Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych i prawa osób fizycznych, których dane osobowe są (lub mogą być) przetwarzane w zbiorach danych. Ustawę stosuje się do każdej formy przetwarzania danych, w tym w formach tradycyjnych (kartotekach, zbiorach ewidencyjnych, itp.), jak i w systemie informatycznym, zarówno przez organy publiczne i osoby prywatne.

Nieliczne wyjątki dotyczą osób fizycznych, wykorzystujących dane do celów osobistych lub domowych oraz podmiotów zagranicznych, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych (art. 2. ustawy o ochronie danych osobowych, dalej ustawy).
Definicje i podstawowe pojęcia

Dane osobowe. W rozumieniu ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeśli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6. ust.).

Zbiór danych. Każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych wg określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Przetwarzanie danych. Jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

System informatyczny. Zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

Administrator danych. Organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych.

Zgoda osoby, której dane dotyczą. ¦wiadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
@@

Obowiązki administratora

Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

• osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (zgoda może obejmować także przetwarzanie danych w przyszłości, jeśli nie zmienia się cel przetwarzania. Jeśli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.),
• jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
• jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
• jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23. ust.).

Za prawnie usprawiedliwiony cel, o którym mowa w ostatnim punkcie, uważa się w szczególności:

– marketing bezpośredni własnych produktów lub usług administratora danych,
– dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej,
– dokonywanie innych czynności związanych z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Do legalnego przetwarzania danych osobowych wystarczy wypełnienie jednej ze wskazanych przesłanek. Np. wypełnienie jednej z przesłanek wskazanych w pkt 2-5 zwalnia administratora z konieczności uzyskania zgody osoby, której dane dotyczą.
Z brzmienia art. 23. i analizy całej ustawy można wyprowadzić ogólną zasadę: wszelkie przetwarzanie danych, które nie jest dozwolone, jest zakazane. Ustawa w sposób taksatywny wyszczególnia okoliczności, które tworzą warunki niezbędne do legalizacji przetwarzania danych osobowych. Należy zwrócić uwagę, że nie jest natomiast przesłanką legalizującą fakt, iż przetwarzane dane pochodzą z powszechnie dostępnych źródeł. Nie istnieje żadne generalne upoważnienie do przetwarzania takich danych. Przepis ten stanowi też podstawę legalizującą przetwarzanie danych osobowych w trakcie różnorakich procedur prowadzących do zawarcia umowy, w tym procedury przetargowej, konkursowej i ewentualnie, w przypadku gdy w grę wchodzą umowy przedwstępne albo porozumienia (umowy) ramowe. Zawarcie umowy musi być zamierzone lub co najmniej zakładane.

Kolejną istotną możliwość gromadzenia danych osobowych bez zgody osób, których te dane dotyczą, wiąże się z dochodzeniem roszczeń z tytułu prowadzonej działalności gospodarczej.
Ograniczeniem w przetwarzaniu danych na wskazanych podstawach jest ich niezbędność dla określonego celu. Z kolei przetwarzanie danych wykraczających poza niezbędne informacje do realizacji umowy i dochodzenia roszczeń z tytułu działalności gospodarczej wymaga zgody osoby, której dane dotyczą – o ile nie jest spełniona inna przesłanka umożliwiająca ich przetwarzanie, np. przesłanka wskazana w pkt 2. lub 4.

Informowanie osoby, której dane dotyczą

Zgodnie z art. 24. ust., w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
• adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna, o miejscu swojego zamieszkania oraz imieniu i nazwisku,
• celu zbierania danych (w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych),
• prawie dostępu do treści swoich danych i ich poprawiania,
• dobrowolności albo obowiązku podania danych, a jeśli taki obowiązek istnieje, o jego podstawie prawnej.

Przyjmuje się, że przepisu tego nie stosuje się, gdy sam zainteresowany z własnej inicjatywy dostarcza administratorowi swe dane osobowe.

Zgłoszenie zbioru Generalnemu Inspektorowi Danych Osobowych

Co do zasady administrator danych może rozpocząć ich przetwarzanie w zbiorze danych dopiero po zgłoszeniu tego zbioru Generalnemu Inspektorowi. Zaś w przypadku danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową oraz danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym – dopiero po zarejestrowaniu zbioru (art. 46. ust.).

Przetwarzanie (a zwłaszcza zbieranie i przechowywanie) danych osobowych jest dozwolone – bez zgłoszenia z art. 46. – do czasu powstania zbioru danych, dla którego są one przeznaczone, czyli do czasu wprowadzenia kryterium segregowania i wyszukiwania danych.

Ustawa wyłącza konieczność zgłoszenia zbiorów, m.in. względem danych:
• przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
• przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
• powszechnie dostępnych (art. 43. ust.).

Jeśli dane osobowe są powszechnie dostępne, brak jest konieczności zgłaszania danych. To samo dotyczy danych przetwarzanych wyłącznie do celów rozliczeń oraz danych pracowników i osób zatrudnionych na podstawie umów cywilnoprawnych (zlecenia, o dzieło, o świadczenie usług). Należy jednak podkreślić, że w przypadku gdyby zbiory danych tworzone w celach rozliczeniowych miały być wykorzystywane także w innych celach (np. marketingowych), wówczas zbiory powinny być zgłoszone do rejestracji, chyba że gromadzone w nich dane są powszechnie dostępne.

Uprawnienia kontrolne Generalnego Inspektora

Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, mają prawo:
• wstępu, w godzinach od 6:00 do 22:00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,
• żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
• wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,
• przeprowadzania oględzin urządzeń, nośników i systemów informatycznych służących do przetwarzania danych,
• zlecać sporządzanie ekspertyz i opinii (art. 14. ust.).

Kierownik kontrolowanej jednostki organizacyjnej i kontrolowana osoba fizyczna będąca administratorem danych osobowych są zobowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności umożliwić przeprowadzenie czynności i spełnić żądania, o których mowa wyżej.

Na podstawie ustaleń kontroli, inspektor może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i poinformowania go (w określonym terminie) o wynikach tego postępowania i podjętych działaniach. W przypadku naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem (art. 17. i 18. ust.).

Zasady przetwarzania danych

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest zobowiązany zapewnić, aby dane te były:
przetwarzane zgodnie z prawem,
zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Ad. 1. Nie chodzi o zgodność wyłącznie z niniejszą ustawą (art. 23.), ale z wszelkimi normami prawa, zarówno istniejącymi w momencie wejścia w życie ustawy, jak i tymi, które zostały wprowadzone do porządku prawnego później. Zgodność z prawem dotyczy przestrzegania przepisów prawa materialnego i przepisów dotyczących postępowania.

Ad. 2. Z zastrzeżenia przewidującego obowiązek wyraźnego oznaczenia celu, dla którego dane mają być przetwarzane, wyprowadzane są wnioski, iż:
- oznaczenie powinno być realizowane z reguły być w formie pisemnej, gdyż ułatwia to dokonywanie ocen co do przestrzegania „zasady związania celem”;
- wszelkie niejasności w zakresie wyznaczenia celu i jego zakresu należy interpretować na korzyść osoby, której dane są przetwarzane (lub z drugiej strony: na niekorzyść administratora), w tym znaczeniu, że osoba ta powinna mieć możność zadecydowania o „spornym” wykorzystaniu jej danych.

Ad. 3. Jak się zauważa w literaturze, wymóg zapewnienia merytorycznej poprawności danych osobowych przez administratora wiąże się z obowiązkiem uwzględniania przez niego m.in. następujących okoliczności:
- znaczenia ewentualnej niedokładności danych z perspektywy osoby, której one dotyczą,
- oceny wiarygodności źródła pozyskiwania danych,
- konieczności wypracowania trybu weryfikowania prawdziwości danych w odniesieniu do poszczególnych ich kategorii i zasad postępowania w przypadku stwierdzenia nieprawdziwości danych; chodzi tu m.in. o powiadomienie o błędnej informacji osób trzecich, którym dane przekazano.

Ad. 4. W przypadku gdy zapisanie (zgromadzenie) danych ma źródło w relacji istniejącej między danymi osobowymi (czy osobą) a administratorem danych, należy przyjąć obowiązek ich usunięcia w sytuacji wygaśnięcia tej relacji. Np. dotyczy to sytuacji ustania stosunku zatrudnienia lub zaprzestania dokonywania transakcji z daną osobą. Wskazuje się przy tym, że niekiedy powstaje wówczas obowiązek usunięcia jedynie części danych, ze względu na celowość utrzymania informacji koniecznych dla obrony interesów administratora, w przypadku ewentualnego podniesienia roszczeń przeciwko niemu przez daną osobę.

¬ródło: Gazeta Małych i ¦rednich Przedsiębiorstw, www.gazeta-msp.pl