycznych. Ponadto w art. 36 na\u0142o\u017cono na administratora obowi\u0105zek zastosowania \u015brodk\u00f3w technicznych i organizacyjnych zapewniaj\u0105cych ochron\u0119 przetwarzanych danych osobowych odpowiedni\u0105 do zagro\u017ce\u0144 oraz kategorii danych. Gdy chodzi o obowi\u0105zki, kt\u00f3re pierwotnie adresowane by\u0142y tylko do podmiot\u00f3w przetwarzaj\u0105cych dane w systemach informatycznych (okre\u015blone w art. 37 i 38 u.o.d.o.), to wskutek nowelizacji obj\u0119to nimi r\u00f3wnie\u017c innych administrator\u00f3w danych. Szczeg\u00f3\u0142owe uwzgl\u0119dnienie specyfiki zautomatyzowanego przetwarzania danych ma odbywa\u0107 si\u0119 na p\u0142aszczy\u017anie przepis\u00f3w wykonawczych. Ustawa zawiera delegacj\u0119 do wydania rozporz\u0105dzenia przez ministra w\u0142a\u015bciwego do spraw administracji, w porozumieniu z ministrem w\u0142a\u015bciwym do spraw informatyzacji, kt\u00f3re okre\u015bli podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiada\u0107 urz\u0105dzenia i systemy informatyczne s\u0142u\u017c\u0105ce do przetwarzania danych osobowych, uwzgl\u0119dniaj\u0105c zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagro\u017ce\u0144 oraz kategorii danych obj\u0119tych ochron\u0105, a tak\u017ce wymagania w zakresie odnotowywania udost\u0119pniania danych osobowych i bezpiecze\u0144stwa przetwarzanych danych (art. 39a). Por. te\u017c komentarz do art 36-39a.
\n9.Dla stosowania ustawy nie ma w\u0142a\u015bciwie znaczenia cel (charakter) przetwarzania danych. Mo\u017ce by\u0107 on zar\u00f3wno komercyjny, zawodowy, handlowy, jak i niekomercyjny (np. przetwarzanie danych przez organizacje typu non profit itp.). Wyj\u0105tkami od tej zasady s\u0105 sytuacje opisane w art. 3a ust. 1 pkt 1 (przetwarzanie danych osobowych przez osoby fizyczne wy\u0142\u0105cznie w celach osobistych lub domowych), art. 3a ust. 1 pkt 2 (tzw. tranzyt danych przez terytorium Polski), art. 3a ust 2 (prasowa dzia\u0142alno\u015b\u0107 dzienni karska, dzia\u0142alno\u015b\u0107 literacka lub artystyczna) oraz w ust. 3 komentowanego artyku\u0142u. Nadto cel przetwarzania danych posiada\u0107 mo\u017ce znaczenie dla stosowania poszczeg\u00f3lnych regulacji ustawowych (zob. np. art. 25 ust. 2 pkt 3;art. 26 ust. 2; art. 43 ust. 1 u.o.d.o.).
\n10.Przepis ust. 3 wprowadza istotne ograniczenie, je\u015bli chodzi o zakres stosowania uregulowa\u0144 przewidzianych ustaw\u0105. Nie jest on jednak jasno sformu\u0142owany i dopuszcza w istocie dwie ino\u017cEwe interpretacje.
\nW my\u015bl pierwszej, ustawa nie b\u0119dzie znajdowa\u0107 zastosowania (poza przepisami rozdzia\u0142u 5), je\u015bli zajdzie kt\u00f3ra\u015b, cho\u0107by jedna, spo\u015br\u00f3d podanych okoliczno\u015bci:
\na)zbi\u00f3r sporz\u0105dzany jest dora\u017anie albo
\nb)zbi\u00f3r powstaje wy\u0142\u0105cznie ze wzgl\u0119d\u00f3w technicznych (\u0107o wyst\u0119puje m.in.przy sterowanym programem komputerowym przetwarzaniu danych w systemach informatycznych czy telekomunikacyjnych), albo
\nc)zbi\u00f3r sporz\u0105dzany jest ze wzgl\u0119d\u00f3w szkoleniowych {np. dotyczy os\u00f3b uczestnicz\u0105cych w kursach, odbywaj\u0105cych praktyk\u0119), albo
\nd) zbi\u00f3r sporz\u0105dzany jest w zwi\u0105zku z prowadzon\u0105 dydaktyk\u0105 w szko\u0142ach wy\u017cszych (obejmuje studiuj\u0105cych), a nadto dane zostan\u0105 niezw\u0142ocznie po ich wykorzystaniu usuni\u0119te albo poddane anonimizacji.
\nDruga interpretacja jest bardziej rygorystyczna. Przyjmuje, \u017ce poza za-kresem dzia\u0142ania ustawy pozostaj\u0105 jedynie zbiory danych osobowych sporz\u0105dzane dora\u017anie, kt\u00f3re (nadto) powsta\u0142y wy\u0142\u0105cznie:
\n-ze wzgl\u0119d\u00f3w technicznych albo
\n-ze wzgl\u0119d\u00f3w szkoleniowych, albo
\n-w zwi\u0105zku z dydaktyk\u0105 w szko\u0142ach wy\u017cszych,
\nprzy zastrze\u017ceniu, \u017ce dane te po ich wykorzystaniu b\u0119d\u0105 niezw\u0142ocznie usuni\u0119te albo poddane anonimizacji. Spe\u0142nienie podanych warunk\u00f3w prowadzi do sytuacji, w kt\u00f3rej zagro\u017cenie dla s\u0142usznych interes\u00f3w os\u00f3b, kt\u00f3rych dane dotycz\u0105, ulega znacznemu zmniejszeniu.
\nKonsekwencje, do jakich prowadz\u0105 obie wyk\u0142adnie, mo\u017cna krytykowa\u0107. W przypadku pierwszej pojawia si\u0119 obawa, a zarazem zarzut, i\u017c wiele zbior\u00f3w danych osobowych, i to nawet danych wra\u017cliwych, znajdzie si\u0119 poza regulacj\u0105 ustawow\u0105 tylko dlatego, \u017ce mo\u017cna im przypisa\u0107 (bli\u017cej niezdefiniowany) \u201edora\u017any charakter”. Ten stan rzeczy niesie ze sob\u0105 niew\u0105tpliwie zagro\u017cenie dla interes\u00f3w os\u00f3b, kt\u00f3rych dotycz\u0105 przetwarzane dane; Zastrze\u017cenia, jakie z kolei budzi druga interpretacja, wi\u0105\u017c\u0105 si\u0119 z przesadnym skr\u0119powaniem rygorami ustawy (m.in. obowi\u0105zkiem rejestracji zbioru, obo-wi\u0105zkami informacyjnymi) dora\u017anego (incydentalnego, kr\u00f3tkotrwa\u0142ego) pos\u0142ugiwania si\u0119 danymi, nadto niezw\u0142ocznie po wykorzystaniu usuwanymilub anonimizowanymi, przy kt\u00f3rych to dzia\u0142aniach trudno dopatrzy\u0107 si\u0119 czy to technicznego zdeterminowania, czy to celu szkoleniowego lub powi\u0105zania z dydaktyk\u0105 w szko\u0142ach wy\u017cszych. Za przyk\u0142ad mo\u017ce pos\u0142u\u017cy\u0107 gromadzenie danych o uczestnikach wycieczki albo gromadzenie danych potrzebnych przy pisaniu pracy naukowej. Bardziej uzasadniona wydaje si\u0119 \u2014 naszym zdaniem \u2014 druga spo\u015br\u00f3d podanych interpretacji. Uwa\u017camy, \u017ce przes\u0142anka \u201edora\u017ano\u015bci” nie ma charakteru samodzielnego; spe\u0142nienie tej przes\u0142anki jest konieczne, niemniej wymaga uzupe\u0142nienia poprzez \u201ewzgl\u0119dy” natury technicznej, szkoleniowej lub dydaktycznej.
\n11. Niezale\u017cnie od wskazanych w poprzednim punkcie komentarza rozbie\u017cno\u015bci interpretacyjnych powstaj\u0105 dalsze jeszcze trudno\u015bci zwi\u0105zane ze stosowaniem art. 2 ust 3, a w konsekwencji i z wyznaczeniem w spos\u00f3b dok\u0142adny zakresu statuowanego wy\u0142\u0105czenia. Maj\u0105 one swe \u017ar\u00f3d\u0142o w nieostro\u015bci u\u017cytych w tym przepisie okre\u015ble\u0144, takich chocia\u017cby, jak \u201edora\u017ano\u015b\u0107”, \u201eniezw\u0142oczno\u015b\u0107”, a tak\u017ce \u201ewzgl\u0119dy techniczne” czy \u201ewzgl\u0119dy szkoleniowe”.
\nNie jest r\u00f3wnie\u017c w pe\u0142ni klarowne ratio legis wskazanego przepisu. Mo\u017cna by na przyk\u0142ad zastanawia\u0107 si\u0119, czy analizowanym wy\u0142\u0105czeniem obj\u0119te s\u0105 dane osobowe uczni\u00f3w szk\u00f3\u0142 podstawowych, \u015brednich, zawodowych, a je\u015bli nie \u2014 to dlaczego. Na pewno nie wchodzi tu w rachub\u0119 przes\u0142anka odwo\u0142uj\u0105ca si\u0119 do \u201edydaktyki w szko\u0142ach wy\u017cszych”. Wobec braku uzasadnienia dla sytuacji, w kt\u00f3rej dane uczni\u00f3w mia\u0142yby by\u0107 poddane bardziej intensywnej ochronie ni\u017c dane student\u00f3w, nale\u017ca\u0142oby by\u0107 mo\u017ce sk\u0142oni\u0107 si\u0119 do tego, i\u017c wchodz\u0105 tu w rachub\u0119 szeroko rozumiane \u201ewzgl\u0119dy szkoleniowe”. Jeszcze trudniej przes\u0142ank\u0105 t\u0105 pos\u0142u\u017cy\u0107 si\u0119 w odniesieniu do dora\u017anie sporz\u0105dzanych zbior\u00f3w danych o uczestnikach r\u00f3\u017cnorakich imprez (wycieczek, kolonii, konkurs\u00f3w, zawod\u00f3w sportowych, turniej\u00f3w itp.), aczkolwiek przecie\u017c i w tych przypadkach istniej\u0105 racje, nie mniejsze ni\u017c w przypadku student\u00f3w, ku temu, aby odej\u015b\u0107 od rygor\u00f3w komentowanej ustawy.
\nK\u0142opoty zwi\u0105zane z wyznaczeniem granic wy\u0142\u0105czenia wida\u0107 te\u017c na przyk\u0142adzie propozycji, aby zakresem tym obj\u0105\u0107 przypadki rejestrowania w systemach informatycznych, przez tzw. biura przepustek, os\u00f3b wchodz\u0105cych do danego budynku publicznego (zob. G. Raszkowska, Wej\u015bcie przez komputer, Rzeczpospolita z 6 pa\u017adziernika 1999 r.). Praktyka pokazuje, i\u017c dane znajduj\u0105ce si\u0119 w takich zbiorach nie s\u0105 bynajmniej niezw\u0142ocznie usuwane ani poddawane anonimizacji. A skoro tak, to \u2014 twierdzi si\u0119\u2014powinny w pe\u0142ni podlega\u0107 rygorom ustawy, \u0142\u0105cznie z obowi\u0105zkiem ich rejestracji. Jednak\u017ce Generalny Inspektor Ochrony Danych Osobowych uznaje, \u017ce s\u0105 to zbiory danych przetwarzanych w zakresie drobnych, bie\u017c\u0105cych spraw \u017cycia codziennego, a wi\u0119c zbiory, kt\u00f3rych administratorzy, zgodnie z art. 41 ust. 1 pkt 11 u.o.d.o. zwolnieni s\u0105 z obowi\u0105zku rejestracyjnego (por. m.in. Sprawozdanie z dzia\u0142alno\u015bci Generalnego Inspektora Ochrony Danych Osobowych za okres 01.01.2001-S1.12.2001 r., druk sejmowy nr 322 z 8 marca 2002 r., s. 349).
\nGeneralny Inspektor Ochrony Danych Osobowych uznaje, i\u017c przy ocenie, czy zbi\u00f3r danych ma charakter dora\u017any, \u201e(…) konieczne jest odwo\u0142anie si\u0119 do konkretnych okoliczno\u015bci faktycznych towarzysz\u0105cych przetwarzaniu danych przez konkretnego administratora, przetwarzaj\u0105cego je dla okre\u015blonych, precyzyjnie wskazanych cel\u00f3w. Wyk\u0142adni art. 2 ust. 3 nie mo\u017cna bowiem dokonywa\u0107 w spos\u00f3b abstrakcyjny, nie znaj\u0105c szczeg\u00f3\u0142owo okoliczno\u015bci przetwarzania danych w konkretnym przypadku. Nie ulega jednak w\u0105tpliwo\u015bci, \u017ce istotn\u0105 rol\u0119 w zakresie praktycznego rozumienia art. 2 ust. 3 odgrywa czynnik czasu, w ci\u0105gu kt\u00f3rego s\u0105 przetwarzane dane osobowe. Poza tym konieczne jest rozwa\u017cenie celu (zada\u0144), kt\u00f3remu s\u0142u\u017cy\u0107 ma przetwarzanie danych w okre\u015blonej strukturze. O ile pierwszy z tych czynnik\u00f3w (czas) nie jest z oczywistych powod\u00f3w \u015bci\u015ble, ustawowo okre\u015blony (tzn. trudno o wskazanie \u015bcis\u0142ych, czasowych granic zbioru dora\u017anego), o tyle poj\u0119cie dora\u017ano\u015bci musi by\u0107 uzale\u017cnione od celu przetwarzania danych w zbiorze. Je\u017celi dane tworz\u0105ce okre\u015blon\u0105 struktur\u0119 s\u0142u\u017c\u0105 realizacji zasadniczego, g\u0142\u00f3wnego celu przetwarzania, trudno uzna\u0107 t\u0119 struktur\u0119 za zbi\u00f3r dora\u017any. Nie zmienia tego okoliczno\u015b\u0107, \u017ce okres jej przetwarzania jest relatywnie kr\u00f3tki.” (pogl\u0105d wyra\u017cony na oficjalnej stronie GIODO, w dziale Pytania i odpowiedzi, www.giodo.gov.pl).
\n12.Omawiane wy\u0142\u0105czenie z art. 2 ust. 3 dotyczy zar\u00f3wno \u201etradycyjnych” zbior\u00f3w danych, jaki zbior\u00f3w zautomatyzowanych, funkcjonuj\u0105cychw systemach informatycznych.
\nWy\u0142\u0105czenie nie rozci\u0105ga si\u0119 jednak na przepisy rozdzia\u0142u 5 ustawy: \u201eZabezpieczenie danych osobowych”. W rezultacie, nawet przy takich dora\u017anych zbiorach, administrator danych jest obowi\u0105zany:
\na)zastosowa\u0107 \u015brodki techniczne i organizacyjne zapewniaj\u0105ce ochron\u0119 przetwarzanych danych osobowych odpowiedni\u0105 do zagro\u017ce\u0144 oraz kategorii danych obj\u0119tych ochron\u0105, a w szczeg\u00f3lno\u015bci powinien zabezpieczy\u0107 dane przed ich udost\u0119pnieniem osobom nieupowa\u017cnionym, za braniem przez osob\u0119 nieuprawnion\u0105, przetwarzaniem z naruszeniem ustawy oraz zmian\u0105, utrat\u0105, uszkodzeniem lub zniszczeniem;
\nb)prowadzi\u0107 dokumentacj\u0119 opisuj\u0105c\u0105 Spos\u00f3b przetwarzania danych oraz podj\u0119te \u015brodki zabezpieczaj\u0105ce;
\nc)wyznaczy\u0107 administratora bezpiecze\u0144stwa informacji, nadzoruj\u0105cego przestrzeganie zasad ochrony, chyba \u017ce sam wykonuje te czynno\u015bci;
\nd)zapewni\u0107 kontrol\u0119 nad tym, jakie dane osobowe, kiedy i przez kogo zosta\u0142y do zbioru wprowadzone oraz komu s\u0105 przekazywane;
\ne)prowadzi\u0107 ewidencj\u0119 os\u00f3b upowa\u017cnionych do przetwarzaniu danych.
\nPoza tym:
\na)do przetwarzania danych mog\u0105 by\u0107 dopuszczone wy\u0142\u0105cznie osoby posiadaj\u0105ce upowa\u017cnienie nadane przez administratora danych;
\nb)osoby upowa\u017cnione do przetwarzania danych obowi\u0105zane s\u0105 do zachowania w tajemnicy danych i sposob\u00f3w ich zabezpieczenia.
\n13.Ustawa nie wyr\u00f3\u017cnia, znanej niekt\u00f3rym zagranicznym porz\u0105dkom prawnym, kategorii wewn\u0119trznych zbior\u00f3w, kartotek (w prawie niemieckim okre\u015blanych jako intern\u0119 Dataien), przetwarzanych danych metodami tradycyjnymi (niezautomatyzowanymi), do kt\u00f3rych tylko w w\u0105skim zakresie (g\u0142\u00f3wnie gdy chodzi o bezpiecze\u0144stwo danych) znajdowa\u0142yby zastosowanie przepisy aktu prawnego s\u0142u\u017c\u0105cego ochronie danych osobowych. Chodzi tu o takie sytuacje, w kt\u00f3rych zebrane dane osobowe z natury rzeczy nie maj\u0105 by\u0107 przekazywane osobom trzecim, lecz s\u0105 tylko wykorzystywane \u201ewewn\u0119trznie” (np. dane o wp\u0142acanych przez pracownik\u00f3w sk\u0142adkach na fundusz socjalny czy do kasy zapomogowo-po\u017cyczkowej; podobnie oceni\u0107 trzeba gromadzone w sekretariatach instytucji zbiory danych potrzebnych do prowadzenia dzia\u0142alno\u015bci bie\u017c\u0105cej).
\nArt. 3.1. Ustaw\u0119 stosuje si\u0119 do organ\u00f3w pa\u0144stwowych, organ\u00f3w samorz\u0105du terytorialnego oraz do pa\u0144stwowych i komunalnych jednostek organizacyjnych.
\n2. Ustaw\u0119 stosuje si\u0119 r\u00f3wnie\u017c do:
\n1)podmiot\u00f3w niepublicznych realizuj\u0105cych zadania publiczne,
\n2)os\u00f3b fizycznych i os\u00f3b prawnych oraz jednostek organizacyjnych nieb\u0119d\u0105cych osobami prawnymi, je\u017celi przetwarzaj\u0105 dane osobowe w zwi\u0105zku z dzia\u0142alno\u015bci\u0105 zarobkow\u0105, zawodow\u0105 lub dla realizacji cel\u00f3w statutowych, kt\u00f3re maj\u0105 siedzib\u0119 albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w pa\u0144stwie trzecim, o ile przetwarzaj\u0105 dane osobowe przy wykorzystaniu \u015brodk\u00f3w technicznych znajduj\u0105cych si\u0119 na terytorium Rzeczypospolitej Polskiej.
\n1. Przepis art. 3 wytycza zakres stosowania ustawy \u00f3d strony podmiotowej. Komentowany przepis uleg\u0142 istotnym zmianom w wyniku nowelizacji dokonanej ustaw\u0105 z dnia 22 stycznia 2004 r. Zakresem stosowania ustawy obj\u0119te s\u0105 wszelkie podmioty dokonuj\u0105ce przetwarzania danych. Ustawa wymienia je w ust. 1 i 2 dziel\u0105c na dwie grupy.
\nDo pierwszej zalicza podmioty publiczne, a to:
\na)organy pa\u0144stwowe (organy w\u0142adzy pa\u0144stwowej: Sejm, Senat, Prezydent oraz organy administracji rz\u0105dowej);
\nb)organy samorz\u0105du terytorialnego;
\nc)inne pa\u0144stwowe i komunalne jednostki organizacyjne.
\nPodmioty te mog\u0105 decydowa\u0107 o celu przetwarzania danych osobowych w ramach zada\u0144, jakie maj\u0105 wykonywa\u0107 zgodnie z przepisami prawa i kt\u00f3re tymi przepisami zosta\u0142y wyznaczone.
\nZ kolei drug\u0105 grup\u0119 tworz\u0105 podmioty prywatne:
\na)\tpodmioty niepubliczne realizuj\u0105ce zadania publiczne; do tej kategorii zaliczy\u0107 by mo\u017cna na przyk\u0142ad prywatne, zak\u0142ady opieki zdrowotnej, prywatne szko\u0142y, przedszkola (warto wspomnie\u0107, i\u017c podmioty niepa\u0144stwowe realizuj\u0105ce zadania publiczne przed nowelizacj\u0105 zaliczane by\u0142y do grupy podmiot\u00f3w publicznych);
\nb)\tosoby fizyczne;
\nc)osoby prawne inne ni\u017c te, kt\u00f3re nale\u017c\u0105 do grupy pierwszej (np. kapita\u0142owe sp\u00f3\u0142ki prawa handlowego \u2014 sp\u00f3\u0142ki z o.o. i sp\u00f3\u0142ki akcyjne, stowarzyszenia, sp\u00f3\u0142dzielnie, fundacje
\nd)jednostki organizacyjne nieb\u0119d\u0105ce osobami prawnymi (np. niemaj\u0105ce osobowo\u015bci prawnej sp\u00f3\u0142ki prawa handlowego).
\nPodmioty prywatne obj\u0119te s\u0105 zakresem stosowania ustawy, j e\u017celi przetwarzaj\u0105 dane w zwi\u0105zku z dzia\u0142alno\u015bci\u0105 zarobkow\u0105, zawodow\u0105 lub dla realizacji cel\u00f3w statutowych. Wymogu tego ustawa nie odnosi do podmiot\u00f3w niepublicznych realizuj\u0105cych zadania publiczne, jednak\u017ce \u2014 jak si\u0119 wydaje \u2014 trudno by\u0142oby wskaza\u0107 podmioty niepubliczne, kt\u00f3re realizuj\u0105 zadania niezwi\u0105zane z ich dzia\u0142alno\u015bci\u0105 zarobkow\u0105, zawodow\u0105 lub realizacj\u0105 cel\u00f3w statutowych.
\nW rozr\u00f3\u017cnieniu na podmioty publiczne i prywatne dopatrzy\u0107 si\u0119 mo\u017cna refleksu rozwi\u0105za\u0144 spotykanych w zagranicznych ustawodawstwach, gdzie problematyk\u0119 przetwarzania danych osobowych ujmuje si\u0119 odr\u0119bnie dla sektora publicznego i odr\u0119bnie dla sektora prywatnego (taknp. w ustawie niemieckiej). Przetwarzanie danych w ka\u017cdym z tych sektor\u00f3w poddawane jest innemu re\u017cimowi prawnemu. Towarzysz\u0105 temu szczeg\u00f3lne przepisy dotycz\u0105ce przep\u0142ywu danych pomi\u0119dzy wymienionymi sektorami.
\nZ \u0142atwo widocznej, r\u00f3wnie\u017c w sferze przetwarzania danych osobowych, specyfiki obydwu sektor\u00f3w ustawodawca polski\u2014jak b\u0119dzie mo\u017cna dostrzec w toku dalszych wywod\u00f3w komentarza \u2014 nie wyprowadzi\u0142 jednak zasadniczych konsekwencji prawnych wyra\u017caj\u0105cych si\u0119 w istotnej odmienno\u015bci regulacji prawnej. Rozr\u00f3\u017cnienie pomi\u0119dzy wspomnianymi sektorami, kt\u00f3re w pierwotnym brzmieniu ustawy znajdowa\u0142o swoje istotne odbicie w art. 23 ust. 1 pkt 5 (i w konsekwencji w art. 32 ust. 1 pkt 7-8) oraz w art. 29 u.o.d.o., utraci\u0142o cz\u0119\u015bciowo swoje znaczenie wskutek nowelizacji wskazanych powy\u017cej przepis\u00f3w, dokonanej ustaw\u0105 z dnia 22 stycznia 2004 r,
\nW obowi\u0105zuj\u0105cym obecnie stanie prawnym r\u00f3\u017cnice w regulacji przetwarzania danych osobowych w sektorze publicznym i prywatnym dostrzec mo\u017cna jedynie w nielicznych przepisach ustawy (por. art. 7 pkt 6 lit. e; cz\u0119\u015bciowo art. 25 ust. 2 pkt 5; art. 43 ust. 1 pkt 1, la, 2,2a, 6,7). R\u00f3\u017cnice w podej\u015bciu ustawodawcy do przetwarzania i ochrony danych osobowych znacznie dobitniej uwidaczniaj\u0105 si\u0119 w tzw. regulacjach sektorowych, uwzgl\u0119dniaj\u0105cych specyfik\u0119 r\u00f3\u017cnych dziedzin dzia\u0142alno\u015bci.
\nZaznaczmy, i\u017c szerokie uj\u0119cie podmiotowego zakresu dzia\u0142ania ustawy nakazuje stosowa\u0107 jej przepisy tak\u017ce m.in. do pracodawc\u00f3w i zbieranych przez nich danych osobowych na temat os\u00f3b zatrudnionych oraz staraj\u0105cych si\u0119 o prac\u0119. Prawny status pracodawcy nie ma przy tym znaczenia.
\n2. Obowi\u0105zuj\u0105cy do czasu wej\u015bcia w \u017cycie wspomnianej nowelizacji przepis art. 3 ust. 3 u.o.d.o. stanowi\u0142, \u017ce ustawa znajduje zastosowanie do podmiot\u00f3w (zar\u00f3wno publicznych, jak i prywatnych), kt\u00f3re maj\u0105 siedzib\u0119 albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej lub przetwarzaj\u0105 dane przy wykorzystaniu \u015brodk\u00f3w technicznych znajduj\u0105cych si\u0119 na tym terytorium. Dla stwierdzenia w\u0142a\u015bciwo\u015bci komentowanej ustawy wystarczy\u0142o wi\u0119c wykazanie spe\u0142nienia jednej z wskazanych w tym przepisie przes\u0142anek. W wyniku nowelizacji tre\u015b\u0107 art. 3 uleg\u0142a istotnym zmianom. Zgodnie z nowym brzmieniem art. 3 ust. 2 ustaw\u0119 stosuje si\u0119 do podmiot\u00f3w prywatnych, kt\u00f3re maj\u0105 siedzib\u0119 albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej albo w pa\u0144stwie trzecim, o ile przetwarzaj\u0105 dane osobowe przy wykorzystaniu \u015brodk\u00f3w technicznych znajduj\u0105cych si\u0119 na terytorium Rzeczpospolitej Polskiej. Wskazany powy\u017cej przepis mo\u017ce by\u0107 interpretowany w dwojaki spos\u00f3b.
\nWed\u0142ug jednej z interpretacji, w przepisie tym ustawodawca wskaza\u0142 dwie przestanki, kt\u00f3re musz\u0105 by\u0107 spe\u0142nione kumulatywnie: pierwsz\u0105 z przes\u0142anek jest siedziba lub miejsce zamieszkania, natomiast drug\u0105 przes\u0142ank\u0119 stanowi wykorzystywanie przy przetwarzaniu danych \u015brodk\u00f3w technicznych znajduj\u0105cych si\u0119 na terytorium RP. Innymi s\u0142owy: dla stwierdzenia w\u0142a\u015bciwo\u015bci ustawy nie wystarczy\u0142oby, aby podmiot przetwarzaj\u0105cy dane mia\u0142 siedzib\u0119 w Polsce (lub w kraju trzecim), ale trzeba by\u0142oby jeszcze wykaza\u0107, \u017ce podmiot ten przetwarza dane osobowe korzystaj\u0105c ze \u015brodk\u00f3w technicznych znajduj\u0105cych si\u0119 w naszym kraju. Do takiego wniosku prowadzi\u0107 mo\u017ce wyk\u0142adnia j\u0119zykowa komentowanego przepisu. Taka wyk\u0142adnia jest jednak\u2014naszym zdaniem \u2014 niew\u0142a\u015bciwa, gdy\u017c stoi w jawnej sprzeczno\u015bci z przepisem art. 4 dyrektywy 95\/46\/WE. Jako og\u00f3ln\u0105 zasad\u0119 art. 4 ust. 1 lit. a) dyrektywy przyjmuje kryterium \u201eprzetwarzania danych w kontek\u015bcie prowadzenia przez administratora dzia\u0142alno\u015bci gospodarczej na terytorium pa\u0144stwa cz\u0142onkowskiego” (\u201ethe processing is carried out in the context of the acn”vities of an establishment of the controller on the territory of the Member State”). Z punktu widzenia dyrektywy decyduj\u0105ce znaczenie ma miejsce prowadzenia dzia\u0142alno\u015bci, natomiast fakt wykorzystywania \u015brodk\u00f3w technicznych znajduj\u0105cych si\u0119 na terytorium pa\u0144stwa cz\u0142onkowskiego jest istotny tylko w odniesieniu do podmiot\u00f3w, kt\u00f3re nie prowadz\u0105 dzia\u0142alno\u015bci gospodarczej na terytorium<\/p>\n
Wsp\u00f3lnoty, a jedynie wykorzystuj\u0105 \u015brodki znajduj\u0105ce si\u0119 na terytorium pa\u0144stwa cz\u0142onkowskiego (por. art. 4 ust. 1 lit. c) dyrektywy). Dlatego te\u017c wym\u00f3g przetwarzania danych osobowych przy wykorzystaniu \u015brodk\u00f3w technicznych, kt\u00f3re znajduj\u0105 si\u0119 na terytorium naszego kraju, w stosunku do pod-miot\u00f3w maj\u0105cych siedzib\u0119 w Polsce budzi\u0107 mo\u017ce uzasadnione w\u0105tpliwo\u015bci. Ponadto przyj\u0119cie takiej wyk\u0142adni prowadzi\u0142oby do znacznego i w du\u017cej o mierze nieuzasadnionego ograniczenia zakresu stosowania przepis\u00f3w ustawy. Warto w tym miejscu wspomnie\u0107, i\u017c g\u0142\u00f3wnym celem nowelizacji dokonanej dnia 22 stycznia 2004 r. by\u0142o w\u0142a\u015bnie dostosowanie ustawy do standard\u00f3w dyrektywy 95\/46\/WE (por. Uzasadnienie projektu ustawy o zmianie ustawy o ochronie danych osobowych, druk sejmowy nr 2120 z 16 pa\u017adziernika 2003 r, s. 1), trudno by\u0142oby wi\u0119c broni\u0107 interpretacji, kt\u00f3ra by\u0142aby niezgodna z implementowan\u0105 dyrektyw\u0105.
\n3. Ze wskazanych powy\u017cej wzgl\u0119d\u00f3w uwa\u017camy, \u017ce nale\u017cy opowiedzie\u0107 si\u0119 za interpretacj\u0105, wed\u0142ug kt\u00f3rej ustawa znajduje zastosowanie do dw\u00f3ch grup podmiot\u00f3w prywatnych, przetwarzaj\u0105cych dane w zwi\u0105zku z dzia\u0142alno\u015bci\u0105 zarobkow\u0105, zawodow\u0105 lub realizacj\u0105 cel\u00f3w statutowych:
\n1)podmiot\u00f3w, kt\u00f3re maj\u0105 siedzib\u0119 albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej;
\n2)podmiot\u00f3w, kt\u00f3re maj\u0105 siedzib\u0119 albo miejsce zamieszkania w pa\u0144stwietrzecim, o ile przetwarzaj\u0105 dane osobowe przy wykorzystaniu \u015brodk\u00f3w technicznych znajduj\u0105cych si\u0119 na terytorium Rzeczypospolitej Polskiej.
\nW odniesieniu do pierwszej z grup podmiot\u00f3w przes\u0142anka siedziby lub miejsca zamieszkania jest przes\u0142ank\u0105 wystarczaj\u0105c\u0105, nie ma \u2014 naszym zdaniem \u2014. potrzeby wykazywania, i\u017c podmioty te przetwarzaj\u0105 dane przy wykorzystaniu \u015brodk\u00f3w znajduj\u0105cych si\u0119 na terytorium RP Natomiast w przypadku podmiot\u00f3w z drugiej grupy konieczne jest \u0142\u0105czne spe\u0142nienie obu wskazanych w art. 3 ust. 2 przes\u0142anek. Wskazana tu interpretacja pozo
\nstaje w zgodno\u015bci z dyrektyw\u0105 95\/46\/WE.
\nOkoliczno\u015bci\u0105 nieistotn\u0105, je\u015bli chodzi o stosowanie polskiej ustawy, jest \u201elokalizacja zbioru danych”. Kryterium to lansowane by\u0142o w pocz\u0105tkowych etapach prac nad dyrektyw\u0105 UE, p\u00f3\u017aniej zosta\u0142o zarzucone przede wszystkim z powodu nieadekwatno\u015bci do warunk\u00f3w komunikacji cyfrowej. Podobnie za nietrafne uznano zasadniczo kryterium \u201emiejsca przetwarzania danych”. Trudno nie zauwa\u017cy\u0107, \u017ce przes\u0142anie danych drog\u0105 sieci komputerowej (np. poprzez internet) prowadzi do tego, i\u017c w ramach tej jednej operacji nast\u0119puje wiele (mo\u017cna powiedzie\u0107 podporz\u0105dkowanych) akt\u00f3w przetwarzania tych danych. Mamy na my\u015bli cho\u0107by zdeterminowane warunkami technicznymi po\u015brednie zapisy danych, niekiedy te\u017c swoiste ich przetwarzanie.
\n4. Podstawow\u0105 przes\u0142ank\u0105, o kt\u00f3rej mowa w art. 3 ust. 2 pkt 2, jest kryterium siedziby lub miejsca zamieszkania. Je\u017celi ustawa lub oparty na niej statut nie stanowi inaczej, siedzib\u0105 osoby prawnej jest miejscowo\u015b\u0107, w kt\u00f3rej ma siedzib\u0119 jej organ zarz\u0105dzaj\u0105cy \u2014 art. 41 k.c; z kolei miejscem zamieszkania osoby fizycznej jest miejscowo\u015b\u0107, w kt\u00f3rej osoba ta przebywa z zamiarem sta\u0142ego pobytu \u2014 art. 25 k.c. Brzmienie przepisu art. 3 ust. 2 u.o.d.o. nie przes\u0105dza jednak o tym, czy wystarczaj\u0105ca jest \u201ejakakolwiek siedziba”, czy te\u017c (jak to si\u0119 niekiedy przyjmuje na gruncie innych ustaw) znaczenie ma tylko siedziba \u201epowa\u017cna”. Donios\u0142e znaczenie przy interpretacji tego poj\u0119cia ma niew\u0105tpliwie specjalna definicja siedziby zawarta w preambule dyrektywy (pkt 19), umo\u017cliwiaj\u0105ca obj\u0119cie jej dzia\u0142aniem szerokiego kr\u0119gu podmiot\u00f3w. Zasadniczym kryterium pozwalaj\u0105cym oznaczy\u0107 siedzib\u0119 jest\u2014wed\u0142ug dyrektywy \u2014 miejsce, gdzie wyst\u0119puje efektywne i rzeczywiste wykonywanie okre\u015blonej dzia\u0142alno\u015bci w spos\u00f3b sta\u0142y; nie ma natomiast decyduj\u0105cego znaczenia status prawny tego rodzaju dzia\u0142alno\u015bci, a wi\u0119c to, czy jest ona prowadzona przez jednostk\u0119 podporz\u0105dkowan\u0105, przez oddzia\u0142 czy fili\u0119 posiadaj\u0105c\u0105 osobowo\u015b\u0107 prawn\u0105.
\n5. Pod poj\u0119ciem \u201epa\u0144stwo trzecie” rozumie si\u0119 pa\u0144stwo nienale\u017c\u0105ce do Europejskiego Obszaru Gospodarczego (do EOG nale\u017c\u0105 pa\u0144stwa cz\u0142onkowskie Unii Europejskiej oraz Norwegia, Islandia i Lichtenstein; szerzej na ten temat por. pkt 37 komentarza do art. 7). W odniesieniu do tych podmiot\u00f3w ustawa przewiduje konieczno\u015b\u0107 spe\u0142nienia dodatkowej przes\u0142anki: przetwarzania danych osobowych przy wykorzystaniu \u015brodk\u00f3w technicznych, kt\u00f3re znajduj\u0105 si\u0119 na terytorium RP, Ustawa nie precyzuje, o jakie \u015brodki techniczne chodzi, dlatego poj\u0119cie to nale\u017cy interpretowa\u0107 szeroko, jako r\u00f3\u017cnego rodzaju \u015brodki (zar\u00f3wno tradycyjne, jak te\u017c elektroniczne), kt\u00f3re s\u0142u\u017c\u0105 do przetwarzania danych, le\u017celi warunek ten nie jest spe\u0142niony, brak pod staw do stwierdzenia w\u0142a\u015bciwo\u015bci ustawy polskiej, nawet je\u015bli przetwarzane dane dotycz\u0105 obywateli polskich. Ustawa nie przes\u0105dza tak\u017ce, czy na terenie RP znajdowa\u0107 si\u0119 musz\u0105 wszystkie, czy wystarczy, \u017ce tylko niekt\u00f3re, \u015brodki techniczne wykorzystywane przy przetwarzaniu danych; opowiedzenie si\u0119 za pierwsz\u0105 spo\u015br\u00f3d tych mo\u017cliwo\u015bci wydaje si\u0119 dyskusyjne; w dobie global’ nych, ponadkraj owych sieci informatycznych bardzo \u0142atwo by\u0142oby w\u0142\u0105czy\u0107 do procesu przetwarzania danych \u015brodki techniczne (np. serwery) zlokalizowane na terytorium innego kraju po to tylko, aby uwolni\u0107 si\u0119 od podporz\u0105dkowania polskiej ustawie, niemniej, z drugiej strony, nie powinien o w\u0142a\u015bciwo\u015bci polskiej ustawy przes\u0105dza\u0107 fakt, i\u017c na terytorium kraju znajduj\u0105 si\u0119 \u015brodki techniczne wy\u0142\u0105cznie \u201etransmisyjne”, przy wykorzystaniu kt\u00f3rych dane s\u0105 jedynie przesy\u0142ane.
\nObj\u0119cie zakresem stosowania polskiej ustawy podmiot\u00f3w maj\u0105cych siedzib\u0119 lub miejsce zamieszkania w pa\u0144stwie trzecim, je\u017celi podmioty te przetwarzaj\u0105 dane przy wykorzystaniu \u015brodk\u00f3w technicznych znajduj\u0105cych si\u0119 na terytorium RP, stanowi implementacj\u0119 normy wyra\u017conej w art 4 ust. 1 lit. c) dyrektywy 95\/46\/WE. Stosowanie polskiej regulacji prawnej (podobnie jak regulacji krajowych w pa\u0144stwach cz\u0142onkowskich UE) w tej sytuacji uzasadnione jest tym, \u017ce pa\u0144stwa trzecie mog\u0105 nie posiada\u0107 regulacji prawnych gwarantuj\u0105cych adekwatny poziom ochrony i poddanie przetwarzania danych regulacjom obowi\u0105zuj\u0105cym w tych pa\u0144stwach (je\u017celi w og\u00f3le konkretne pa\u0144stwo tak\u0105 regulacj\u0119 posiada) mog\u0142oby spowodowa\u0107 obni\u017cenie poziomu ochrony danych osobowych. Dodatkowo dyrektywa stanowi, i\u017c powinny istnie\u0107 gwarancje, zapewniaj\u0105ce przestrzeganie w praktyce praw i obowi\u0105zk\u00f3w odnosz\u0105cych si\u0119 do przetwarzania danych. Realizacji tego postulatu s\u0142u\u017cy\u0107 ma na\u0142o\u017cony na administratora danych obowi\u0105zek wyznaczenia swojego przedstawiciela w naszym kraju, w przypadku gdy dane przetwarzane s\u0105 przez podmioty maj\u0105ce siedzib\u0119 lub miejsce zamieszkania w pa\u0144stwie trzecim (por. na ten temat komentarz do art. 31a).
\nUstawa nie ma jednak zastosowania do tzw. tranzytu danych przez terytorium Polski dokonywanego przez podmioty maj\u0105ce siedzib\u0119 lub miejsce zamieszkania w pa\u0144stwie trzecim. Szerzej na ten temat por. komentarz
\ndo art. 3a ust. 1 pkt 2.
\n6. W praktyce mo\u017ce powsta\u0107 w\u0105tpliwo\u015b\u0107, czy ustawa znajduje zastosowanie do podmiot\u00f3w zagranicznych z pa\u0144stw nale\u017c\u0105cych do Europejskiego Obszaru Gospodarczego, w przypadku gdy podmioty te prowadz\u0105 dzia\u0142alno\u015b\u0107 na terytorium kilku pa\u0144stw (w tym tak\u017ce w Polsce). W tej sytuacji istotne jest to, gdzie znajduje si\u0119 siedziba (miejsce zamieszkania) danego podmiotu; Jak ju\u017c wcze\u015bniej wskazywali\u015bmy, dyrektywa nakazuje interpretowa\u0107 poj\u0119cie siedziby jako miejsce, gdzie wyst\u0119puje efektywne i rzeczywiste wykonywanie okre\u015blonej dzia\u0142alno\u015bci w spos\u00f3b sta\u0142y. Przy wyk\u0142adni tego poj\u0119cia nie ma decyduj\u0105cego znaczenia status prawny tego rodzaju dzia\u0142alno\u015bci, a wi\u0119c to, czy jest ona prowadzona przez jednostk\u0119 podporz\u0105dkowan\u0105, przez oddzia\u0142 czy fili\u0119 posiadaj\u0105c\u0105 osobowo\u015b\u0107 prawn\u0105. Ponadto art. 4 ust. 1 lit. a) dyrektywy stanowi, \u017ce je\u017celi ten sam administrator danych prowadzi dzia\u0142alno\u015b\u0107 gospodarcz\u0105 na terytorium kilku pa\u0144stw cz\u0142onkowskich, musi on podj\u0105\u0107 niezb\u0119dne dzia\u0142ania, aby zapewni\u0107, \u017ce ka\u017cda z tych firm wywi\u0105zuje si\u0119 z obowi\u0105zk\u00f3w ustalonych przez stosowane prawo krajowe.
\nProblematyk\u0119 prowadzenia dzia\u0142alno\u015bci gospodarczej w naszym kraju przez przedsi\u0119biorc\u00f3w zagranicznych reguluje ustawa z dnia 2 lipca 2004 r. o swobodzie dzia\u0142alno\u015bci gospodarczej (Dz. U. Nr 137, poz. 1807 z p\u00f3\u017an. zm.). Typowymi formami prowadzenia dzia\u0142alno\u015bci przez przedsi\u0119biorc\u00f3w zagranicznych (podmioty maj\u0105ce siedzib\u0119 lub miejsce zamieszkania za granic\u0105 i wykonuj\u0105ce dzia\u0142alno\u015b\u0107 za granic\u0105) w Polsce s\u0105 oddzia\u0142y i przedstawicielstwa. Zgodnie z art 5 pkt 4 u.s.d.g. oddzia\u0142 stanowi wyodr\u0119bnion\u0105 i samodzieln\u0105 organizacyjnie cz\u0119\u015b\u0107 dzia\u0142alno\u015bci gospodarczej, wykonywan\u0105 przez przedsi\u0119biorc\u0119 poza siedzib\u0105 przedsi\u0119biorcy lub g\u0142\u00f3wnym miejscem wykonywania dzia\u0142alno\u015bci. Dla wykonywania dzia\u0142alno\u015bci gospodarczej na terytorium Rzeczypospolitej Polskiej przedsi\u0119biorcy zagraniczni mog\u0105 tworzy\u0107 oddzia\u0142y z siedzib\u0105 na terytorium Rzeczypospolitej Polskiej (art. 85 u.s.d.g.). Oddzia\u0142 mo\u017ce prowadzi\u0107 dzia\u0142alno\u015b\u0107 gospodarcz\u0105 wy\u0142\u0105cznie w zakresie przedmiotu dzia\u0142alno\u015bci przedsi\u0119biorcy zagranicznego (art. 86 u.s.d.g.). Przedsi\u0119biorca zagraniczny mo\u017ce tak\u017ce utworzy\u0107 przedstawicielstwo z siedzib\u0105 na terytorium Rzeczypospolitej Polskiej (art. 93 u.s.d.g.), przy czym zakres dzia\u0142ania przedstawicielstwa jest znacznie w\u0119\u017cszy, ni\u017c zakres dzia\u0142ania oddzia\u0142u, gdy\u017c, zgodnie z art. 94 u.s.d.g., mo\u017ce obejmowa\u0107 wy\u0142\u0105cznie prowadzenie dzia\u0142alno\u015bci w zakresie reklamy i promocji przedsi\u0119biorcy zagranicznego lub promocji i reklamy gospodarki kraju siedziby os\u00f3b zagranicznych, kt\u00f3re utworzy\u0142y przedstawicielstwo (art. 95 u.s.d.g.). Przepisy odnosz\u0105ce si\u0119 do dzia\u0142alno\u015bci gospodarczej nak\u0142adaj\u0105 na podmioty prowadz\u0105ce dzia\u0142alno\u015b\u0107 w formie oddzia\u0142u i przedstawicielstwa wiele obowi\u0105zk\u00f3w (szerzej na ten temat por. M. Zdyb, Dzia\u0142alno\u015b\u0107 gospodarcza i publiczne prawo gospodarcze, Zakamycze 2002, s. 99 i n.). Z przytoczonych powy\u017cej przepis\u00f3w wynika, \u017ce zar\u00f3wno oddzia\u0142y, jak i przedstawicielstwa przedsi\u0119biorc\u00f3w zagranicznych maj \u0105 swoj\u0105 siedzib\u0119 w Polsce. Tak wi\u0119c przedsi\u0119biorcy zagraniczni (z pa\u0144stw nale\u017c\u0105cych do EOG) prowadz\u0105cy w naszym kraju dzia\u0142alno\u015b\u0107 gospodarcz\u0105 w formie oddzia\u0142\u00f3w lub przedstawicielstw podlegaj\u0105 przepisom ustawy o ochronie danych osobowych.
\nDodajmy, i\u017c nie powoduje wy\u0142\u0105czenia stosowania przepis\u00f3w ustawy okoliczno\u015b\u0107, \u017ce podmiot wymieniony w art. 3 ust. 2, kt\u00f3ry ma na terytorium Rzeczypospolitej Polskiej sw\u0105 siedzib\u0119 albo miejsce zamieszkania, zleci przetwarzanie danych osobowych instytucji zlokalizowanej poza granicami naszego kraju. Ustawa nie znajduje zastosowania do podmiot\u00f3w, kt\u00f3re maj\u0105 siedzib\u0119 lub miejsce zamieszkania w pa\u0144stwie nale\u017c\u0105cym do EOG (poza obszarem Polski, a w naszym kraju nie maj\u0105 oddzia\u0142u ani przedstawicielstwa) i przetwarzaj\u0105 dane w kontek\u015bcie prowadzonej w tym pa\u0144stwie dzia\u0142alno\u015bci, na
\nwet w\u00f3wczas, gdy podmioty te b\u0119d\u0105 przetwarza\u0107 te dane przy wykorzystaniu \u015brodk\u00f3w technicznych znajduj\u0105cych si\u0119 w Polsce. W tym przypadku prawem w\u0142a\u015bciwym b\u0119dzie prawo obowi\u0105zuj\u0105ce w pa\u0144stwie, w kt\u00f3rym siedzib\u0119 ma administrator danych. Wynika to z przyj\u0119cia za\u0142o\u017cenia, kt\u00f3re przewiduje art. 4 dyrektywy, a kt\u00f3re znajduje potwierdzenie w wi\u0119kszo\u015bci regulacji prawnych obowi\u0105zuj\u0105cych w pa\u0144stwach nale\u017c\u0105cych do Europejskiego Obszaru Gospodarczego, i\u017c zasadniczo decyduj\u0105ce znaczenie dla wskazania prawa w\u0142a\u015bciwego ma faktyczne miejsce prowadzenia dzia\u0142alno\u015bci, z kt\u00f3r\u0105 wi\u0105\u017ce si\u0119 przetwarzanie danych osobowych, a nie miejsce, w kt\u00f3rym ulokowane s\u0105 \u015brodki techniczne s\u0142u\u017c\u0105ce przetwarzaniu danych.
\n7. Warto wspomnie\u0107, i\u017c mo\u017cliwa jest \u2014 cho\u0107 naszym zdaniem nietrafna \u2014 odmienna interpretacja komentowanego przepisu, zgodnie z kt\u00f3r\u0105 w przypadku, gdy przedsi\u0119biorca zagraniczny (z kraju nale\u017c\u0105cego do EOG) prowadzi dzia\u0142alno\u015b\u0107 w Polsce w formie oddzia\u0142u lub przedstawicielstwa, nie podlega on przepisom polskiej ustawy, a przepisom obowi\u0105zuj\u0105cym w tym pa\u0144stwie, w kt\u00f3rym siedzib\u0119 ma zak\u0142ad g\u0142\u00f3wny tego przedsi\u0119biorcy. Argumentem przemawiaj\u0105cym za tak\u0105 interpretacj\u0105 jest fakt, i\u017c zazwyczaj siedzib\u0105 ; administratora (podmiotu, kt\u00f3ry decyduje o celach i \u015brodkach przetwarzaniadanych) jest siedziba zak\u0142adu g\u0142\u00f3wnego. Jednak\u017ce przeciwko takiej wyk\u0142adni przemawia to, i\u017c dyrektywa \u0142\u0105czy kwestie prawa w\u0142a\u015bciwego z miejscem,gdzie faktycznie wykonywana jest dzia\u0142alno\u015b\u0107, w zwi\u0105zku z kt\u00f3r\u0105 dane osobowe s\u0105 przetwarzane, natomiast okoliczno\u015b\u0107, czy dzia\u0142alno\u015b\u0107 ta jest prowadzona przez jednostk\u0119 podporz\u0105dkowan\u0105, przez oddzia\u0142 czy fili\u0119, a tak\u017ce kwestia posiadania przez ten podmiot osobowo\u015bci prawnej nie s\u0105 tu decyduj\u0105ce. Za odrzuceniem interpretacji nieuznaj\u0105cej w omawianym przypadku w\u0142a\u015bciwo\u015bci polskiej ustawy przemawiaj\u0105 tak\u017ce konsekwencje, jakie poda ga\u0142oby za sob\u0105 przyj\u0119cie takiego stanowiska. Stwierdzenie, \u017ce polska ustawa nie mia\u0142aby w omawianym przypadku zastosowania, spowodowa\u0142oby m.in; wy\u0142\u0105czenie mo\u017cliwo\u015bci kontroli takiej dzia\u0142alno\u015bci przez Generalnego Inspektora Ochrony Danych Osobowych, a tak\u017ce istotne ograniczenie praw os\u00f3b, kt\u00f3rych dane dotycz\u0105 (z uwagi na to, i\u017c dochodzenie swoich praw przez te osoby u podmiot\u00f3w maj\u0105cych siedzib\u0119 za granic\u0105 by\u0142oby znacznie utrudnione i zazwyczaj uci\u0105\u017cliwe). Za nietrafny nale\u017cy tak\u017ce uzna\u0107 zarzut poddania omawianej dzia\u0142alno\u015bci regulacji dw\u00f3ch ustaw (polskiej i obcej), jako \u017ce do dzia\u0142alno\u015bci wykonywanej przez podmioty maj\u0105ce siedzib\u0119 w naszym kraju . (oddzia\u0142y i przedstawicielstwa) maj\u0105 zastosowanie przepisy prawa polskiego, natomiast podobne przepisy (uznaj\u0105ce w\u0142a\u015bciwo\u015b\u0107 prawa krajowego w odniesieniu do podmiot\u00f3w maj\u0105cych siedzib\u0119 w tych krajach) obowi\u0105zuj\u0105 tak\u017ce \u017ce w innych pa\u0144stwach Unii Europejskiej.
\nW pi\u015bmiennictwie zaprezentowany zosta\u0142 pogl\u0105d, zgodnie z kt\u00f3rym obecna redakcja komentowanego przepisu oznacza, i\u017c ustaw\u0119 stosuje si\u0119 do administrator\u00f3w z UE (EOG) tylko wtedy, gdy prowadz\u0105 oni dzia\u0142alno\u015b\u0107 na terytorium Polski poprzez zale\u017cn\u0105 osob\u0119 prawn\u0105, posiadaj\u0105c\u0105 u nas siedzib\u0119, natomiast w razie prowadzenia w naszym kraju dzia\u0142alno\u015bci w fonnie oddzia\u0142u czy przedstawicielstwa u.o.d.o. nie ma zastosowania (por. X. Konarski, G. Sibiga, Przepisy trzeba poprawi\u0107, Rzeczpospolita z 26 listopada 2004 r., nr 177). Odmienne stanowisko w tej kwestii zaprezentowa\u0142 J. Trekla (Unijny administrator odpowiada inaczej. Rzeczpospolita z 23 grudnia 2004 r., nr 301), zdaniem kt\u00f3rego ka\u017cdy organ, jednostka organizacyjna, podmiot lub osoba, cho\u0107by na gruncie prawa cywilnego mia\u0142a miejsce zamieszkania lub siedzib\u0119 w kraju EEA, podlega ustawie, je\u015bli tylko przetwarza dane w zwi\u0105zku z prowadzon\u0105 w naszym kraju dzia\u0142alno\u015bci\u0105 zarobkow\u0105, zawodow\u0105 lub dla realizacji cel\u00f3w statutowych oraz decyduje o celach i \u015brodkach tego przetwarzania. Wynika to st\u0105d, i\u017c dla podmiotowo\u015bci administracyjnoprawnej (mo\u017cno\u015bci uznania za administratora danych) kwestia osobowo\u015bci prawnej jest nieistotna.
\n8. Nale\u017cy przy tym doda\u0107, i\u017c jednym z podstawowych cel\u00f3w dyrektywy 95\/46\/WE jest wyr\u00f3wnanie poziomu ochrony danych osobowych w pa\u0144stwach cz\u0142onkowskich Unii Europejskiej po to, aby umo\u017cliwi\u0107 swobodny przep\u0142yw danych na obszarze wsp\u00f3lnego rynku. Istotnym instrumentem s\u0142u\u017c\u0105cym realizacji tego celu s\u0105 regu\u0142y dotycz\u0105ce prawa w\u0142a\u015bciwego, zawarte w art. 4 dyrektywy, Z za\u0142o\u017cenia maj\u0105 one pozwoli\u0107 unikn\u0105\u0107 konflikt\u00f3w w zakresie stosowania prawa krajowego (tzn. sytuacji, w kt\u00f3rych albo w\u0142a\u015bciwe s\u0105 dwie ustawy r\u00f3\u017cnych pa\u0144stw, albo nie jest w\u0142a\u015bciwe \u017cadne prawo krajowe).
\n9. W odniesieniu do stosowania zamieszczonych w komentowanej ustawie przepis\u00f3w karnych i wynikaj\u0105cych z niej odpowiedzialno\u015bci zastosowanie zachowuje podstawowa zasada terytorialno\u015bci wyra\u017cona w art. 5 k.k Zgodnie z ni\u0105 przepisy te b\u0119d\u0105 znajdowa\u0142y zastosowanie do sprawcy, kt\u00f3ry pope\u0142ni\u0142 czyn zabroniony na terytorium Rzeczypospolitej Polskiej, jak r\u00f3wnie\u017c na polskim statku wodnym lub powietrznym, chyba \u017ce umowa mi\u0119dzy-narodowa, kt\u00f3rej Rzeczpospolita jest stron\u0105, stanowi inaczej. Jak przy tym wyja\u015bnia art. 6 \u00a7 2 kk: \u201eCzyn zabroniony uwa\u017ca si\u0119 za pope\u0142niony w miejscu, w kt\u00f3rym sprawca dzia\u0142a\u0142 lub zaniecha\u0142 dzia\u0142ania, do kt\u00f3rego by\u0142 obowi\u0105zany, albo gdzie skutek stanowi\u0105cy znami\u0119 czynu zabronionego nast\u0105pi\u0142 lub wed\u0142ug zamiaru sprawcy mia\u0142 nast\u0105pi\u0107”.<\/p>\n
Art. 3a. 1. Ustawy nie stosuje si\u0119 do:
\n1)os\u00f3b fizycznych, kt\u00f3re przetwarzaj\u0105 dane wy\u0142\u0105cznie w celach osobistych lub domowych
\n2)podmiot\u00f3w maj\u0105cych siedzib\u0119 lub miejsce zamieszkania w pa\u0144stwietrzecim, wykorzystuj\u0105cych \u015brodki techniczne znajduj\u0105ce si\u0119 na terytorium Rzeczypospolitej Polskiej wy\u0142\u0105cznie do przekazywania danych.
\n2. Ustawy, z wyj\u0105tkiem przepis\u00f3w art. 14-19 i art. 36 ust. 1, nie stosuje si\u0119 r\u00f3wnie\u017c do prasowej dzia\u0142alno\u015bci dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. \u2014 Prawo prasowe (Dz. U. Nr 5, poz. 24, z p\u00f3\u017an; zm.) oraz do dzia\u0142alno\u015bci literackiej lub artystycznej, chyba \u017ce wolno\u015b\u0107 wyra\u017cania swoich pogl\u0105d\u00f3w i rozpowszechniania informacji istotnie narusza prawa i wolno\u015bci osoby, kt\u00f3rej dane dotycz\u0105.
\n1.Przepis art 3a dodany zosta\u0142 do ustawy w wyniku nowelizacji z dnia 22 stycznia 2004 r. W komentowanym przepisie zawarto wy\u0142\u0105czenia z zakresu stosowania ustawy, przy czym pierwsze z wy\u0142\u0105cze\u0144 odpowiada wy\u0142\u0105czeniu, kt\u00f3re pierwotnie okre\u015blone by\u0142o w art. 3 ust. 4 u.o.d.o., natomiast pozosta\u0142e wy\u0142\u0105czenia stanowi\u0105 istotne novum w omawianej ustawie.
\n2.Poza regulacj\u0105 ustawow\u0105 postawiono przetwarzanie danych przez osoby fizyczne, dokonywane wy\u0142\u0105cznie w celach osobistych lub domowych najbardziej typowe przyk\u0142ady to: gromadzenie danych w osobistych notatnikach, notebookach, domowych komputerach.
\nJe\u017celi te warunki dotycz\u0105ce celu przetwarzania danych s\u0105 spe\u0142nione, to nie ma istotnego znaczenia, czy zbieranie, przetwarzanie dokonywane jest \u201eosobi\u015bcie” czy przez inn\u0105 osob\u0119. Nie ma r\u00f3wnie\u017c znaczenia spos\u00f3b pozyskania danych, jak i ich rodzaj: na przyk\u0142ad czy s\u0105 to dane sensytywne.
\nTrzeba si\u0119 j ednak liczy\u0107 z tym, i\u017c w konkretnych przypadkach powsta\u0107 mog\u0105 w\u0105tpliwo\u015bci:
\na)czy dana dzia\u0142alno\u015b\u0107 mie\u015bci si\u0119 jeszcze w granicach \u201ecel\u00f3w osobistych lub domowych”, czy te\u017c ju\u017c poza nie wykracza (zreszt\u0105 i rozgraniczenie mi\u0119dzy celami osobistymi i celami domowymi nie wydaje si\u0119 \u0142atwe, o ile w og\u00f3le mo\u017cliwe);
\nb)jak traktowa\u0107 przetwarzanie danych, kt\u00f3re s\u0142u\u017cy nie tylko celom osobistym czy domowym.
\nPowstaje na przyk\u0142ad problem kwalifikowania zbior\u00f3w danych gromadzonych i wykorzystywanych dla w\u0142asnej (indywidualnej) dzia\u0142alno\u015bci, kt\u00f3ra mo\u017ce mie\u0107 pewn\u0105 komercyjn\u0105 warto\u015b\u0107 (np. w przypadku kolekcjoner\u00f3w). Cho\u0107 z regu\u0142y cel osobisty jest r\u00f3wnoznaczny z dzia\u0142aniem nieprzyno-sz\u0105cym jakichkolwiek korzy\u015bci maj\u0105tkowych, to jednak nie mo\u017cna takiej zale\u017cno\u015bci traktowa\u0107 jako niewzruszalnej regu\u0142y. Nie jest tak, aby jakikolwiek, nawet po\u015brednio osi\u0105gany doch\u00f3d w zwi\u0105zku z przetwarzaniem danych przez osob\u0119 fizyczn\u0105 oznacza\u0142, \u017ce w \u017cadnej mierze nie mo\u017cna ju\u017c m\u00f3wi\u0107 o celach osobistych lub domowych i od razu nale\u017cy przestrzega\u0107 wszelkich ogranicze\u0144 i rygor\u00f3w przewidzianych ustaw\u0105.
\nZastrze\u017cenia, i\u017c wy\u0142\u0105czenie dotyczy jedynie przetwarzania danych \u201eprzez osoby fizyczne” oraz \u201ew celach osobistych i domowych” nie pozwalaj\u0105 poza zakresem stosowania ustawy postawi\u0107 przetwarzania danych przez przedsi\u0119biorstwa, sp\u00f3\u0142ki, rozmaite jednostki organizacyjne, w tym nawet prowadzone przez niewielkie zwi\u0105zki os\u00f3b fizycznych, korporacje, stowarzyszenia, kluby, a tak\u017ce \u2014 oczywi\u015bcie \u2014 inne organizacje lub osoby prawne. Nie mog\u0105 si\u0119 one \u201euwolni\u0107” od regulacji przewidzianej ustaw\u0105, powo\u0142uj\u0105c si\u0119 na to, \u017ce dokonywane przez nie przetwarzanie danych s\u0142u\u017cy wy\u0142\u0105cznie w\u0142asnym potrzebom, celom wewn\u0119trznym, swoistym \u201ecelom osobistym” (u\u017cytkowi osobistemu).
\n3.Naszym zdaniem dopuszczalna jest interpretacja oraz stosowanie wyj\u0105tku, jaki wprowadza art 3a ust. 1 pkt 1, w spos\u00f3b nieco szerszy ni\u017c tylko do zbior\u00f3w znajduj\u0105cych si\u0119 \u201ew dyspozycji jednostkowej”; sprzyja temu m.in.
\nokoliczno\u015b\u0107, \u017ce przepis ten pos\u0142uguje si\u0119 liczb\u0105 mnog\u0105 (stanowi o \u201eosobach fizycznych”). Cel (u\u017cytek) osobisty mo\u017cna ujmowa\u0107 tak, jak czyni to art. 23 ust. 2 ustawy o prawie autorskim i prawach pokrewnych, kt\u00f3ry stwierdza, \u017ce \u201ezakres w\u0142asnego u\u017cytku osobistego obejmuje kr\u0105g os\u00f3b pozostaj\u0105cych w zwi\u0105zku osobistym, w szczeg\u00f3lno\u015bci pokrewie\u0144stwa, powinowactwa lub stosunku towarzyskiego”. Akceptacja takiego punktu widzenia otwiera\u0142aby mo\u017cliwo\u015b\u0107 \u201eoderwania” od rygor\u00f3w ustawowych zbior\u00f3w danych osobowych istniej\u0105cych, tworzonych i wykorzystywanych w rodzinach lub w niewielkich zespo\u0142ach ludzi, pomi\u0119dzy kt\u00f3rymi wyst\u0119puje towarzyska za\u017cy\u0142o\u015b\u0107.
\n4.Rozwi\u0105zanie analogiczne do tego, jakie przyj\u0105\u0142 polski ustawodawca, znajdujemy te\u017c w dyrektywie Unii Europejskiej, kt\u00f3ra stawia poza prawn\u0105 regulacj\u0105 przetwarzanie danych prowadzone przez osob\u0119 fizyczn\u0105, a podejmowane wy\u0142\u0105cznie dla wykonywania dzia\u0142alno\u015bci osobistej lub rodzinnej. Wypada jednak zaznaczy\u0107, i\u017c w toku prac nad dyrektyw\u0105 proponowany by\u0142, ostatecznie odrzucony, o wiele wi\u0119kszy zakres wy\u0142\u0105cze\u0144, obejmuj\u0105cy przetwarzanie m.in
\na) w ramach statutowej dzia\u0142alno\u015bci i na potrzeby cz\u0142onk\u00f3w stowarzysze\u0144 politycznych, filozoficznych, religijnych, kulturalnych, zawodowych czy sportowych
\nb)przez pras\u0119, agencje fotograficzne, przedsi\u0119biorstwa filmowe, stacje radiowe i telewizyjne, dziennikarzy, redaktor\u00f3w radiowych i telewizyjnych, wydawc\u00f3w \u2014 o ile s\u0142u\u017cy to jedynie celowi publicznej informacji a cel ten nie koliduje z prawem jednostki do ochrony prywatno\u015bci;
\nc)przez archiwa;
\nd)do cel\u00f3w obliczania zap\u0142aty i wynagrodzenia,<\/p>\n
5.Jak wspomnieli\u015bmy ju\u017c wcze\u015bniej (por. pkt 5 komentarza do art. 3 ust. 2), ustawy nie stosuje si\u0119 do tzw. transferu (tranzytu) danych przez terytorium Polski dokonywanego przez podmioty maj\u0105ce siedzib\u0119 lub miejsce zamieszkania w pa\u0144stwie trzecim. Warunkiem wy\u0142\u0105czenia stosowania polskich przepis\u00f3w jest to, aby \u015brodki techniczne znajduj\u0105ce si\u0119 na terytorium RP by\u0142y wykorzystywane wy\u0142\u0105cznie do przekazywania danych. Wy\u0142\u0105czenie to odpowiada regule okre\u015blonej w art. 4 ust. 1 lit. c) in fine dyrektywy 95\/46\/WE. Chodzi tu o przekaz danych bez ingerowania w tre\u015b\u0107 przekazywanych informacji. Omawiane wy\u0142\u0105czenie nie obejmuje sytuacji, w kt\u00f3rych przekazywane przez terytorium naszego kraju dane podlegaj\u0105 w trakcie przekazu jakimkolwiek modyfikacjom czy te\u017c s\u0105 w jakikolwiek spos\u00f3b wykorzystywane.
\n6.Wy\u0142\u0105czenia okre\u015blone w art. 3a ust. 2 dotycz\u0105 prasowej dzia\u0142alno\u015bci dziennikarskiej, dzia\u0142alno\u015bci literackiej oraz dzia\u0142alno\u015bci artystycznej. Komentowany przepis stanowi implementacj\u0119 art. 9 dyrektywy 95\/46\/WE Wy\u0142\u0105czenie stosowania wi\u0119kszo\u015bci przepis\u00f3w ustawy uzasadnione jest konieczno\u015bci\u0105 pogodzenia prawa do ochrony danych osobowych z wolno\u015bci\u0105 wyra\u017cania pogl\u0105d\u00f3w oraz pozyskiwania i rozpowszechniania informacji, gwarantowan\u0105 w art. 54 Konstytucji oraz wolno\u015bci\u0105 tw\u00f3rczo\u015bci artystycznej kt\u00f3r\u0105 gwarantuje art. 73 ustawy zasadniczej. W pierwotnym tek\u015bcie ustawy o ochronie danych osobowych nie prze-widziano stosownych wy\u0142\u0105cze\u0144, dlatego te\u017c podmioty wykonuj\u0105ce dzia\u0142alno\u015b\u0107 prasow\u0105, literack\u0105 i artystyczn\u0105 zobowi\u0105zane by\u0142y stosowa\u0107 wszystkie przepisy ustawy. Poci\u0105gn\u0119\u0142o to za sob\u0105 istotne utrudnienia zw\u0142aszcza w dzia\u0142alno\u015bci medi\u00f3w. Problemy powstaj\u0105ce na tym obszarze pr\u00f3bowano \u0142agodzi\u0107 w drodze odpowiedniej wyk\u0142adni ustawy, jednak nawet najbardziej liberalna interpretacja przepis\u00f3w nie pozwala\u0142a na pe\u0142ne uwzgl\u0119dnienie specyfiki przetwarzania danych w omawianym zakresie dzia\u0142alno\u015bci. Potrzeba dokonania zmian by\u0142a powszechnie akceptowana i nie budzi\u0142a w\u0105tpliwo\u015bci Istotnym argumentem, przemawiaj\u0105cym tak\u017ce za dokonaniem nowelizacji, by\u0142 uzasadniony zarzut sprzeczno\u015bci polskiej ustawy w omawianym zakresie z dyrektyw\u0105 95\/46\/WE.<\/p>\n
7. W wyniku nowelizacji z dnia 22 stycznia 2004 r. wy\u0142\u0105czono z zakresu stosowania ustawy prasow\u0105 dzia\u0142alno\u015b\u0107 dziennikarsk\u0105 (w rozumieniu ustawy z dnia 26 stycznia 1984 r. \u2014 Prawo prasowe) oraz dzia\u0142alno\u015b\u0107 literack\u0105, a tak\u017ce dzia\u0142alno\u015b\u0107 artystyczn\u0105. Wy\u0142\u0105czenie to nie ma jednak charakteru absolutnego, poniewa\u017c nie obejmuj e przepis\u00f3w dotycz\u0105cych kontroli przetwarzania danych sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych (por. komentarz do art. 14-19), a tak\u017ce obowi\u0105zku zastosowania \u015brodk\u00f3w technicznych i organizacyjnych w celu zapewnienia ochrony przetwarzanych danych osobowych odpowiedniej do zagro\u017ce\u0144 oraz kategorii danych obj\u0119tych ochron\u0105 (por. komentarz do art. 36 ust. 1).
\nNasuwa si\u0119 w zwi\u0105zku z tym w\u0105tpliwo\u015b\u0107, jaki jest zakres kontroli sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych w odniesieniu do podmiot\u00f3w obj\u0119tych wy\u0142\u0105czeniem z art, 3a ust 2. Prima facie mo\u017cna odnie\u015b\u0107 wra\u017cenie, \u017ce zakres kontroli GIODO obejmuje tylko sprawdzanie wywi\u0105zywania si\u0119 tych podmiot\u00f3w z obowi\u0105zku zabezpieczenia danych, okre\u015blonego art. 36 ust. 1 ustawy, jako \u017ce poza przepisami o kontroli wy\u0142\u0105czenie nie obejmuje tylko tego jednego przepisu. Wydaje nam si\u0119 jednak, \u017ce zakres kontroli GIODO j est w tym przypadku znacznie szerszy i obejmuje wszelkie kwestie zwi\u0105zane z kontrol\u0105 zgodno\u015bci przetwarzania danych z przepisami o ochronie danych (co wynika z art. 12 u.o.d.o.). Wyk\u0142adni\u0119 tak\u0105 uzasadnia r\u00f3wnie\u017c fakt, i\u017c podmioty obj\u0119te wy\u0142\u0105czeniem z art. 3a ust. 2 bardzo cz\u0119sto przetwarzaj\u0105 dane tak\u017ce w innym zakresie, kt\u00f3rego nie dotyczy omawiane tu wy\u0142\u0105czenie (np. redakcje prasowe przetwarzaj\u0105 dane w zwi\u0105zku z prenumerat\u0105 czasopism). Generalny Inspektor niew\u0105tpliwie ma uprawnienia do badania, w jakim zakresie i w jakim celu dane s\u0105 przetwarzane oraz czy nast\u0119puje to zgodnie z prawem.
\nW pi\u015bmiennictwie przedmiotu zaprezentowany zosta\u0142 pogl\u0105d, w my\u015bl kt\u00f3rego z uwagi na to, \u017ce realizacja uprawnie\u0144 przewidzianych w art. 14-19 u.o.d.o. mo\u017ce poci\u0105gn\u0105\u0107 za sob\u0105 naruszenie tajemnicy dziennikarskiej, przepisy te nie powinny by\u0107 stosowane (M. Sakowska, A. M\u0142ynarska-Sobaczew-ska, \u201eKlauzula prasowa” z ustawy o ochronie danych osobowych jako gwarancja wolno\u015bci wypowiedzi, PiP 2005, nr 1, s. 74). Stanowisko takie jest jednak\u2014naszym zdaniem \u2014 zbyt daleko id\u0105ce.
\n8. Pierwszy zakres wy\u0142\u0105cze\u0144 przewidzianych w komentowanym artykule dotyczy prasowej dzia\u0142alno\u015bci dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. \u2014 Prawo prasowe (Dz. U- Nr 5, poz. 24 z p\u00f3\u017an. zm.). W zwi\u0105zku z szerokim uj\u0119ciem prasy wy\u0142\u0105czenie stosowania przepis\u00f3w ustawy o ochronie danych osobowych odnosi si\u0119 do rozleg\u0142ego obszaru obejmuj\u0105cego publikacje periodyczne, kt\u00f3re nie tworz\u0105 zamkni\u0119tej, jednorodnej ca\u0142o\u015bci, ukazuj\u0105ce si\u0119 nie rzadziej ni\u017c raz do roku, opatrzone sta\u0142ym tytu\u0142em albo nazw\u0105, numerem bie\u017c\u0105cym i dat\u0105, a w szczeg\u00f3lno\u015bci: dzienniki i czasopisma, serwisy agencyjne, sta\u0142e przekazy teleksowe, biuletyny, programy radiowe i telewizyjne oraz kroniki filmowe; pras\u0105 s\u0105 tak\u017ce wszelkie istniej\u0105ce i powstaj\u0105ce w wyniku post\u0119pu technicznego \u015brodki masowego przekazywania, w tym tak\u017ce rozg\u0142o\u015bnie oraz tele- i radiow\u0119z\u0142y zak\u0142adowe, upowszechniaj\u0105ce publikacje periodyczne za pomoc\u0105 druku, wizji, fonii lub innej techniki rozpowszechniania; prasa obejmuje r\u00f3wnie\u017c zespo\u0142y ludzi i poszczeg\u00f3lne osoby zajmuj\u0105ce si\u0119 dzia\u0142alno\u015bci\u0105 dziennikarsk\u0105 (art. 7 ust. 2 pkt 1 pr. pras.). Wy\u0142\u0105czenie to odnosi si\u0119 wi\u0119c do r\u00f3\u017cnego rodzaju medi\u00f3w (w tym do prasy w potocznym tego s\u0142owa znaczeniu, ale tak\u017ce do radia i telewizji) i okre\u015blane jest niekiedy mianem tzw. przywileju dziennikarskie go. Ustawy o ochronie danych osobowych nie stosuje si\u0119 wi\u0119c do zbierania opracowywania i przygotowywania, a tak\u017ce publikacji materia\u0142\u00f3w w prasie. Podstaw\u0119 prawn\u0105 dzia\u0142alno\u015bci dziennikarskiej stanowi\u0105 przepisy prawa prasowego. Omawiane wy\u0142\u0105czenie dotyczy jedynie dzia\u0142alno\u015bci dziennikarskiej, natomiast nie obejmuj e innych rodzaj \u00f3w dzia\u0142alno\u015bci medi\u00f3w (m.in. dzia\u0142alno\u015bci wydawniczej, marketingowej itp.).Szerzej na temat przetwarzania danych osobowych w dzia\u0142alno\u015bci medi\u00f3w por. cz\u0119\u015b\u0107 EM Wst\u0119pu, zw\u0142aszcza pkt 5-13.
\n9. Kolejne wy\u0142\u0105czenie dotyczy dzia\u0142alno\u015bci literackiej. Ustawa nie definiuje poj\u0119cia \u201edzia\u0142alno\u015b\u0107 literacka”, nie odsy\u0142a r\u00f3wnie\u017c do innych przepis\u00f3w w tym zakresie, dlatego te\u017c przy dokonywaniu wyk\u0142adni komentowanego przepisu nale\u017cy przyj\u0105\u0107, i\u017c chodzi tu o powszechne rozumienie tego okre\u015blenia. W zakresie dzia\u0142alno\u015bci literackiej mie\u015bci si\u0119 niew\u0105tpliwie stworzenie utworu literackiego (np. napisanie powie\u015bci). Ustawa nie ma zastosowania do gromadzenia, przechowywania i wykorzystywania danych, kt\u00f3re pozostaj\u0105 w \u015bcis\u0142ym zwi\u0105zku z procesem tworzenia utwor\u00f3w literackich. Wy\u0142\u0105czenie dotycz\u0105ce dzia\u0142alno\u015b\u0107 literackiej odnosi si\u0119 jedynie do autora oraz do procesu tworzenia utworu literackiego, natomiast nie obejmuje swoim zakresem dzia\u0142alno\u015bci wydawniczej. Je\u017celi wydawca przetwarza w zwi\u0105zku z procesem wydawniczym dane osobowe (np. dane o autorach), obowi\u0105zany jest w tym zakresie stosowa\u0107 ustaw\u0119 o ochronie danych osobowych. Omawiane wy\u0142\u0105czenie nie dotyczy tak\u017ce dzia\u0142alno\u015bci polegaj\u0105cej na sprzeda\u017cy zwielokrotnionych egzemplarzy utwor\u00f3w literackich (np. sprzeda\u017cy ksi\u0105\u017cek przez wydawnictwa, ksi\u0119garnie itp.). Wy\u0142\u0105czenie stosowania przepis\u00f3w komentowanej ustawy uzasadnione jest potrzeb\u0105 zapewnienia wolno\u015bci wyra\u017cania pogl\u0105d\u00f3w oraz wolno\u015bci tw\u00f3rczo\u015bci artystycznej. Do istotnych cech dzia\u0142alno\u015bci literackiej nale\u017cy przedstawianie pogl\u0105d\u00f3w i opinii autora, a niekiedy r\u00f3wnie\u017c nadawanie im wyrazu artystycznego. Maj\u0105c to na uwadze nale\u017cy stwierdzi\u0107, i\u017c nie stanowi dzia\u0142alno\u015bci literackiej opracowywanie r\u00f3\u017cnego rodzaju informator\u00f3w, skorowidz\u00f3w, spis\u00f3w, wykaz\u00f3w oraz ich publikacja (niezale\u017cnie od formy), a tak\u017ce tworzenie r\u00f3\u017cnego rodzaju baz danych. Tego rodzaju dzia\u0142alno\u015bci nie spos\u00f3b okre\u015bli\u0107 mianem dzia\u0142alno\u015bci literackiej, dlatego te\u017c w tym zakresie przepisy ustawy o ochronie danych osobowych maj\u0105 pe\u0142ne zastosowanie. Me stoi temu na przeszkodzie mo\u017cliwo\u015b\u0107 uznania takich zbior\u00f3w za utwory w rozumieniu prawa autorskiego i obj\u0119cia ich prawnoautorsk\u0105 ochron\u0105. Mo\u017cliwa jest tak\u017ce\u2014cho\u0107 naszym zdaniem nietrafna\u2014odmienna interpretacja poj\u0119cia \u201edzia\u0142alno\u015b\u0107 literacka” obejmuj\u0105ca zakresem omawianego wy\u0142\u0105czenia wszelkie formy opracowa\u0144 pisemnych przeznaczonych do publikacji ksi\u0105\u017ckowej. Taka wyk\u0142adnia stanowi\u0142aby zbytnie rozszerzenie zakresu wy\u0142\u0105czenia stosowania ustawy, nieznajduj\u0105ce uzasadnienia w celu wprowadzenia komentowanego przepisu.
\n10.Ostatnie z wy\u0142\u0105cze\u0144 stosowania ustawy odnosi si\u0119 do dzia\u0142alno\u015bci artystycznej. Podobnie jak w przypadku dzia\u0142alno\u015bci literackiej, tak\u017ce w odniesieniu do dzia\u0142alno\u015bci artystycznej ustawa nie zawiera definicji ani odes\u0142ania do innych przepis\u00f3w. Opieraj\u0105c si\u0119 na wyk\u0142adni j\u0119zykowej mo\u017cna przyj\u0105\u0107, \u017ce chodzi tu o dzia\u0142alno\u015b\u0107 tw\u00f3rcz\u0105 zwi\u0105zan\u0105 z szeroko poj\u0119t\u0105 sztuk\u0105 (plastyczn\u0105, muzyczn\u0105, teatraln\u0105, telewizyjn\u0105, filmow\u0105 itp.). Zakres tego wy\u0142\u0105czenia jest niezwykle pojemny i obejmuje dzia\u0142alno\u015b\u0107 r\u00f3\u017cnego rodzaju tw\u00f3rc\u00f3w (np. malarzy, rze\u017abiarzy) i wykonawc\u00f3w (np. piosenkarzy, aktor\u00f3w). Ustawa nie zawiera wymogu wykonywania dzia\u0142alno\u015bci artystycznej w spos\u00f3b profesjonalny, dlatego nale\u017cy przyj\u0105\u0107\/i\u017c wy\u0142\u0105czenie to odnosi si\u0119 r\u00f3wnie\u017c do r\u00f3\u017cnego rodzaju dzia\u0142alno\u015bci amatorskiej (np. wykonywanej przez tzw. tw\u00f3rc\u00f3w ludowych, amatorskie zespo\u0142y artystyczne).
\n11.Powa\u017cne w\u0105tpliwo\u015bci i zastrze\u017cenia budzi sformu\u0142owanie zawarte w ko\u0144cowej cz\u0119\u015bci komentowanego przepisu. Artyku\u0142 3a ust. 2 in fine stanowi, i\u017c \u201eUstawy (…) nie stosuje si\u0119 (…), chyba \u017ce wolno\u015b\u0107 wyra\u017cania swoichpogl\u0105d\u00f3w i rozpowszechniania informacji istotnie narusza prawa i wolno\u015bci osoby, kt\u00f3rej dane dotycz\u0105.” Literalna wyk\u0142adnia komentowanego przepisu prowadzi do wniosku, \u017ce w przypadku gdy wolno\u015b\u0107 wyra\u017cania pogl\u0105d\u00f3w i rozpowszechniania informacji istotnie narusza prawa i wolno\u015bci osoby, kt\u00f3rej dane dotycz\u0105, wy\u0142\u0105czenie z art. 3a ust. 2 nie obowi\u0105zuj e, a wi\u0119c zastosowanie maj\u0105 wszystkie przepisy ustawy o ochronie danych osobowych. W praktyce jednak we wskazanej powy\u017cej sytuacji nie ma mo\u017cliwo\u015bci wype\u0142nienia wymog\u00f3w przewidzianych przepisami ustawy, gdy\u017c przepisy te chroni\u0105 osob\u0119, kt\u00f3rej dane dotycz\u0105, przed naruszeniem jej praw i wolno\u015bci. Artyku\u0142 26 u.o.d.o. okre\u015blaj\u0105cy podstawowe zasady przetwarzania i ochrony danych osobowych nak\u0142ada na administratora danych og\u00f3lny obowi\u0105zek do\u0142o\u017cenia szczeg\u00f3lnej staranno\u015bci w celu ochrony interes\u00f3w os\u00f3b, kt\u00f3rych dane dotycz\u0105. Niew\u0105tpliwie przetwarzanie danych osobowych, kt\u00f3re \u201eistotnie narusza prawa i wolno\u015bci osoby, kt\u00f3rej dane dotycz\u0105”, stanowi jednocze\u015bnie narusz\u0119-nie wskazanego powy\u017cej og\u00f3lnego obowi\u0105zku, przewidzianego w ustawie.
\nWarto odnotowa\u0107, i\u017c sformu\u0142owanie przepisu odnosz\u0105cego si\u0119 do tzw. przywileju medialnego zosta\u0142o w doktrynie poddane srogiej krytyce (por. M. Sakowska, A. M\u0142ynarska-Sobaczewska, \u201eKlauzula prasowa”…, s. 68 i n.).
\n12. Ustawa nie zawiera og\u00f3lnego wy\u0142\u0105czenia w stosunku do przetwarzania danych dotycz\u0105cych bezpiecze\u0144stwa publicznego, obronno\u015bci, bezpiecze\u0144stwa pa\u0144stwa (w tym gospodarczego dobrobytu pa\u0144stwa, gdy proces przetwarzania dotyczy spraw bezpiecze\u0144stwa tego pa\u0144stwa) oraz dzia\u0142alno\u015bci pa\u0144stwa w sferze prawa karnego. Takie wy\u0142\u0105czenie przewidziane zosta\u0142o w art. 3 ust. 2 dyrektywy 95\/46\/WE (por. na ten temat uwagi zawarte powy\u017cej w pkt. D.7 Wst\u0119pu). Polska ustawa przewiduje w tym zakresie je-dynie wy\u0142\u0105czenie niekt\u00f3rych uprawnie\u0144 kontrolnych Generalnego Inspek-tora Ochrony Danych Osobowych (por. komentarz do art. 15 ust. 2 oraz 43ust. 2 u.o.d.o.), zwolnienia z obowi\u0105zku rejestracji zbior\u00f3w (por. komentarz do art. 43 u.o.do.) oraz odmow\u0119 udost\u0119pnienia danych (por. komentarz do art. 30 u.o.d.o.).
\nNie oznacza to jednak \u2014 na co zwraca si\u0119 uwag\u0119 w literaturze przedt. miotu \u2014 \u017ce do przetwarzania danych przez podmioty wykonuj\u0105ce zadania w sferze bezpiecze\u0144stwa publicznego, obronno\u015bci i bezpiecze\u0144stwa pa\u0144-stwa nale\u017cy stosowa\u0107 wszystkie pozosta\u0142e przepisy komentowanej ustawy, gdy\u017c z regu\u0142y przepisy stosownych ustaw wy\u0142\u0105czaj\u0105 stosowanie u.o.d.o. (por.A. Drozd, Ustawa o ochronie danych., s. 29).
\nArt. 4. Przepis\u00f3w ustawy nie stosuje si\u0119, je\u017celi umowa mi\u0119dzynarodowa, kt\u00f3rej stron\u0105 jest Rzeczpospolita Polska, stanowi inaczej.
\n1. Komentowany przepis zwraca uwag\u0119 na kwesti\u0119 relacji zachodz\u0105cej mi\u0119dzy prawem polskim a prawem mi\u0119dzynarodowym.
\nPodstawow\u0105 umow\u0105 mi\u0119dzynarodow\u0105 dotycz\u0105c\u0105 ochrony danych osobowych jest konwencja 108 Rady Europy z 1981 r. dotycz\u0105ca ochrony os\u00f3b w zwi\u0105zku z automatycznym przetwarzaniem danych osobowych, wraz z protoko\u0142em dodatkowym sporz\u0105dzonym 20 lat p\u00f3\u017aniej. Polska podpisa\u0142a t\u0119 konwencj\u0119 dnia 21 kwietnia 1999 r., a ratyfikowa\u0142a dnia 24 kwietnia 2002 r. (Dz. U. z 2003 r. Nr 3, poz. 25), natomiast protok\u00f3\u0142 dodatkowy zosta\u0142 ratyfikowany w roku 2005 (Dz. U. z 2006 r. Nr 3, poz. 15). Analiza przepis\u00f3w konwencji oraz polskiej ustawy o ochronie danych osobowych pozwala przyj\u0105\u0107, i\u017c wyst\u0119puj\u0105ce w nich regulacje s\u0105 zharmonizowane oraz \u017ce nie b\u0119dzie zachodzi\u0142 przypadek, o kt\u00f3rym stanowi art. 4 ustawy.
\nNa temat konwencji \u2014 zob. pkt B.111.1 Wst\u0119pu.
\nNie maj\u0105 natomiast charakteru mi\u0119dzynarodowych um\u00f3w rezolucje (zalecenia) Rady Europy, jak i rezolucje Parlamentu Europejskiego (zob. pktBM.2 Wst\u0119pu).
\n2.Przy stosowaniu ustawy o ochronie danych osobowych nale\u017cy tak\u017ce uwzgl\u0119dnia\u0107 postanowienia ratyfikowanej przez Polsk\u0119 europejskiej konwencji o ochronie praw cz\u0142owieka i podstawowych wolno\u015bci z dnia 4 listopada 1950 r. Chodzi tu zw\u0142aszcza o tre\u015b\u0107 art. 8 tej konwencji, kt\u00f3ry w ust. 1 stanowi:
\n\u201eKa\u017cdy ma prawo do poszanowania swojego \u017cycia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji”. Prawo to nie ma charakteru bezwzgl\u0119dnego w tym sensie, \u017ce istniej\u0105 okoliczno\u015bci uzasadniaj\u0105ce ingerencj\u0119 w\u0142adzy publicznej w korzystanie z tego prawa. Stosownie bowiem do ust. 2 tego przepisu jest ona dopuszczalna w przypadkach przewidzianych przez ustaw\u0119 i koniecznych w demokratycznym spo\u0142ecze\u0144stwie z uwagi na bezpiecze\u0144stwo publiczne lub dobrobyt gospodarczy kraju, ochron\u0119 porz\u0105dku i zapobieganie przest\u0119pstwom, ochron\u0119 zdrowia i moralno\u015bci lub ochron\u0119 praw i wolno\u015bci innych os\u00f3b.
\nNormy Europejskiej Konwencji Praw Cz\u0142owieka (w tym tak\u017ce wyra\u017cone w art. 10 w odniesieniu do swobody wyra\u017cania opinii) stanowi\u0105 dodatkowe wskaz\u00f3wki oraz granic\u0119 przy interpretacji postanowie\u0144 komentowanej ustawy w tym zakresie, w kt\u00f3rym zawiera ona ograniczenia prawa doprywatno\u015bci. Szczeg\u00f3lne znaczenie dla stwierdzania, czy wynikaj\u0105ce z ustawy ograniczenia w zakresie ochrony danych osobowych s\u0105 zgodne z powo\u0142an\u0105 konwencj\u0105, posiadaj\u0105 orzeczenia S\u0105du w Strasburgu (por. w tej mierze zw\u0142aszcza orzeczenie z 1988 r. w sprawie Gaskin v. Wielka Brytania, opisane skr\u00f3towo w pktB.n.4 Wsffpw).
\n3.Warto wspomnie\u0107 r\u00f3wnie\u017c o dwustronnych umowach mi\u0119dzynarodowych, w kt\u00f3rych uregulowane zosta\u0142y kwestie ochrony danych osobowych. Kilka tego rodzaju um\u00f3w Polska zawar\u0142a \u017c Republik\u0105 Federaln\u0105 Niemiec. Cech\u0105 charakterystyczn\u0105 wspomnianych regulacji jest to, i\u017c dotycz\u0105 one r\u00f3\u017cnych obszar\u00f3w wsp\u00f3\u0142pracy mi\u0119dzy pa\u0144stwami-stronami, a kwestie odnosz\u0105ce si\u0119 do problematyki ochrony danych osobowych stanowi\u0105 jedynie uzupe\u0142nienie (og\u00f3lnie okre\u015blone s\u0105 zazwyczaj w jednym artykule urno-wy, a uszczeg\u00f3\u0142owione w za\u0142\u0105czniku do umowy), nie s\u0105 jednak g\u0142\u00f3wnym przedmiotem regulacji. Nale\u017cy zwr\u00f3ci\u0107 uwag\u0119, \u017ce umowy te zosta\u0142y zawarte jeszcze przed wej\u015bciem w \u017cycie ustawy o ochronie danych osobowych. Nie kt\u00f3re spo\u015br\u00f3d omawianych um\u00f3w mia\u0142y umo\u017cliwi\u0107 realizacj\u0119 konkretnych przedsi\u0119wzi\u0119\u0107 i ich cel zosta\u0142 ju\u017c osi\u0105gni\u0119ty (np. umowa o po\u0142\u0105czeniu autostrad oraz o budowie i przebudowie mostu granicznego w rejonie Olszyny i Forstu, sporz\u0105dzona w Warszawie dnia 20 marca 19951, Dz. U. z 1997 r. Nr 127, poz. 821), natomiast inne dotycz\u0105 sta\u0142ej wsp\u00f3\u0142pracy mi\u0119dzy pa\u0144stwami: w okre\u015blonych dziedzinach (por. umowa o wzajemnej pomocy podczas katastrof i kl\u0119sk \u017cywio\u0142owych lub innych powa\u017cnych wypadk\u00f3w, sporz\u0105dzona w Warszawie dnia 10 kwietnia 1997 r., Dz. U. z 1999 r. Nr 22, poz. 201). Przepisy o ochronie danych osobowych, zawarte w umowach (np. w art. 12 wskazanej powy\u017cej umowy o wzajemnej pomocy podczas katastrof), Odnosz\u0105 si\u0119 do przekazywania danych osobowych mi\u0119dzy pa\u0144stwami i zawieraj\u0105 zastrze\u017cenie, i\u017c postanowienia zawarte w za\u0142\u0105czniku do umowy (okre\u015blaj\u0105ce zakres i cel, a tak\u017ce inne szczeg\u00f3\u0142owe kwestie dotycz\u0105ce przetwarzania danych) obowi\u0105zywa\u0107 b\u0119d\u0105 z uwzgl\u0119dnieniem przepis\u00f3w prawa obowi\u0105zuj\u0105cych ka\u017cd\u0105 z umawiaj\u0105cych si\u0119 stron. Niemniej przepisy zawarte w umowie ograniczaj\u0105 zakres przetwarzania danych w stosunku do og\u00f3lnych regulacji zawartych w polskiej ustawie (min. dopuszczaj\u0105 wykorzystanie danych wy\u0142\u0105cznie w celu oraz zgodnie z warunkami okre\u015blonymi przez instytucj\u0119 przekazuj\u0105c\u0105 dane, nie przewiduj\u0105 wyj\u0105tk\u00f3w od tej zasady); nak\u0142adaj\u0105 na odbiorc\u00f3w danych dodatkowe obowi\u0105zki, kt\u00f3rych ustawa o ochronie danych nie zawiera (np. odbiorca powinien poinformowa\u0107 instytucj\u0119 przekazuj\u0105c\u0105 dane, na jej wniosek, o sposobie wykorzystania przekazanych danych), oraz zawieraj\u0105 inne r\u00f3\u017cnice w odniesieniu do szczeg\u00f3\u0142owych kwestii zwi\u0105zanych z przetwarzaniem danych. W tym zakresie uwa\u017camy, i\u017c nale\u017cy uzna\u0107, \u017ce przepisy umowy mi\u0119dzynarodowej wy\u0142\u0105czaj\u0105 stosowanie odpowiednich przepis\u00f3w ustawy, kt\u00f3re zawieraj\u0105 odmienne postanowienia, natomiast w pozosta\u0142ych kwestiach, nieuregulowanych odmiennie w umowie zastosowanie maj\u0105 przepisy zawarte w ustawie.
\nPotrzeba formu\u0142owania w umowach dwustronnych szczeg\u00f3\u0142owych po-stanowie\u0144 odnosz\u0105cych si\u0119 do ochrony danych osobowych pojawia si\u0119 w sytuacji, gdy umowy takie dotycz\u0105 wsp\u00f3\u0142pracy pomi\u0119dzy Polsk\u0105 a pa\u0144stwami spoza Europejskiego Obszaru Gospodarczego, kt\u00f3re w wewn\u0119trznym porz\u0105dku prawnym nie posiadaj\u0105 regulacji gwarantuj\u0105cych minimalny poziom ochrony danych osobowych. W wi\u0119kszo\u015bci umowy te dotycz\u0105 wsp\u00f3\u0142pracy i wzajemnej pomocy w sprawach celnych (por. np. umow\u0119 mi\u0119dzy Rz\u0105dem Rzeczypospolitej Polskiej a Rz\u0105dem Republiki Azerbejd\u017canu o wsp\u00f3\u0142pracy i wzajemnej pomocy w sprawach celnych, podpisan\u0105 w Warszawie dnia 30 marca 2005 r., Dz. U. z 2006 r. Nr 145, poz. 1053, wraz z za\u0142\u0105cznikiem, w kt\u00f3rym okre\u015blone zosta\u0142y podstawowe zasady ochrony danych).
\nArt. 5. Je\u017celi przepisy odr\u0119bnych ustaw, kt\u00f3re odnosz\u0105 si\u0119 do prze-twarzania danych, przewiduj\u0105 dalej id\u0105c\u0105 ich ochron\u0119, ni\u017c wynika to z ni-niejszej ustawy, stosuje si\u0119 przepisy tych ustaw.
\nO ile art. 4 ustawy dotyczy relacji zachodz\u0105cych mi\u0119dzy prawem polskim a prawem mi\u0119dzynarodowym, o tyle art. 5 dotyczy relacji mi\u0119dzy normami prawa wewn\u0119trznego. Przyj\u0119ta w komentowanym przepisie regu\u0142a s\u0142u\u017cy realizacji dw\u00f3ch postulat\u00f3w w przypadku pojawienia si\u0119 kolizji ustaw we wspomnianym zakresie.
\nPo pierwsze, ustawodawca przyjmuje zasad\u0119 rozstrzygania zbiegu norm na korzy\u015b\u0107 tych norm, kt\u00f3re przewiduj\u0105 wy\u017cszy poziom ochrony. Zatem je\u015bli chodzi o dane osobowe zwi\u0105zane ze stanem zdrowia pacjenta zak\u0142adu psychiatrycznego, ochron\u0119 dalej id\u0105c\u0105 ni\u017c ta, kt\u00f3ra wynika z komentowanej ustawy (art. 27), wprowadza\u2014jak przyjmuje Generalny Inspektor \u2014ustawa z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (Dz. U. Nr 111, poz. 535 z p\u00f3\u017an. zm.). Do ustaw \u201ebardziej intensywnie chroni\u0105cych dane osobowe” zaliczy\u0107 nale\u017cy te\u017c ustaw\u0119 z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (tekst jedn. Dz. U. z 2005 r. Nr 196, poz.1631 z p\u00f3\u017an. zm.) wraz z odpowiedzialno\u015bci\u0105 przewidzian\u0105 w kodeksie karnym za przest\u0119pstwa przeciw ochronie tajemnicy pa\u0144stwowej lub s\u0142u\u017cbowej. Tak wi\u0119c o zakresie i sposobie ochrony informacji o osobach (danych osobowych) stanowi\u0105cych tajemnic\u0119 pa\u0144stwow\u0105 lub s\u0142u\u017cbow\u0105 rozstrzyga\u0107 b\u0119d\u0105 przepisy wymienionej ustawy z 1999 r., a nie ustawy, do kt\u00f3rej odnosi si\u0119 niniejszy komentarz. To samo mo\u017cna w zasadzie stwierdzi\u0107 o danych osobowych stanowi\u0105cych r\u00f3wnocze\u015bnie przedmiot tajemnicy zawodowej (np. bankowej). Jak si\u0119 s\u0142usznie podkre\u015bla, przepisy o tajemnicy bankowej nie wy\u0142\u0105czaj\u0105 stosowania ustawy o ochronie danych osobowych w ca\u0142o\u015bci, natomiast czyni\u0105 to w zakresie, w kt\u00f3rym zapewniaj\u0105 ochron\u0119 dalej id\u0105c\u0105 ni\u017c ta ustawa, a wi\u0119c tylko je\u015bli chodzi o zasady udost\u0119pniania osobom i podmiotom trzecim informacji, o kt\u00f3rych mowa w art. 104 prawa bankowego, o ile oczywi\u015bcie s\u0105 to dane osobowe (G. Sibiga, Obowi\u0105zki banku jako administratora danych osobowych, Bank 1999, nr 11, s. 43). Odmiennie w tej kwestii wypowiedzia\u0142 si\u0119 Naczelny S\u0105d Administracyjny w wyroku z dnia 4 kwietnia 2003 r. (II SA 2935\/02, niepubl.), uznaj\u0105c i\u017c w przypadku udost\u0119pnienia przez kasjerk\u0119 banku danych osobowych klienta Generalny Inspektor Ochrony Danych Osobowych ma obowi\u0105zek zastosowa\u0107 w stosunku do administratora danych \u015brodki przewidziane w art. 18 ustawy. Orzeczenie to zosta\u0142o poddane krytyce (por. glosa M. Swory, PiP 2004, z. 1, s. 124) z uwagi na to, \u017ce zagadnienia dotycz\u0105ce tajemnicy bankowej i odpowiedzialno\u015bci za jej naruszenie s\u0105 przedmiotem regulacji prawa bankowego, kt\u00f3re przewiduje w tym zakresie ochron\u0119 dalej id\u0105c\u0105, ni\u017c przewidziana przepisami komentowanej ustawy.
\nOkre\u015blenie \u201eprzepisy odr\u0119bnych ustaw” nale\u017cy przy tym odnosi\u0107 tak\u017ce \u2014 naszym zdaniem \u2014 do obowi\u0105zuj\u0105cych rozporz\u0105dze\u0144 wydanych na podstawie ustaw. Takiej \u201edalej id\u0105cej ochrony” dopatrzy\u0107 si\u0119 mo\u017cna na przyk\u0142ad w rozporz\u0105dzeniu Ministra Sprawiedliwo\u015bci z dnia 18 czerwca 2003 r. w sprawie post\u0119powania o zachowanie w tajemnicy okoliczno\u015bci umo\u017cliwiaj\u0105cych ujawnienie to\u017csamo\u015bci \u015bwiadka oraz sposobu post\u0119powania z protoko\u0142ami z zezna\u0144 tego \u015bwiadka (Dz. U. Nr 108, poz. 1024).
\nR\u00f3wnocze\u015bnie, po drugie, mo\u017cemy tu dopatrzy\u0107 si\u0119 refleksu regu\u0142y kolizyjnej lex specialis derogat legi generali. Stosuje si\u0119 j\u0105 w\u00f3wczas, gdy mamy co prawda do czynienia z dwoma r\u00f3\u017cnymi hipotezami i dwoma r\u00f3\u017cnymi dyspozycjami, lecz ca\u0142y przynajmniej jeden zakres (np. adresaci, okoliczno\u015bci; zachowania) hipotezy lex specialis jest zawarty w hipotezie lex generalis, natomiast zakresy pozosta\u0142e maj\u0105 przynajmniej cz\u0119\u015bciowo wsp\u00f3lne elementy. Norma deroguj\u0105ca (specialis) pozbawia mocy norm\u0119 derogowan\u0105 (generalis) nie w ca\u0142o\u015bci ale tylko dla tych stosunk\u00f3w, dla kt\u00f3rych odmiennie reguluje zachowanie si\u0119 adresata. Zakresy przepis\u00f3w specjalne i og\u00f3lne, b\u0119d\u0105ce pozornie w relacji podporz\u0105dkowania, w istocie si\u0119 wykluczaj\u0105. Przepis specjalny nie uchyla jednak przepisu og\u00f3lnego w ca\u0142o\u015bci, lecz tylko w takim zakresie, jakiego dotyczy lex specialis. Uchylenie takiego przepisu w ca\u0142o\u015bci nie da\u0142oby si\u0119 pogodzi\u0107 z za\u0142o\u017ceniem o racjonalno\u015bci prawodawcy.
\nO relacji lex spcialis\/lex generalis pisze A. Kisielewicz zestawiaj\u0105c prze-pisy ustawy z dnia 6 kwietnia 1990 r. o Policji z przepisami komentowanej i ustawy. Jego zdaniem nie budzi w\u0105tpliwo\u015bci my\u015bl, \u017ce niekt\u00f3re przewidziane w ustawie o ochronie danych osobowych procedury \u2014 ograniczenia w za-kresie gromadzenia, przechowywania i udost\u0119pniania danych osobowych \u2014 v niejako \u201enie pasuj\u0105” do dzia\u0142alno\u015bci takich organ\u00f3w jak Policja i UOE R\u00f3w-nocze\u015bnie zaznacza, i\u017c nie jest jasne, czy przepis art. 5 u.o.d.o. jest wystarczaj\u0105c\u0105 podstaw\u0105 do generalnego wy\u0142\u0105czenia stosowania ustawy o ochronie i danych osobowych do przetwarzania danych osobowych przez te organy. W ka\u017cdym razie nie potwierdza tego tre\u015b\u0107 art. 3 ust. 1 i 2 u.o.d.o., w kt\u00f3rym za administratora danych uwa\u017ca si\u0119 ka\u017cdy organ pa\u0144stwowy, nie wy\u0142\u0105czaj\u0105c Policji. Za dyskusyjny uwa\u017ca on przy tym kategoryczny pogl\u0105d Naczelnego S\u0105du Administracyjnego (wyra\u017cony w wyroku z dnia 21 lutego 2000 r., II SA 52\/00), i\u017c dzia\u0142ania Policji i UOP w zakresie przetwarzania danych znajduj\u0105 si\u0119 ca\u0142kowicie poza zasi\u0119giem komentowanej Ustawy, Generalny Inspektor nie ma w tym zakresie \u017cadnych uprawnie\u0144 kontrolnych, a obywatel nie mo\u017ce w obr\u0119bie stosunk\u00f3w z tymi organami liczy\u0107 na ochron\u0119 swej prywatno\u015bci ze strony Generalnego Inspektora i w konsekwencji NSA (zob. A. Kisielewicz, Ochrona danych osobowych w praktyce orzeczniczej Naczelnego S\u0105du Administracyjnego, Glosa 2001, nr 2, s. 32 i n.). Zdaniem tego autora wydaje si\u0119 w\u0105tpliwe, czy same tylko ograniczenia i zakazy ujawniania informacji zawarte w ustawach szczeg\u00f3lnych dotycz\u0105cych dzia\u0142alno\u015bci Policji czy UOP (podobnie Stra\u017cy Granicznej i Inspekcji Celnej) mo\u017cna uzna\u0107 za ochron\u0119 dalej id\u0105c\u0105 w rozumieniu art. 5, wy\u0142\u0105czaj\u0105c\u0105 stosowanie wszelkich przepis\u00f3w ustawy o ochronie danych osobowych, nie bacz\u0105c \u017ce te szczeg\u00f3lne przepisy nie przewiduj\u0105 mo\u017cliwo\u015bci \u017c\u0105dania na drodze instancyjnego post\u0119powania administracyjnego przywr\u00f3cenia stanu zgodnego z prawem o prawa skargi do s\u0105du (ibidem).
\nPodobnie, zdaniem A. Kiselewicza, oceni\u0107 trzeba relacj\u0119 wyst\u0119puj\u0105c\u0105 mi\u0119dzy przepisami kodeksu post\u0119powania karnego dotycz\u0105cymi zbierania i innych form przetwarzania danych osobowych a ustaw\u0105 o ochronie danych osobowych. Ustawa ta nie zawiera postanowie\u0144, kt\u00f3re by stawia\u0142y organy prokuratury poza zakresem jej dzia\u0142ania. Ograniczenia jej stosowania w odniesieniu do prokuratorskich dzia\u0142a\u0144 zwi\u0105zanych ze zbieraniem, przechowywaniem i udost\u0119pnianiem danych osobowych mog\u0105 by\u0107 wyprowadzane tylko z art. 5 u.o.d.o., je\u017celi uda si\u0119 wykaza\u0107, i\u017c przepisy procedury karnej gwarantuj\u0105 dalej id\u0105c\u0105 ochron\u0119 takich danych ni\u017c komentowana ustawa (problem ten pojawi\u0142 si\u0119 w post\u0119powaniu zako\u0144czonym wyrokiem NSA z dnia 28 czerwca 1999 r., II SA 728\/99).
\n2. Wyra\u017conej w art. 5 regule nale\u017cy przyzna\u0107 prymat przed innymi przyjmowanymi metodami usuwania sytuacji kolizyjnych; mamy na my\u015bli na przyk\u0142ad przypadek, gdy przepisy przewiduj\u0105ce dalej id\u0105c\u0105 ochron\u0119 wesz\u0142y w \u017cycie wcze\u015bniej ni\u017c niniejsza ustawa. Nie znajdowa\u0142aby w\u00f3wczas zastosowania powszechnie aprobowana zasada lex posierior derogat legi priori, a jedynym rozstrzygaj\u0105cym kryterium pozostawa\u0142oby to, kt\u00f3rym przepisom przypisa\u0107 mo\u017cna miano przepis\u00f3w ustanawiaj\u0105cych intensywniejsz\u0105 ochron\u0119 danych.
\n3. Pos\u0142ugiwanie si\u0119 wytyczn\u0105 podan\u0105 w komentowanym przepisie wymaga si\u0119gni\u0119cia po kryterium nie zawsze poddaj\u0105ce si\u0119 \u0142atwej weryfikacji. Jednoznaczne wskazanie, kt\u00f3ra norma przewiduje dalej id\u0105c\u0105 ochron\u0119 danych, mo\u017ce w niekt\u00f3rych przypadkach przysporzy\u0107 wiele trudno\u015bci. Cz\u0119sto nie jest bowiem proste rozstrzygni\u0119cie, gdzie mamy do czynienia z bardziej intensywn\u0105 ochron\u0105, a jedyn\u0105 usprawiedliwion\u0105 odpowiedzi\u0105 b\u0119dzie stwierdzenie, i\u017c dane przepisy przewiduj\u0105 ochron\u0119 \u201einaczej ukszta\u0142towan\u0105”, ni\u017c ma to miejsce na gruncie ustawy o ochronie danych osobowych. W\u00f3wczas kolizj\u0119 prawa rozwi\u0105zywa\u0107 trzeba b\u0119dzie odwo\u0142uj\u0105c si\u0119 do wypracowanych i przyj\u0119tych regu\u0142, m.in. regu\u0142y lex specialis derogat legi generali. W polskim systemie prawnym istnieje relatywnie wiele przepis\u00f3w odr\u0119bnych ustaw, kt\u00f3re odnosz\u0105 si\u0119 do szeroko rozumianego przetwarzania danych, przy czym znaczna ich cz\u0119\u015b\u0107 wydana zosta\u0142a wcze\u015bniej, ni\u017c. Wesz\u0142a w \u017cycie ustawa z 1997 r. Wykaz najwa\u017cniejszych akt\u00f3w prawnych zawieraj\u0105cych przepisy dotycz\u0105ce przetwarzania i ochrony danych osobowych zamieszczony zosta\u0142 w pkt C.III Wst\u0119pu. W niekt\u00f3rych przypadkach trzeba uzna\u0107, i\u017c przewiduj\u0105 one nie \u201edalej id\u0105c\u0105”, lecz \u201es\u0142absz\u0105” ochron\u0119 danych od tej, jaka wynika z postanowie\u0144 komentowanej ustawy. W\u00f3wczas pierwsze\u0144stwo na le\u017cy przyznawa\u0107 regulacji przyj\u0119tej w ustawie o ochronie danych osobowych mimo \u017ce do odmiennej konkluzji sk\u0142ania\u0142aby zasada lex specialis derogat legi generali. Dodatkowy argument stanowi\u0107 mo\u017ce okoliczno\u015b\u0107, \u017ce komentowana ustawa jest aktem prawnym \u201ep\u00f3\u017aniejszym”.
\nNiemniej stosuj\u0105c ustaw\u0119 nale\u017cy stara\u0107 si\u0119 prowadzi\u0107 wyk\u0142adni\u0119 w ten spos\u00f3b, aby unika\u0107 pe\u0142nego zakwestionowania znaczenia i mocy wi\u0105\u017c\u0105cej przepis\u00f3w szczeg\u00f3lnych; z drugiej strony powinno si\u0119 r\u00f3wnie\u017c \u2014 w miar\u0119 mo\u017cliwo\u015bci \u2014 dba\u0107 o to, aby wyk\u0142adnia i stosowanie przepis\u00f3w szczeg\u00f3lnych dotycz\u0105cych przetwarzania danych osobowych nie prowadzi\u0142o do kwestionowania lub marginalizacji znaczenia i podwa\u017cania zasad sformu\u0142owanych w ustawie o ochronie danych osobowych.
\nCo do stosowania przepis\u00f3w szczeg\u00f3lnych dotycz\u0105cych przetwarza nia danych osobowych, a tak\u017ce relacji takich przepis\u00f3w do przepis\u00f3w ustawy \u2014 zob. te\u017c pkt 1 oraz pkt 14-20 komentarza do art. 23.
\n4. Komentowana ustawa w \u017cadnej mierze nie narusza przepis\u00f3w innych ustaw wprowadzaj\u0105cych tajemnice zawodowe. Oznacza to, i\u017c przy przetwarzaniu danych osobowych nale\u017cy w pe\u0142nym zakresie uwzgl\u0119dnia\u0107 tego rodzaju tajemnice oraz p\u0142yn\u0105ce z nich ograniczenia swobody dost\u0119pu i ujawniania informacji. Tak samo odnie\u015b\u0107 si\u0119 nale\u017cy do przepis\u00f3w maj\u0105cych za przedmiot tajemnice przedsi\u0119biorstwa (art. 11 u.z.n.k.), tajemnice handlowe, bankowe, maklerskie, ubezpieczeniowe i inne.
\nUstawa nie ogranicza poza tym swobody stron, je\u015bli chodzi o uznanie w umowie okre\u015blonych wiadomo\u015bci za poufne. Mog\u0105 to by\u0107 tak\u017ce tego rodzaju wiadomo\u015bci, kt\u00f3re maj\u0105 charakter danych osobowych.<\/p>\n
5. Komentowana ustawa nie przewiduje przypadk\u00f3w, w kt\u00f3rych okre\u015blone rodzaje danych osobowych zostan\u0105 moc\u0105 innych akt\u00f3w prawnych wy\u0142\u0105czone spod zakresu p\u0142yn\u0105cej z jej przepis\u00f3w ochrony. Formalnie jednak taki zabieg, je\u015bli dokonany zostanie na drodze ustawowej, nie jest wykluczony. Pozostaje w\u00f3wczas kwesti\u0105 wymagaj\u0105c\u0105 oceny, czy tego rodzaju przepisy s\u0105 zgodne z konstytucj\u0105, z zawartymi w niej postanowieniami dotycz\u0105cymi udost\u0119pniania informacji czy gwarantuj\u0105cymi ochron\u0119 \u017cycia prywatnego. W\u0105tpliwo\u015bci tego rodzaju pojawi\u0142y si\u0119 w polskiej doktrynie (W. Zimny) co do przepisu art 15 ustawy z dnia 3 marca 2000 r. o wynagradzaniu os\u00f3b kieruj\u0105cych niekt\u00f3rymi podmiotami prawnymi (Dz. U. Nr 26, poz. 306); przepis ten stwierdza: \u201eInformacje o wynagrodzeniu os\u00f3b podlegaj\u0105cych przepisom ustawy oraz o nagrodach rocznych, \u015bwiadczeniach dodatkowych i odprawach s\u0105 jawne i nie podlegaj\u0105 ochronie danych osobowych ani tajemnicy handlowej”
\nWy\u0142\u0105czenie stosowania ustawy o ochronie danych osobowych zosta\u0142o wprowadzone r\u00f3wnie\u017c do ustawy z dnia 19 listopada 1999 r. \u2014 Prawo dzia\u0142alno\u015bci gospodarczej (Dz. U. Nr 101, poz. 1178 z p\u00f3\u017an. zm.) i odnosi si\u0119 do danych o osobach fizycznych b\u0119d\u0105cych przedsi\u0119biorcami. Zgodnie z art. 7a ust. 2 p.d.g. \u201eEwidencja dzia\u0142alno\u015bci gospodarczej jest jawna i dane osobo we w niej zawarte nie podlegaj\u0105 przepisom ustawy z dnia 29 sierpnia 1997 r. ochronie danych osobowych”. Jednak\u017ce nowa ustawa z dnia 2 lipca 2004 r. swobodzie dzia\u0142alno\u015bci gospodarczej (Dz. U. Nr 173, poz. 1807 z p\u00f3\u017an. zm.), kt\u00f3rej przepisy maj\u0105 zast\u0105pi\u0107 od pocz\u0105tku 2007 r. dotychczasowe regulacje odnosz\u0105ce si\u0119 do ewidencji dzia\u0142alno\u015bci gospodarczej, nie przewiduje ju\u017c takiego wy\u0142\u0105czenia.
\nZ cz\u0119\u015bciowym wy\u0142\u0105czeniem stosowania przepis\u00f3w ustawy o ochronie danych osobowych mamy do czynienia na gruncie ustawy z dnia 18 lipca 2002 r. o \u015bwiadczeniu us\u0142ug drog\u0105 elektroniczn\u0105 (Dz. U. Nr 144, poz. 1204 z p\u00f3\u017an. zm.). Artyku\u0142 16 ust. 1 u.s.u.d.e. zawiera norm\u0119, zgodnie z kt\u00f3r\u0105 do przetwarzania danych osobowych w zwi\u0105zku ze \u015bwiadczeniem us\u0142ug drog\u0105 elektroniczn\u0105 stosuje si\u0119 przepisy ustawy o ochronie danych osobowych, o ile przepisy rozdzia\u0142u 4 ustawy o \u015bwiadczeniu us\u0142ug drog\u0105 elektroniczn\u0105 nie stanowi\u0105 inaczej. Szerzej na ten temat por. pkt E.VI.19 Wst\u0119pu.
\nZ jeszcze innym rozwi\u0105zaniem prawnym mamy do czynienia na gruncie ustawy z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych (Dz. U. Nr 110, poz. 1189 z p\u00f3\u017an. zm.), kt\u00f3rej art. 18 nakazuje \u201ew zakresie gromadzenia, przetwarzania i udost\u0119pniania informacji kryminalnych” stosowa\u0107 tylko niekt\u00f3re, enumeratywnie wskazane w tym artykule przepisy ustawy \u00f3 ochronie danych osobowych (art. 12,14-19,26 ust. 1, art. 27 ust. 2 pkt 2, art. 32 ust. 1 pkt 1,2,4 i 6, art. 33 ust. 1 pkt 1-3, art. 34-39). Oznacza to, \u017ce pozosta\u0142e przepisy komentowanej ustawy nie maj\u0105 w tym zakresie zastosowania.
\nArt. 6.1. W rozumieniu ustawy za dane osobowe uwa\u017ca si\u0119 wszelkie informacje dotycz\u0105ce zidentyfikowanej lub mo\u017cliwej do zidentyfikowania osoby fizycznej.
\n2. Osob\u0105 mo\u017cliw\u0105 do zidentyfikowania jest osoba, kt\u00f3rej to\u017csamo\u015b\u0107 mo\u017cna okre\u015bli\u0107 bezpo\u015brednio lub po\u015brednio, w szczeg\u00f3lno\u015bci przez powo\u0142anie si\u0119 na numer identyfikacyjny albo jeden lub kilka specyficznych czynnik\u00f3w okre\u015blaj\u0105cych jej cechy fizyczne, fizjologiczne, umys\u0142owe, ekonomiczne, kulturowe lub spo\u0142eczne.
\n3. Informacji nie uwa\u017ca si\u0119 za umo\u017cliwiaj\u0105c\u0105 okre\u015blenie to\u017csamo\u015bci osoby, je\u017celi wymaga\u0142oby to nadmiernych koszt\u00f3w, czasu lub dzia\u0142a\u0144.
\n1.Komentowany przepis definiuje podstawowe dla ustawy poj\u0119cie \u201edane osobowe”. Zosta\u0142 on zasadniczo zmieniony nowel\u0105 z 2001 r. w celu jego zharmonizowania z prawem Unii Europejskiej. Obecna definicja danych osobowych odpowiada definicji, jak\u0105 pos\u0142uguje si\u0119 dyrektywa 95\/46\/WE; jest te\u017c w zasadzie zbie\u017cna z definicj\u0105 zamieszczon\u0105 w konwencji 108 Rady Europy (w my\u015bl art. 2 lit. a) tej konwencji wyra\u017cenie \u201edane osobowe” oznacza \u201ewszelk\u0105 informacj\u0119 dotycz\u0105c\u0105 osoby fizycznej o ustalonej to\u017csamo\u015bci albo daj\u0105cej si\u0119 zidentyfikowa\u0107”).
\nNa gruncie nowego stanu prawnego nie budzi ju\u017c w\u0105tpliwo\u015bci, \u017ce danymi osobowymi s\u0105 wszelkie informacje dotycz\u0105ce zidentyfikowanej lub daj\u0105cej si\u0119 zidentyfikowa\u0107 osoby, a nie tylko takie informacje, kt\u00f3re same s\u0142u\u017c\u0105 identyfikacji. Bowiem sama pojedyncza informacja jako taka w zasadzie nigdy (z wyj\u0105tkiem np. zdj\u0119cia czy kodu genetycznego) nie pozwala na okre\u015blenie to\u017csamo\u015bci osoby, kt\u00f3rej dotyczy.
\n2.Za dane osobowe uwa\u017ca si\u0119 \u2014 wed\u0142ug ustawy \u2014 \u201ewszelkie informacje dotycz\u0105ce zidentyfikowanej lub mo\u017cliwej do zidentyfikowania osoby fizycznej”. Definicja ta odpowiada zasadniczo przyj\u0119tej dla \u201edanych jednostkowych” w ustawie z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. Nr 88, poz. 439 z p\u00f3\u017an. zm.), gdzie uznano, \u017ce s\u0105 nimi \u201edane osobowe daj\u0105ce si\u0119 powi\u0105za\u0107 z konkretn\u0105 osob\u0105 fizyczn\u0105” (dalej dodano, i\u017c danymi jednostkowymi s\u0105 te\u017c dane indywidualne daj\u0105ce si\u0119 powi\u0105za\u0107 z podmiotem gospodarczym albo inn\u0105 osob\u0105 prawn\u0105 b\u0105d\u017a jednostk\u0105 organizacyjn\u0105 nieposiadaj\u0105c\u0105 osobowo\u015bci prawnej).
\nPrima facie wydaje si\u0119, i\u017c poprawniejsze by\u0142oby pos\u0142u\u017cenie si\u0119 w definicji zawartej w art. 6 ustawy zwrotem \u201eza dan\u0105 osobow\u0105”, jednak rzeczownik \u201edane” nie ma w j\u0119zyku polskim liczby pojedynczej. Wyraz \u201edana” wyst\u0119puje jedynie jako imies\u0142\u00f3w bierny od czasownika \u201eda\u0107”, w u\u017cyciu przymiotnikowym jako \u201eta, o kt\u00f3rej mowa: przytoczona” (por. S\u0142ownik j\u0119zyka polskiego, red. M. Szymczak, Warszawa 1995,1.1, s. 337). Z tego wzgl\u0119du niekiedy formu\u0142owany jest nawet postulat zast\u0105pienia terminu \u201edane osobowe” innym okre\u015bleniem na przyk\u0142ad \u201einformacje imienne”, jako \u017ce wyraz \u201einformacja” mo\u017ce by\u0107 u\u017cywany zar\u00f3wno w liczbie pojedynczej, jak i mnogiej (zob. A. Har-la, Termin \u201edane osobowe” \u2014 uwagi de lege lata i de lege ferenda na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Palestra 2001, ni 1, s. 38). Wydaje nam si\u0119 jednak, \u017ce nie ma potrzeby dokonywania zmian, gdy\u017c okre\u015blenie \u201edane osobowe” trafnie oddaje istot\u0119 omawianego poj\u0119cia. Okre\u015blenie \u201edane osobowe” jest ponadto dok\u0142adnym odpowiednikiem termin\u00f3w u\u017cywanych w dyrektywie 95\/46\/WE w j\u0119zyku angielskim (personal data) i w j\u0119zyku niemieckim (Personenbezogene Daten), kt\u00f3re to okre\u015blenia tak\u017ce wyst\u0119puj\u0105 tylko w liczbie mnogiej.
\n3. W omawianej definicji z art. 6 u.o.d.o. wyr\u00f3\u017cni\u0107 nale\u017cy nast\u0119puj\u0105ce elementy (przes\u0142anki):
\n1.\tinformacja:
\n2.\tdotycz\u0105ca osoby fizycznej,
\n3.\tzidentyfikowanej lub mo\u017cliwej do zidentyfikowania
\n4. Pierwsza przes\u0142anka podana w analizowanej definicji dotyczy \u201einformacji”. Poj\u0119cie to oznacza komunikaty (wiadomo\u015bci, wypowiedzi, prezentacje) wyra\u017cone i zapisane w jakikolwiek spos\u00f3b: znakami graficznymi, symbolami, w j\u0119zyku komputerowym, na fotografii, na ta\u015bmie magnetofonowej lub magnetowidowej itd.), niezale\u017cnie od sposobu,1 zakresu i swobody ich udost\u0119pniania, jak i niezale\u017cnie od sposobu ich pozyskania. Dla kwalifikacji okre\u015blonego komunikatu do kategorii \u201edanych osobowych” zasadniczo nie ma znaczenia jego prawdziwo\u015b\u0107. Zatem to, czy informacja jest prawdziwa czy nie, je\u017celi tylko spe\u0142nione zostan\u0105 dalsze przes\u0142anki, jest z tego punktu widzenia okoliczno\u015bci\u0105 nieistotn\u0105. Natomiast ma to znaczenie dla wykony wania niekt\u00f3rych uprawnie\u0144 przez osob\u0119 zainteresowan\u0105 (\u017c\u0105danie wprowadzenia korekty danych osobowych). \u201eInformacja” mo\u017ce odnosi\u0107 si\u0119 do tego, co istnia\u0142o, istnieje lub co ma lub mo\u017ce istnie\u0107. Danymi osobowymi s\u0105 zatem te\u017c takie dane, kt\u00f3re dotycz\u0105 okoliczno\u015bci planowanych (\u201edane planowane”), na przyk\u0142ad planowany przebieg zatrudnienia czy s\u0142u\u017cby okre\u015blonej osoby.
\nOboj\u0119tny jest poza tym tak\u017ce spos\u00f3b wyra\u017cenia (komunikowania) informacji. Mo\u017ce by\u0107 ona zatem wyra\u017cona s\u0142owem, d\u017awi\u0119kiem, obrazem (np. jako zdj\u0119cie fotograficzne, rentgenowskie), w tym te\u017c obrazem ruchomym, : mo\u017ce przybiera\u0107 form\u0119 zapisu informatycznego itd. Chodzi przy rym zar\u00f3wno o informacj\u0119 zrozumia\u0142\u0105 dla ka\u017cdego, jak i zrozumia\u0142\u0105 tylko dla nie\/ kt\u00f3rych os\u00f3b lub tylko po zastosowaniu odpowiednich procedur (informacja kodowana). Bez znaczenia jest r\u00f3wnie\u017c \u017ar\u00f3d\u0142o pochodzenia informacji; danymi osobowymi s\u0105 te\u017c informacje osi\u0105gni\u0119te w rezultacie przetwarzania innych danych.
\nU\u017cycie zwrotu \u201ewszelkie informacje” s\u0142u\u017cy podkre\u015bleniu, i\u017c w gr\u0119 wchodz\u0105 informacje odnosz\u0105ce si\u0119 do ka\u017cdego aspektu osoby, jej stosunk\u00f3w osobistych i rzeczowych, jej \u017cyda zawodowego, prywatnego, wykszta\u0142cenia; wiedzy czy cech charakteru. Nie ma znaczenia, w jakiej roli wyst\u0119puje w danym przypadku osoba (np, cz\u0142onka rodziny, cz\u0142onka grupy zawodowej czy przedsi\u0119biorcy).
\nDanymi osobowymi s\u0105 zar\u00f3wno informacje ju\u017c rozpowszechnione lub opublikowane (zamieszczone w publikowanych materia\u0142ach), jak i w og\u00f3le jeszcze nieujawnione.
\n5. Aby okre\u015blon\u0105 informacj\u0119 mo\u017cna by\u0142o zaliczy\u0107 do danych osobowych, powinna ona charakteryzowa\u0107 si\u0119 nadto dwoma cechami, musi:
\na) dotyczy\u0107 osoby fizycznej, kt\u00f3rej
\nb) to\u017csamo\u015b\u0107 jest ustalona lub mo\u017cliwa do ustalenia.
\nZastrze\u017cenie, i\u017c informacje powinny \u201edotyczy\u0107 osoby fizycznej” ma to znaczenie, \u017ce poza polem zainteresowania sytuuje zbiory informacji (uj\u0119te np. w form\u0119 rejestr\u00f3w i ewidencji) dotycz\u0105cych podmiot\u00f3w innych ni\u017c osoby fizyczne, a wi\u0119c wszelkich jednostek organizacyjnych, niezale\u017cnie od tego, czy posiadaj\u0105 one osobowo\u015b\u0107 prawn\u0105 (w tym klub\u00f3w, stowarzysze\u0144, grup nieformalnych), organ\u00f3w administracji pa\u0144stwowej oraz samorz\u0105dowej i innych. Nie jest to co prawda za\u0142o\u017cenie przyjmowane powszechnie, niemniej wyst\u0119puje w wielu zagranicznych ustawach o ochronie danych osobowych (np. w ustawie niemieckiej, francuskiej), jak r\u00f3wnie\u017c w dyrektywie 95\/46\/WE.
\nDane dotycz\u0105ce os\u00f3b prawnych korzystaj\u0105 z ochrony w \u015bwietle ustawy norweskiej, szwajcarskiej, austriackiej; w w\u0119\u017cszym zakresie \u2014 z ochrony przewidzianej ustaw\u0105 w\u0142osk\u0105; w niekt\u00f3rych krajach (np. w Danii) zakresem regulacji obj\u0119te s\u0105 dane jednostek organizacyjnych.
\nNa temat ochrony danych os\u00f3b prawnych zob. te\u017c pkt E.IV Wst\u0119pu.
\nW Polsce ochrona danych dotycz\u0105cych os\u00f3b prawnych realizowana jest w pewnej mierze poprzez postanowienia kodeksu cywilnego o ochro nie d\u00f3br osobistych os\u00f3b prawnych, jak r\u00f3wnie\u017c\u2014bezpo\u015brednio\u2014poprzez przepisy niekt\u00f3rych ustaw szczeg\u00f3\u0142owych, jak na przyk\u0142ad ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. Nr 88, poz. 439 z p\u00f3\u017an.zm.). Postanowienia tej ustawy zakazuj\u0105 publikowania i innego udost\u0119pniania informacji statystycznych mo\u017cliwych do powi\u0105zania z konkretn\u0105 osob\u0105 oraz danych indywidualnych charakteryzuj\u0105cych wyniki ekonomiczne przedsi\u0119biorc\u00f3w, w szczeg\u00f3lno\u015bci je\u015bli na dan\u0105 agregacj\u0119 sk\u0142adaj\u0105 si\u0119 mniej ni\u017c trzy podmioty lub udzia\u0142 jednego podmiotu w jakim\u015b zestawieniu jest wi\u0119kszy ni\u017c trzy czwarte ca\u0142o\u015bci (art 38 ust 2).
\n6. Trzeba zaznaczy\u0107, \u017ce informacja o osobie fizycznej mo\u017ce niekiedy wynika\u0107 z informacji odnosz\u0105cej si\u0119 do osoby prawnej (np. dotycz\u0105cej sk\u0142adu osobowego organ\u00f3w sp\u00f3\u0142ki); niekiedy te\u017c granica mi\u0119dzy informacjami o osobie prawnej i osobie fizycznej zaciera si\u0119 (jak to ma miejsce przy informacjach na temat jednoosobowej sp\u00f3\u0142ki z ograniczon\u0105 odpowiedzialno\u015bci\u0105).
\nNa kontrowersje wyst\u0119puj\u0105ce w tym zakresie wskazuj\u0105 ni\u017cej podane oceny. Zdaniem A. Mednisa (Ustawa o ochronie danych osobowych. Komentarz, Warszawa 1999, s. 25) dane o osobach fizycznych prowadz\u0105cych dzia\u0142alno\u015b\u0107 gospodarcz\u0105 lub o wsp\u00f3lnikach sp\u00f3\u0142ki cywilnej nie zosta\u0142y wy\u0142\u0105czone spod dzia\u0142ania komentowanej ustawy. Autor ten wyra\u017anie pisze, \u017ce takie informacje r\u00f3wnie\u017c podlegaj\u0105 przewidzianej ustaw\u0105 ochronie, o ile identyfikuj\u0105 konkretne osoby. Nie ma przy tym znaczenia fakt, \u017ce s\u0105 to dane og\u00f3lnodost\u0119pne. Tak\u017ce S. Grynhoff i E Wo\u017any (Ochrona danych osobowych w praktyce, red. P. Wo\u017any, Pozna\u0144 2000, pkt 1\/1.1, s. 2) stwierdzaj\u0105, \u017ce ustawa reguluje zasady przetwarzania informacji osobowych dotycz\u0105cych te\u017c tych os\u00f3b fizycznych, kt\u00f3re dysponuj\u0105 statusem przedsi\u0119biorcy w rozumieniu przepis\u00f3w ustawy z dnia 23 grudnia 1988 r. o dzia\u0142alno\u015bci gospodarczej, jak r\u00f3wnie\u017c funkcjonuj\u0105 w ramach jednostek organizacyjnych dysponuj\u0105cych takim statusem. Obecnie por. art. 4 ustawy z dnia 2 lipca 2004 r. o swobodzie dzia\u0142alno\u015bci gospodarczej (Dz. U. Nr 173, poz. 1807 z p\u00f3\u017an. zm.). Natomiast zdaniem Generalnego Inspektora Ochrony Danych Osobowych (kt\u00f3re wyra\u017cone zosta\u0142o na stronie www: Generalny Inspektor Ochrony Danych Osobowych sygnalizuje, www.giodo.gov.pl): \u201eEwidencja dzia\u0142alno\u015bci gospodarczej jest zbiorem danych o przedsi\u0119biorstwach, zg\u0142aszaj\u0105cych prowadzon\u0105 dzia\u0142alno\u015b\u0107, pomimo \u017ce mog\u0105 by\u0107 w niej zawarte dane osobowe. Ustawy o ochronie danych osobowych nie stosuje si\u0119 wi\u0119c do przedsi\u0119biorcy, kt\u00f3rym mo\u017ce by\u0107 r\u00f3wnie\u017c osoba fizyczna”. Generalny Inspektor wyja\u015bnia dalej, \u017ce obowi\u0105zkiem organu ewidencyjnego jest udost\u0119pnienie informacji z ewidencji dzia\u0142alno\u015bci gospodarczej, a tak\u017ce okazanie wszelkiej pomocy w odszukaniu odpowiednich danych. Oznacza to, \u017ce ka\u017cda osoba nia mo\u017cliwo\u015b\u0107 dost\u0119pu do danych zawartych w ewidencji, bez potrzeby przedstawiania swej to\u017csamo\u015bci ani wykazywania jakiegokolwiek interesu faktycznego lub prawnego. Podobne stanowisko w tej kwestii zaj\u0105\u0142 NSA w wyroku z dnia 28 listopada 2002 r. (E SA 3389\/01, Mon. Pr. 2003, nr 3, poz. 99), stwierdzaj\u0105c i\u017c \u201eJe\u017celi u przedsi\u0119biorca obj\u0105\u0142 zakresem danych indywidualnych dotycz\u0105cych firmy swoje dane osobowe, w sytuacji gdy dane te pokrywaj\u0105 si\u0119, nie mo\u017ce on jako osoba fizyczna domaga\u0107 si\u0119 ochrony swoich danych osobowych, kt\u00f3re s\u0105 wykorzystywane nie jako dane osobowe, lecz jako dane firmy. Decyduj\u0105c si\u0119 na uto\u017csamianie tych danych godzi si\u0119 tym samym na szersze ich ujawnianie i s\u0142absz\u0105 ochron\u0119”.
\nW naszym przekonaniu, w przypadkach gdy opisane wy\u017cej podmioty nie maj\u0105 statusu osoby prawnej, istniej\u0105 racje dla stosowania do nich komentowanej ustawy. Bardziej rygorystyczne podej\u015bcie sk\u0142ania\u0142oby do r\u00f3\u017cnego traktowania poszczeg\u00f3lnych rodzaj\u00f3w danych dotycz\u0105cych tego rodz\u0105- ; ju podmiot\u00f3w, za\u015b kryterium podzia\u0142u stanowi\u0142aby okoliczno\u015b\u0107, czy dane te. zwi\u0105zane s\u0105 koniecznie z funkcjonowaniem podmiotu gospodarczego; w odniesieniu do tego rodzaju informacji stosowanie ustawy o ochronie danych osobowych nie wchodzi\u0142oby w rachub\u0119. A. Mednis (Uwagi na temat ustawy z 26′] lipca 2001 r. o zmianie ustawy o ochronie danych osobowych, po poprawkach Senatu z 9 sierpnia 20011, Ochrona Danych Osobowych. Biuletyn Administrator\u00f3w ; \\ Bezpiecze\u0144stwa Informacji 2001, nr 18, s. 4) dostrzega przy tym, \u017ce w wyniku nowelizacji przyb\u0119dzie dodatkowy argument za tak\u0105 wyk\u0142adni\u0105; pisze on: \u201ew nowej definicji danych jednym z kryteri\u00f3w identyfikacji s\u0105 czynniki ekonomiczne (a wi\u0119c mo\u017ce to by\u0107 prowadzona dzia\u0142alno\u015b\u0107 gospodarcza)”.
\nZ dniem 1 stycznia 2004 r. uleg\u0142 zmianie stan prawny odnosz\u0105cy si\u0119 do przetwarzania danych o osobach fizycznych prowadz\u0105cych dzia\u0142alno\u015b\u0107 gospodarcz\u0105, zawartych w ewidencji dzia\u0142alno\u015bci gospodarczej. Na mocy nowelizacji dokonanej dnia 14 pa\u017adziernika 2003 r. (Dz. U. Nr 217, poz. 2125) do ustawy \u2014 Prawo dzia\u0142alno\u015bci gospodarczej wprowadzony zosta\u0142 m.in. przepis art 7a ust. 2, zgodnie z kt\u00f3rym ewidencja dzia\u0142alno\u015bci gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegaj\u0105 przepisom ustawy o ochronie danych osobowych.
\nEwidencja dzia\u0142alno\u015bci gospodarczej s\u0142u\u017cy\u0107 ma jawno\u015bci i pewno\u015bci obrotu gospodarczego. Osoby fizyczne podejmuj\u0105ce dzia\u0142alno\u015b\u0107 gospodarcz\u0105 maj\u0105 obowi\u0105zek zg\u0142osi\u0107 do ewidencji nast\u0119puj\u0105ce dane: oznaczenie przedsi\u0119biorcy oraz numer ewidencyjny PESEL, o ile taki posiadaj\u0105; oznaczenie miejsca zamieszkania i adresu przedsi\u0119biorcy, a je\u017celi stale wykonuj\u0105 dzia\u0142alno\u015b\u0107 poza miejscem zamieszkania \u2014 r\u00f3wnie\u017c wskazanie tego miejsca i adresu zak\u0142adu g\u0142\u00f3wnego, oddzia\u0142u lub innego miejsca wykonywania dzia\u0142alno\u015bci; okre\u015blenie przedmiotu wykonywanej dzia\u0142alno\u015bci gospodarczej zgodnie z Polsk\u0105 Klasyfikacj\u0105 Dzia\u0142alno\u015bci (PKD) oraz wskazanie daty rozpocz\u0119cia dzia\u0142alno\u015bci gospodarczej. Dane te zasadniczo s\u0142u\u017c\u0105 ewidencjonowaniu przedsi\u0119biorc\u00f3w, ale mog\u0105 by\u0107 wykorzystywane przez r\u00f3\u017cne podmioty na przyk\u0142ad w celu wst\u0119pnej weryfikacji kontrahent\u00f3w w obrocie profesjonalnym, dochodzenia praw przez konsument\u00f3w itp. Wy\u0142\u0105czenie stosowania ustawy o ochronie danych osobowych dotyczy danych osobowych zawartych w ewidencji.
\nPrzyj\u0119te przez ustawodawc\u0119 wy\u0142\u0105czenie nie wydaje si\u0119 rozwi\u0105zaniem najlepszym. Uwa\u017camy, i\u017c znacznie korzystniejsze by\u0142oby dopuszczenie przetwarzania danych o przedsi\u0119biorcach b\u0119d\u0105cych osobami fizycznymi w zakresie zwi\u0105zanym z prowadzon\u0105 przez te podmioty dzia\u0142alno\u015bci\u0105 gospodarcz\u0105 na nieco \u0142agodniejszych zasadach, a nie ca\u0142kowite wy\u0142\u0105czenie stosowania przepis\u00f3w komentowanej ustawy. Obecny stan prawny mo\u017ce prowadzi\u0107 do pozbawienia ochrony os\u00f3b fizycznych prowadz\u0105cych dzia\u0142alno\u015b\u0107 gospodarcz\u0105 tak\u017ce w zakresie zupe\u0142nie niezwi\u0105zanym z prowadzon\u0105 dzia\u0142alno\u015bci\u0105 (np. poprzez wykorzystywanie danych pochodz\u0105cych z ewidencji dzia\u0142alno\u015bci gospodarczej do r\u00f3\u017cnych innych cel\u00f3w).
\nPonadto warto zauwa\u017cy\u0107, \u017ce ustawa o Krajowym Rejestrze S\u0105dowym (tekst jedn. Dz. U. z 2001 r. Nr 17, poz. 209 z p\u00f3\u017an. zm.), kt\u00f3ra reguluje m.in. kwestie rejestracji przedsi\u0119biorc\u00f3w nieb\u0119d\u0105cych osobami fizycznymi, nie zawiera przepisu, kt\u00f3ry wy\u0142\u0105cza\u0142by stosowanie ustawy o ochronie danych oso -bowych w odniesieniu do danych o osobach fizycznych wpisanych do tego rejestru (np. cz\u0142onkach w\u0142adz sp\u00f3\u0142ek, prokurentach itp.).
\nKo\u0144cz\u0105c ten w\u0105tek rozwa\u017ca\u0144 wypada j eszcze doda\u0107, i\u017c nowa ustawa z dnia 2 lipca 2004 r. o swobodzie dzia\u0142alno\u015bci gospodarczej (Dz. U. Nr 173, : poz. 1807zp\u00f3\u017an. zm.), kt\u00f3rej przepisy maj\u0105 z dniem 1 stycznia 2007 zast\u0105pi\u0107 : ustaw\u0119 \u2014 Prawo dzia\u0142alno\u015bci gospodarczej w zakresie ewidencji dzia\u0142alno\u015bci gospodarczej, nie przewiduje wy\u0142\u0105czenia stosowania przepis\u00f3w o ochronie danych osobowych.
\n7. Zaznaczmy, i\u017c niekiedy proponuje si\u0119, aby obok danych osobowych wyr\u00f3\u017cnia\u0107 kategori\u0119 danych indywidualnych (daj\u0105cych si\u0119 powi\u0105za\u0107 z podmiotami gospodarczymi albo inn\u0105 osob\u0105 prawn\u0105 b\u0105d\u017a jednostk\u0105 organizacyjn\u0105 niemaj\u0105c\u0105 osobowo\u015bci prawnej). Natomiast obie te kategorie (tzn. dane osobowe i dane indywidualne) mia\u0142yby tworzy\u0107 razem kategori\u0119 danych jednostkowych (zob. G. Szpor, Publicznoprawna ochrona danych osobowych, PUG1999, nr 12, s. 6).
\n8. Dla zaklasyfikowania okre\u015blonej informacji do kategorii danych osobowych w rozumieniu ustawy nie ma znaczenia status prawny okre\u015blonej osoby, jej zdolno\u015b\u0107 do czynno\u015bci prawnych, to czy przys\u0142uguj\u0105 jej prawa publiczne; nie ma znaczenia tak\u017ce jej obywatelstwo. Ustawie podlegaj\u0105 nie tylko dane osobowe obywateli polskich, ale i cudzoziemc\u00f3w, o ile spe\u0142nione s\u0105 warunki z art. 2 i 3. Przepisy ustawy obowi\u0105zuj\u0105 tylko na terenie pa\u0144stwa polskiego.
\nZa dane osobowe w rozumieniu ustawy nie mo\u017cna oczywi\u015bcie uznawa\u0107 te\u017c informacji na temat os\u00f3b (postaci) nierzeczywistych, fikcyjnych, wyst\u0119puj\u0105cych w bajkach, powie\u015bciach, filmach, grach itp.
\n9. Zasadniczo dane osobowe odnosz\u0105 si\u0119 do jednej osoby; przemawia za tym te\u017c literalna wyk\u0142adnia komentowanego przepisu, w kt\u00f3rym u\u017cyto liczby pojedynczej w odniesieniu do \u201eosoby fizycznej”. Wyj\u0105tkowo danymi osobowymi b\u0119d\u0105 informacje dotycz\u0105ce wi\u0119cej ni\u017c jednej osoby (dane o \u201epodw\u00f3jnym odniesieniu”), na przyk\u0142ad informacje o po\u0142\u0105czeniach (rozmowach) telefonicznych, o zatrudnieniu osoby A u osoby B, o korzystaniu osoby X z pomocy medycznej lekarza Y itp. Zastrze\u017cenie, \u017ce chodzi o \u201einformacj\u0119 dotycz\u0105c\u0105 osoby fizycznej” daje podstawy do tego, by poza zakresem dzia\u0142ania ustawy pozostawia\u0107 dane dotycz\u0105ce rodzin czy rod\u00f3w jako takich (przyk\u0142ad: \u201epierwsze wzmianki o rodzinie X pochodz\u0105 z XVIII wieku”). Inn\u0105 ocen\u0119 nale\u017cy przyj\u0105\u0107, gdy \u201einformacja o rodzime” stanowi r\u00f3wnocze\u015bnie informacj\u0119 o daj\u0105cych si\u0119 zidentyfikowa\u0107 pojedynczych jej cz\u0142onkach (przyk\u0142ad: \u201ewszyscy cz\u0142onkowie rodziny X zapisali, si\u0119 do partii Y”).
\nDodajmy, i\u017c dane osobowe mog\u0105 by\u0107 niekiedy wyprowadzone z \u201einformacji zbiorczych” (np. z informacji: \u201ewszyscy cz\u0142onkowie klubu X zarabiaj\u0105 powy\u017cej 3000 z\u0142 miesi\u0119cznie”); w tym te\u017c nawet z takich, kt\u00f3re prima facie maj\u0105 anonimowy charakter (jak np. z informacji: \u201e10 absolwent\u00f3w, kt\u00f3rzy uko\u0144czyli wydzia\u0142 X w roku Y, pracuje w zak\u0142adzie Z”, je\u017celi w tym roku wydzia\u0142 ten uko\u0144czy\u0142o tylko 10 os\u00f3b).
\n10. Odr\u0119bnym problemem, kt\u00f3ry tutaj tylko sygnalizujemy bez podejmowania pr\u00f3by przeprowadzenia analizy, jest rozstrzygni\u0119cie, czy ochrona danych osobowych ma odnosi\u0107 si\u0119 tylko do os\u00f3b \u017cywych czy te\u017c rozci\u0105ga\u0107 si\u0119 na osoby zmar\u0142e. Ustawa polska nie rozstrzyga tej kwestii wprost. Niemniej zar\u00f3wno fakt, \u017ce.poj\u0119cie \u201eosoba fizyczna” stosowane jest w prawie w odniesieniu do os\u00f3b \u017cywych, jak i tre\u015b\u0107 wi\u0119kszo\u015bci przepis\u00f3w ustawy wskazuje na to, i\u017c poza zakresem stosowania ustawy pozostaj\u0105 dane o okre\u015blonych osobach nie\u017cyj\u0105cych. R\u00f3wnie\u017c Generalny Inspektor Ochrony Danych Osobowych w pi\u015bmie z dnia 12 lutego 2001 r. (znak GI-DP~024\/145\/01\/427) uzna\u0142, \u017ce regulacja ustawy o ochronie danych osobowych dotyczy wy\u0142\u0105cznie os\u00f3b \u017cyj\u0105cych, a w zwi\u0105zku z tym nie stawia ona \u017cadnych przeszk\u00f3d zar\u00f3wno w uzyskiwaniu informacji, jak i publikowaniu biografii dotycz\u0105cych os\u00f3b zmar\u0142ych. Rozpowszechnianie informacji dotycz\u0105cych zmar\u0142ych poddane jest natomiast tym ograniczeniom, kt\u00f3re maj\u0105 swe \u017ar\u00f3d\u0142o w powszechnej ochronie d\u00f3br osobistych w ramach dobra osobistego okre\u015blanego jako \u201ekult pami\u0119ci osoby zmar\u0142ej”. Por. jednak pkt 5 komentarza do art. 1, gdzie przedstawiono mo\u017cliwo\u015b\u0107 odmiennej interpretacji.
\nMo\u017cna broni\u0107 zdania, i\u017c charakter danych osobowych posiadaj\u0105 in-formacje o osobach pocz\u0119tych, lecz jeszcze nienarodzonych; taki te\u017c pogl\u0105d wyra\u017cony jest w rekomendacji 97 Komitetu Ministr\u00f3w Rady Europy z dnia 13 lutego 1997 r. w sprawie ochrony danych medycznych. Nie ulega w\u0105tpliwo\u015bci, \u017ce tego rodzaju informacje po urodzeniu si\u0119 dziecka maj\u0105 status danych osobowych.
\n11. Informacja wtedy \u201edotyczy osoby fizycznej”, gdy \u201eprzekazuje” (komunikuje) co\u015b na jej temat. Ustawowa definicja wprowadza w tej mierze jednak \u2014 literalnie rzecz ujmuj\u0105c \u2014 istotne ograniczenie. Za dane osobowe pozwala bowiem uznawa\u0107 tylko te informacje, kt\u00f3re \u201eumo\u017cliwiaj\u0105 ustalenie to\u017csamo\u015bci osoby fizycznej”, a wi\u0119c takie jak na przyk\u0142ad imi\u0119 i nazwisko, w po\u0142\u0105czeniu z dodatkowymi wskaz\u00f3wkami (data i miejsce urodzenia czy cechy zewn\u0119trzne), numer PESEL, struktura DNA, Nie uwa\u017camy przy tym, aby ca\u0142o\u015b\u0107 danych umo\u017cliwiaj\u0105cych identyfikacj\u0119 osoby, do kt\u00f3rej si\u0119 one odnosz\u0105, musia\u0142a by\u0107 usytuowana w zbiorze danych. Przyjmujemy, \u017ce do danych osobowych mo\u017cna zaliczy\u0107 tak\u017ce tak\u0105 informacj\u0119, kt\u00f3ra pozwala na okre\u015blenie to\u017csamo\u015bci osoby, do kt\u00f3rej si\u0119 odnosi, dopiero w po\u0142\u0105czeniu z informacj\u0105 spoza zbioru danych.
\nPor. w tej kwestii nadto uwagi w pkt 13.
\nNie s\u0105 natomiast danymi osobowymi wszelkie informacje anonimowe\u2014 tak jak ma to zazwyczaj miejsce w przypadku danych pozyskiwanych do cel\u00f3w statystycznych \u2014 niedaj\u0105ce si\u0119 powi\u0105za\u0107 z indywidualnymi osobami.
\n12. Sformu\u0142owanie, \u017ce \u201edanymi osobowymi s\u0105 informacje dotycz\u0105ce : osoby fizycznej” bywa niekiedy rozumiane w spos\u00f3b zaw\u0119\u017caj\u0105cy. Przyjmuje si\u0119 (tak A. Bier\u0107, Ochrona prawna danych osobowych w sferze dzia\u0142alno\u015bci gospodarczej w Polsce \u2014 aspekty cywilnoprawne (w:) Ochrona danych osobowych…, s. 121-122), \u017ce chodzi tu niew\u0105tpliwie o szeroki kr\u0105g informacji o stosunkach osobistych jednostki (od nazwiska i daty urodzenia, poprzez zainteresowania do plan\u00f3w awansu s\u0142u\u017cbowego), natomiast ju\u017c nie o informacje o stosunkach maj\u0105tkowych. Poparciem dla takiego stanowiska mog\u0142oby by\u0107 orzeczenie (uchwa\u0142a 7 s\u0119dzi\u00f3w SN) z dnia 16 lipc\u0105.1993 r, (OSN1994, nr 1, poz. 2), w kt\u00f3rym stwierdzono, \u017ce ujawnienie osobom trzecim wysoko\u015bci wynagrodzenia za prac\u0119 nie stanowi samo w sobie naruszenia sfery prywatno\u015bci, chyba \u017ce informacja taka wkracza\u0142aby w sfer\u0105 intymno\u015bci pracownika (np. ujawnia\u0142aby dokonywanie potr\u0105ce\u0144 nale\u017cno\u015bci alimentacyjnych). Towarzyszy temu konstatacja, \u017ce w sferze gospodarczej tajemnica danych osobowych jedynie uzupe\u0142nia inne \u015brodki ochronne (tajemnice), zwi\u0105zane na przyk\u0142ad z tajemnic\u0105 bankow\u0105. To ona oraz tajemnica przedsi\u0119biorstwa (tajemnica handlowa) i tajemnica zawodowa zwi\u0105zana z charakterem dzia\u0142alno\u015bci gospodarczej ma w sferze dzia\u0142alno\u015bci gospodarczej du\u017ce, mo\u017cna nawet rzec: pierwszoplanowe, znaczenie. Tajemnice te chroni\u0105 zar\u00f3wno interesy osobiste, jak i maj\u0105tkowe przedsi\u0119biorc\u00f3w\t”
\nNiemniej tego rodzaju zaw\u0119\u017caj\u0105ce ujmowanie kategorii danych osobowych nie wydaje si\u0119 jednak \u2014 naszym zdaniem \u2014 trafne i nie ma dostatecznego oparcia w brzmieniu postanowie\u0144 komentowanej ustawy.
\n13. W \u015bwietle nowej redakcji art. 6 nie budzi ju\u017c w\u0105tpliwo\u015bci, \u017ce poj\u0119cie \u201edane osobowe” na gruncie prawa polskiego obejmuje wszelkie informacje dotycz\u0105ce osoby fizycznej, o ile mo\u017cliwe jest zidentyfikowanie tej osoby. Za osob\u0119 mo\u017cliw\u0105 do zidentyfikowania uwa\u017cana jest osoba, kt\u00f3rej to\u017c samo\u015b\u0107 mo\u017cna okre\u015bli\u0107 bezpo\u015brednio lub po\u015brednio, w szczeg\u00f3lno\u015bci przez powo\u0142anie si\u0119 na numer identyfikacyjny albo jeden lub kilka specyficznych czynnik\u00f3w okre\u015blaj\u0105cych jego cechy fizyczne, fizjologiczne, umys\u0142owe, ekonomiczne, kulturowe lub spo\u0142eczne (art. 6 ust. 2 u.o.d.o.). Numerami identyfikacyjnymi, o kt\u00f3rych mowa w komentowanym przepisie, s\u0105: numer powszechnego elektronicznego systemu ewidencji ludno\u015bci (PESEL); numer identyfikacji podatkowej (NIP), a tak\u017ce numer dokumentu to\u017csamo\u015bci (dowodu osobistego oraz paszportu). Czynnikami okre\u015blaj\u0105cymi cechy osoby mog\u0105 by\u0107 m.in.: wygl\u0105d zewn\u0119trzny, wz\u00f3r siatk\u00f3wki oka (cechy fizyczne); struktura kodu genetycznego, grupa krwi (cechy fizjologiczne) status maj\u0105tkowy (cechy ekonomiczne); pochodzenie, pogl\u0105dy polityczne, przekonania religijne lub filozoficzne oraz przynale\u017cno\u015b\u0107 wyznaniowa, partyjna lub zwi\u0105zkowa (cechy te mo\u017cna zaliczy\u0107 do cech umys\u0142owych, kulturowych lub spo\u0142ecznych, w zale\u017cno\u015bci od sposobu interpretacji tych poj\u0119\u0107). Wskazane powy\u017cej czynniki nie wyczerpuj\u0105 otwartego katalogu rodzaj\u00f3w informacji kt\u00f3re mog\u0105 by\u0107 przypisane konkretnej osobie fizycznej.
\nPrzy okazji analizy poj\u0119cia \u201edane osobowe” na gruncie przepisu art. 6 w zwi\u0105zku z potrzeb\u0105 jego nowelizacji zaprezentowany zosta\u0142 postulat wyr\u00f3\u017cnienia w ramach tego poj\u0119cia trzech kategorii danych: personalnych, adresowych oraz osobistych (por A. Harla, Termin \u201edane osobowe”…, s. 39). Wydaje nam si\u0119 jednak, \u017ce tego rodzaju rozr\u00f3\u017cnienie nie jest potrzebne, gdy\u017c ustawa co do zasady nie r\u00f3\u017cnicuje poziomu ochrony w zale\u017cno\u015bci od rodzaju danych :! (wyj\u0105tkiem S4 jedynie tzw. dane sensytywne, o kt\u00f3rych mowa w art. 27).
\n14. Przyjmuj\u0105c \u017ce poj\u0119cie danych osobowych obejmuje tak\u017ce informacje, kt\u00f3re tylko w po\u0142\u0105czeniu z danymi spoza zbioru umo\u017cliwiaj\u0105 identyfikacj\u0119 danej osoby, nale\u017cy rozstrzygn\u0105\u0107, kiedy \u2014 z perspektywy kwalifikowania informacji jako danych osobowych \u2014 mo\u017cliwe jest ustalenie to\u017csamo\u015bci ! osoby, kt\u00f3rej dotyczy pewna informacja, innymi s\u0142owy: kiedy informacja pozwala okre\u015bli\u0107 to\u017csamo\u015b\u0107 osoby. Pos\u0142u\u017cmy si\u0119 przyk\u0142adem. Czy do kategorii danych osobowych zakwalifikujemy na przyk\u0142ad stwierdzenie, i\u017c najemca oznaczonego lokalu posiada zarobki miesi\u0119czne przekraczaj\u0105ce kwot\u0119 X lub zaopatruje si\u0119 z regu\u0142y w sklepie Y bez podawania imienia i nazwiska najemcy? Albo: czy danymi osobowymi s\u0105 informacje, \u017ce samochody o okre\u015blonych, podanych numerach rejestracyjnych zosta\u0142y uszkodzone w wypadkach drogowych?
\nW podanych przyk\u0142adach same informacj\u0119 nie okre\u015blaj\u0105 to\u017csamo\u015bci osoby, nie wskazuj\u0105 na \u017cadn\u0105 oznaczon\u0105 osob\u0119, niemniej otwieraj\u0105 mo\u017cliwo\u015b\u0107 ustalenia to\u017csamo\u015bci osoby, z kt\u00f3r\u0105 inf ormacj a jest zwi\u0105zana. I tak przecie\u017c, docieraj\u0105c do odpowiedniego spisu lokator\u00f3w czy do w\u0142a\u015bciwej ewidencji pojazd\u00f3w samochodowych, mo\u017cna powi\u0105za\u0107 informacj\u0119 z osob\u0105 (b\u0119d\u0105c\u0105 najemc\u0105, w\u0142a\u015bcicielem samochodu). Kontynuuj\u0105c to rozumowanie dojdzie my do wniosku, i\u017c w zasadzie ka\u017cda wiadomo\u015b\u0107 o jakim\u015b zdarzeniu, o jakiej\u015b sytuacji z udzia\u0142em cz\u0142owieka, mo\u017ce zosta\u0107 uznana za wiadomo\u015b\u0107 zindywidualizowan\u0105, gdy\u017c:\u2014 co najmniej teoretycznie\u2014zawsze istnieje mo\u017cliwo\u015b\u0107 okre\u015blenia to\u017csamo\u015bci tego cz\u0142owieka.
\nW tym stanie rzeczy pojawia si\u0119 dalsze, zasadnicze pytanie, czy danymi osobowymi s\u0105 tylko takie dane, kt\u00f3re od razu, ze wzgl\u0119du na sw\u0105 tre\u015b\u0107, pozwalaj\u0105 okre\u015bli\u0107 to\u017csamo\u015b\u0107 osoby (jak si\u0119 okre\u015bla: \u201eosoby zainteresowanej”), czy r\u00f3wnie\u017c takie dane, przy kt\u00f3rych co prawda takie bezpo\u015brednie odniesienie do osoby nie istnieje, niemniej podanie jej to\u017csamo\u015bci jest mo\u017cliwe. Przychylenie si\u0119 do drugiej mo\u017cliwo\u015bci wywo\u0142uje dalsze pytania. Odnosz\u0105 si\u0119 one do stopnia nak\u0142ad\u00f3w potrzebnych do ustalenia to\u017csamo\u015bci. Innymi s\u0142owy chodzi o to, czy do danych osobowych powinno si\u0119 zalicza\u0107 tylko takie dane (inf ormacj e), przy kt\u00f3rych okre\u015blenie to\u017csamo\u015bci jest proste (wzgl\u0119dnie nie przysparza znacznych trudno\u015bci) i dost\u0119pne dla przeci\u0119tnej : osoby. Alternatyw\u0105 by\u0142oby przyj\u0119cie, \u017ce przes\u0142ank\u0105 danych osobowych jest w og\u00f3le mo\u017cliwo\u015b\u0107 okre\u015blenia to\u017csamo\u015bci, cho\u0107by wymaga\u0142o to szczeg\u00f3lnych nak\u0142ad\u00f3w, przygotowania, wiedzy, kompetencji.
\nPrzepis art. 6 ust. 2 wyja\u015bnia, i\u017c osob\u0105 mo\u017cliw\u0105 do zidentyfikowania j est taka osoba, kt\u00f3rej to\u017csamo\u015b\u0107 da si\u0119 okre\u015bli\u0107 b\u0105d\u017a bezpo\u015brednio, b\u0105d\u017a po\u015brednio, w szczeg\u00f3lno\u015bci odwo\u0142uj\u0105c si\u0119 do numeru identyfikacyjnego albo do jednego lub wielu specyficznych czynnik\u00f3w okre\u015blaj\u0105cych jej cechy fizycznej i fizjologiczne, umys\u0142owe, ekonomiczne, kulturowe lub spo\u0142eczne.
\n15.\tPrzedstawione dylematy starano si\u0119 rozwi\u0105za\u0107 dokonuj\u0105c w 2001 r, nowelizacji komentowanej ustawy. I tak wprowadzono wskaz\u00f3wk\u0119, i\u017c informacji nie uwa\u017ca si\u0119 za umo\u017cliwiaj\u0105c\u0105 okre\u015blenie to\u017csamo\u015bci osoby, je\u017celi wymaga\u0142oby to nadmiernych koszt\u00f3w, czasu lub dzia\u0142a\u0144. Stanowisko, \u017ce nie maj\u0105 charakteru danych osobowych informacje, przy kt\u00f3rych ustalenie to\u017csamo\u015bci osoby wymaga nieproporcjonalnie du\u017cego nak\u0142adu czasu, pracy czy koszt\u00f3w, wyra\u017cone zosta\u0142o r\u00f3wnie\u017c w raporcie wyja\u015bniaj\u0105cym do konwencji strasburskiej oraz w rekomendacjach Komitetu Ministr\u00f3w Rady Europy (rekomendacji 10 (91) na temat udost\u0119pniania danych osobowych b\u0119d\u0105cych w dyspozycji instytucji publicznych oraz rekomendacji 19 (90) w sprawie chrony danych osobowych wykorzystywanych dla potrzeb p\u0142atno\u015bci oraz innych analogicznych operacji).
\nInformacje zatem, kt\u00f3re bez nadzwyczajnego wysi\u0142ku, bez nieproporcjonalnie du\u017cych nak\u0142ad\u00f3w daj\u0105 si\u0119 \u201epowi\u0105za\u0107” z okre\u015blon\u0105 osob\u0105, zw\u0142aszcza przy wykorzystaniu \u0142atwo osi\u0105galnych \u017ar\u00f3de\u0142 powszechnie dost\u0119pnych, r\u00f3wnie\u017c zas\u0142uguj\u0105 na zaliczenie ich do kategorii danych osobowych. Na przyk\u0142ad niekiedy nawet opisanie zachowa\u0144 czy cech charakteru \u201eorganisty w miejscowo\u015bci X”, \u201ewieloletniego wo\u017anego w przedsi\u0119biorstwie Y” mo\u017ce uzyska\u0107 \u2014 ze wzgl\u0119du na powi\u0105zanie z daj\u0105c\u0105 si\u0119 oznaczy\u0107 osob\u0105 \u2014 kwalifikacje danych osobowych. Nie zas\u0142uguj\u0105 na tak\u0105 kwalifikacj\u0119 te informacje . kt\u00f3rych \u201epowi\u0105zanie” z oznaczon\u0105 osob\u0105 nie jest \u0142atwo osi\u0105galne, wymaga nak\u0142ad\u00f3w nadzwyczajnych.
\nPrzy tego rodzaju podej\u015bciu trzeba by stwierdzi\u0107, i\u017c z regu\u0142y nie maj\u0105 :. statusu danych osobowych informacje odnoszone na przyk\u0142ad do numer\u00f3w rejestracyjnych samochod\u00f3w. \u0141atwiej natomiast status taki przyzna\u0107 informacjom odnoszonym do \u015bci\u015ble podanych adres\u00f3w. Poj\u0119cie danych osobowych traci swe \u015bcis\u0142e bezwzgl\u0119dne znaczenie i staje si\u0119 poj\u0119ciem relatywnym.
\nNale\u017cy przy tym naturalnie mie\u0107 \u015bwiadomo\u015b\u0107, \u017ce przes\u0142anka \u201enad-mierno\u015bci” koszt\u00f3w czasu lub dzia\u0142a\u0144 jest niedookre\u015blona i jej rzeczywiste znaczenie zostanie dopiero ukszta\u0142towane przez rozstrzygni\u0119cia GIODO dotycz\u0105ce konkretnych spraw.
\n16.\tCharakteryzuj\u0105c warunek, jakim jest mo\u017cliwo\u015b\u0107 okre\u015blenia to\u017csamo\u015bci osoby, zaznaczmy od razu, \u017ce podanie nazwiska, a nawet imienia i nazwiska osoby, nie zawsze jest okoliczno\u015bci\u0105 pozwalaj\u0105c\u0105 stwierdzi\u0107, i\u017c wym\u00f3g ten jest spe\u0142niony. Dotyczy to zw\u0142aszcza popularnych imion i nazwisk. W\u00f3wczas dopiero informacje dodatkowe, kontekstowe mog\u0105 doprowadzi\u0107 do sytuacji, w kt\u00f3rej ustalenie to\u017csamo\u015bci staje si\u0119 mo\u017cliwe.
\n17. W kontek\u015bcie zmiany definicji danych osobowych nale\u017cy zgodzi\u0107 si\u0119 z wyk\u0142adni\u0105 proponowan\u0105 przez G. Sibig\u0119 (Nowelizacja ustawy o ochronie danych osobowych, Mon. Pr. 2001, nr 23, s. 1153-1158), i\u017c obecnie wywieszenie przez administrator\u00f3w zasob\u00f3w mieszkaniowych na klatkach tzw. list d\u0142u\u017cnik\u00f3w, kt\u00f3re zawieraj\u0105 jedynie numer lokalu, okres niep\u0142acenia i kwot\u0119 zaleg\u0142o\u015bci, stanowi przetwarzanie danych osobowych. Autor wskazuje bowiem, \u017ce \u201epomimo i\u017c brak jest bezpo\u015bredniej identyfikacji, przy niewielkim nak\u0142adzie \u015brodk\u00f3w i czasu jeste\u015bmy w stanie okre\u015bli\u0107 to\u017csamo\u015b\u0107 takiej osoby na podstawie np. numeru lokalu i st\u0105d wywieszenie wykazu stanowi przetwarzanie danych”.
\n18. Charakter danych osobowych posiadaj\u0105 informacje \u201ez r\u00f3\u017cnych dziedzin \u017cycia”, o ile tylko istnieje mo\u017cliwo\u015b\u0107 powi\u0105zania ich z oznaczon\u0105 osob\u0105; mog\u0105 to by\u0107 informacje o charakterze obiektywnym lub subiektywnym, wymiernym lub ocennym, o okoliczno\u015bciach dawnych, obecnych lub przysz\u0142ych, trwa\u0142ych lub przemijaj\u0105cych. Danymi osobowymi s\u0105 mi\u0119dzy innymi informacje:
\na) o zasadniczo \u201eniezale\u017cnych okoliczno\u015bciach” (imi\u0119,; nazwisko, p\u0142e\u0107, wzrost, znaki szczeg\u00f3lne, obywatelstwo, linie papilarne, miejsce i data urodzenia, cechy dokument\u00f3w to\u017csamo\u015bci, numer PESEL); .
\nb) o cechach nabytych (wykszta\u0142cenie, znajomo\u015b\u0107 j\u0119zyk\u00f3w, posiadane uprawnienia, charakter pisma, stan cywilny);
\nc) o cechach osobowo\u015bciowych, psychologicznych, w tym o przekonaniach, zainteresowaniach, \u015bwiatopogl\u0105dzie, upodobaniach, sposobie sp\u0119dzania wolnego czasu;
\nd) o sytuacji maj\u0105tkowej, operacjach finansowych, w tym te\u017c \u201ezaniecha\tniach” (np. lista zaleg\u0142o\u015bci czynszowych);.
\ne) o najr\u00f3\u017cniej szych przejawach dzia\u0142alno\u015bci (np. podr\u00f3\u017cach, uczestniczeniu w \u017cyciu kulturalnym);
\nf) dotycz\u0105ce aktywnego lub biernego uczestnictwa w r\u00f3\u017cnego rodzaju wydarzeniach.
\nCz\u0119\u015b\u0107 informacji ju\u017c z natury rzeczy identyfikuje osob\u0119. Wi\u0119kszo\u015b\u0107 uzyskuje charakter danych osobowych dopiero w po\u0142\u0105czeniu z informacjami identyfikuj\u0105cymi wprost lub po\u015brednio osob\u0119 (podmiot). Pod tym warunkiem danymi osobowymi staj\u0105 si\u0119 m.in. informacje o stanie fizycznym i psychicznym, o przebytych chorobach, o kalectwie, o wynikach bada\u0144 medycznych (zdj\u0119cie rentgenowskie, ci\u015bnienie krwi, poziom cukru i wiele innych), o rezultatach test\u00f3w psychologicznych, zr\u0119czno\u015bciowych. Do kategorii danych osobowych zaliczy\u0107 trzeba tak\u017ce wyniki egzamin\u00f3w, rezultaty uzyskiwane na zawodach sportowych.
\nCharakter danych osobowych posiadaj\u0105 informacje dotycz\u0105ce przygotowania zawodowego i przebiegu pracy danej osoby, o jej sytuacji rodzinnej, o stanie posiadania (w tym o posiadanych dobrach, o zgromadzonych i oszcz\u0119dno\u015bciach, kontach bankowych, o wysoko\u015bci p\u0142aconych podatk\u00f3w); o jej zachowaniach (zakupach towar\u00f3w lub us\u0142ug, prowadzonych rozmowach telefonicznych, w tym tzw. billing), naruszeniach prawa, a tak\u017ce wszelkie opinie na temat danej osoby oraz dotycz\u0105ce jej prognozy (starania o uzyskanie stypendium, o awans itd.). Do rz\u0119du danych osobowych zaliczy\u0107 r\u00f3wnie\u017c nale\u017cy min. informacje tak\u017ce o tym, czyim klientem jest okre\u015blona osoba, z kim wi\u0105\u017ce j\u0105 stosunek prawny o charakterze ci\u0105g\u0142ym. W jednej \u017ce swych decyzji francuska Pa\u0144stwowa Komisja do spraw Informatyki i Wolno\u015bci Obywatelskich (C.N.LL.) zaliczy\u0142a do kategorii danych podlegaj\u0105cych ochronie na podstawie ustawy z 1978 r. \u201einformacje o klientach przechowywane i przetwarzane przy pomocy maszyny do przetwarzania tekst\u00f3w dla potrzeb marketingu bezpo\u015bredniego”.
\nW kontek\u015bcie prowadzonych rozwa\u017ca\u0144 na odnotowanie zas\u0142uguje orzeczenie z dnia 17 listopada 2000 r. (II SA 1860\/2000), w kt\u00f3rym NSA uzna\u0142, \u017ce \u201eDanymi osobowymi w rozumieniu ustawy s\u0105 informacje, pozwalaj\u0105ce na okre\u015blenie to\u017csamo\u015bci osoby, czyli: imi\u0119, nazwisko, adres, numery PESEL i NIP. Pozosta\u0142e dane, jak np. dane z rejestru urz\u0119du pracy zawieraj\u0105 natomiast informacje o osobie”. W tej sprawie NSA przyj\u0105\u0142, \u017ce informacja o tym, \u017ce kto\u015b jest bezrobotnym lub \u017ce korzysta z zasi\u0142ku dla bezrobotnych, nie jest obj\u0119ta ustaw\u0105 o ochronie danych osobowych. Nie znamy uzasadnienia do tego rozstrzygni\u0119cia, sama teza wydaje si\u0119 jednak zdecydowanie b\u0142\u0119dna. Dane dotycz\u0105ce okre\u015blonej osoby (informacje o osobie), je\u017celi tylko jest mo\u017cliwe ich odniesienie do konkretnej osoby, s\u0105 danymi osobowymi w rozumieniu art. 6 u.o.d.o. Dodajmy, \u017ce wspomniane orzeczenie wydane zosta\u0142o przed nowelizacj\u0105 ustawy zmieniaj\u0105c\u0105 brzmienie komentowanego przepisu i w obecnym stanie prawnym nie powinno budzi\u0107 w\u0105tpliwo\u015bci zaliczenie do danych osobowych informacji o tym, \u017ce konkretna osoba ma status bezrobotnego, czy te\u017c o tym, \u017ce osoba ta korzysta z zasi\u0142ku dla bezrobotnych,\t:
\n19, Ustawa polska nie wprowadzi\u0142a kategorii \u201edanych wolnych”. Prze-widywa\u0142 j\u0105 m.in. rz\u0105dowy projekt niemieckiej ustawy o ochronie danych osobowych. Stanowi\u0142, i\u017c dozwolone jest podawanie (udost\u0119pnianie) nast\u0119puj\u0105cych danych (okre\u015blanych czasem w literaturze niemieckiej freie Daten): nazwisko, tytu\u0142 i stopie\u0144 naukowy, data urodzenia, zaw\u00f3d, okre\u015blenie bran\u017c i dziedzin handlowych, adres, numer telefonu. Obecnie obowi\u0105zuj\u0105ca w tym kraju ustawa przyjmuje nieco ostro\u017cniejsze rozwi\u0105zanie. Uznaje (\u00a7 28), \u017ce dozwolone jest w ramach niepublicznego sektora (lub z sektora niepublicznego do publicznego) przekazywanie i wykorzystywanie danych, je\u015bli:
\na)\tnast\u0119puje to w postaci danych os\u00f3b nale\u017c\u0105cych do jakiej\u015b grupy, kt\u00f3re to dane zestawione s\u0105 w list\u0119 (lub w podobny spos\u00f3b) i ograniczone do: 1) podania przynale\u017cno\u015bci do tej grupy os\u00f3b, 2) oznaczenia zawodu, bran\u017cy lub pola dzia\u0142alno\u015bci handlowej, 3) nazwiska, 4) tytu\u0142u, 5) stopnia akademickiego, 6) adresu, 7) roku urodzenia;
\nb)\tnie istniej\u0105 podstawy do przyj\u0119cia, i\u017c po stronie zainteresowanego istnieje zas\u0142uguj\u0105cy na ochron\u0119 interes przemawiaj\u0105cy za wy\u0142\u0105czeniem przekazywania danych.
\nPrzyj\u0119te w tym zakresie liberalne rozwi\u0105zanie usprawiedliwia si\u0119 m.in. tym, i\u017c mamy tu do czynienia z danymi, kt\u00f3re \u2014 z niewieloma wyj\u0105tkami \u2014 mo\u017cna z regu\u0142y \u0142atwo ustali\u0107 na podstawie na przyk\u0142ad ksi\u0105\u017cki adresowej czy telefonicznej.
\nPodkre\u015blmy, \u017ce na gruncie komentowanej polskiej ustawy nie maj\u0105 charakteru \u201edanych wolnych” ani te dane, kt\u00f3re zosta\u0142y podane do wiadomo\u015bci publicznej (wymienione w art. 27 ust. 2 pkt 8), ani dane powszechnie czy og\u00f3lnie dost\u0119pne (o kt\u00f3rych mowa w art. 43 ust. 1 pkt 9 oraz art. 47 ust. 3 pkt 6).
\n20. Przedstawione dotychczas wyja\u015bnienia zwi\u0105zane z definiowaniem poj\u0119cia \u201edane osobowe” nie usuwaj\u0105 wszelkich w\u0105tpliwo\u015bci, jakie pojawia j\u0105 si\u0119 w tym zakresie. I tak nasuwa si\u0119 pytanie, czy do tej kategorii zaliczy\u0107 nale\u017cy informa-cje odnosz\u0105ce si\u0119 nie wprost do okre\u015blonej osoby, lecz do jej bliskich, na przyk\u0142ad informacje na temat ma\u0142\u017conka lub dziecka, przy za\u0142o\u017ceniu, \u017ce towarzyszy temu informacja pozwalaj\u0105ca ustali\u0107 w\u0119ze\u0142 rodzinny, w\u0119ze\u0142 pokrewie\u0144stwa. Odpowied\u017a na to pytanie zale\u017cy od tego, jak rozumie\u0107 b\u0119dziemy warunek, kt\u00f3ry wymaga, aby informacja \u201edotyczy\u0142a” oznaczonej osoby. Jak ju\u017c zaznaczyli\u015bmy, informacja wtedy spe\u0142nia t\u0119 przes\u0142ank\u0119, gdy stanowi co\u015b na temat tej osoby. Nie jest pozbawione racji twierdzenie, i\u017c niekiedy mo\u017cna scharakteryzowa\u0107 do pewnego stopnia dan\u0105 osob\u0119 nie pisz\u0105c wprost o niej, a tylko o jej bliskich, o cz\u0142onkach jej rodziny czy nawet o osobach z jej \u015brodowiska. Godz\u0105c si\u0119 na tego rodzaju ujmowanie \u201edanych osobowych” nale\u017cy jednak \u2014 naszym zdaniem \u2014 przyj\u0105\u0107, i\u017c chodzi tu raczej o sytuacje wyj\u0105tkowe i sprzeciwia\u0107 si\u0119 zbyt szerokiej interpretacji. Wa\u017cne jest, aby tego rodzaju informacje nie b\u0119d\u0105c \u201einformacjami wprost”, lecz \u201einformacjami po\u015brednimi” odgrywa\u0142y istotn\u0105 rol\u0119 przy charakterystyce osoby; tylko wtedy ewentualnie mo\u017cna by przypisa\u0107 im, w stosunku do tej osoby, rang\u0119 \u201edanych osobowych”. Natomiast nie b\u0119d\u0105 mog\u0142y raczej zosta\u0107 w ten spos\u00f3b zakwalifikowane informacje niepe\u0142ni\u0105ce ju\u017c takiej roli, na przyk\u0142ad te, kt\u00f3re dotycz\u0105 miejsca zamieszkania czy wieku cz\u0142onk\u00f3w rodziny, ich post\u0119powania, dokonywanych przez nich transakcji itd.
\nZdajemy sobie spraw\u0119, \u017ce podane rozgraniczenie oparte jest na nieostrych kryteriach, a przez to te\u017c obarczone wad\u0105 niepewno\u015bci prawnej. Kr\u00f3tki okres, w jakim obowi\u0105zuje w Polsce ustawa o ochronie danych osobowych, nie pozwala odwo\u0142a\u0107 si\u0119 pomocniczo do wykszta\u0142conych w praktyce zasad; nie pozwala te\u017c przewidzie\u0107, jakie najprawdopodobniej stanowisko zaj\u0105\u0142by w tej mierze s\u0105d w razie sporu. Mo\u017cna co najwy\u017cej zak\u0142ada\u0107, i\u017c oceny mog\u0105 okaza\u0107 si\u0119 zr\u00f3\u017cnicowane, a wp\u0142ywa\u0107 na nie b\u0119dzie w konkretnych przypadkach m.in. stopie\u0144 \u201ejawno\u015bci” informacji, jej mniej lub bardziej prywatny charakter, cel zbierania i wykorzystania.
\n21. Specyficzna problematyka powstaje w odniesieniu do traktowania jako danych osobowych adres\u00f3w internetowych, zw\u0142aszcza adres\u00f3w poczty elektronicznej (e-mail). W\u0105tpliwo\u015b\u0107 pierwsza bierze si\u0119 st\u0105d, \u017ce adres internetowy odnosi si\u0119 w istocie nie tyle do osoby, ile do komputera, z kt\u00f3rego mo\u017ce przecie\u017c korzysta\u0107 wiele r\u00f3\u017cnych os\u00f3b. Pojawia si\u0119 zatem kwestia mo\u017cliwo\u015bci po\u015bredniej identyfikacji osoby w takiej sytuacji. Po drugie, szczeg\u00f3lny problem powstaje w odniesieniu do tzw. dynamicznych adres\u00f3w IP (czyli zmieniaj\u0105cych si\u0119 adres\u00f3w przyznawanych przez dostawc\u0119 dost\u0119pu do sieci ko\u0144cowemu u\u017cytkownikowi w ka\u017cdym przypad\u0142. ku korzystania przez niego z sieci).
\nWydaje si\u0119, \u017ce nale\u017cy zgodzi\u0107 si\u0119 z interpretacj\u0105 uznaj\u0105c\u0105, i\u017c adresy internetowe spe\u0142niaj\u0105 kryteria przewidziane dla danych osobowych tylko w\u00f3wczas, gdy b\u0105d\u017a samoistnie (przez swoj\u0105 tre\u015b\u0107, np. zawieraj\u0105c\u0105 nazwisko i skr\u00f3t imienia), b\u0105d\u017a \u0142\u0105cznie z innymi przetwarzanymi wraz z adresem informacjami (np. adresem \u201enormalnym”) pozwalaj\u0105 zidentyfikowa\u0107 Osob\u0119 u\u017cytkownika (tak E Carey, E-mail Addresses \u2014 are they Personal Data 1, Ent.L.R. 2000,nrl,s. 10 i n.).
\nNale\u017cy tu jednak wskaza\u0107, \u017ce na gruncie prawa obowi\u0105zuj\u0105cego w Wielkiej Brytanii przyjmuje si\u0119, \u017ce wszystkie osobiste adresy internetowe stanowi\u0105 dane osobowe z tego wzgl\u0119du, i\u017c ka\u017cdy z nich jest po\u0142\u0105czony zawsze tylko z jedn\u0105 osob\u0105, a w zwi\u0105zku z tym elektroniczny zbi\u00f3r danych mo\u017ce by\u0107 zestawiany \u201ewok\u00f3\u0142” osoby wyznaczonej przez ten adres. Tego rodzaju interpretacja, podobna do przyjmowanej w odniesieniu do numer\u00f3w rejestracyjnych samochodu czy numer\u00f3w telefonicznych, zaprezentowana zosta\u0142a r\u00f3wnie\u017c w orzeczeniu francuskim C.N.I.L, nr 96-069 z 10 wrze\u015bnia 1996 r. (cyt. za S. Louveaux, Prwacy Issues (w:) ESPRIT Project 27028 Electronic Commerce Lega\u0142 Issues Platform). Interpretacja, zgodnie z kt\u00f3r\u0105 ka\u017cdy adres e-mail stanowi dane osobowe, zaprezentowana zosta\u0142a tak\u017ce w polskiej doktrynie przez W. Zimnego, kt\u00f3ry twierdzi, i\u017c wynika to z samej mo\u017cliwo\u015bci identyfikacji odbiorcy. Zdaniem W. Zimnego: \u201eskoro wiadomo\u015b\u0107 dociera do odbiorcy po adresie e-mailowym, to znaczy, \u017ce jest:on identyfikowalny przez ten adres” (W Zimny, Czy adresy e-mailowe s\u0105 danymi osobowymi, Ochrona Informacji 2002, nr 2, s. 6). Trudno zgodzi\u0107 si\u0119 z tym pogl\u0105dem z dw\u00f3ch powod\u00f3w. Po pierwsze fakt, i\u017c wiadomo\u015b\u0107 dociera do odbiorcy, nie zawsze oznacza, \u017ce nadawca ma mo\u017cliwo\u015b\u0107 ustalenia to\u017csamo\u015bci odbiorcy. Po drugie, istniej\u0105 konta poczty elektronicznej (a tak\u017ce przypisane im adresy e-mail), kt\u00f3re zwi\u0105zane s\u0105 z okre\u015blon\u0105 dzia\u0142alno\u015bci\u0105 lub funkcj\u0105, a nie z konkretn\u0105 osob\u0105 \u2014 w tym przypadku nie ma mo\u017cliwo\u015bci zidentyfikowania osoby odbiorcy (np. adres: marketing@firma.com.pl).
\nPrzy interpretacji polskiej ustawy przy\u0142\u0105czamy si\u0119 do opinii A. Kaczmarka (Problemy ochrony danych osobowych., http:\/\/www.giodo.gov.pl\/nauk_ pol2b.htm), zgodnie z kt\u00f3r\u0105 adres poczty elektronicznej w wi\u0119kszo\u015bci przypadk\u00f3w umo\u017cliwia jednoznaczn\u0105 identyfikacj\u0119 w\u0142a\u015bciciela konta, czyli osoby, kt\u00f3rej dotyczy, i powinien by\u0107 traktowany jako dane osobowe. Wydaje si\u0119 nam, \u017ce stanowi\u0105 dane osobowe adresy tworzone na bezp\u0142atnych kontach pocztowych tak\u017ce w\u00f3wczas, gdy administrator nie weryfikowa\u0142 pod wzgl\u0119dem prawdziwo\u015bci danych identyfikuj\u0105cych dostarczanych przez osob\u0119 zak\u0142adaj\u0105c\u0105 konto. Brak jest przes\u0142anek dla takiej oceny \u2014 jak s\u0142usznie stwierdza A. Kaczmarek \u2014 w przypadku adres\u00f3w internetowych przypisanych okre\u015blonym funkcjom, tworzonych bezimiennie w charakterze skrzynek kontaktowych.
\nW\u0105tpliwo\u015bci dotycz\u0105 adres\u00f3w o \u201eprzypadkowej” nazwie, co do kt\u00f3rej administrator nie zadba\u0142 o przypisanie odpowiednich informacji osobowych w systemie zarz\u0105dzaj\u0105cym. X. Konarski (Internet i prawo w praktyce, Warszawa 2002, s. 120) stwierdza, \u017ce nie s\u0105 danymi osobowymi adresy przydzielane bezp\u0142atnie, je\u017celi ich tre\u015b\u0107 nie pozwala na identyfikacj\u0119 w\u0142a\u015bciciela (np. gdy u\u017cyto pseudonimu), a nie ma mo\u017cliwo\u015bci identyfikacji na podstawie innych posiadanych informacji (gdy dostawca us\u0142ug zaniecha\u0142 zbierania informacji). W praktyce jednak taka sytuacja zdarza si\u0119 niezwykle rzadko. Nie spos\u00f3b jednak zgodzi\u0107 si\u0119 z pogl\u0105dem tego\u017c autora, i\u017c \u201eo mo\u017cliwo\u015bci identyfikacji posiadacza danego adresu e-mail przes\u0105dza u\u017cycie w nim s\u0142ownych informacji” (X. Konarski, Komentarz do ustawy o \u015bwiadczeniu us\u0142ug drog\u0105 elektroniczn\u0105, Warszawa 2004, s. 164-165). Mimo \u201eu\u017cycia w adresie s\u0142ownych informacji” ustalenie to\u017csamo\u015bci osoby mo\u017ce by\u0107 niemo\u017cliwe, jak r\u00f3wnie\u017c \u201eu\u017cycie w adresie informacji numerycznych” nie przes\u0105dza jeszcze o braku mo\u017cliwo\u015bci identyfikacji u\u017cytkownika.
\nOmawianej problematyki dotyczy te\u017c artyku\u0142 J. O\u017cegalskiej-Trybal-skiej, Adresy e-moilowe a dane osobowe (Ochrona Danych Osobowych. Biuletyn Administrator\u00f3w Bezpiecze\u0144stwa Informacji 2001, nr 23, s. 10-13). Autorka ta wyra\u017ca pogl\u0105d, i\u017c tylko niekt\u00f3re adresy internetowe mog\u0105 identyfikowa\u0107 osoby fizyczne, kt\u00f3re si\u0119 nimi pos\u0142uguj\u0105, i zwi\u0105zku z tym powinny by\u0107 traktowane jako dane osobowe. Zwraca te\u017c uwag\u0119 na problem, jaki si\u0119 z tym wi\u0105\u017ce dla : podmiot\u00f3w, kt\u00f3re w ramach swej dzia\u0142alno\u015bci prowadz\u0105 bazy i zbiory adres\u00f3w e-mailowych, jako adres\u00f3w kontaktowych swych klient\u00f3w. Je\u017celi w takiej ’ bazie znajduj\u0105 si\u0119 zar\u00f3wno adresy, kt\u00f3re mo\u017cna traktowa\u0107 jako dane osobo- we, jak i takie, kt\u00f3re nie spe\u0142niaj\u0105 tych kryteri\u00f3w, to administrator staje przed pytaniem, czy ma obowi\u0105zek zg\u0142osi\u0107 taki zbi\u00f3r do rej estracji, czy te\u017c nie musi tego czyni\u0107. Wydaje si\u0119, \u017ce odpowied\u017a pozytywna jest tu jedyn\u0105 trafn\u0105.
\nArt. 7. Ilekro\u0107 w ustawie jest mowa o:
\n1) zbiorze danych \u2014 rozumie si\u0119 przez to ka\u017cdy posiadaj\u0105cy struktur\u0119 zestaw danych o charakterze osobowym, dost\u0119pnych wed\u0142ug okre\u015blonych kryteri\u00f3w, niezale\u017cnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
\n2) przetwarzaniu danych \u2014 rozumie si\u0119 przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udost\u0119pnianie i usuwanie, a zw\u0142aszcza te, kt\u00f3re wykonuje si\u0119 w systemach informatycznych,
\n2a) systemie informatycznym\u2014rozumie si\u0119 przez to zesp\u00f3l wsp\u00f3\u0142pracuj\u0105cych ze sob\u0105 urz\u0105dze\u0144, program\u00f3w, procedur przetwarzania informacji i narz\u0119dzi programowych zastosowanych w celu przetwarzania danych,
\n2b) zabezpieczeniu danych w systemie informatycznym \u2014 rozumie si\u0119 przez to wdro\u017cenie i eksploatacj\u0119 stosownych \u015brodk\u00f3w technicznych i organizacyjnych zapewniaj\u0105cych ochron\u0119 danych przed ich nie-uprawnionym przetwarzaniem,
\n3) usuwaniu danych \u2014 rozumie si\u0119 przez to zniszczenie danych osobowych lub tak\u0105 ich modyfikacj\u0119, kt\u00f3ra nie pozwoli na ustalenie to\u017csamo\u015bci osoby, kt\u00f3rej dane dotycz\u0105,
\n4) administratorze danych \u2014 rozumie si\u0119 przez to organ, jednostk\u0119 organizacyjn\u0105, podmiot lub osob\u0119, o kt\u00f3rych mowa w art. 3, decyduj\u0105ce o celach i \u015brodkach przetwarzania danych osobowych,
\n5) zgodzie osoby, kt\u00f3rej dane dotycz\u0105\u2014rozumie si\u0119 przez to o\u015bwiadczenie woli, kt\u00f3rego tre\u015bci\u0105 jest zgoda na przetwarzanie danych osobowych tego, kto sk\u0142ada o\u015bwiadczenie; zgoda nie mo\u017ce by\u0107 domniema na lub dorozumiana z o\u015bwiadczenia woli o innej tre\u015bci,
\n6) odbiorcy danych \u2014 rozumie si\u0119 przez to ka\u017cdego, komu udost\u0119pnia si\u0119 dane osobowe, z wy\u0142\u0105czeniem:
\na) osoby, kt\u00f3rej dane dotycz\u0105,
\nb) osoby upowa\u017cnionej do przetwarzania danych,
\nc) przedstawiciela, o kt\u00f3rym mowa w art 31a,
\nd) podmiotu, o kt\u00f3rym mowa w art. 31,
\ne) organ\u00f3w pa\u0144stwowych lub organ\u00f3w samorz\u0105du terytorialnego, kt\u00f3rym dane s\u0105 udost\u0119pniane w zwi\u0105zku z prowadzonym post\u0119powaniem,
\n7) pa\u0144stwie trzecim \u2014 rozumie si\u0119 przez to pa\u0144stwo nienale\u017c\u0105ce do Europejskiego Obszaru Gospodarczego.<\/p>\n
1. Poj\u0119cie \u201ezbi\u00f3r danych” nale\u017cy do podstawowych poj\u0119\u0107 omawianej ustawy. Ustalenie zakresu tego poj\u0119cia ma zasadnicze znaczenie dla wyznaczenia zakresu stosowania ca\u0142ej ustawy oraz jej poszczeg\u00f3lnych rozwi\u0105za\u0144. W rozumieniu komentowanej ustawy zbiorem danych jest:
\n–\tzestaw danych o charakterze osobowym,
\n–\tposiadaj\u0105cy w\u0142asn\u0105 struktur\u0119,
\n–\tw kt\u00f3rym dane s\u0105 dost\u0119pne wed\u0142ug okre\u015blonych kryteri\u00f3w.
\nNie jest natomiast istotne to, czy zestaw ten jest scentralizowany czy rozproszony, jednolity albo podzielony funkcjonalnie (dyrektywa ujmuje to nast\u0119puj\u0105co: \u201ewhether centralized, decentralized or disperset on a functional or geographical basis”). Takie podej\u015bcie uniemo\u017cliwia lub przynajmniej utrudnia unikanie poddania si\u0119 re\u017cimom ustawy o ochronie danych osobowych poprzez dekoncentracj\u0119 zasob\u00f3w informatycznych.
\n2. Poj\u0119cie zbioru danych obejmuje swym zakresem, podobnie jak to czyni dyrektywa, zar\u00f3wno zbiory zautomatyzowane, jak i niezautomatyzo-wane (manualne, tradycyjne). Jak si\u0119 zaznacza, w komentarzach do dyrektywy 95\/46\/WE, kt\u00f3ra zawiera podobn\u0105 jak polska ustawa definicj\u0119 zbioru danych (personal data filing system: \u201efiling system”), zbiorami takimi mog\u0105 by\u0107 r\u00f3wnie\u017c r\u0119czne zbiory ewidencyjne, zgromadzone akta (teczki, kartoteki) osobowe,a nawet zgromadzone znormalizowane materia\u0142y, na przyk\u0142ad formularze, kwestionariusze (jednakowe karty o takiej samej strukturze) uporz\u0105dkowane i u\u0142o\u017cone w odpowiedni spos\u00f3b. Poza zakresem dzia\u0142ania przepis\u00f3w pozostawione s\u0105 natomiast takie akta, kt\u00f3re nie posiadaj\u0105 \u017cadnego strukturalnego uk\u0142adu danych osobowych. Je\u015bli chodzi o zbiory zautomatyzowane, to b\u0119d\u0105 nimi\u2014jak zaznacza Kaczmarek (Obowi\u0105zki administratora danych oraz administratora bezpiecze\u0144stwa informacji wynikaj\u0105ce z przepis\u00f3w ustawy o ochronie danych osobowych.
\nPrawa i obowi\u0105zki administratora bezpiecze\u0144stwa informacji w \u015bwietle -przepis\u00f3w ustawy ochronie danych osobowych, red. A. Bier\u0107, Warszawa 2000, s. 22) \u2014 m.in. bazy danych tworzone przez profesjonalne systemy zarz\u0105dzania bazami danych, jaki pliki zawieraj\u0105ce dane, kt\u00f3rych struktur\u0119 definiuje programista indywidualnie na potrzeby danego systemu. Jak podkre\u015bla przy tym ten autor, kryterium dost\u0119pno\u015bci danych zawartych w zbiorze informatycznym \u201enie nale\u017cy ocenia\u0107 bior\u0105c pod uwag\u0119 posta\u0107 zapisu tych danych na no\u015bniku komputerowym, gdzie s\u0105 przechowywane, ale przede wszystkim przetwarzaj\u0105cy je system komputerowy”. Poza tym \u201ew systemie informatycznym wa\u017cne jest to, aby spos\u00f3b zapisu danych na no\u015bniku komputerowym oraz wbudowane w system procedury ich przetwarzania umo\u017cliwia\u0142y prawid\u0142owe zestawienie ich struktury wtedy, kiedy to jest potrzebne w czasie ich przetwarzania. Z punktu widzenia ustawy nie jest istotne to, czy dane osobowe zapisane w zbiorze znajduj\u0105 si\u0119 fizycznie w jednym pliku danych, rozumianym jako obszar danych na no\u015bniku komputerowym identyfikowany przez system operacyjny komputera, czy w kilkudziesi\u0119ciu”.
\nTak wi\u0119c mo\u017cna przyj\u0105\u0107 w zasadzie jako za\u0142o\u017cenie, i\u017c ochrona nie jest uzale\u017cniona od techniki zastosowanej przy tworzeniu czy eksploatowaniu zbioru. Nieistotny jest te\u017c rodzaj no\u015bnika zbioru danych; Inne bowiem podej\u015bcie mog\u0142oby si\u0119 sta\u0107 \u017ar\u00f3d\u0142em obchodzenia ochrony. Niemniej:
\na) przed nowelizacj\u0105 z dnia 22 stycznia 2004 r. ustawa czyni\u0142a w niekt\u00f3rych rozwi\u0105zaniach prawnych dystynkcje wynikaj\u0105ce z metody przetwarzania danych i wyr\u00f3\u017cnia te sytuacje, w kt\u00f3rych dane przetwarzane s\u0105 w systemach informatycznych (art. 37 i 38) w wyniku dokonanej zmiany przepis\u00f3w w zasadzie zrezygnowano z odmiennego traktowania w ustawie przetwarzania danych w systemach informatycznych, pozostawiono jedynie delegacj\u0119 do okre\u015blenia w drodze rozporz\u0105dzenia podstawowych warunk\u00f3w technicznych i organizacyjnych, jakim powinny odpowiada\u0107 urz\u0105dzenia i systemy informatyczne s\u0142u\u017c\u0105ce do przetwarzania danych:
\nb) w doktrynie podkre\u015bla si\u0119 specyfik\u0119 przetwarzania danych osobowych w systemach informatycznych; prezentowane jest m.in. stanowisko Mednis), i\u017c w ich obr\u0119bie za przedmiot ochrony nale\u017cy uzna\u0107 poszczeg\u00f3lne dane; wskutek nowelizacji z 2004 r. ustawa znajduje zastosowanie do przetwarzania danych w systemach informatycznych, tak\u017ce w przypadku przetwarzania danych poza zbiorem danych (por. komentarz do art. 2 ust. 2); nale\u017cy odnotowa\u0107 r\u00f3wnie\u017c pogl\u0105d (W. Zimny), \u017ce wprowadzenie danych osobowych do informatycznej bazy danych przes\u0105dza ju\u017c o tym, i\u017c mamy do czynienia ze \u201ezbiorem danych”, bo-wiem baza taka zapewnia odpowiedni\u0105 organizacj\u0119 i \u0142atw\u0105 dost\u0119pno\u015b\u0107 do danych wed\u0142ug odpowiednich kryteri\u00f3w (natomiast jedynie \u201ezestawami danych”, a nie zbiorami w rozumieniu ustawy, pozostaj\u0105 dane osobowe przetwarzane metodami informatycznymi poza baz\u0105 danych, np. w plikach tekstowych, plikach edytor\u00f3w i arkuszach kalkulacyjnych).
\n3. Zawarto\u015b\u0107 zbioru tworzy\u0107 mog\u0105 dane (informacje) wyra\u017cone w r\u00f3\u017cny spos\u00f3b, s\u0142owem, d\u017awi\u0119kiem (np. zbiory nagranych wypowiedzi), obrazem(np. zbiory zdj\u0119\u0107 u\u017cywane do identyfikacji sprawc\u00f3w przest\u0119pstw) itd.
\nMo\u017cna przy tym uzna\u0107, \u017ce zbiorem danych osobowych jest zar\u00f3wno zestaw danych odnosz\u0105cych si\u0119 do wielu os\u00f3b, jak i do jednej osoby.
\n4. Wskazane cechy zbioru pozwalaj\u0105 stwierdzi\u0107, \u017ce do definiowanego poj\u0119cia nie nale\u017c\u0105 pojedyncze informacje o osobie. Ile ich musi by\u0107, aby mo\u017cna by\u0142o m\u00f3wi\u0107 o zbiorze\u2014jest kwesti\u0105 otwart\u0105. Ustawa nie podaje \u017cadnych wskaz\u00f3wek ilo\u015bciowych; nie okre\u015bla, od jakiej liczby danych osobowych mo\u017cemy m\u00f3wi\u0107 o zbiorze relewantnym z punktu widzenia przepis\u00f3w komentowanej ustawy (w toku prac nad ustaw\u0105 formu\u0142owany by\u0142 postulat wyznaczenia dla obowi\u0105zku rejestracyjnego \u201edolnej granicy” na poziomie danych dotycz\u0105cych 100 os\u00f3b). Nadto, co istotne, nie ka\u017cde zestawienie danych stanowi ich zbi\u00f3r w rozumieniu ustawy.
\nW praktyce pojawia\u0107 si\u0119 mog\u0105 trudno\u015bci tak\u017ce w rozstrzyganiu kwestii, czy w konkretnym przypadku (np. w okre\u015blonym urz\u0119dzie lub w instytucji) mamy do czynienia z jednym zbiorem, w sk\u0142ad kt\u00f3rego wchodzi wiele mniejszych podzbior\u00f3w, czy te\u017c z wielo\u015bci\u0105 zbior\u00f3w, kt\u00f3re \u0142\u0105czy pewien zwi\u0105zek funkcjonalny. Rozwi\u0105zanie tego problemu ma nie tylko wymiar teoretyczny, ale i praktyczny w kontek\u015bcie obowi\u0105zku rejestracji zbior\u00f3w.
\nUstawa nie wypowiada si\u0119 r\u00f3wnie\u017c w kwestii trwa\u0142o\u015bci zbioru. Ten stan rzeczy sk\u0142ania do zaj\u0119cia stanowiska, \u017ce definicji ustawowej odpowiadaj\u0105 tak\u017ce \u201ezbiory kr\u00f3tkotrwa\u0142e”, o ile spe\u0142niaj\u0105 pozosta\u0142e przes\u0142anki.
\nZastrze\u017cenie, \u017ce dane zawarte w zbiorze musz\u0105 by\u0107 \u201edost\u0119pne”, pozwala na wyeliminowanie zestaw\u00f3w (zapis\u00f3w danych) efemerycznych. Zaznaczmy r\u00f3wnocze\u015bnie, i\u017c \u2014 stosownie do art. 2 ust. 3 \u2014 do zbior\u00f3w danych osobowych sporz\u0105dzanych dora\u017anie, wy\u0142\u0105cznie ze wzgl\u0119d\u00f3w technicznych, szkoleniowych lub w zwi\u0105zku z dydaktyk\u0105 w szko\u0142ach wy\u017cszych, a po ich wykorzystaniu niezw\u0142ocznie usuwanych albo poddawanych anonimizacji, maj\u0105 zastosowanie jedynie przepisy rozdzia\u0142u 5 u.o.d.o.
\nWprawdzie ustawa nie wypowiada si\u0119 w kwestii, kiedy dane mo\u017cna uzna\u0107 za dost\u0119pne, niemniej trzeba przyj\u0105\u0107, i\u017c trudno uzna\u0107 ten warunek za spe\u0142niony, gdy dotarcie do poszukiwanych danych jest wprawdzie mo\u017cliwe, lecz bardzo skomplikowane, utrudnione.
\n6. Zwr\u00f3cenie uwagi na aspekt struktury zbioru (jego tre\u015bci, zawarto\u015bci) daje szans\u0119 wykluczenia z zakresu poj\u0119cia zbioru danych r\u00f3\u017cnych \u201etekst\u00f3w potoczystych”. Wspomniany zbi\u00f3r musi wykazywa\u0107 si\u0119 struktur\u0105 uporz\u0105dkowan\u0105. Nie powinien by\u0107 zatem lu\u017anym zestawem, sam\u0105 tylko sum\u0105 element\u00f3w sk\u0142adowych. Jak podkre\u015bla A. Mednis (Ustawa o ochronie danych osobowych.., s. 27), tym, co odr\u00f3\u017cnia zbi\u00f3r danych od innych zestaw\u00f3w danych jest istnienie cechy albo cech pozwalaj\u0105cych na odnalezienie informacji bez potrzeby przegl\u0105dania ca\u0142ego zestawu.
\nKonsekwencj\u0105 tego uporz\u0105dkowania jest to, \u017ce r\u00f3\u017cne rodzaje danych przedstawiane s\u0105 w okre\u015blonym przestrzennym rozmieszczeniu na manualnym no\u015bniku (no\u015bnikach) albo w okre\u015blonej fizycznej czy logicznej strukturzena no\u015bnikach odczytywanych automatycznie. G\u0142\u00f3wnym tego celem jest u\u0142atwienie wyszukiwania i dost\u0119pu do informacji. Jak si\u0119 zauwa\u017ca w literaturze (zob. G. Szpor, Publicznoprawna ochrona…, s. 6), w praktyce do\u015b\u0107 cz\u0119sto poj\u0105wia\u0107 si\u0119 mog\u0105 w\u0105tpliwo\u015bci, czy w danym przypadku mamy do czynienia ze zbiorem danych w rozumieniu komentowanej ustawy. Rozstrzygni\u0119cie tego le\u017cy w sferze uznania administracyjnego, a prawid\u0142owo\u015b\u0107 kwalifikacji podlega weryfikacji ze strony Naczelnego S\u0105du Administracyjnego.
\nW literaturze (H. Rowie, Data Protedion Ad 1998, A Practical Guide, London 2000, s. 64) zwraca si\u0119 uwag\u0119 na to, i\u017c uporz\u0105dkowanie (struktura) zbioru :” mo\u017ce odnosi\u0107 si\u0119 albo do indywidualnych os\u00f3b (oznaczonych nazwiskiem, numerem identyfikacyjnym), albo do oznaczonych kryteri\u00f3w \u0142\u0105cz\u0105cych pewne grupy os\u00f3b (np. wiek, wykonywana praca, preferencje co do zakup\u00f3w, prawo do okre\u015blonych przywilej\u00f3w, cz\u0142onkostwo w organizacjach).
\n7. Analizuj\u0105c kwesti\u0119 definicji zbioru danych pod k\u0105tem widzenia organizacji i dost\u0119pno\u015bci jego zawarto\u015bci podnosi si\u0119 w literaturze (W. Zimny, Trudno\u015bci z terminem \u201ezbi\u00f3r danych”…), \u017ce z perspektywy komentowanej ustawy dane mog\u0105 wyst\u0119powa\u0107 w trojaki spos\u00f3b:
\nb)\tpojedynczo,
\nc)\tw zestawach,
\nd)\tw zbiorach.
\nPodstawowe znaczenie mia\u0142oby przy tym rozr\u00f3\u017cnienie \u201ezestaw\u00f3w” i \u201ezbior\u00f3w” oraz odpowied\u017a na pytanie, czy komentowana ustawa odnosi si\u0119 tylko do dzia\u0142a\u0144 zwi\u0105zanych ze zbiorami danych, czy te\u017c obejmuje zakresem swej regulacji r\u00f3wnie\u017c zestawy danych, a by\u0107 mo\u017ce nawet pojedyncze dane. Towarzyszy temu pytanie o ilo\u015b\u0107 i charakter kryteri\u00f3w s\u0142u\u017c\u0105cych wyszukiwaniu danych niezb\u0119dnych po to, aby mo\u017cna by\u0142o m\u00f3wi\u0107 o \u201ezbiorze danych” w rozumieniu ustawy.
\n8. Zdaniem W Zimnego dane osobowe wyst\u0119puj\u0105 najcz\u0119\u015bciej w zestawach. Od zbior\u00f3w r\u00f3\u017cni je przede wszystkim to, \u017ce nie zapewniaj\u0105 jeszcze \u0142atwego dost\u0119pu do danych wed\u0142ug okre\u015blonych, co najmniej dw\u00f3ch, kryteri\u00f3w. Autor ten zaznacza, i\u017c o z\u0142o\u017cono\u015bci zabiegu przekszta\u0142cenia zestawu w zbi\u00f3r danych stanowi wym\u00f3g utrzymania dost\u0119pno\u015bci do danych w sytuacji ich wt\u00f3rnego rozpraszania lub dzielenia na podzbiory; przekszta\u0142cenie zestawu w zbi\u00f3r ma zapewni\u0107 t\u0119 niezale\u017cno\u015b\u0107, nie bacz\u0105c na to, czy jest to nam faktycznie potrzebne czy nie. Ujmuj\u0105c w ten spos\u00f3b, fizycznie, zbi\u00f3r danych, mo\u017cna wskaza\u0107 precyzyjnie moment przej\u015bcia zestawu w zbi\u00f3r (gdy pierwsza informacja z zestawu zostanie wprowadzona do pustej jeszcze bazy danych).
\nTemu rozr\u00f3\u017cnieniu towarzyszy odmienne traktowanie przez ustawodawc\u0119. Formu\u0142uje on pod adresem administratora zestawu danych \u0142agodniejsze wymagania, kt\u00f3re dotycz\u0105:
\na)\twykazania si\u0119 przes\u0142ankami legalizacyjnymi (art. 23 i 27),
\nb)\tudzielenia odpowiednich informacji przy zbieraniu danych (art. 24-25),
\nc)\tdope\u0142nienia obowi\u0105zk\u00f3w z art. 26 oraz
\nd)\tdope\u0142nienia obowi\u0105zk\u00f3w z art. 47-48 dotycz\u0105cych przekazywania danych do pa\u0144stwa trzeciego.
\nNatomiast administratorzy zbior\u00f3w danych musz\u0105 nadto:
\na)\tprzestrzega\u0107 szczeg\u00f3lnego trybu udost\u0119pniania danych znajduj\u0105cych si\u0119 w zbiorach (art. 29-30), przed nowelizacj\u0105 z dnia 22 stycznia 2004 r. przepis art. 29 dotyczy\u0142 jedynie administrator\u00f3w z sektora publicznego, natomiast obecnie odnosi si\u0119 r\u00f3wnie\u017c do sektora prywatnego
\nb)\tuwzgl\u0119dnia\u0107 prawa os\u00f3b, kt\u00f3rych dane dotycz\u0105 (art. 32-35)
\nc)\tdba\u0107 o zabezpieczenie zbior\u00f3w (art. 36-39), jednak\u017ce nowelizacja z roku 2004 zmieni\u0142a tre\u015b\u0107 przepis\u00f3w rozdzia\u0142u 5, kt\u00f3re odnosz\u0105 si\u0119 obecnie do zabezpieczenia danych, a nie\u2014jak wcze\u015bniej \u2014 do zabezpieczenia zbior\u00f3w;
\nd)\tzg\u0142osi\u0107 zbi\u00f3r do rejestracji (art. 40).
\nZnacznie bardziej rozbudowana jest te\u017c odpowiedzialno\u015b\u0107 karna administrator\u00f3w zbior\u00f3w danych, bowiem do nich odnosz\u0105 si\u0119 postanowienia art. 49,50,52-54.
\nNiemniej ustaw\u0119 stosuje si\u0119 nie tylko do zbior\u00f3w danych, ale tak\u017ce do ich zestaw\u00f3w. Tymi ostatnimi s\u0105 \u2014 wed\u0142ug W Zimnego \u2014 w zdecydowanej wi\u0119kszo\u015bci przypadk\u00f3w skorowidze, rozmaite ksi\u0119gi i wykazy.Nie podzielamy w pe\u0142ni przedstawionego pogl\u0105du (zob. w tej mierze wcze\u015bniej ju\u017c zg\u0142oszone uwagi w pkt 5 komentarza do art. 2), czemu bynajmniej nie sprzeciwia si\u0119 fakt, i\u017c zgadzamy si\u0119 z tym, \u017ce spos\u00f3b zorganizowania zebranych danych mo\u017ce w poszczeg\u00f3lnych przypadkach wykazywa\u0107 znacz\u0105ce r\u00f3\u017cnice. Naszym zdaniem pokazane wy\u017cej dwie grupy przepis\u00f3w nie upowa\u017cniaj\u0105 do stwierdzenia, i\u017c na gruncie ustawy istniej\u0105 dwa re\u017cimyprawne: \u201e\u0142agodny” \u2014 dla zestaw\u00f3w danych i ich administrator\u00f3w, oraz \u201esurowy” \u2014 dla zbior\u00f3w danych i ich administrator\u00f3w, zw\u0142aszcza gdy przyjmuje si\u0119, \u017ce nie jest celowe i wymagane przez ustawodawc\u0119 dokonywanie
\nwyra\u017anej cezury w sferze prawnych uwarunkowa\u0144 przy pomocy (trudne go zreszt\u0105 do wykazania) kryterium powstania zbioru. Zauwa\u017cmy przy tym, i\u017c ustawodawca pos\u0142uguje si\u0119 w ca\u0142ej ustawie og\u00f3lnym okre\u015bleniem \u201eadministrator danych”, nie wyodr\u0119bniaj\u0105c \u201eadministratora zbioru danych” i \u201eadministratora zestawu danych”. Poza tym przyj\u0119cie, i\u017c niekt\u00f3re przepisy, na przyk\u0142ad art. 32-35 u.o.d.o., znajduj\u0105 zastosowanie jedynie w pewnych, nie licznych przypadkach przetwarzania danych, a to wtedy, gdy mamy do czynienia ze zbiorem, a nie zestawem danych \u2014 w du\u017cej mierze os\u0142abia\u0142oby ochron\u0119 os\u00f3b, kt\u00f3rych dotycz\u0105 przetwarzane dane. Trudno uzasadni\u0107, dlaczego nie mo\u017cna by\u0142oby powo\u0142a\u0107 si\u0119 wobec dysponenta na gwarantowane”. ustaw\u0105 prawo poprawienia, uzupe\u0142nienia czy uaktualnienia danych zawartych w zestawie.
\n9. Jak ju\u017c zaznaczali\u015bmy, cech\u0119 zbioru danych stanowi\u0107 ma\u2014stosownie do ustawowej definicji\u2014\u201edost\u0119pno\u015b\u0107 (zawarto\u015bci danych) wed\u0142ug okre\u015blonych kryteri\u00f3w”. Jak si\u0119 czasem zaznacza, chodzi o kryteria pozwalaj\u0105-ce na w miar\u0119 szybki i bezpo\u015bredni dost\u0119p do oznaczonych danych. W gr\u0119. wchodzi te\u017c kryterium alfabetycznego u\u0142o\u017cenia nazwisk. Chodzi tu o sytuacj\u0119, w kt\u00f3rej po to, aby znale\u017a\u0107 pewne dane, nie jest potrzebne przegl\u0105danie sukcesywnie wszystkich sk\u0142adnik\u00f3w zbioru, lecz pos\u0142u\u017cy\u0107 si\u0119 mo\u017cna kryteriami selekcjonuj\u0105cymi; mo\u017cna przyj\u0105\u0107, i\u017c \u201edost\u0119pno\u015b\u0107 wed\u0142ug okre\u015blonych kryteri\u00f3w zapewnia ju\u017c indeks (skorowidz) alfabetyczny”. Takie te\u017c stanowisko zajmuje Generalny Inspektor Ochrony Danych Osobowych, kt\u00f3ry stwierdza: \u201eKa\u017cdy zestaw danych osobowych, kt\u00f3ry umo\u017cliwia dost\u0119p do poszczeg\u00f3lnych danych przez jakiekolwiek kryterium, jest zbiorem danych w rozumieniu art. 7 pkt 1 ustawy. Alfabetyczne u\u0142o\u017cenie danych osobowych wed\u0142ug nazwiska lub nazwiska i imienia pozwala na szybkie odnalezienie informacji o osobie bez potrzeby przegl\u0105dania ca\u0142ego zestawu” (Wystarczy u\u0142o\u017cy\u0107 alfabetycznie, Rzeczpospolita z 20 lipca 2000 r., nr 168).
\nZdaniem A. Mednisa (Ustawa o ochronie danych osobowych…, s. 27) o zbiorze danych osobowych b\u0119dzie mo\u017cna m\u00f3wi\u0107 tylko wtedy, gdy w rozpatrywanym zestawie istnie\u0107 b\u0119dzie mo\u017cliwo\u015b\u0107 dost\u0119pu do danych poprzez \u201ekryterium osobowe”; zbiorem nie b\u0119dzie wi\u0119c wiele akt s\u0105dowych pouk\u0142adanych wed\u0142ug sygnatur\/wed\u0142ug numer\u00f3w sprawy, mimo i\u017c zawieraj\u0105 one dane osobowe. Wed\u0142ug tego autora zbiorem danych nie s\u0105 tak\u017ce zestawy uporz\u0105dkowane jedynie chronologicznie, poniewa\u017c \u201eaby znale\u017a\u0107 w nim informacje o konkretnej osobie, niezb\u0119dne by\u0142oby przejrzenie ca\u0142ego zbioru, a to nie stanowi powa\u017cnego zagro\u017cenia dla prywatno\u015bci”. Podkre\u015bla on przy tym, \u017ce zbiory danych uzyska\u0142y szczeg\u00f3ln\u0105 ochron\u0119 w ustawodawstwie europejskim ze wzgl\u0119du na zagro\u017cenie wynikaj\u0105ce z mo\u017cliwo\u015bci \u0142atwego dost\u0119pu do (uporz\u0105dkowanych, np. alfabetycznie) danych (zob. A. Mednis, Postulowane zmiany w ustawie o ochronie danych osobowych, Ochrona Danych Osobowych. Biuletyn Administrator\u00f3w Bezpiecze\u0144stwa Informacji 2000, nr 3, s. 13-14).
\nOdmiennego zdania jest G. Szpor (Publicznoprawna ochrona…, s. 12), kt\u00f3r\u0105 uwa\u017ca, i\u017c takie podej\u015bcie pozwala unikn\u0105\u0107 rejestracji zbior\u00f3w, mimo \u017ce po\u0142\u0105czenie danych z kilku zbior\u00f3w znajduj\u0105cych si\u0119 u tego samego administratora pozwala dotrze\u0107 do poszukiwanych danych osobowych bez przeszukiwania ca\u0142o\u015bci akt. s\u0105dowych.
\nNale\u017cy tak\u017ce wskaza\u0107 na stanowisko Generalnego Inspektora Ochrony Danych Osobowych w omawianej kwestii. Stwierdza on (w dziale \u201eZapytania i odpowiedzi”, dost\u0119pnym w internecie: www.giodo.gov.pl), \u017ce kryterium dost\u0119pno\u015bci z art 7 pkt 1 dotyczy \u201ekonkretnych danych osobowych, a nie innych informacji, kt\u00f3re mog\u0105 w spos\u00f3b po\u015bredni umo\u017cliwi\u0107 dost\u0119p do poszukiwanych danych. Publikacje w prasie i w ksi\u0105\u017ckach s\u0105 z samej istoty publikacjami, w kt\u00f3rych pojawiaj\u0105 si\u0119 dane osobowe, jednak zasadnicze znaczenie ma tutaj to, czy mamy do czynienia z przetwarzaniem w zbiorze. Niew\u0105tpliwie, w \u015bwietle definicji z art. 7 pkt 1 ustawy, za przetwarzanie w zbiorze uzna\u0107 nale\u017cy publikowanie nazwisk w formie list, not biograficznych czy te\u017c opracowa\u0144 encyklopedycznych lub leksykalnych”. Jak dodaje dalej Generalny Inspektor, \u201euporz\u0105dkowanie strukturalne oraz kryterium dost\u0119pu s\u0105 tu jasne i okre\u015blone; wyst\u0119puj\u0105cemu zazwyczaj kryterium alfabetycznemu towarzysz\u0105 czasami dodatkowe kryteria (dziedzina, rok uko\u0144czenia szko\u0142y itp.). Informacji publikowanych w formie nieuporz\u0105dkowanej, a wi\u0119c np. nazwisk, kt\u00f3re wymieniane s\u0105 w artyku\u0142ach, nie mo\u017cna uzna\u0107 za form\u0119 przetwarzania danych osobowych w zbiorze, Tym samym nie podlegaj\u0105 one przepisom komentowanej ustawy”. Do kategorii zbior\u00f3w danych osobowych. Generalny Inspektor zaliczy\u0142 tak\u017ce ewidencj\u0119 grunt\u00f3w i budynk\u00f3w prowadzon\u0105 na podstawie ustawy \u2014 Prawo geodezyjne i kartograficzne, jak r\u00f3wnie\u017c \u2014 co istotne \u2014 materia\u0142y gromadzone w formie akt, w tym akt s\u0105dowych, prokuratorskich i policyjnych (zob. S. Grynhoff i P Wo\u017any (w:) Ochrona danych osobowych w praktyce, pkt 1\/1.2, s. 1).
\nPrzy takim podej\u015bciu na pytanie o stosowanie ustawy do publikacji-I ksi\u0105\u017ckowych (niekiedy te\u017c prasowych) zawieraj\u0105cych indeksy osobowe nale\u017ca\u0142oby \u2014 kieruj\u0105c si\u0119 przywo\u0142anym wy\u017cej wyja\u015bnieniem oraz stanowiskiem I Generalnego Inspektora \u2014 udzieli\u0107 odpowiedzi twierdz\u0105cej. Niemniej :warto pami\u0119ta\u0107 o zmianach, jakich w tym zakresie dokona\u0142a nowelizacja ustawy i uchwalona dnia 22 stycznia 2004 r., wprowadzaj\u0105c wy\u0142\u0105czenie stosowania komentowanej ustawy do prasowej dzia\u0142alno\u015bci dziennikarskiej oraz dzia\u0142alno\u015bci literackiej i artystycznej (por. na ten temat komentarz do art. 3a ust. 2).
\n10. Na gruncie niekt\u00f3rych zagranicznych ustawodawstw przyjmuje si\u0119 i\u017c dla zbior\u00f3w danych konieczna jest mo\u017cliwo\u015b\u0107 porz\u0105dkowania zawartych w nich danych wed\u0142ug co najmniej dw\u00f3ch kryteri\u00f3w; w literaturze polskiej do takiego stanowiska przychyla si\u0119 W Zimny. W przypadku uznania takiego pogl\u0105du nie b\u0119d\u0105 stanowi\u0107 baz danych osobowych liczne sporz\u0105dzane w tradycyjny spos\u00f3b listy czy zestawy (np. ksi\u0105\u017cki telefoniczne). Inaczej natomiast zostan\u0105 ocenione dostarczaj\u0105ce wi\u0119cej mo\u017cliwo\u015bci wyszukiwawczych zbiory tych samych danych uj\u0119te na CD-ROM-ie. Konsekwencj\u0105 przedstawionego podej\u015bcia jest zakwestionowanie uznania za zbi\u00f3r w powy\u017cszym rozumieniu ta\u015bmy filmowej (kasety wideo) z zapisem zachowa\u0144 okre\u015blonych os\u00f3b (np. zapis dokonany kamer\u0105 umieszczon\u0105 w miejscu pracy), przy przyj\u0119ciu kryterium chronologiczno\u015bci zapisu.
\nU\u017cycie w ustawie polskiej, w art. 7 pkt 1, liczby mnogiej (\u201eokre\u015blonych kryteri\u00f3w”) mo\u017ce wskazywa\u0107 na to, \u017ce tak\u017ce w \u015bwietle prawa polskiego konieczne jest istnienie co najmniej dw\u00f3ch kryteri\u00f3w umo\u017cliwiaj\u0105cych dost\u0119p i korzystanie z zawarto\u015bci zestawu danych po to, aby mo\u017cna by\u0142o go traktowa\u0107 jako \u201ezbi\u00f3r danych” w rozumieniu ustawy (tak np. W Zimny, Zbieram.. s. 3). Ewentualny zarzut, jaki wywo\u0142ywa\u0107 mo\u017ce takie stanowisko, a kt\u00f3ry polega na tym, i\u017c prowadzi ono do os\u0142abienia ochrony praw jednostki, daje si\u0119 w pewnym stopniu \u0142agodzi\u0107 przez opowiedzenie si\u0119 za stosowaniem ustawy tak\u017ce do zestaw\u00f3w danych wymienionych w art. 2 ust. 2 (przyjmuj\u0105c \u017ce mamy tu do czynienia z kategori\u0105 odr\u0119bn\u0105 od \u201ezbioru danych”). Podobne stanowisko w tej kwestii przedstawia A. Drozd (Zakres zakazu, s. 45). v Odmienne jednak podej\u015bcie\u2014jak si\u0119 wydaje \u2014 prezentuje Generalny Inspektor Ochrony Danych Osobowych. Jego zdaniem nie jest istotna ilo\u015b\u0107 oraz rodzaj kryteri\u00f3w. W o\u015bwiadczeniu dost\u0119pnym drog\u0105 internetow\u0105, na rozpowszechnianej z w\u0142asnej inicjatywy stronie www, kt\u00f3ry (w dziale \u201eZapytania i odpowiedzi”, dotycz\u0105cym zagadnie\u0144 prawnych) stwierdza, \u017ce \u201ewszelkie materia\u0142y gromadzone w formie akt, w tym s\u0105dowe, prokuratorskie, policyjne i inne zawieraj\u0105ce dane osobowe, s\u0105 zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy”. A zauwa\u017cmy, \u017ce rzadko tak si\u0119 zdarza, aby akta tego rodzaju by\u0142y uk\u0142adane (wewn\u0119trznie porz\u0105dkowane) wed\u0142ug dw\u00f3ch r\u00f3\u017cnych kryteri\u00f3w.
\nMo\u017cna przypuszcza\u0107, \u017ce stanowisko to oparte jest na szczeg\u00f3lnym odczytaniu art. 7 ust. 1. Wskazuje na to inna odpowied\u017a Generalnego Inspektora (dotycz\u0105ca kwestii, czy publikacje w prasie i ksi\u0105\u017ckach podlegaj\u0105 przepisom ustawy o ochronie danych osobowych), w kt\u00f3rej zaznaczono, \u017ce \u201ezgodnie z definicj\u0105 zbioru zawart\u0105 w art. 7 pkt 1 ustawy, poprzez zbi\u00f3r rozumiemy zestaw danych dost\u0119pnych wed\u0142ug okre\u015blonego kryterium i posiadaj\u0105cy struktur\u0119”. Jak wida\u0107, m\u00f3wi\u0105c o \u201ekryteriach”, liczb\u0119 mnog\u0105 (kt\u00f3r\u0105 pos\u0142u\u017cy\u0142 si\u0119 ustawodawca) zast\u0105piono przez liczb\u0119 pojedyncz\u0105. Usprawiedliwieniem takiego podej\u015bcia jest tego rodzaju rozumienie tre\u015bci art. 7 pkt 1, w kt\u00f3rym odwo\u0142anie si\u0119 przez ustawodawc\u0119 do \u201ekryteri\u00f3w” (wielu kryteri\u00f3w) ma raczej zwr\u00f3ci\u0107 uwag\u0119 na to, i\u017c mog\u0105 to by\u0107 r\u00f3\u017cnorakie kryteria, ni\u017c stawia\u0107 wym\u00f3g wyst\u0119powania co najmniej dw\u00f3ch kryteri\u00f3w u\u0142o\u017cenia zbioru w ka\u017cdym przypadku.
\n11. Omawiane zagadnienie ma donios\u0142e znaczenie praktyczne. W zale\u017cno\u015bci od tego, czy uznamy za cech\u0119 konieczn\u0105 zbioru pos\u0142u\u017cenie si\u0119 co najmniej dwoma kryteriami umo\u017cliwiaj\u0105cymi dost\u0119p do znajduj\u0105cych si\u0119 w zbiorze danych czy te\u017c wymagania ograniczymy do jednego kryterium\u2014 r\u00f3\u017cny b\u0119dzie przedmiotowy zakres m.in. obowi\u0105zku rejestracyjnego (art. 40), informacyjnego (art. 32), a tak\u017ce odpowiedzialno\u015bci karnej. Bior\u0105c pod uwag\u0119 stanowisko Generalnego Inspektora, interpretacje przyj\u0119te w polskiej doktrynie, przedstawione wy\u017cej argumenty, a tak\u017ce cel i funkcje przepis\u00f3w o ochronie danych osobowych, przychylamy si\u0119 do stanowiska, wed\u0142ug kt\u00f3rego wy-starcza wyst\u0119powanie jednego kryterium wyszukiwawczego w zestawieniu danych, aby zaklasyfikowa\u0107 go jako zbi\u00f3r danych w rozumieniu art. 7 pkt 1 ustawy, mimo \u017ce stanowisko to nie odpowiada literalnemu brzmieniu definicji sformu\u0142owanej w art. 7 pkt 1 LL6.da Naszym zdaniem wyk\u0142adnia j\u0119zykowa powinna w tym przypadku ust\u0105pi\u0107 pierwsze\u0144stwa wyk\u0142adni celowo\u015bciowej. Trudno nie dostrzec, \u017ce skrupulatne przestrzeganie wymogu co najmniej dw\u00f3ch kryteri\u00f3w otwiera\u0142oby pole do \u0142atwego obchodzenia ustawy i stawia\u0142oby pod znakiem zapytania osi\u0105gni\u0119cie cel\u00f3w, jakim ta ustawa ma s\u0142u\u017cy\u0107. Nadto \u2014 powt\u00f3rzmy sygnalizowan\u0105 ju\u017c interpretacj\u0119\u2014m\u00f3wienie o \u201ekryteriach” mo\u017cna traktowa\u0107 jako zwr\u00f3cenie uwagi na dopuszczaln\u0105 r\u00f3\u017cnorodno\u015b\u0107 kryteri\u00f3w, a nie jako stawianie wymogu wyst\u0119powania wi\u0119cej ni\u017c jednego kryterium w ka\u017cdym przypadku. Takie stanowisko w omawianej kwestii zyska\u0142o aprobat\u0119 tak\u017ce w. pi\u015bmiennictwie przedmiotu (por, M, Sakowska, Poj\u0119cie \u201ezbi\u00f3r danych” na gruncie ustawy o ochronie danych osobowych, Radca Prawny 2005, nr 2, s. 62).
\nPostulowana wy\u017cej przez nas wyk\u0142adnia mo\u017ce by\u0107 jednak, przyznajmy, kwestionowana. Zastrze\u017cenia co do niej b\u0119d\u0105 zrozumia\u0142e zw\u0142aszcza na gruncie zamieszczonych w ustawie przepis\u00f3w karnych; \u0142atwo bowiem podnie\u015b\u0107 argument, \u017ce rozszerzenie znaczenia poj\u0119cia \u201ezbi\u00f3r danych” prowadzi r\u00f3wnocze\u015bnie do poszerzenia granic odpowiedzialno\u015bci karnej. Zdaj\u0105c sobie spraw\u0119 z wewn\u0119trznej sprzeczno\u015bci tego rodzaju interpretacji, uwa\u017camy, \u017ce na gruncie przepis\u00f3w karnych poj\u0119cie \u201ezbi\u00f3r danych” nale\u017cy interpretowa\u0107 zgodnie z literalnym brzmieniem art. 7 pkt 1, a wi\u0119c ograniczy\u0107 je do u\u0142o\u017conego co najmniej wed\u0142ug dw\u00f3ch kryteri\u00f3w.
\nJednak\u017ce odmienna interpretacja tego samego poj\u0119cia na gruncie r\u00f3\u017cnych przepis\u00f3w jednego aktu normatywnego prowadzi\u0107 mo\u017ce do powa\u017cnych problem\u00f3w w praktyce stosowania ustawy. Dlatego te\u017c warto by\u0142oby rozwa\u017cy\u0107 mo\u017cliwo\u015b\u0107 jednoznacznego rozstrzygni\u0119cia tej kwestii przy okazji kolejnej nowelizacji ustawy.
\n12. Przy rozpatrywaniu poj\u0119cia \u201ezbi\u00f3r danych” pojawia\u0107 si\u0119 mog\u0105 pytania i w\u0105tpliwo\u015bci, czy takie uj\u0119cie, z jakim mamy do czynienia na gruncie ’ ustawy, wyznaczaj\u0105ce te\u017c zakres jej stosowania, jest odpowiednie w przypadku przetwarzania danych osobowych w rozleg\u0142ych, otwartych sieciach komputerowych. Czy w przypadku przynajmniej niekt\u00f3rych operacji na danych osobowych, kt\u00f3re odbywaj\u0105c si\u0119 w sieciach komputerowych, b\u0119dzie mo\u017cna wskaza\u0107 na \u201ezbi\u00f3r” w znaczeniu, kt\u00f3re podaje komentowany przepis? Maj\u0105c na uwadze tego rodzaju w\u0105tpliwo\u015bci, w dyrektywie \u2014jak si\u0119 zaznacza w komentarzach, chocia\u017c sam tekst nie jest ca\u0142kowicie jednoznaczny (zob. E. Eh-mann, M. Heflich, EG Datenschutzrichtlinie \u2014 Kurzkommentar, Koln 1999, s. 91 in.) \u2014 przyj\u0119to, i\u017c zakresem dzia\u0142ania jej przepis\u00f3w obj\u0119te jest:
\na)\tzautomatyzowane przetwarzanie, bez odniesienia si\u0119 do zbior\u00f3w danych,
\nb)\tniezautomatyzowane przetwarzanie; gdy dane s\u0105 zgromadzone w zbiorze lub ich zapisanie w takim zbiorze jest zamierzone.
\nObowi\u0105zek stosowania komentowanej ustawy do zautomatyzowanego przetwarzania danych osobowych {w systemach informatycznych), niezale\u017cnie od tego, czy odbywa si\u0119 ono w zbiorze danych, zosta\u0142 zawarty w ustawie w wyniku nowelizacji dokonanej dnia 22 stycznia 2004 r. (por. komentarz do art. 2 ust. 2 pkt 2).
\n13. Przepis art. 7 pkt 2 wprowadza bardzo szeroko uj\u0119t\u0105 definicj\u0119 \u201eprzetwarzania danych”, jednego z centralnych poj\u0119\u0107 komentowanej ustawy. Oznacza ono jakiekolwiek operacje wykonywane na danych osobowych, od ich pozyskania do usuni\u0119cia (wymazania). Terminem tym obj\u0119te s\u0105 takie dzia\u0142ania, jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, \u0142\u0105czenie, zestawianie, wywo\u0142ywanie, udost\u0119pnianie, rozpowszechnianie, przesy\u0142anie, usuwanie, a zw\u0142aszcza te, kt\u00f3re wykonuje si\u0119 w systemach informatycznych. Wystarczy zatem, i\u017c realizowana jest kt\u00f3rakolwiek z podanych operacji (np. samo zbieranie danych), a nawet operacja inna ni\u017c wymieniona w tym przepisie maj\u0105ca za przedmiot dane osobowe, aby nale\u017ca\u0142o uzna\u0107, \u017ce dochodzi do \u201eprzetwarzania danych”, co otwiera drog\u0119 do stosowania regulacji zawartej w omawianej ustawie. Mo\u017cna nawet twierdzi\u0107, i\u017c samo czytanie danych osobowych przez administratora danych lub jego pracownika stanowi ju\u017c przetwarzanie danych w rozumieniu ustawy.
\nZ materia\u0142\u00f3w dotycz\u0105cych prac nad dyrektyw\u0105, w kt\u00f3rej zamieszczono podobnie szerok\u0105 definicj\u0119 poj\u0119cia przetwarzania danych (processing of personal data, \u201eprocessing”), mo\u017cna wnioskowa\u0107, i\u017c poj\u0119ciem przetwarzania zamierzano obj\u0105\u0107 te\u017c operacje \u201erozgrywaj\u0105ce si\u0119” wewn\u0105trz przedsi\u0119biorstwa czy innej jednostki organizacyjnej, w kt\u00f3rej dzia\u0142a administrator, a wi\u0119c na przyk\u0142ad przekazywanie danych innym pracownikom jednostki. Za udost\u0119pnianie danych nale\u017cy w ka\u017cdym razie uzna\u0107 ich przekazanie innym przedsi\u0119biorstwom nale\u017c\u0105cym do koncernu czy holdingu.
\n14. Wprawdzie ustawa pos\u0142uguje si\u0119 szeroko rozumianym og\u00f3lnym poj\u0119ciem \u201eprzetwarzanie danych”, to jednak przewiduje wyodr\u0119bnion\u0105 regulacj\u0119 dla niekt\u00f3rych jej \u201eetap\u00f3w”; chodzi zw\u0142aszcza o:
\na)zbieranie danych (art 24 i 25) i
\nb)udost\u0119pnianie danych (art. 29 i 30).
\nW literaturze zagranicznej niekiedy wyr\u00f3\u017cniane s\u0105 trzy podstawowe kategorie czy innymi s\u0142owy: stadia, zwi\u0105zane z pos\u0142ugiwaniem si\u0119 danymi, a to:
\na) stadium wst\u0119pne–zbieranie
\nb) przetwarzanie,
\nc) stadium ko\u0144cowe\u2014 wykorzystanie.
\n15. Przetwarzanie danych nie jest czynno\u015bci\u0105 prawn\u0105, lecz czynno\u015bci\u0105 realn\u0105, faktyczn\u0105, co oczywi\u015bcie nie wyklucza, i\u017c wyp\u0142ywaj\u0105 z niej konsekwencje prawne. W doktrynie prawa administracyjnego tego typu dzia\u0142a nia okre\u015bla si\u0119 mianem czynno\u015bci materialno-technicznych
\n16. Przetwarzanie danych mo\u017ce przebiega\u0107 w spos\u00f3b niezautomatyzowany albo zautomatyzowany, ca\u0142kowicie lub cz\u0119\u015bciowo. Takie podej\u015bcie odpowiada temu, co przyjmuje dyrektywa Unii, natomiast wykracza poza ramy konwencji 108 Rady Europy z 1981 r., kt\u00f3ra przedmiotem swego zainteresowania uczyni\u0142a zasadniczo tylko automatyczne przetwarzanie danych.
\nStwierdzenie ustawodawcy polskiego, \u017ce przetwarzaniem danych s\u0105 zw\u0142aszcza operacje wykonywane w systemach informatycznych, ma chyba za zadanie jedynie podkre\u015bli\u0107 rang\u0119 problematyki przetwarzania danych z wykorzystaniem nowoczesnej techniki informatycznej i przypomnie\u0107 o potrzebie poddania tej sfery ocenie prawnej z punktu widzenia niniejszej ustawy. Nie ma \u017cadnych podstaw\u2014wbrew sugestii, jaka wyp\u0142ywa\u0107 mo\u017ce z wyk\u0142adni semantycznej \u2014 aby zwrot \u201ea zw\u0142aszcza” interpretowa\u0107 w kierunku przyznania przetwarzaniu danych osobowych w systemach informatycznych wy\u017cszego poziomu ochrony lub specjalnego traktowania.
\n17. Ustawodawca polski nie przyj\u0105\u0142, znanego niekt\u00f3rym zagranicznym porz\u0105dkom prawnym, rozwi\u0105zania, kt\u00f3re poza zakresem poj\u0119cia \u201eprzetwarzanie danych\u201d sytuuje dwie odr\u0119bne kategorie:
\na)\tzbieranie danych i
\nb)\twykorzystywanie danych.
\nKonsekwencj\u0105 tego rozr\u00f3\u017cnienia jest odr\u0119bne traktowanie ogranicze\u0144 w sferze przetwarzania i w sferze wykorzystywania danych.
\nRegulacja wyst\u0119puj\u0105ca w polskiej ustawie z 1997 r. nawi\u0105zuje raczej do uj\u0119cia przyj\u0119tego w dyrektywie 95\/46\/WE, gdzie poj\u0119ciu \u201eprzetwarzanie danych” nadano bardzo szerokie znaczenie. Tak wi\u0119c de leg\u0119 lata w Polsce ten, kto jedynie pozyskuje dane osobowe, powinien zwa\u017ca\u0107 zar\u00f3wno na te przepisy, kt\u00f3re odnosz\u0105 si\u0119 wprost do ich zbierania, jak i na te, kt\u00f3re dotycz\u0105 w og\u00f3le proces\u00f3w przetwarzania.
\n18. Nowelizacja ustawy o ochronie danych osobowych dokonana w 2001 r. wprowadzi\u0142a dwie nowe definicje. Pierwsza z nich dotyczy \u201esystemu informatycznego”; uprzednio definicj\u0119 tego poj\u0119cia zawiera\u0142 \u00a7 1 pkt 1 rozporz\u0105dzenia Ministra Spraw Wewn\u0119trznych i Administracji z dnia 3 czerwca 1998 r. w sprawie okre\u015blenia podstawowych warunk\u00f3w technicznych i organizacyjnych, jakim powinny odpowiada\u0107 urz\u0105dzenia i systemy informatyczne s\u0142u\u017c\u0105ce do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521).
\nSystemem informatycznym \u2014 wed\u0142ug tej definicji \u2014 by\u0142 \u201esystem przetwarzania informacji wraz ze zwi\u0105zanymi z nim lud\u017ami oraz zasobami technicznymi i finansowymi, kt\u00f3ry dostarcza i rozprowadza informacje”. Nowa definicja wyja\u015bnia, i\u017c przez \u201esystem informatyczny” nale\u017cy rozumie\u0107 \u201ezesp\u00f3l wsp\u00f3\u0142pracuj\u0105cych ze sob\u0105 urz\u0105dze\u0144, program\u00f3w, procedur przetwarzania informacji i narz\u0119dzi programowych zastosowanych w celu przetwarzania danych”. Zasadnicza r\u00f3\u017cnica pomi\u0119dzy przytoczonymi definicjami polega na pomini\u0119ciu obecnie \u201eczynnika ludzkiego” i doprecyzowaniu (uszczeg\u00f3\u0142owieniu) cz\u0119\u015bci sk\u0142adowych tego systemu (urz\u0105dzenia, programy, procedury, narz\u0119dzia programowe).
\nNa temat poj\u0119cia \u201esystem informatyczny” wypowiedzia\u0142 si\u0119 Naczelny S\u0105d Administracyjny w wyroku z dnia 3 grudnia 2003 r. (II SA 232\/02, Wsp\u00f3lnota 2003, nr 26, s. 52). NSA stwierdzi\u0142, i\u017c: \u201eDefinicja systemu informatycznego w ustawie o ochronie danych osobowych jest bardzo pojemna. Nie mo\u017cna z niej wyeliminowa\u0107 procedur przetwarzania danych w innych formach ni\u017c elektroniczna. Procedury te mog\u0105 mie\u0107 charakter tradycyjny (np. ewidencje, skoroszyty), a nie tylko form\u0119 skondensowanego, jednomodu\u0142owego zbioru danych, np. w komputerze lub na dyskietce. ZUS i inne podmioty mog\u0105 wi\u0119c\u2014je\u015bli tak wynika z przyj\u0119tych przez nie procedur \u2014 gromadzi\u0107 dane w systemie elektronicznym, a w inny spos\u00f3b rejestrowa\u0107 informacje o osobach, kt\u00f3re mia\u0142y do nich dost\u0119p oraz o czasie udost\u0119pniania danych”. Wskazane powy\u017cej orzeczenie straci\u0142o cz\u0119\u015bciowo swoj\u0105 aktualno\u015b\u0107 wskutek wydania rozporz\u0105dzenia wykonawczego do ustawy, w kt\u00f3rym przewidziany zosta\u0142 wym\u00f3g odnotowywania informacji automatycznie po zatwierdzeniu przez u\u017cytkownika operacji wprowadzenia danych do systemu informatycznego (por. \u00a7 7 rozporz\u0105dzenia Ministra Spraw Wewn\u0119trznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunk\u00f3w technicznych i organizacyjnych, jakim powinny odpowiada\u0107 urz\u0105dzenia i systemy informatyczne s\u0142u\u017c\u0105ce do przetwarzania danych osobowych, Dz. U. Nr 100, poz. 1024).
\nDruga nowa definicja w ustawie odnosi si\u0119 do \u201ezabezpieczenia danych w systemie informatycznym”. Wcze\u015bniej poj\u0119ciem tym ustawodawca si\u0119 nie pos\u0142ugiwa\u0142 i nie by\u0142o ono definiowane tak\u017ce w aktach wykonawczych do ustawy. Ma ono jednak znaczenie ze wzgl\u0119du na rozporz\u0105dzenie Ministra Spraw Wewn\u0119trznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunk\u00f3w technicznych i organizacyjnych, jakim powinny odpowiada\u0107 urz\u0105dzenia i systemy informatyczne s\u0142u\u017c\u0105ce do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), kt\u00f3re zast\u0105pi\u0142o poprzednie rozporz\u0105dzenie z dnia 3 czerwca.” 1998 r. w sprawie okre\u015blenia podstawowych warunk\u00f3w technicznych i organizacyjnych, jakim powinny odpowiada\u0107 urz\u0105dzenia i systemy informatyczne s\u0142u\u017c\u0105ce do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521). Przez wspomniane zabezpieczenie rozumie si\u0119 \u201ewdro\u017cenie i eksploatacj\u0119 stosownych \u015brodk\u00f3w technicznych i organizacyjnych zapewniaj\u0105cych ochron\u0119 danych przed ich nieuprawnionym przetwarzaniem”. Jak \u0142atwo zauwa\u017cy\u0107, definicja ta bazuje na kryterium ocennym i zrelatywizowanym mamy na my\u015bli odwo\u0142anie si\u0119 do \u015brodk\u00f3w \u201estosownych”. Ow\u0105 stosowno\u015b\u0107 ocenia\u0107 wypada nie abstrakcyjnie, lecz z perspektywy konkretnego stanu faktycznego, w tym te\u017c konkretnego stopnia zagro\u017cenia, je\u015bli chodzi o nieuprawnione przetwarzanie danych
\nNa temat zabezpieczenia danych por. komentarz do przepis\u00f3w rozdzia\u0142u pi\u0105tego ustawy.
\n19. Niekt\u00f3re przepisy ustawy wymagaj\u0105 w okre\u015blonych sytuacjach \u201eusuwania danych” (art. 2 ust. 3, art. 7 pkt 2, art 18 ust. 1 pkt 6, art. 32 .ust. l pkt 6, art. 35 ust. 1). Przez usuwanie danych nale\u017cy rozumie\u0107:
\na)\tzniszczenie danych osobowych lub
\nb)\ttak\u0105 modyfikacj\u0119 danych osobowych, jaka nie pozwoli na ustalenie to\u017csamo\u015bci osoby, kt\u00f3rej dane dotycz\u0105; w tym przypadku dane trac\u0105 \u015bwoj osobowy charakter.
\nOkre\u015blenie \u201eusuwanie danych” oznacza zatem takie procedury, kt\u00f3rych rezultatem jest pozbawienie administratora mo\u017cliwo\u015bci jakiegokolwiek dalszego przetwarzania danych osobowych.
\nW niekt\u00f3rych przepisach (np. art 32) obok kategorii \u201eusuwanie danych” wyst\u0119puje kategoria \u201ewstrzymanie (czasowego lub sta\u0142ego) przetwarzania danych”. W tych przypadkach zadaniem administratora nie jest wyeliminowanie mo\u017cno\u015bci dysponowania okre\u015blonymi danymi osobowymi, lecz zadbanie o to, aby ich przetwarzanie zosta\u0142o terminowo lub bezterminowi zawieszone. Bezterminowe (sta\u0142e) wstrzymanie przetwarzania danych swymi skutkami zbli\u017ca si\u0119 do usuwania danych, aczkolwiek wspomniane wstrzymanie mo\u017ce by\u0107 zwi\u0105zane z pewnymi okoliczno\u015bciami, kt\u00f3rych ust\u0105pienie pozwoli na ponowne przetwarzanie danych.
\nPor. te\u017c komentarz do art. 32.
\nStosowanie wielu przepis\u00f3w komentowanej ustawy wymaga wskazania \u201eadministratora danych” (okre\u015blanego w dyrektywie contro ller, responsable du traitement, f\u00fcr die Verarbeitung Verantwortlicker). Zgodnie z ustawow\u0105 definicj\u0105 za administratora danych (w art. 7 pkt 4 u.o.d.o.) uznaje si\u0119:
\na)\torgan pa\u0144stwowy lub samorz\u0105dowy,
\nb)\tpa\u0144stwow\u0105 lub komunaln\u0105 jednostk\u0119 organizacyjn\u0105,
\nc)\tpodmiot niepubliczny realizuj\u0105cy zadania publiczne,
\nd)\tosob\u0119 prawn\u0105, jednostk\u0119 organizacyjn\u0105 nieposiadaj\u0105c\u0105 osobowo\u015bci prawnej lub osob\u0119 fizyczn\u0105, przetwarzaj\u0105c\u0105 dane w zwi\u0105zku ze sw\u0105 dzia\u0142alno\u015bci\u0105 zarobkow\u0105, zawodow\u0105 albo dla realizacji cel\u00f3w statutowych
\n– kt\u00f3ry (kt\u00f3ra) decyduje o celach i \u015brodkach przetwarzania danych osobowych (w dyrektywie: \u201ewitch determines the purposes and means of the processing of personal data”).
\nPoj\u0119cie \u201eadministrator danych” wprowadzono do polskiego porz\u0105dku prawnego komentowan\u0105 ustaw\u0105, jak stwierdza G. Sibiga (Post\u0119powanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 53) \u201edla oznaczenia podmiotu praw i obowi\u0105zk\u00f3w zwi\u0105zanych z udzia\u0142em w procesie przetwarzania danych osobowych”. Administrator danych to podmiot uprawniony do decydowania o celach i \u015brodkach przetwarzania danych osobowych, na kt\u00f3ry ustawa nak\u0142ada wiele obowi\u0105zk\u00f3w zwi\u0105zanych z przetwarzaniem danych. Administratorem mo\u017ce by\u0107 zar\u00f3wno podmiot publiczny, jaki podmiot prywatny.
\n21. Gdy chodzi o podmioty publiczne, ustalenie kto jest administratorem danych, mo\u017ce niekiedy nie by\u0107 spraw\u0105 prost\u0105. Trudno\u015b\u0107 wynika z dw\u00f3ch istotnych przyczyn:
\n– po pierwsze \u2014 w odniesieniu do podmiot\u00f3w publicznych o celu i \u015brodkach przetwarzania danych osobowych decyduje zazwyczaj ustawodawca, stanowi\u0105c przepisy prawa;
\n– po drugie \u2014 art. 7 pkt 4 stanowi, i\u017c administratorem mo\u017ce by\u0107 organ, jednostka organizacyjna, podmiot lub osoba, o kt\u00f3rych mowa w art. 3.
\nPierwsza ze wskazanych powy\u017cej kwestii jest konsekwencj\u0105 zasady legalizmu, zgodnie z kt\u00f3r\u0105 organy w\u0142adzy publicznej (administracji publicznej) dzia\u0142aj\u0105 na podstawie i w granicach okre\u015blonych przepisami prawa (por. art. 7 Konstytucji oraz art. 6 k.p.a.). Podmioty publiczne s\u0105 zobowi\u0105zane do przetwarzania danych osobowych dla realizacji okre\u015blonych ustawowo cel\u00f3w. Zazwyczaj tak\u017ce \u015brodki, jakie s\u0142u\u017cy\u0107 maj\u0105 przetwarzaniu danych osobowych wskazane s\u0105 w przepisach ustawowych lub w wydanych na ich podstawie przepisach akt\u00f3w wykonawczych. St\u0105d te\u017c mo\u017cno\u015b\u0107 decydowania przez Bladoty publiczne o celu i \u015brodkach przetwarzania danych osobowych jest stosunkowo niewielka. Jak s\u0142usznie stwierdza R. Hauser–(Przetwarzanie danych osobowych: cel i \u015brodki, Rzeczpospolita z 6 kwietnia 1999 r.), cel przetwarzania danych osobowych b\u0119dzie mniej lub bardziej og\u00f3lnie wyznaczony przepisami prawa, a okre\u015blony ich administrator, decyduj\u0105c o celu przetwarzania danych, b\u0119dzie jedynie konkretyzowa\u0142 jego zakres, aby odpowiada\u0142 on potrzebom bardziej szczeg\u00f3\u0142owo okre\u015blonego zadania publicznego.
\nDruga przyczyna w\u0105tpliwo\u015bci powstaj\u0105cych w tym obszarze dotyczy szerokiego kr\u0119gu podmiot\u00f3w publicznych, kt\u00f3re mog\u0105 by\u0107 uznane za administrator\u00f3w danych. Z analizy wskazanych powy\u017cej przepis\u00f3w ustawy wynika, \u017ce administratorem danych mog\u0105 by\u0107 organy pa\u0144stwowe, organy samorz\u0105du terytorialnego, ale tak\u017ce pa\u0144stwowe i komunalne jednostki organizacyjne. Niekiedy jednak pojawiaj\u0105 si\u0119 trudno\u015bci z jednoznacznym rozstrzygni\u0119ciem, czy administratorem danych jest okre\u015blony organ administracji czy jednostka organizacyjna. W\u0105tpliwo\u015bci w tym zakresie sk\u0142aniaj\u0105 do przyznania racji R. Hauserowi, kt\u00f3ry stwierdza, \u017ce \u201eo tym, czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania. Do uznania danego podmiotu za administratora danych potrzebna jest jednak zawsze analiza konkretnych przepis\u00f3w maj\u0105cych zastosowanie, w okre\u015blonej sytuacji, dokonywana cz\u0119sto wedle skomplikowanych regu\u0142 interpretacji tekstu prawnego” (R.Kauser, Przetwarzanie…)
\nR\u00f3\u017cnorodno\u015b\u0107 podmiot\u00f3w, kt\u00f3re mog\u0105 by\u0107 uznawane za administrator\u00f3w, uwidacznia si\u0119 dobitnie w sprawozdaniach Generalnego Inspektora Ochrony Danych Osobowych (por. np. Sprawozdanie z dzia\u0142alno\u015bci Generalnego Inspektora Ochrony Danych Osobowych za okres 01.0l.2002r-31.12.2002 r., druk sejmowy nr 1802 z dnia 15 lipca 2003 r.). Za administrator\u00f3w danych Generalny Inspektor uznaje r\u00f3\u017cne organy i jednostki organizacyjne, na przyk\u0142ad za administratora danych zawartych w ewidencji kierowc\u00f3w prowadzonej w zwi\u0105zku z wydawaniem praw jazdy uznawany jest starosta powiatowy (ibidem, s. 19); za administratora danych w\u0142a\u015bcicieli pojazd\u00f3w przetwarzanych w zwi\u0105zku z pobieraniem op\u0142at za parkowanie pojazd\u00f3w GIODO uznaje miasto (gmin\u0119) (ibidem, s. 21); za administratora danych przetwarzanych przez Miejski O\u015brodek Pomocy Rodzinie uznawany jest dyrektor tego o\u015brodka (ibidem, s. 44); za administratora danych os\u00f3b bezrobotnych zarejestrowanych w Powiatowym Urz\u0119dzie Pracy GIODO uznaje ten urz\u0105d (ibidem, s. 48), za administratora danych dotycz\u0105cych cz\u0142onk\u00f3w s\u0142u\u017cby zagranicznej uznawane jest Ministerstwo Spraw Zagranicznych (ibidem, s. 64).
\nNiekiedy jednak, nawet po dokonaniu szczeg\u00f3\u0142owej analizy przepiss\u00f3w, trudno jednoznacznie rozstrzygn\u0105\u0107, kto w konkretnym przypadku jest administratorem danych osobowych. Mo\u017cliwo\u015b\u0107 zaistnienia tego rodzaju problem\u00f3w dostrze\u017cono podczas prac nad dyrektyw\u0105 95\/46\/WE, co znalaz\u0142o odzwierciedlenie w przepisie art. 2 Ht. d) dyrektywy, zgodnie z kt\u00f3rym je\u017celi cele i sposoby przetwarzania danych s\u0105 okre\u015blone w ustawach i innych przepisach krajowych lub przepisach Wsp\u00f3lnoty, administrator danych mo\u017ce by\u0107 powo\u0142ywany lub kryteria jego powo\u0142ania mog\u0105 by\u0107 ustalone przez ustawodawstwo krajowe lub ustawodawstwo Wsp\u00f3lnoty.
\nZ takiej mo\u017cliwo\u015bci skorzysta\u0142 kilkakrotnie polski ustawodawca, wskazuj\u0105c konkretne podmioty jako administrator\u00f3w danych. Zgodnie z przepisami ustawy z dnia 20 czerwca 1997 r. \u2014 Prawo o ruchu drogowym (tekst jedn. Dz. U. z 2003 r. Nr 58, poz. 515 z p\u00f3\u017an. zm.) administratorem danych zawartych w centralnej ewidencji pojazd\u00f3w oraz centralnej ewidencji kierowc\u00f3w jest minister w\u0142a\u015bciwy do spraw administracji publicznej (por. art. 80a ust. 4 oraz art. 100a ust. 4). Ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. Nr 50, poz. 580 z p\u00f3\u017an. zm.) wskazuje Biuro Informacyjne Kra-jowego Rejestru Karnego jako administratora danych zgromadzonych w rejestrze (art. 4 ust. 2). Organem Biura, kt\u00f3ry kieruje jego dzia\u0142alno\u015bci\u0105, jest, zgodnie z art. 3 ustawy, dyrektor Biura, powo\u0142ywany i odwo\u0142ywany przez Ministra Sprawiedliwo\u015bci. W art. 80 ust. 3 ustawy z dnia 6 wrze\u015bnia 2001 r. transporcie drogowym (Dz. U. Nr 125, poz. 1371 z p\u00f3\u017an, zm.) okre\u015blono, \u017ce administratorem danych zgromadzonych w centralnej ewidencji narusze\u0144 stwierdzonych w wyniku przeprowadzanych kontroli jest G\u0142\u00f3wny Inspektor Transportu Drogowego \u2014 centralny organ administracji rz\u0105dowej podleg\u0142y ministrowi w\u0142a\u015bciwemu do spraw transportu.
\nJednak\u017ce nadal, w przewa\u017caj\u0105cej wi\u0119kszo\u015bci przypadk\u00f3w, regulacje prawne nie zawieraj\u0105 wskazania podmiot\u00f3w publicznych b\u0119d\u0105cych administratorami danych i ocena w tym zakresie opiera\u0107 si\u0119 musi na analizie przepis\u00f3w dotycz\u0105cych zakresu kompetencji zwi\u0105zanych z przetwarzaniem danych, pozwalaj\u0105cych na stwierdzenie, kto decyduje o konkretyzacji cel\u00f3w \u015brodk\u00f3w przetwarzania danych osobowych
\n22. Administratorami danych osobowych mog\u0105 by\u0107 tak\u017ce podmioty prywatne (podmioty niepubliczne realizuj\u0105ce zadania publiczne, osoby fizyczne, osoby prawne oraz jednostki organizacyjne nieposiadaj\u0105ce osobowo\u015bci prawnej, je\u017celi przetwarzaj\u0105 dane osobowe w zwi\u0105zku z dzia\u0142alno\u015bci\u0105 zarobkow\u0105, zawodow\u0105 lub dla realizacji cel\u00f3w statutowych), kt\u00f3re decyduj \u0105 o celach i \u015brodkach przetwarzania danych osobowych. Administratorem danych mo\u017ce wi\u0119c by\u0107 na przyk\u0142ad bank, fundusz emerytalny, firma ubezpieczeniowa, dowolna sp\u00f3\u0142ka, a tak\u017ce hurtownia lub wypo\u017cyczalnia kaset wideo. Co istotne, to w\u0142a\u015bnie te podmioty maj\u0105 status administratora danych, natomiast administratorem nie jest osoba lub osoby pe\u0142ni\u0105ce funkcje kierownicze (dyrektor, prezes, zarz\u0105d itd.), podobnie jak oznaczony pracownik, kt\u00f3remu powierzono wykonywanie obowi\u0105zk\u00f3w zwi\u0105zanych z ochro\u0144 n\u0105 i operacjami na danych osobowych. Funkcji administratora danych nie mo\u017cna na takie osoby scedowa\u0107. Powy\u017csz\u0105 interpretacj\u0119 potwierdzaj\u0105 nie-kt\u00f3re inne przepisy ustawy (np. art. 15,16,23 ust. 1 pkt. 5, art. 24 ust. 1 pkt.l, art. 25 ust. 1 pkt. 1 oraz ust 2 pkt 4, art. 31 ust. 1, art. 40,46), a tak\u017ce przepisy rozporz\u0105dze\u0144 wykonawczych do ustawy.
\nAdministratorem danych mo\u017ce by\u0107 r\u00f3wnie\u017c osoba fizyczna, jednak\u2014 jak stwierdza G. Sibiga\u2014tylko w sytuacji indywidualnego, niezinstytucjonalizowanego przetwarzania danych osobowych, na przyk\u0142ad naukowiec, kt\u00f3ry dla potrzeb w\u0142asnej pracy badawczej gromadzi dane osobowe w ramach prze- prowadzanych ankiet (G. Sibiga, Post\u0119powanie w sprawach ochrony…, s. 54),
\n23. Administratorem jest podmiot zajmuj\u0105cy si\u0119 (przede wszystkim lub ubocznie, na w\u0142asne lub cudze potrzeby) przetwarzaniem danych, o ile tylko podejmuje samodzielnie decyzje dotycz\u0105ce cel\u00f3w i \u015brodk\u00f3w przetwarzania. Nale\u017cy przy tym \u2014 naszym zdaniem \u2014 przyj\u0105\u0107, i\u017c poj\u0119cie \u201eadministrator danych” nie powinno by\u0107 zaw\u0119\u017cone do tych podmiot\u00f3w, kt\u00f3re wykonuj\u0105 wszystkie operacje sk\u0142adaj\u0105ce si\u0119 na poj\u0119cie \u201eprzetwarzanie” danych.
\nZa administrator\u00f3w uzna\u0107 trzeba te\u017c te podmioty, kt\u00f3re samodzielnie prowadz\u0105 jedynie na przyk\u0142ad zbieranie i przechowywanie danych czy zajmu j\u0105 si\u0119 wy\u0142\u0105cznie ich opracowywaniem albo udost\u0119pnianiem. W pi\u015bmiennictwie przedmiotu przyjmuje si\u0119, \u017ce w odniesieniu do kwestii ochrony pracowniczych danych osobowych oraz kierowania pracownikami przetwarzaj\u0105cymi wszelkie kategorie danych osobowych w zak\u0142adzie pracy status administratora nale\u017cy przypisa\u0107 pracodawcy w rozumieniu art. 3 k.p. (J. Borowicz, Obowi\u0105zek prowadzenia przez pracodawc\u0119 dokumentacji osobowej i organizacyjnej z zakresu ochrony danych osobowych, Praca i Zabezpieczenie Spo\u0142eczne 2001, nr 3, s. 10). Zgodnie ze wskazanym powy\u017cej przepisem pracodawc\u0105 jest jednostka organizacyjna, cho\u0107by nie posiada\u0142a osobowo\u015bci prawnej, a tak\u017ce osoba fizyczna, je\u017celi zatrudniaj\u0105 one pracownik\u00f3w. Za pracodawc\u0119 b\u0119d\u0105cego jednostk\u0105 organizacyjn\u0105 czynno\u015bci w sprawach z zakresu prawa pracy dokonuje osoba lub organ zarz\u0105dzaj\u0105cy t\u0105 jednostk\u0105 albo inna wyznaczona do tego osoba (art. 31 \u00a7 1 k,p.).
\nNiekiedy wskazuje si\u0119, i\u017c do podstawowych obowi\u0105zk\u00f3w administratora nale\u017c\u0105:
\na)\tobowi\u0105zki informacyjne w stosunku do tych, kt\u00f3rych dotycz\u0105 przetwarzane dane,
\nb)\tobowi\u0105zki rejestracyjne co do zbior\u00f3w danych osobowych,
\nc)\tzabezpieczenie danych, zachowanie ich poufno\u015bci, integralno\u015bci i nienaruszalno\u015bci.
\nObowi\u0105zki administratora dzieli si\u0119 te\u017c na takie, kt\u00f3re maj\u0105 charakter:
\na)\tadministracyjny,
\nb)\tosobowy,
\nc)\ttechniczny.
\nAdministrator, co chyba najistotniejsze, odpowiada za legalno\u015b\u0107 przetwarzania danych oraz za zapewnienie odpowiednich warunk\u00f3w (technicznych i organizacyjnych) decyduj\u0105cych o w\u0142a\u015bciwej ochronie danych osobowych.
\n24. W naszym przekonaniu nie ma przeszk\u00f3d, aby z danym zbiorem zwi\u0105zanych by\u0142o dw\u00f3ch lub nawet wi\u0119cej administrator\u00f3w. Sytuacja taka wyst\u0105pi\u0107 mo\u017ce w\u00f3wczas, gdy zbi\u00f3r pozostaje we wsp\u00f3lnej dyspozycji wi\u0119cej ni\u017c jednego podmiotu. W tym przypadku — jak to wyra\u017anie przewiduje na przyk\u0142ad ustawa brytyjska \u2014 mog\u0105 oni dzia\u0142a\u0107 wsp\u00f3lnie (a wi\u0119c decyzje dotycz\u0105ce zbioru podejmowa\u0107 we wzajemnym uzgodnieniu, w tym tak\u017ce opartym na podziale kompetencji) albo samodzielnie (i wtedy ka\u017cdy z nich posiada\u0142by status samodzielnego administratora, \u0142\u0105cznie z wi\u0105\u017c\u0105cymi si\u0119 z tym uprawnieniami i obowi\u0105zkami).
\nWielo\u015b\u0107 administrator\u00f3w danych mo\u017ce zaistnie\u0107 r\u00f3wnie\u017c na gruncie art. 31, je\u015bli osoba, kt\u00f3ra przetwarza dane na podstawie umowy zawartej z administratorem, wykracza swym dzia\u0142aniem poza ramy tej umowy. W zakresie, w kt\u00f3rym decyduje ona o celach i \u015brodkach przetwarzania danych, staje si\u0119 tak\u017ce administratorem danych. Ustaw\u0119 interesuje przede wszystkim \u201efaktyczne” decydowanie o celach i \u015brodkach przetwarzania danych; czy i w jakim stopniu to decydowanie jest \u201elegalne”, nie ma dla definicji poj\u0119cia administratora danych rozstrzygaj\u0105cego znaczenia. Mo\u017cliwa jest jednak odmienna interpretacja, zgodnie z kt\u00f3r\u0105 administratorem danych jest jedynie podmiot uprawniony do decydowania o celach i \u015brodkach przetwarzania danych, natomiast podmiot, kt\u00f3ry bezprawnie przyw\u0142aszczy\u0142 sobie dane osobowe, nie jest administratorem danych, a jedynie administruj\u0105cym danymi. Tak\u0105 wyk\u0142adni\u0119 przyj\u0105\u0142 Naczelny S\u0105d Administracyjny w wyroku z dnia 30 stycznia 2002 r. (II SA 1098\/01, Wokanda 2002, nr 7-8, poz. 70).
\n25. Charakter prawny podmiotu jest w zasadzie ob\u00f3j \u0119tny dla przyznania statusu administratora danych; nie maj \u0105 te\u017c znaczenia inne okoliczno\u015bci, jak cho\u0107by to, kogo obci\u0105\u017caj\u0105 koszty finansowe przetwarzania danych. Natomiast wspomniany prawny charakter, podobnie jak spos\u00f3b przetwarzania danych (tradycyjny lub informatyczny), cel przetwarzania danych osobowych (badanie opinii publicznej \u2014 art. 25 ust 1 pkt 3; marketing \u2014 art. 32 ust. 1 pkt 8 i ust. 3; wystawienie faktury, rachunku, prowadzenie sprawozdawczo\u015bci finansowej \u2014 art. 43 ust. 1 pkt 8) wp\u0142ywaj\u0105 na zakres obowi\u0105zk\u00f3w administratora zwi\u0105zanych z przetwarzaniem danych.
\n26.Administrator danych nie musi oczywi\u015bcie \u201eosobi\u015bcie” przetwarza\u0107 danych. Tak wi\u0119c nie ka\u017cdy dysponent danych jest \u201eadministratorem danych” w podanym wy\u017cej znaczeniu. Nie jest administratorem ten, kto przetwarza dane w pe\u0142ni wed\u0142ug polece\u0144, wskaz\u00f3wek innego podmiotu, na jego zlecenie. Jak wyja\u015bni\u0142 Generalny Inspektor Ochrony Danych Osobowych (Agent nie jest administratorem, Rzeczpospolita z 3 listopada 1999 r.), nie jest administratorem danych sam agent ubezpieczeniowy, kt\u00f3ry zawiera umowy z poszczeg\u00f3lnymi klientami i uzyskuje od nich dane osobowe, lecz towarzystwo ubezpieczeniowe. Agent przetwarza dane na rzecz towarzystwa ubezpieczeniowego, kt\u00f3re \u201edecyduje o celach i \u015brodkach” tego przetwarzania. Na nim te\u017c ci\u0105\u017cy min. obowi\u0105zek zg\u0142oszenia zbioru do rejestracji. Natomiast agent jest tu podmiotem, kt\u00f3remu administrator danych powierza w umowie \u2014 na mocy art. 31 u.o.d.o. \u2014 przetwarzanie danych. Jego obowi\u0105zkiem jest podj\u0119cie przed rozpocz\u0119ciem przetwarzania danych \u015brodk\u00f3w technicznych i organizacyjnych (o kt\u00f3rych mowa w art. 36-39) maj\u0105cych na celu zabezpieczenie danych, w szczeg\u00f3lno\u015bci przed udost\u0119pnieniem danych osobom nieupowa\u017cnionym, zabraniem przez osob\u0119 nieupowa\u017cnion\u0105, uszkodzeniem lub zniszczeniem. Odmienny status maj\u0105 brokerzy ubezpieczeniowi oraz asekuracyjni, kt\u00f3rzy s\u0105 uznawani za administrator\u00f3w danych ze wzgl\u0119du na to, \u017ce wyst\u0119puj\u0105 jako pe\u0142nomocnicy ubezpieczonego i decyduj\u0105 o celu i \u015brodkach przetwarzania danych klient\u00f3w (D. Gaudyn, Do\u015bwiadczenia zak\u0142ad\u00f3w ubezpiecze\u0144 w stosowaniu ustawy o ochronie danych osobowych, Prawo Asekuracyjne 2003, nr 1, s. 53).
\nW\u0105tpliwo\u015bci rodzi\u0107 si\u0119 mog\u0105 co do tego, w jakim zakresie dostawcy us\u0142ug w sieciach komputerowych (service providers) powinni by\u0107 uznawani za administrator\u00f3w danych w rozumieniu komentowanej ustawy. W tych najbardziej typowych sytuacjach, gdy nie maj\u0105 oni bezpo\u015bredniego lub po\u015bredniego wp\u0142ywu na tre\u015b\u0107 danych, gdy nie zaznajamiaj\u0105 si\u0119 z ich tre\u015bci\u0105 i\u2014co zasadnicze \u2014 nie maj\u0105 wp\u0142ywu na cel przetwarzania danych, brak pod- staw do traktowania ich jako administrator\u00f3w danych. Ten punkt widzenia nie wy\u0142\u0105cza oczywi\u015bcie w \u017cadnej mierze oceniania ich post\u0119powania z perspektywy innych przepis\u00f3w prawa; nie wy\u0142\u0105cza r\u00f3wnie\u017c ich odpowiedzialno\u015bci na innej ni\u017c ustawa o ochronie danych osobowych podstawie, zw\u0142aszcza na podstawie przepis\u00f3w kodeksu cywilnego.
\n27. Nie jest \u2014 dodajmy dla wyja\u015bnienia \u2014 administratorem danych osoba, kt\u00f3rej administrator powierzy\u0142 przetwarzanie danych. Wskazuje na to brzmienie przepisu art. 31 u.o.d.o., w szczeg\u00f3lno\u015bci jego ust. 4. Przypomnijmy, i\u017c ustawa w powo\u0142anym przepisie przewiduje sytuacje, w kt\u00f3rych administrator danych powierza innemu podmiotowi, w drodze umowy zawartej na pi\u015bmie, przetwarzanie danych. Nie ma chyba te\u017c przeszk\u00f3d, aby powierzenie obejmowa\u0142o samo zbieranie danych.
\nPrzyznanie przez ustawodawc\u0119 zasadniczej roli kryterium \u201esamodzielno\u015bci podejmowania decyzji dotycz\u0105cych cel\u00f3w i \u015brodk\u00f3w przetwarzania” mo\u017ce sk\u0142ania\u0107 do tego, aby status administratora danych przyzna\u0107 kt\u00f3remu\u015b z wy\u017cej wymienionych podmiot\u00f3w, mimo i\u017c sam nie b\u0119dzie zbiera\u0142 czy przetwarza\u0142 danych osobowych, lecz czynno\u015bci te zleci osobie trzeciej. Mo\u017ce te\u017c by\u0107 tak, \u017ce administrator tylko w pewnym zakresie b\u0119dzie sam przetwarza\u0142 dane, wykonywanie za\u015b pozosta\u0142ych operacji powierzy innemu podmiotowi. Dla kwestii okre\u015blenia administratora zawsze wa\u017cne pozostanie tylko to, kto podejmuje decyzje wskazuj\u0105ce na cele i \u015brodki przetwarzania danych.
\nNie bardzo natomiast wiadomo, j ak ustosunkowa\u0107 si\u0119 do \u2014 nie tylko chyba teoretycznej \u2014 sytuacji, w kt\u00f3rej podmiot zlecaj\u0105cy zbieranie i przetwarzanie danych zarazem okre\u015bla cele tego przetwarzania, natomiast zleceniobiorca decyduje o \u015brodkach tego przetwarzania. Trudno\u015b\u0107 wynika st\u0105d, i\u017c \u2014 \u015bci\u015ble interpretuj\u0105c art. 7 pkt 4\u2014dla statusu \u201eadministratora danych” wymagane jest kumulatywne spe\u0142nienie obydwu wskazanych przes\u0142anek (decydowanie o celach i decydowanie o \u015brodkach przetwarzania). Wydaje si\u0119, \u017ce ustawodawca nie przewidzia\u0142 tego, i\u017c kompetencje te mog\u0105 by\u0107 roz\u0142\u0105czne.
\n28. Zrozumienie, kogo w\u0142a\u015bciwie nale\u017cy na gruncie ustawy uznawa\u0107 za administratora danych, komplikuje fakt, \u017ce ustawa wielokrotnie pos\u0142uguje si\u0119 te\u017c zwrotem \u201eten, kto administruje zbiorem danych”. Prima facie mo\u017cna s\u0105dzi\u0107, \u017ce chodzi tu o synonim okre\u015blenia \u201eadministrator danych”. Tak jednak nie jest. Wspomnianym zwrotem pos\u0142uguj\u0105 si\u0119 przepisy karne omawianej ustawy (art. 50-52 i 54). Nak\u0142adaj \u0105 one kary (grzywny) ograniczenia wolno\u015bci, pozbawienia wolno\u015bci) na tych, kt\u00f3rzy administruj\u0105c zbiorem danych:
\na)\tprzechowuj\u0105 w zbiorze dane osobowe niezgodne z celem utworzenia zbioru,
\nb)\tudost\u0119pniaj\u0105 lub umo\u017cliwiaj\u0105 dost\u0119p do danych osobowych osobom nieupowa\u017cnionym, mimo zobowi\u0105zania do ochrony tych danych,
\nc)\tnaruszaj\u0105 obowi\u0105zek zabezpieczenia danych przed ich zabraniem przez osob\u0119 nieupowa\u017cnion\u0105, przed uszkodzeniem, przed zniszczeniem,
\nd)\tnie dope\u0142niaj\u0105 obowi\u0105zku informowania osoby, kt\u00f3rej dane dotycz\u0105, o jej prawach lub obowi\u0105zku przekazania tej osobie informacji umo\u017cliwiaj\u0105cych korzystanie z praw przyznanych w ustawie<\/p>\n
Sformu\u0142owania przytoczonych przepis\u00f3w, a przede wszystkim podstawowe zasady prawa karnego, nakazuj\u0105 w \u201etym, kto administruje zbiorem danych” widzie\u0107 tylko osob\u0119 fizyczn\u0105. Nale\u017cy przyj\u0105\u0107, \u017ce w sytuacjach, gdy status administratora danych osobowych nie przys\u0142uguje osobie fizycznej\u2014\u201eadministruj\u0105cym (tym, kto administruje) zbiorem danych” nie jest administrator danych, lecz: albo
\na)\tosoba kieruj\u0105ca okre\u015blon\u0105 jednostk\u0105, albo
\nb)\tosoba dzia\u0142aj\u0105ca w tej jednostce, do obowi\u0105zk\u00f3w kt\u00f3rej to osoby nale\u017cy zbieranie danych osobowych i \u201eobs\u0142uga” zbioru takich danych.
\nPrawid\u0142owe wydaje si\u0119 \u2014 naszym zdaniem \u2014 stanowisko pierwsze
\nPor. w tej kwestii komentarz do art. 50.
\nNa rozr\u00f3\u017cnienie pomi\u0119dzy administratorem danych a administruj\u0105cym danymi wskaza\u0142 S\u0105d Najwy\u017cszy w postanowieniu z dnia 11 grudnia 2000 r (IIKKN 438\/00, OSNKW 2001, nr 3-4, poz. 33). Zgodnie z tez\u0105 tego orzeczenia, na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, kt\u00f3ry decyduje o celach i \u015brodkach przetwarzania tych danych (art. 7 pkt 4 ustawy), natomiast administruj\u0105cym \u2014tak\u017ce taki podmiot, kt\u00f3ry zarz\u0105dza, zawiaduje zbiorem danych (art. 50,51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy, przy czym odpowiedzialno\u015b\u0107 karna administruj\u0105cego nieb\u0119d\u0105cego administratorem danych wchodzi w rachub\u0119 w\u00f3wczas, gdy jego zachowanie \u2014 uznane za karalne przez ustaw\u0119 \u2014 wynika z powierzonych mu czynno\u015bci przetwarzania danych.)
\nNa tle rozgraniczenia funkcji \u201eadministratora danych” i,,administru-j\u0105cego danymi” wydane zosta\u0142o orzeczenie Naczelnego S\u0105du Administracyjnego z dnia 30 stycznia 2002 r. (II SA 1098\/01, Wokanda 2002, nr 7-8, poz. 70),NSA podkre\u015bli\u0142 w nim, \u017ce s\u0105 to r\u00f3\u017cne podmioty, a Generalny Inspektor Danych Osobowych mo\u017ce ze swych kompetencji korzysta\u0107 tylko w stosunku do administratora danych. Natomiast samemu administruj\u0105cemu nie mo\u017ceon nic nakaza\u0107 ani zastosowa\u0107 w stosunku do niego \u017cadnego z przyznanych mu \u015brodk\u00f3w, bowiem administruj\u0105cy nie mo\u017ce by\u0107 adresatem jakiejkolwiek decyzji Generalnego Inspektora. Nale\u017cy tu jednak wspomnie\u0107, i\u017c wskutek nowelizacji z dnia 22 stycznia 2004 r. zmianie uleg\u0142 art. 18; zgodnie z obecnym brzmieniem tego przepisu adresatem decyzji GIODO mog\u0105 by\u0107 tak\u017ce inne podmioty, a nie tylko \u2014 jak pierwotnie przewidywa\u0142 wskazany przepis \u2014 administrator danych. Poj\u0119cie administruj\u0105cego\u2014wed\u0142ug NSA\u2014ma szerszy charakter; obejmuje zar\u00f3wno administratora, jak i administruj\u0105cego, kt\u00f3ry znalaz\u0142 si\u0119 nielegalnie w posiadaniu danych b\u0105d\u017a nielegalnie je przetwarza. Bezprawne przej\u0119cie danych nie oznacza, \u017ce sprawca sta\u0142 si\u0119 ich administratorem. Wyja\u015bnijmy, \u017ce w rozstrzyganej sprawie status administruj\u0105cego przyznany zosta\u0142 by\u0142emu prezesowi sp\u00f3\u0142ki, kt\u00f3ry odchodz\u0105c zatrzyma\u0142 nielegalnie sporz\u0105dzony w sp\u00f3\u0142ce zbi\u00f3r danych osobowych. Zdaniem NSA by\u0142y prezes nie jest administratorem danych \u2014 tj. osob\u0105 fizyczn\u0105 przetwarzaj\u0105c\u0105 dane w zwi\u0105zku z dzia\u0142alno\u015bci\u0105 zarobkow\u0105, zawodow\u0105 lub dla realizacji cel\u00f3w statutowych (art. 3 u.o.d.o.). Stanowisko NSA spotka\u0142o si\u0119 z krytyk\u0105 ze strony skar\u017c\u0105cego. Podni\u00f3s\u0142 on m.in., \u017ce status administratora nie zale\u017cy przecie\u017c od tego, w jaki spos\u00f3b kto\u015b wszed\u0142 w posiadanie danych, lecz od tego, czy je przetwarza.
\n29. Niezale\u017cnie od wskazanych ju\u017c niejasno\u015bci sytuacj\u0119 prawn\u0105 komplikowa\u0107 mog\u0105 dodatkowo inne przepisy, kt\u00f3re wzbogacaj\u0105 omawiany \u201epejza\u017c terminologiczny”. Chodzi tu przede wszystkim o przepis art. 36 ust. 3, w kt\u00f3rym ustawa nak\u0142ada na administratora danych obowi\u0105zek wyznaczenia administratora bezpiecze\u0144stwa informacji. Wskazany przepis zosta\u0142 do dany do ustawy wskutek nowelizacji z dnia 22 stycznia 2004 r. Przed nowelizacj\u0105 obowi\u0105zek taki przewidziany by\u0142 w rozporz\u0105dzeniu Ministra Spraw Wewn\u0119trznych i Administracji z dnia 3 czerwca 1998 r. w sprawie okre\u015blenia podstawowych warunk\u00f3w technicznych i organizacyjnych, jakim powinny odpowiada\u0107 urz\u0105dzenia i systemy informatyczne s\u0142u\u017c\u0105ce do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 z p\u00f3\u017an. zm.), jednak legalno\u015b\u0107 wprowadzenia tego obowi\u0105zku w przepisach aktu wykonawczego by\u0142a kwestionowana (por. W. Zwany, Legalno\u015b\u0107 ustanowienia, relacja do administratora danych, odpowiedzialno\u015b\u0107 i rola administratora bezpiecze\u0144stwa informacji Ochrona Danych Osobowych. Biuletyn Administrator\u00f3w Bezpiecze\u0144stwa Informacji 2000,nr 1,8.6)
\nPrzedstawione wy\u017cej uj\u0119cie koresponduje z tre\u015bci\u0105 art. 51 u.o.d.o. i potwierdza wcze\u015bniej wyra\u017cony pogl\u0105d, i\u017c \u201etym, kto administruje zbiorem danych” \u2014 tam, gdzie nie chodzi o przetwarzanie danych przez osoby fizyczne \u2014nie jest pracownik, lecz raczej kierownik czy osoba dzia\u0142aj\u0105ca w charakterze organu osoby prawnej, kt\u00f3ra to osoba prawna (i podobnie\u2014jednostka organizacyjna nieposiadaj\u0105ca osobowo\u015bci prawnej) zachowuje status \u201eadministratora danych”. Wspomniany art. 51 wyr\u00f3\u017cnia bowiem dwie kategorie os\u00f3b:
\na)\ttego, kto administruje zbiorem danych i
\nb)\ttego, kto jest obowi\u0105zany do ochrony danych osobowych.
\nT\u0105 drug\u0105 osob\u0105 b\u0119dzie zapewne osoba posiadaj\u0105ca upowa\u017cnienie do przetwarzania danych nadane przez administratora danych, w tym r\u00f3wnie\u017c pracownik pe\u0142ni\u0105cy rol\u0119 administratora bezpiecze\u0144stwa informacji (przypomnijmy, art. 51 ust. 1 u.o.d.o. stanowi: \u201eKto administruj\u0105c zbiorem danych lub b\u0119d\u0105c zobowi\u0105zanym do ochrony danych osobowych udost\u0119pnia je lub umo\u017cliwia dost\u0119p do nich osobom nieupowa\u017cnionym, podlega (\u2026)\u201d).
\nTrudno tego fragmentu komentarza nie zako\u0144czy\u0107 uwag\u0105, i\u017c uregulowanie, przy kt\u00f3rym precyzyjne wyznaczenie tre\u015bci poszczeg\u00f3lnych poj\u0119\u0107 przysparza znacznych k\u0142opot\u00f3w, a nadto terminy bardzo bliskoznaczne u\u017cywane s\u0105 w r\u00f3\u017cnym znaczeniu, pozostawia wiele do \u017cyczenia, je\u015bli chodzi o poprawno\u015b\u0107 techniki legislacyjnej i o spe\u0142nienie postulatu jasno\u015bci prawa.
\n30. W wielu przepisach ustawa uzale\u017cnia przetwarzanie danych od zgody osoby, kt\u00f3rej te dane dotycz\u0105. R\u00f3wnocze\u015bnie podane zosta\u0142y dwie istotne wskaz\u00f3wki co do samej zgody i jej wyra\u017cenia.
\nPo pierwsze, ustawa jednoznacznie uznaje zgod\u0119 (czy raczej udzielenie zgody) za o\u015bwiadczenie woli. Po drugie, zastrze\u017cono, \u017ce zgoda nie mo\u017ce by\u0107 domniemana lub dorozumiana z o\u015bwiadczenia woli o innej tre\u015bci. Tak wi\u0119c zgoda jedynie domniemana lub dorozumiana jest prawnie nieskuteczna jako przes\u0142anka legalizuj\u0105ca przetwarzanie danych.
\n31. Stwierdzenie, \u017ce zgod\u0119 na przetwarzanie danych traktowa\u0107 nale\u017cy jako o\u015bwiadczenie woli, otwiera drog\u0119 do wykorzystania przepis\u00f3w kodeksu cywilnego po\u015bwi\u0119conych o\u015bwiadczeniom woli. Mamy na my\u015bli prze de wszystkim przepisy o wyk\u0142adni o\u015bwiadcze\u0144 woli, o wadach o\u015bwiadcze\u0144 woli oraz o chwili z\u0142o\u017cenia i odwo\u0142ania o\u015bwiadczenia woli (por. pkt 7 komentarza do art. 23).
\nJe\u017celi osoba zbieraj\u0105ca czy w inny spos\u00f3b przetwarzaj\u0105ca dane osobowe zwraca si\u0119 o zgod\u0119, musi to zosta\u0107 sformu\u0142owane w spos\u00f3b jednoznaczny i wyr\u00f3\u017cnia\u0107 si\u0119 spo\u015br\u00f3d innych pochodz\u0105cych od tej osoby informacji i o\u015bwiadcze\u0144. W \u017cadnej mierze nie jest wystarczaj\u0105ce odsy\u0142anie do tre\u015bci innych dokument\u00f3w, na przyk\u0142ad og\u00f3lnych warunk\u00f3w um\u00f3w, do odr\u0119bnie rozsy\u0142anych prospekt\u00f3w lub reklam; podobnie odnie\u015b\u0107 si\u0119 nale\u017cy do powo\u0142ywania si\u0119 na znajduj\u0105ce si\u0119 w lokalu wywieszki.
\nTraktowanie zgody jako o\u015bwiadczenia woli nie jest r\u00f3wnoznaczne z uznaniem, \u017ce wyst\u0119puje tu czynno\u015b\u0107 prawna. Mo\u017cna broni\u0107 zdania, i\u017c nie ma podstaw ku temu, aby dopatrywa\u0107 si\u0119 tu czynno\u015bci prawnej z wszystkimi wynikaj\u0105cymi z tego konsekwencjami; mamy na my\u015bli zw\u0142aszcza ocen\u0119 skuteczno\u015bci zgody ze wzgl\u0119du na zdolno\u015b\u0107 do czynno\u015bci prawnej osoby, kt\u00f3ra takiej zgody udziela. A zatem o tym, czy zgoda jest skuteczna, nie decydowa\u0142by automatycznie wiek osoby (ewentualnie orzeczenie w sprawie ubezw\u0142asnowolnienia), lecz takie okoliczno\u015bci, jak to, czy okre\u015blona osoba jest w stanie oceni\u0107 i zrozumie\u0107 \u201eistot\u0119” zgody, jej znaczenie i skutki. Naturalnie w licznych przypadkach z brakiem tych zdolno\u015bci faktycznych mo\u017ce i\u015b\u0107 w parze brak pe\u0142nej zdolno\u015bci do czynno\u015bci prawnych w rozumieniu prawa cywilnego. W\u00f3wczas do przetwarzania danych osobowych, na przyk\u0142ad niepe\u0142noletnich, potrzebna b\u0119dzie zgoda ich przedstawicieli ustawowych, zazwyczaj rodzic\u00f3w (nie zast\u0119puje jej zgoda kierownika szko\u0142y, wychowawcy itp.). Potrzeba zgody przedstawiciela wydaje si\u0119 niew\u0105tpliwa, zw\u0142aszcza gdy w gr\u0119 wchodz\u0105 dane sensytywne. Mo\u017ce by\u0107 jednak inaczej; w szczeg\u00f3lno\u015bci osoba, kt\u00f3ra nie osi\u0105gn\u0119\u0142a jeszcze pe\u0142nej zdolno\u015bci do czynno\u015bci prawnych, mo\u017ce post\u0119powa\u0107 z ca\u0142kowitym rozeznaniem, je\u015bli chodzi o zezwalanie na przetwarzanie jej danych osobowych i nie ma powod\u00f3w, aby skuteczno\u015b\u0107 jej zgody pozbawi\u0107 znaczenia, natomiast w to miejsce domaga\u0107 si\u0119 zgody przedstawiciela ustawowego. Wyj\u0105tek w tej mierze stanowi\u0107 mo\u017ce ewentualnie zezwolenie na przetwarzanie danych sensytywnych, co zaznacza art. 27 ust. 2 pkt 3 u.o.d.o. (zob. te\u017c komentarz do art. 23 ust 1 pkt 1 oraz do art. 27 ust. 2 pkt 3).
\nUwa\u017camy, i\u017c dopu\u015bci\u0107 nale\u017cy\u2014cho\u0107 jej nie preferujemy\u2014odmienn\u0105 od wy\u017cej przedstawionej interpretacj\u0119, w my\u015bl kt\u00f3rej zezwolenie na przetwarzanie danych oceniane by\u0142oby w kategoriach o\u015bwiadcze\u0144 o randze czynno\u015bci prawnych; do dyskusji pozosta\u0142aby jednak w\u00f3wczas kwestia, czy udzielaj\u0105c zgody na przetwarzanie danych osoba ograniczona w zdolno\u015bci do czynno\u015bci prawnych \u201ezaci\u0105ga zobowi\u0105zanie lub rozporz\u0105dza swoim prawem” (tak stanowi art. 17 k.c), czy zatem wa\u017cno\u015b\u0107 takiej czynno\u015bci zale\u017cy od zgody przedstawiciela ustawowego.
\nNadto zaznaczmy, i\u017c przy udzielaniu zgody przez przedstawiciela ustawowego pojawia si\u0119 jeszcze dalsze pytanie: czyjego zgoda, wobec braku udzielenia zgody (lub, co wa\u017cniejsze, wr\u0119cz odmowie udzielenia) ze strony osoby niemaj\u0105cej pe\u0142nej zdolno\u015bci do czynno\u015bci prawnych, jest wystarczaj\u0105ca? Zastrze\u017cenia bior\u0105 si\u0119 st\u0105d, \u017ce prawo do prywatno\u015bci, a w istocie tak\u017ce prawo do ochrony danych osobowych, maj\u0105 status podstawowych praw konstytucyjnych, przyznanych i gwarantowanych ka\u017cdemu, niezale\u017cnie od takich okoliczno\u015bci, jak na przyk\u0142ad wiek. Je\u017celi zatem nawet opowiemy si\u0119 za stanowiskiem, i\u017c wykonywanie tych praw powinno by\u0107, pomimo tego statusu, poddawane og\u00f3lnym regu\u0142om wykonywania praw cywilnych, to trudno nie dostrzec w\u0105tpliwo\u015bci, jakie pojawia\u0107 si\u0119 b\u0119d\u0105 w niekt\u00f3rych sytuacjach, na przyk\u0142ad w\u00f3wczas gdy dan\u0105 osob\u0119 dzieli ju\u017c niewiele od uzyskania pe\u0142noletno\u015bci, jej sprzeciw co do przetwarzania danych jest jednoznaczny i kategoryczny, za\u015b zgoda przedstawiciela wyra\u017cona zosta\u0142a dla osi\u0105gni\u0119cia korzy\u015bci maj\u0105tkowej. By\u0107 mo\u017ce w wielu przypadkach racjonalne by\u0142oby przyj\u0119cie interpretacji, wed\u0142ug kt\u00f3rej zgoda na przetwarzanie danych w odniesieniu do osoby ma\u0142oletniej lub ubezw\u0142asnowolnionej powinna by\u0107 wyra\u017cona przez przedstawiciela, z zastrze\u017ceniem skuteczno\u015bci tylko wobec braku sprzeciwu ze strony bezpo\u015brednio zainteresowanego. Dalej id\u0105c\u0105 interpretacj\u0119 w tym zakresie zaprezentowa\u0142 R. Adamus, zdaniem kt\u00f3rego w przypadku osoby posiadaj\u0105cej ograniczon\u0105 zdolno\u015b\u0107 do czynno\u015bci prawnych wymagana jest zar\u00f3wno zgoda tej osoby, jak i jej przedstawiciela ustawowego (R. Adamus Zgoda na przetwarzanie danych osobowych osoby ni\u0105\/osiadaj\u0105cej -pe\u0142nej zdolno\u015bci do. czynno\u015bci prawnych, Gazeta S\u0105dowa 2005, nr 2, s. 24).
\nJeden z wsp\u00f3\u0142autor\u00f3w niniejszego komentarza uwa\u017ca jednak, \u017ce zdolno\u015b\u0107 do wyra\u017cenia zgody na przetwarzanie danych osobowych nale\u017cy ocenia\u0107 w oparciu o og\u00f3lne kryteria przewidziane w kodeksie cywilnym, co jego zdaniem wynika z faktu, i\u017c ani ustawa o ochronie danych osobowych, ani te\u017c inne akty normatywne odnosz\u0105ce si\u0119 do przetwarzania danych nie ustalaj\u0105 innych wymog\u00f3w co do zdolno\u015bci wyra\u017cenia zgody na przetwarzanie danych. Dodatkowym argumentem przemawiaj\u0105cym za przyj\u0119ciem takiego stanowiska jest okoliczno\u015b\u0107, i\u017c ocena tego, czy osoba, kt\u00f3ra wyra\u017ca zgod\u0119, jest w stanie zrozumie\u0107 i oceni\u0107 skutki zgody, a zatem czy dzia\u0142a z rozeznaniem, jest w przypadku zgody na przetwarzanie danych cz\u0119sto niezwykle trudna a niekiedy nawet niemo\u017cliwa.\t; ;
\n32. Odwo\u0142ywanie si\u0119 do zgody osoby, kt\u00f3rej dane dotycz\u0105, nie wyklucza, i\u017c zgoda udzielona mo\u017ce by\u0107 nie tylko \u201eosobi\u015bcie”, ale r\u00f3wnie\u017c przez osob\u0119 upowa\u017cnion\u0105, przez przedstawiciela. Potrzeba taka pojawi\u0107 si\u0119 mo\u017ce na przyk\u0142ad w zakresie zbierania niekt\u00f3rych danych osobowych dotycz\u0105cych pracownik\u00f3w. Mog\u0105 oni w tym wzgl\u0119dzie udzieli\u0107 upowa\u017cnienia organizacjom reprezentuj\u0105cym zatrudnionych.
\nJe\u017celi dzia\u0142anie przedstawiciela mie\u015bci si\u0119 w granicach udzielonego mu upowa\u017cnienia, za\u015b sama zgoda ma charakter wyra\u017any, wywo\u0142uje ona takie same skutki, jak zgoda osoby, kt\u00f3rej dane s\u0105 przedmiotem przetwarzania.
\nOkre\u015bli\u0107 tak\u017ce nale\u017cy, komu zgoda powinna by\u0107 z\u0142o\u017cona, czy innymi s\u0142owy: komu ma by\u0107 z\u0142o\u017cone o\u015bwiadczenie woli wyra\u017caj\u0105ce zgod\u0119. Nale\u017cy przyj\u0105\u0107, i\u017c powinno by\u0107 ono z\u0142o\u017cone temu, kto decyduje o przetwarzaniu danych osobowych, a wi\u0119c administratorowi danych. Nic nie stoi jednak na przeszkodzie, aby administrator upowa\u017cni\u0142 okre\u015blon\u0105 osob\u0119 do przyjmowania takich o\u015bwiadcze\u0144.
\n33. Wykluczenie mo\u017cliwo\u015bci wyra\u017cenia zgody w spos\u00f3b domniemany lub dorozumiany s\u0142u\u017cy istotnemu wzmocnieniu pozycji i ochrony interes\u00f3w os\u00f3b, kt\u00f3rych dane osobowe s\u0105 przetwarzane. Brzmienie komentowanego przepisu sk\u0142ania do wniosku, i\u017c zgoda nie mo\u017ce by\u0107 wyra\u017cona per facta concludentia. Tak\u0105 regulacj\u0119 uzna\u0107 by mo\u017cna za j eden z przypadk\u00f3w przewidzianych przepisem art. 60 k.c. Stwierdza on bowiem, \u017ce \u201ez zastrze\u017ceniem wyj\u0105tk\u00f3w w ustawie przewidzianych wola osoby dokonuj\u0105cej czynno\u015bci prawnej mo\u017ce by\u0107 wyra\u017cona przez ka\u017cde zachowanie si\u0119 tej osoby, kt\u00f3re ujawnia jej wol\u0119 w spos\u00f3b dostateczny (o\u015bwiadczenie woli)”. W tym kontek\u015bcie nale\u017cy te\u017c opowiedzie\u0107 si\u0119 za tym, \u017ce zgoda na przetwarzanie danych nie mo\u017ce by\u0107 wyra\u017cona poprzez milczenie lub inne tylko \u201epasywne” dzia\u0142anie.
\nCzy generalny brak akceptacji dla zgody dorozumianej jest trafnym rozwi\u0105zaniem legislacyjnym \u2014 to kwestia dyskusyjna. Zauwa\u017cmy, \u017ce polska ustawa jest w tej mierze bardziej restryktywna ni\u017c dyrektywa UE; \u0142atwo r\u00f3wnie\u017c wskaza\u0107 na sytuacje, gdy okre\u015blone zachowanie zainteresowanego, zwi\u0105zane z przekazywaniem przez niego danych osobowych, jednoznacznie wskazuje na jego zgod\u0119 na przetwarzanie tych danych w granicach celu ich przekazania.
\nW orzeczeniu z dnia 4 kwietnia 2003 r. (II SA 2135\/02, om\u00f3wienie Mon. Pl. 2003, nr 10, s. 435) Naczelny S\u0105d Administracyjny podkre\u015bli\u0142, \u017ce zgoda musi mie\u0107 charakter wyra\u017any, a jej wszystkie aspekty musz\u0105 by\u0107 jasne dla podpisuj\u0105cego w momencie jej wyra\u017cenia. W stanie faktycznym, kt\u00f3ry by\u0142 podstaw\u0105 orzekania, osoby fizyczne udziela\u0142y zgody na przetwarzanie danych osobowych zgodnie z regulaminem, kt\u00f3ry jednak nie by\u0142 do\u0142\u0105czony do deklaracji o zgodzie. Co przy tym istotne, z tre\u015bci regulaminu wynika\u0142 bardzo szeroki zakres, jaki obejmowa\u0142a zgoda (m.in. przesy\u0142anie materia\u0142\u00f3w promocyjnych i przekazywanie danych innym podmiotom). S\u0105d, podzielaj\u0105c stanowisko GIODO, stwierdzi\u0142, \u017ce w zakresie udzielenia zgody na przekazywanie danych innym podmiotom nie ma zastosowania przepis art. 384 \u00a7 2 k.c. (pozwalaj\u0105cy pos\u0142ugiwa\u0107 si\u0119 w stosunkach z konsumentami wzorcami um\u00f3w, nawet je\u017celi wzorce te nie zosta\u0142y im dor\u0119czone, o ile strona umowy z \u0142atwo\u015bci\u0105 mog\u0142a dowiedzie\u0107 si\u0119 o tre\u015bci wzorca), gdy\u017c umow\u0119 o przekazanie danych nie mo\u017cna uzna\u0107 za umow\u0119 zawieran\u0105 w drobnych, bie\u017c\u0105cych sprawach \u017cycia codziennego.
\n34. Zastrze\u017cenie, i\u017c zgoda nie mo\u017ce by\u0107 dorozumiana, nie jest r\u00f3wno znaczne z obowi\u0105zkiem wyra\u017cenia zgody w formie pisemnej. Tego rodzaju \u201epodwy\u017cszone” wymaganie odnosi si\u0119 do przetwarzania szczeg\u00f3lnej kategorii danych osobowych\u2014tzw. danych wra\u017cliwych (art. 27 ust. 2 pkt 1). W pozosta\u0142ych przypadkach dostateczna jest zgoda ustna. Musi by\u0107 ona jednak wyra\u017cona ze \u015bwiadomo\u015bci\u0105 wynikaj\u0105cych z niej tak korzystnych, jak i nie korzystnych konsekwencji.
\nZgoda nie powinna mie\u0107 charakteru abstrakcyjnego, nie mo\u017ce doty-czy\u0107 przetwarzania danych osobowych w og\u00f3le. Chodzi zatem o to, by odnosi\u0142a si\u0119 do skonkretyzowanego stanu faktycznego, obejmowa\u0142a tylko okre\u015blone dane oraz sprecyzowany spos\u00f3b i cel ich przetwarzania. Zgoda mo\u017ce mie\u0107 b\u0105d\u017a charakter bezterminowy, b\u0105d\u017a zezwala\u0107 na przetwarzanie danych jedynie przez oznaczony okres.<\/p>\n
35.Na temat zgody zob. te\u017c komentarz do art. 23 (zw\u0142aszcza pkt 5-11.)<\/p>\n
36.Definicja \u201eodbiorcy danych” wprowadzona zosta\u0142a do ustawy nowelizacj\u0105 z dnia 22 stycznia 2004 r. Poj\u0119cie to obejmuje podmioty, kt\u00f3rym dane osobowe s\u0105 udost\u0119pniane. Ustawa nie definiuje poj\u0119cia \u201eudost\u0119pnianie danych”, zalicza je do szerokiego zakresu przetwarzania danych (na ten temat por. uwagi zamieszczone powy\u017cej). Definicja wzorowana jest na przepisie art. 2 lit. g) dyrektywy 95\/46\/WE.<\/p>\n
Z zakresu poj\u0119cia \u201eodbiorcy danych” wy\u0142\u0105czone s\u0105 jednak niekt\u00f3re kategorie podmiot\u00f3w, a mianowicie: osoby, kt\u00f3rych dane dotycz\u0105; osoby upowa\u017cnione do przetwarzania danych (dopuszczone do przetwarzania danych zgodnie z art. 37) przedstawiciele administrator\u00f3w danych maj\u0105cych siedzib\u0119 na terytorium pa\u0144stwa trzeciego, przetwarzaj\u0105cych dane przy wykorzystaniu \u015brodk\u00f3w technicznych znajduj\u0105cych si\u0119 na terytorium RP (wyznaczeni zgodnie z art. 31a); podmioty, kt\u00f3re przetwarzaj\u0105 dane na podstawie umowy z administratorem (zgodnie z art. 31), a tak\u017ce organy pa\u0144stwowe oraz organy samorz\u0105du terytorialnego, kt\u00f3rym dane s\u0105 udost\u0119pniane w zwi\u0105zku z prowadzonym post\u0119powaniem.” Zgodnie z brzmieniem art; 23 ust. 1 pkt 5 po nowelizacji z 2004 r., przetwarzanie danych jest dopuszczalne, gdy jest to niezb\u0119dne dla wype\u0142nienia prawnie usprawiedliwionych cel\u00f3w realizowanych przez administrator\u00f3w – danych albo odbiorc\u00f3w danych, a przetwarzanie nie narusza praw i wolno\u015bci osoby, kt\u00f3rej dane dotycz\u0105. Oznacza to, i\u017c tzw. klauzula usprawiedliwionego celu obejmuje tak\u017ce podmioty, kt\u00f3rym dane s\u0105 udost\u0119pniane, z wy\u0142\u0105czeniem jednak podmiot\u00f3w, kt\u00f3re zgodnie z art. 7 pkt 6 nie s\u0105 uznawane za odbiorc\u00f3w danych.<\/p>\n
Konsekwencj\u0105 wprowadzenia omawianego poj\u0119cia, a raczej wy\u0142\u0105cze\u0144 w tym zakresie, jest tak\u017ce wy\u0142\u0105czenie obowi\u0105zk\u00f3w (okre\u015blonych w art 24,: ust. 1 pkt 2 oraz art. 25 ust. 1 pkt 2, a tak\u017ce uprawnienia z art. 32 ust. 1 pkt 5) dotycz\u0105cych informowania osoby, kt\u00f3rej dane dotycz\u0105, o podmiotach, kt\u00f3rym udost\u0119pniane s\u0105 dane, je\u017celi podmioty te nie s\u0105 odbiorcami danych. Innymi s\u0142owy administrator danych nie musi informowa\u0107 osoby, kt\u00f3rej dane dotycz\u0105, o udost\u0119pnieniu jej danych podmiotom, kt\u00f3re nie zosta\u0142y zaliczone do kategorii odbiorc\u00f3w danych, ani odnotowywa\u0107 faktu udost\u0119pnienia danych tym podmiotom. Administrator nie ma tak\u017ce obowi\u0105zku wskazywania obj\u0119tych wy\u0142\u0105czeniem podmiot\u00f3w, kt\u00f3rym udost\u0119pnia dane, w zg\u0142oszeniu zbioru danych osobowych do rejestracji zgodnie z art. 41 ust. 1.
\nOdbiorcy nie nale\u017cy uto\u017csamia\u0107 z poj\u0119ciem \u201eosoby trzeciej”, cho\u0107 s\u0105 to niew\u0105tpliwie poj\u0119cia zbli\u017cone. Szerzej na ten temat por. pkt 4 komentarza do art 29.
\n37. Kolejnym nowym poj\u0119ciem, kt\u00f3re zosta\u0142o wprowadzone do usta- wy na mocy noweli z dnia 22 stycznia 2004 r., jest poj\u0119cie pa\u0144stwa trzeciego. Zgodnie z art. 7 pkt 7 pod tym poj\u0119ciem rozumie si\u0119 pa\u0144stwo nienale\u017c\u0105ce do Europejskiego Obszaru Gospodarczego.
\nWprowadzenie komentowanego przepisu do ustawy jest konsekwencj\u0105 przyst\u0105pienia Polski do Unii Europejskiej. Do podstawowych za\u0142o\u017ce\u0144 dyrektywy 95\/46\/WE zalicza si\u0119 d\u0105\u017cenie do ujednolicenia poziomu ochrony w pa\u0144stwach cz\u0142onkowskich Unii Europejskiej oraz zapewnienie swobodnego przep\u0142ywu danych osobowych na obszarze Wsp\u00f3lnoty. Gdy chodzi o przekazywanie danych osobowych pomi\u0119dzy pa\u0144stwami, dyrektywa rozr\u00f3\u017cnia pa\u0144stwa cz\u0142onkowskie i inne pa\u0144stwa (pa\u0144stwa trzecie). Polska ustawa wprowadz\u0105 podobne rozr\u00f3\u017cnienie, definiuj\u0105c poj\u0119cie pa\u0144stwa trzeciego.
\nPa\u0144stwami trzecimi nie s\u0105, zgodnie z komentowanym przepisem, pa\u0144 stwa nale\u017c\u0105ce do Europej skiego Obszaru Gospodarczego\u2014EOG (European Economic Area \u2014 EEA). EOG tworz\u0105 pa\u0144stwa cz\u0142onkowskie Unii Europejskiej (po rozszerzeniu 25 pa\u0144stw: Austria, Belgia, Cypr, Czechy, Dania, Estonia, Finlandia, Pranej a, Grecj a, Hiszpania, Holandia, Irlandia, Litwa, Luksemburg, \u0141otwa, Malta, Niemcy, Polska, Portugalia, S\u0142owacja, S\u0142owenia, Szwecja, W\u0119gry, Wielka Brytania oraz W\u0142ochy), a tak\u017ce trzy pa\u0144stwa cz\u0142onkowskie Europejskiego Stowarzyszenia Wolnego Handlu (European Free Trade Association \u2014 EFTA): Islandia, Lichtenstein i Norwegia, kt\u00f3re zobowi\u0105za\u0142y si\u0119 dostosowa\u0107 cz\u0119\u015b\u0107 swego ustawodawstwa do prawa Wsp\u00f3lnot Europejskich i dzi\u0119ki temu traktowane s\u0105 tak jak pa\u0144stwa cz\u0142onkowskie UE. Podstawowym celem EOG jest ustanowienie swobodnego przep\u0142ywu towar\u00f3w, kapita\u0142u, pracownik\u00f3w oraz us\u0142ug mi\u0119dzy pa\u0144stwami cz\u0142onkowskimi. Pa\u0144stwa EFTA, kt\u00f3re przyst\u0105pi\u0142y do EOG, nie uczestnicz\u0105 jednak we wsp\u00f3lnej polityce rolnej Wsp\u00f3lnot Europejskich.
\nPa\u0144stwa, kt\u00f3re nie nale\u017c\u0105 do EOG, s\u0105 w rozumieniu ustawy pa\u0144stwami trzecimi. Zgodnie z postanowieniami dyrektywy przep\u0142yw danych osobowych pomi\u0119dzy pa\u0144stwami cz\u0142onkowskimi ma odbywa\u0107 si\u0119 w spos\u00f3b wolny (przekazywanie danych z Polski do pa\u0144stwa nale\u017c\u0105cego do EOG traktowane by\u0107 powinno tak jak przekazywanie danych na terytorium naszego kraju), natomiast transfer danych do pa\u0144stw trzecich podlega ograniczeniom. Zasada ta ma swoje odzwierciedlenie w przepisach ustawy dotycz\u0105cych przekazywania danych osobowych do pa\u0144stwa trzeciego.
\nKomentowana definicja ma istotne znaczenie w kontek\u015bcie przepis\u00f3w dotycz\u0105cych zakresu stosowania ustawy (art. 3 ust. 2), obowi\u0105zku wyznaczenia przedstawiciela (art. 31a) oraz przepis\u00f3w rozdzia\u0142u 7 dotycz\u0105cych przekazywania danych osobowych do pa\u0144stwa trzeciego (art. 47-48). Szerzej na ten temat por. komentarz do wskazanych tu przepis\u00f3w ustawy.<\/p>\n","protected":false},"excerpt":{"rendered":"
Janusz Barta, Pawe\u0142 Fajgielski, Ryszard Markiewicz Wydawnictwo Wolters Kluwer business. Wydanie IV. 2008<\/p>\n