Zasady przetwarzania danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych, określa ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. nr 101, poz. 926, z późn. zm.; dalej jako: ustawa) oraz wydane na jej podstawie akty wykonawcze – rozporządzenia Ministra Spraw Wewnętrznych i Administracji.
1. Rozporządzenie z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
(Dz.U. nr 100, poz. 1024) – wydane na podstawie art. 39a ustawy – określa:
• sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
• podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
• wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.
2. Rozporządzenie z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. nr 100, poz. 1025) – wydane na podstawie art. 46a ustawy – określa wzór zgłoszenia, który jest załącznikiem do tego rozporządzenia.
3. Rozporządzenie z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. nr 94, poz. 923) – wydane na podstawie art. 22a ustawy – określa wzory, o których mówi to rozporządzenie.
Na system ochrony danych osobowych składają się też wszystkie inne przepisy szczególne, które regulują kwestie wykorzystywania danych osobowych. Podmioty publiczne, w myśl zasady praworządności, wyrażonej w art. 7 Konstytucji Rzeczypospolitej Polskiej, działają
wyłącznie na podstawie i w granicach prawa. Oznacza to, że mogą one przetwarzać dane osobowe jedynie wtedy, gdy służy to wypełnieniu określonych prawem zadań, obowiązków i upoważnień.
Zakres podmiotowy
1. Podmioty publiczne
- organy państwowe (np. NIK, Sejm, Senat, ZUS),
- organy samorządu terytorialnego (np. wójt, burmistrz, prezydent miasta),
- państwowe i komunalne jednostki organizacyjne (np. miejskie zakłady oczyszczania, miejskie zakłady komunikacji).
2. Podmioty prywatne
- podmioty niepubliczne realizujące zadania publiczne (np. prywatne zakłady opieki zdrowotnej, prywatne szkoły itd.),
- osoby fizyczne (bez względu na narodowość, obywatelstwo, zdolność do czynności prawnych, wiek itp.),
- osoby prawne (np. stowarzyszenia, spółdzielnie, fundacje) i jednostki organizacyjne niebędące osobami prawnymi (np. niemające osobowości prawnej spółki prawa handlowego).
Ustawa nie ma zastosowania w przypadkach:
- osób nieżyjących – ze względu na ochronę powszechnych dóbr osobistych (kult pamięci osoby zmarłej),
- informacji o przedsiębiorcach w zakresie, w jakim identyfikują podmiot w obrocie gospodarczym i ściśle wiążą się z prowadzeniem działalności gospodarczej,
- osób fizycznych, prawnych i jednostek organizacyjnych niebędących osobami prawnymi, o ile nie przetwarzają danych w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych,
- podmiotów mających siedzibę albo miejsca zamieszkania w państwie trzecim (tj. nienależącym do Europejskiego Obszaru Gospodarczego), wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych,
- osób fizycznych, które wykorzystują dane wyłącznie w celach osobistych lub domowych.
Zakres przedmiotowy
1. Przetwarzanie danych osobowych w zbiorach prowadzonych w systemie papierowym (kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych).
2. Przetwarzanie danych osobowych w systemach informatycznych, także w przypadku przetwarzania danych osobowych poza zbiorem.
Ustawa nie ma zastosowania w przypadkach:
- przetwarzania danych osobowych w zbiorach doraźnych (tworzonych wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych), które po wykorzystaniu podlegają obowiązkowi niezwłocznego usunięcia albo anonimizacji – wyjątkiem są przepisy dotyczące zabezpieczenia takich zbiorów przez okres ich funkcjonowania (rozdział 5 ustawy),
- działalności dziennikarskiej w rozumieniu prawa prasowego, działalności literackiej lub artystycznej, za wyjątkiem przepisów dotyczących zabezpieczeń i umożliwiających organowi ochrony danych osobowych pozyskanie wyjaśnień oraz złożenie zawiadomienia o popełnieniu przestępstwa, o ile wolność wyrażania poglądów i rozpowszechniania informacji nie narusza istotnie praw i wolności osoby, której dane dotyczą,
- umowy międzynarodowej, której stroną jest Rzeczypospolita – jeżeli ta umowa stanowi inaczej,
- istnienia odrębnych ustaw, które odnoszą się do przetwarzania danych, a przewidują dalej idącą ich ochronę, niż wynika to z ustawy o ochronie danych osobowych (stosuje się wówczas przepisy tych ustaw).
Definicja danych osobowych znajduje się w art. 6 ustawy. Danymi osobowymi są wszelkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować, chociaż nie jest ona wyraźnie wskazana. Możliwą do zidentyfikowania jest taka osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Do danych osobowych zalicza się więc nie tylko imię, nazwisko i adres osoby, ale również przypisane jej numery, dane o cechach fizjologicznych, umysłowych, ekonomicznych, kulturowych i społecznych.
Danymi osobowymi nie będą zatem pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem czy numerem PESEL, które w konsekwencji można odnieść do konkretnej osoby.
Przykładem pojedynczej informacji stanowiącej dane osobowe jest numer PESEL
Numer ten, zgodnie z art. 31a ust. 1 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (tekst jedn. Dz.U. z 2006 r. nr 139, poz. 993, z późn. zm.), jest 11-cyfrowym, stałym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną,
w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną, służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego. Numer ten, występując nawet bez zestawienia z innymi informacjami o osobie, stanowi dane osobowe, a ich przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych.
Adres poczty elektronicznej
Adres poczty elektronicznej – bez dodatkowych informacji, umożliwiających ustalenie tożsamości osoby – zasadniczo nie stanowi danych osobowych. Występujący samodzielnie adres poczty elektronicznej można w wyjątkowych przypadkach uznać za dane osobowe, ale
tylko wtedy, gdy elementy jego treści pozwalają, bez nadmiernych kosztów, czasu lub działań – na ustalenie na ich podstawie tożsamości danej osoby. Dzieje się tak w sytuacji, gdy elementami treści adresu są np. imię i nazwisko jego właściciela.
Dane szczególnie chronione
Dane szczególnie chronione wyliczone są w art. 27 który brzmi:
Art. 27. 1. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:
1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,
2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,
3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych,
5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,
9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
Dane „zwykłe”
Nie jest to pojęcie zdefiniowane w ustawie o ochronie danych osobowych, ale tak nazywane są dane osobowe poza wymienionymi w art. 27 ust. 1 ustawy. Zaliczamy do nich np. imię, nazwisko, adres zamieszkania, datę urodzenia, nr PESEL.
Danymi osobowymi nie są informacje o osobach zmarłych
Firmy, urzędy i instytucje publiczne, odmawiając udzielenia informacji o osobach zmarłych, powołują się na ustawę o ochronie danych osobowych. Ustawa o ochronie danych osobowych nie może jednak stanowić podstawy takiej odmowy, ponieważ nie dotyczy ona
osób zmarłych.
Przepisów ustawy o ochronie danych osobowych nie stosuje się do informacji o przedsiębiorcach
Zakresem przedmiotowym ustawy o ochronie danych osobowych objęte są wyłącznie dane dotyczące osób fizycznych. Jej przepisów nie stosuje się natomiast do przetwarzania informacji o innych podmiotach, w szczególności o osobach prawnych, jednostkach organizacyjnych nieposiadających osobowości prawnej oraz podmiotach prowadzących działalność gospodarczą na podstawie przepisów ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz.U. nr 173, poz. 1807, z późn. zm.) – w takim zakresie, w jakim dane te identyfikują podmiot w obrocie gospodarczym i ściśle wiążą się z prowadzoną przez niego działalnością gospodarczą.
Przetwarzanie danych „zwykłych”
Każde przetwarzanie zwykłych danych osobowych, czyli dokonywanie na nich jakichkolwiek operacji, np. ich przechowywanie, wykorzystywanie, udostępnianie, zmienianie, należy uzasadnić spełnieniem jednego z warunków określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Należy podkreślić, że wymienione w art. 23 ust. 1 ustawy warunki są rozłączne. Oznacza to, że aby wykorzystywanie danych można było uznać za działanie legalne, wystarczające jest spełnienie jednego z nich, a nie wszystkich łącznie. Jeśli zatem wykorzystywanie danych służy realizacji uprawnienia lub obowiązku określonego w przepisach prawa, to nie jest potrzebne dodatkowo żądanie zgody osoby na wykorzystywanie danych, ani uzasadnianie, że przetwarzanie danych służy dobru publicznemu lub niezbędnym celom administratora danych. W szczególności: żądanie zgody wówczas, gdy wykorzystywanie danych służy realizacji normy prawnej, wprowadza w błąd. Sugeruje bowiem możliwość wyboru, podczas gdy przekazanie danych jest obowiązkiem, bez którego cel pozyskania danych nie mógłby zostać zrealizowany.
Przetwarzanie danych osobowych jest możliwe, jeśli:
Osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.
Jeśli zgoda jest wymagana, to należy pamiętać w szczególności o jej definicji – określonej w art. 7 pkt 5 ustawy – i jasnym formułowaniu treści ewentualnych klauzul zgody na przetwarzanie danych, a także na wyodrębnianie tych klauzul z treści innych oświadczeń woli składanych przez osobę, której dane dotyczą.
Ponadto z przepisu tego nie wynika, aby zgoda na wykorzystywanie danych osobowych musiała mieć formę pisemną. Zaleca sięją jednak ze względów dowodowych oraz ze względu na wymagania przepisów szczególnych, np. Kodeksu postępowania administracyjnego. Pisemna zgoda jest natomiast wymagana w przypadku danych szczególnie chronionych.
Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Warunek ten najczęściej uzasadnia wykorzystywanie danych przez podmioty publiczne. Działają one w ramach określonych przepisami prawa i podejmują czynności w celu wykonania nałożonych na nie zadań i realizacji kompetencji. Przetwarzanie przez nie danych osobowych będzie zawsze uzasadnione, jeśli będzie służyło wykonaniu prawnie określonych uprawnień i obowiązków.
Pojawia się tu zatem zagadnienie mnogości norm odnoszących się do przetwarzania danych. Okazuje się bowiem, że kwestie dopuszczalności wykorzystywania danych regulują przepisy określające kompetencje poszczególnych instytucji i podmiotów. Te szczególne wobec ustawy o ochronie danych osobowych przepisy dają odpowiedź na pytania, w jaki sposób, w jakich okolicznościach i przy zachowaniu jakich procedur podmioty publiczne mogą z danych osobowych korzystać. Np. zasady prowadzenia ewidencji ludności, udostępniania danych z ewidencji oraz właściwe w tym zakresie organy określa ustawa z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (tekst jedn. Dz.U. z 2006 r. nr 139, poz. 993). Do określonych tam przepisów i procedur będą odwoływały się zarówno podmioty, którym ustawa ta przyznaje w związku z prowadzeniem ewidencji ludności określone uprawnienia, jak i osoby oraz podmioty zwracające się o udostępnienie danych z ewidencji.
Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.
Jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przy czym, zgodnie z art. 23 ust. 4 ustawy o ochronie danych osobowych, tym prawnie usprawiedliwionym celem jest w szczególności marketing własnych produktów lub usług administratora danych bądź dochodzenie roszczeń z prowadzonej przez niego działalności gospodarczej..
Przetwarzanie danych szczególnie chronionych
Wykorzystywanie danych podlegających szczególnej ochronie, co do zasady, jest zabronione z mocy art. 27 ust. 1 ustawy. Z danych tych może jednak korzystać ten administrator, który wykaże, że znajduje sięw jednej z wyjątkowych sytuacji, opisanych w art. 27 ust. 2 ustawy.
Przetwarzanie takich danych jest dopuszczalne, jeśli wyrazi na to pisemną zgodę osoba, której one dotyczą (art. 27 ust. 2 pkt 1) lub zezwala na to przepis szczególny innej ustawy, dający pełne gwarancje ochrony tych danych (art. 27 ust. 2 pkt 2). Przetwarzanie danych szczególnie chronionych dopuszcza się również, jeśli następuje ono w celu ochrony żywotnych interesów osoby, której dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, fizycznie lub prawnie nie jest w stanie wyrazić zgody, do czasu ustanowienia opiekuna prawnego albo kuratora (art. 27 ust. 2 pkt 3); gdy jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i że zapewnione są pełne gwarancje ochrony przetwarzanych danych (art. 27 ust. 2 pkt 4); gdy dotyczy danych, które są niezbędne do dochodzenia praw przed sądem (art. 27 ust. 2 pkt 5); gdy przetwarzanie jest niezbędne do wykonania zadań administratora związanych z zatrudnieniem pracowników i innych osób, a zakres danych jest określony w ustawie (art. 27 ust. 2 pkt 6); gdy jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych (art. 27 ust. 2 pkt 7); gdy dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą (art. 27 ust. 2 pkt 8); gdy jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, przy czym publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone (art. 27 ust. 2 pkt 9); wtedy gdy przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym (art. 27 ust. 2 pkt 10).
Kontrola z urzędu – wykonywana jest z inicjatywy własnej Generalnego Inspektora. Stanowi ona konsekwencję obowiązku zrealizowania zadań kontrolnych nałożonych przez ustawę, w szczególności w toku postępowań rejestracyjnych prowadzonych przez Departament Rejestracji Zbiorów Danych Osobowych oraz w toku rozpatrywania skarg przez Departament Legislacji, Orzecznictwa i Skarg.
Kontrola na wniosek – pozostaje również w sferze wykonywania zadań kontrolnych przez Generalnego Inspektora, natomiast inspiracja do podjęcia i prowadzenia określonej kontroli pochodzi z zewnątrz, od innego podmiotu (np. Najwyższej Izby Kontroli, Państwowej Inspekcji Pracy, prokuratury, związków zawodowych, pracodawców, osoby fi zycznej).
Kontrola kompleksowa – dotyczy wszystkich zbiorów danych osobowych prowadzonych przez kontrolowanego administratora danych oraz obejmuje swoim zakresem wszystkie wymogi określone w przepisach o ochronie danych osobowych, mające zastosowanie w działalności danego podmiotu.
Kontrola częściowa – dotyczy zwykle poszczególnych zagadnieńw procesie przetwarzania danych będących przedmiotem skargi, np. legalności pozyskiwania danych skarżącego bądź sposobu dopełnienia obowiązku informacyjnego wobec skarżącego, czy też problemów pojawiających się w toku postępowań rejestracyjnych, np. podstawy prawnej, zakresu danych, celu przetwarzania danych – czyli zgodności informacji podanych w zgłoszeniu zbioru ze stanem faktycznym. Przedmiotem kontroli może też być wyłącznie kwestia zabezpieczenia danych osobowych, dopełnienie obowiązku rejestracyjnego lub tym podobne.
Bibliografia:
ABC zasad kontroli przetwarzania danych osobowych
ABC wybranych zagadnień z ustawy o ochronie danych osobowych
ABC ochrony danych osobowych
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
www.giodo.gov.pl
www.edugiodo.giodo.gov.pl
Treść zweryfikowana i sprawdzona
Zgodnie z misją, Redakcja serwisu dokłada wszelkich starań, aby dostarczać rzetelne i sprawdzone treści edukacyjne.
Dodatkowe oznaczenie "Sprawdzona treść" wskazuje, że dany materiał został zweryfikowany przez Redakcję lub ekspertów współpracujących z serwisem.
Weryfikacja tekstu odbywa się na następujących poziomach:
1. Sprawdzenie tekstu pod kątem ewentualnych błędów ortograficznych, stylistycznych, interpunkcyjnych lub innych.
2. Weryfikacja tekstu pod kątem błędów rzeczowych.
3. Sprawdzenie materiału pod kątem ich aktualności.
Dodatkowe oznaczenie "Sprawdzona treść" wskazuje, że dany materiał został zweryfikowany przez Redakcję lub ekspertów współpracujących z serwisem.
Weryfikacja tekstu odbywa się na następujących poziomach:
1. Sprawdzenie tekstu pod kątem ewentualnych błędów ortograficznych, stylistycznych, interpunkcyjnych lub innych.
2. Weryfikacja tekstu pod kątem błędów rzeczowych.
3. Sprawdzenie materiału pod kątem ich aktualności.