Barta Janusz, Fajgielski Paweł, Markiewicz Ryszard, Ochrona danych osobowych. Komentarz, wyd. VI
Ochrona danych osobowych. Komentarz, wyd. VI
OD AUTORÓW
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2014 r. poz. 1182 z późn. zm.) wprowadziła uregulowania dotychczas całkowicie nieznane polskiemu systemowi prawnemu. Ta okoliczność oraz fakt, że mamy tu do czynienia ze skomplikowaną materią prawną, spowodowały, iż od samego początku stosowanie wspomnianej ustawy wywoływało i nadal wywołuje wiele problemów oraz wątpliwości. Z tych samych powodów dorobek polskiej doktryny na tym polu jest raczej skromny.
Taki stan rzeczy skłonił nas do podjęcia próby napisania komentarza do ustawy o ochronie danych osobowych. Przygotowując go, korzystaliśmy z zagranicznego piśmiennictwa dotyczącego podobnych aktów prawnych, a także z literatury i komentarzy do dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, s. 31; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, s. 355, z późn. zm.), która wywarła niewątpliwie znaczący wpływ na ostateczny efekt prac legislacyjnych w naszym kraju. Staraliśmy się również w możliwie jak najszerszym zakresie uwzględnić wyjaśnienia i opinie formułowane przez Generalnego Inspektora Ochrony Danych Osobowych, a także poglądy prezentowane w rodzimych publikacjach naukowych.
Postanowiliśmy przy tym wyjść poza typowe dla komentarzy założenia sprowadzające się do analizowania poszczególnych przepisów ustawy. Uznaliśmy za celowe dodanie wstępu, który by prezentował ustawę na tle całego systemu prawnego, mówił o jej założeniach, o niektórych ogólnych problemach związanych z ochroną danych osobowych, a jednocześnie konfrontował przyjęte w Polsce rozwiązania prawne z innymi (międzynarodowymi, unijnymi) regulacjami.
Kończąc, chcielibyśmy złożyć podziękowanie pierwszemu Generalnemu Inspektorowi Ochrony Danych Osobowych - Pani Minister E. Kuleszy - za wyrażenie zgody na wykorzystanie w niniejszej publikacji dokumentów zamieszczonych na stronie internetowej GIODO. Wyrażamy także wdzięczność Panu Dr. Włodzimierzowi Wróblowi za konsultację w kwestii skomentowania zamieszczonych w ustawie przepisów karnych.
Podziękowania chcielibyśmy złożyć również Pani Redaktor Katarzynie Rybczyńskiej za trud włożony w opracowanie tej książki.
Chcemy też zaznaczyć, że badania, które zaowocowały napisaniem niniejszego komentarza, prowadzone były w ramach realizacji finansowanego przez Komitet Badań Naukowych projektu badawczego pt. "Ochrona baz danych osobowych".
W trzecim wydaniu uwzględniliśmy przede wszystkim nowelizację mocą ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285) oraz nowe rozporządzenia wykonawcze do ustawy.
Czwarte wydanie komentarza zostało zaktualizowane w zakresie odpowiadającym zmianom stanu prawnego oraz uzupełnione w obszarze stale powiększającego się dorobku doktryny i orzecznictwa. Staraliśmy się również poszerzyć uwagi odnoszące się do problematyki, która sprawia najwięcej problemów w praktyce stosowania ustawy. Dotyczy to w szczególności obowiązków związanych z zabezpieczeniem i dokumentacją przetwarzania danych. Z uwagi na wzrost zainteresowania problematyką przekazywania danych do państw trzecich przedstawiliśmy także tzw. standardowe klauzule umowne. Przy analizie zagadnień związanych z rejestracją zbiorów danych uwzględniliśmy również nowe możliwości, jakie stwarza w tym zakresie elektroniczna platforma komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych.
W piątym wydaniu komentarza uwzględnione zostały zmiany dokonane w ustawie o ochronie danych osobowych na mocy kilku nowelizacji, w tym przede wszystkim ustawy z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. Nr 229, poz. 1497), oraz liczne zmiany innych przepisów odnoszących się do problematyki ochrony danych osobowych. Ponadto analizy zawarte w niniejszym opracowaniu zostały wzbogacone o przedstawienie poglądów prezentowanych w najnowszych publikacjach i orzecznictwie.
W kolejnych latach komentowana ustawa była kilkakrotnie nowelizowana, co znalazło odzwierciedlenie w niniejszym - szóstym wydaniu komentarza. Omówione zostały zmiany wprowadzone w ustawie o ochronie danych osobowych, w tym w szczególności przepisy nowelizacji dokonanej ustawą z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. poz. 1662). W tym okresie powiększył się także dorobek doktryny i orzecznictwa, w związku z tym najważniejsze publikacje i orzeczenia dotyczące ochrony danych osobowych zostały przedstawione w komentarzu.
Janusz Barta
Paweł Fajgielski
Ryszard Markiewicz
Kraków-Lublin, czerwiec 2015 r.
CZĘŚĆ PIERWSZA. WSTĘP
A.Wprowadzenie
1. Regulacje prawne dotyczące tworzenia i wykorzystywania zbiorów danych osobowych stały się w latach 70. przedmiotem zainteresowania prawników, a także ustawodawców. Zaczęły się pojawiać ustawy wycinkowe, fragmentaryczne (jak np. w USA Fair Credit Reporting Act - dotyczący posługiwania się informacjami udzielanymi w celu uzyskania kredytu), a także uregulowania kompleksowe (jak pierwsza ustawa o ochronie danych osobowych ogłoszona w Hesji w 1970 r., wyprzedzająca o 7 lat niemiecką ustawę federalną ). Jeszcze w tej samej dekadzie wydano w Europie dalsze akty prawne zajmujące się ochroną danych osobowych w Szwecji, Danii, Norwegii, Luksemburgu i we Francji, zaś w latach 80. i z początkiem lat 90. - w Austrii, Islandii, Irlandii, Finlandii, Wielkiej Brytanii i na Węgrzech.
Wspomniane zainteresowanie i przedsięwzięcia legislacyjne mają zróżnicowane podłoże.
Od dłuższego czasu można było zaobserwować poszerzanie się zakresu zbierania przez rozmaite instytucje publiczne i prywatne informacji na temat obywateli i innych podmiotów życia społecznego. Coraz szerszych upoważnień do zbierania i przechowywania informacji nie równoważyły przedsięwzięcia prawne pozwalające zainteresowanym w pewnym stopniu kontrolować te procesy. Postanowiono wprowadzić odpowiednie regulacje, uznając, że stają się niezbędne dla społeczeństwa pragnącego się rozwijać w sposób wolny od krępującej opieki państwa . Dostrzeżono też, że brak możliwości sprawowania przez jednostkę kontroli nad obiegiem oraz samą treścią informacji na jej temat ogranicza szanse co do samookreślenia, informacyjnej autoprezentacji (self-determination, informationelle Selbsbestimmung), godzi w "prawo do wizerunku własnego życia" i zniechęca do aktywnego udziału w życiu społecznym .
Odrębnym problemem jest to, że - jak czasem się twierdzi - można i należy liczyć się z ujemnymi konsekwencjami, także w sferze życia politycznego, wynikającymi np. ze wzmocnienia pozycji organów dysponujących rozbudowanymi bankami danych osobowych czy z ograniczeniami aktywności politycznej obywateli przez świadomość, że informacje na temat ich samych oraz ich działalności są gromadzone i mogą być wykorzystywane do trudnych do przewidzenia celów.
Podstawowej przyczyny zainteresowania regulacją prawną przetwarzania danych osobowych upatrywać należy przy tym w zastępowaniu tradycyjnych, manualnych metod gromadzenia i utrwalania informacji o osobach nowoczesnymi, skomputeryzowanymi systemami zapisywania, przetwarzania i udostępniania tego rodzaju danych. Przy tak zorganizowanych i funkcjonujących bazach danych osobowych wzrasta niepomiernie - jak zauważono - ryzyko naruszenia słusznych interesów osób, na temat których gromadzone są różnorakie informacje. Bierze się to m.in. z niespotykanych wcześniej możliwości koncentracji, a także kojarzenia danych znajdujących się w rozmaitych, rozproszonych, rozbudowanych i przewidzianych dla odmiennych celów zbiorach. Same środki techniczne (jak choćby kryptografia) nie mogą przy tym zastąpić odpowiednich rozwiązań prawnych.
Jak zauważono w toku sejmowych dyskusji nad komentowaną polską ustawą: "Wystarczy mieć trochę wyobraźni i zastanowić się, jak wyglądałoby połączenie danych np. z zakładu telekomunikacyjnego (spis połączeń telefonicznych), ewidencji gruntów (własność nieruchomości), rejestru pojazdów, wypożyczalni książek lub kaset wideo (chodzi o zainteresowania), zakładu energetycznego (zużycie prądu), firmy sprzedaży wysyłkowej (preferencje konsumenckie), poczty (prenumerata czasopism). Uzyskany w ten sposób obraz mógł stanowić realne zagrożenie prywatności" (wypowiedź posła M. Lewandowskiego).
Trudno nie dostrzec, że pozostawienie skomputeryzowanych baz danych zawierających informacje o osobach poza prawną reglamentacją może sprzyjać niedozwolonemu ingerowaniu w szeroko rozumianą wolność osobistą jednostki i jej prywatność, może pozbawiać osoby możliwości dysponowania informacjami na swój temat, decydowania o własnym wizerunku prezentowanym innym osobom lub instytucjom; podkreśla się, że w obliczu obecnej techniki informatycznej obywatele stają się coraz bardziej "przejrzyści" (przezroczyści).
Inną okolicznością, na którą należy zwrócić uwagę, jest coraz większa liczba przedsięwzięć i kontaktów społecznych, ekonomicznych, handlowych oraz prawnych dokonywanych za pośrednictwem sieci komputerowych, w tym przede wszystkim Internetu. Sytuacja ta, obok posiadania wielu zalet, otwiera możliwości "obserwowania" i analizowania zachowań poszczególnych osób czy firm. Istnieje ścisły związek między rozwojem usług i rynków telekomunikacyjnych a potrzebą ochrony danych osobowych.
Poszerzony został także dostęp do licznych zbiorów informacji. Sama informacja uzyskała przy tym charakter towaru o dużej, stale zwiększającej się wartości ekonomicznej .
Wreszcie, mówiąc o wykształcaniu się idei oraz rozwiniętych uregulowań służących ochronie danych osobowych, nie można pominąć znaczenia i oddziaływania europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności. W dużej mierze także za jej sprawą wzrosła ranga ochrony praw osobistych, w tym też prawa do prywatności, z którymi ochrona danych osobowych pozostaje w ścisłym powiązaniu.
Podsumowując te wstępne spostrzeżenia, można przyłączyć się do wyznających pogląd, że przepisy poświęcone ochronie danych osobowych służą przede wszystkim realizacji dwóch podstawowych funkcji. Z jednej strony mają być instrumentem niezbędnym dla poszanowania podstawowych, uznanych powszechnie praw i wolności, zwłaszcza prawa do prywatności, z drugiej strony ich zadaniem jest ochrona interesów użytkowników najnowszej technologii informatycznej i Internetu, w tym różnych instytucji publicznych, zapewnienie niezbędnego do ich działań zaufania i bezpieczeństwa.
2. Trzeba zaznaczyć, że wprowadzaniu ogólnych regulacji poświęconych ochronie danych osobowych towarzyszą też pewne obawy . Nierzadko postrzega się ją jako źródło utrudnień zarówno w sferze prowadzenia działalności gospodarczej, jak i działalności naukowej. Stawiane jest pytanie, czy skądinąd słuszna idea ochrony interesów jednostki związanych z wykorzystywaniem jej danych osobowych nie prowadzi do ustanowienia restryktywnego zakazu dla niereglamentowanego zbierania i wykorzystywania informacji (informacji o osobach), czy nie niesie z sobą zagrożeń dla wolności obywatelskich w ogóle; zderzenie z innymi zasługującymi na ochronę wartościami zaznacza się w sposób najbardziej wyraźny, gdy chodzi o przyznane obywatelom prawo do informacji , o wolności gospodarcze , wolność nauki , swobodę komunikowania się czy szeroko rozumianą wolność prasy .
Nieco inne obawy związane z wdrażaniem reguł prawnych ochrony danych osobowych wyrażane są w kontekście funkcjonowania administracji publicznej. Wskazuje się niekiedy, że zbyt rygorystyczne przepisy w tym zakresie mogą prowadzić do znacznego utrudnienia działań organów administracji, co może pociągnąć za sobą również niekorzystne skutki dla obywateli.
Wypowiedzi tego rodzaju, nacechowane ostrożnością i wskazujące pewne niebezpieczeństwa, pojawiły się także w toku prac nad obowiązującą polską ustawą (poseł A. Smółko), zwłaszcza w kontekście wyznaczenia bardzo rozległych granic jej stosowania, a to przez przyjęcie szerokiego rozumienia takich pojęć, jak: dane osobowe, przetwarzanie danych, zbiór danych, i uznania, że regulacją objęte są także tradycyjne (manualne) zbiory danych.
3. Prawne zagadnienia funkcjonowania wspomnianych banków danych osobowych można rozważać na czterech płaszczyznach.
Pierwsza dotyczy zbierania danych. Występują tu m.in. takie problemy, jak:
poufność danych,
zgoda zainteresowanego (osoby, której dane dotyczą) na wykorzystywanie danych,
jawność funkcjonowania banków danych, świadomość ich istnienia po stronie zainteresowanych,
świadomość po stronie zainteresowanych celu (przeznaczenia), dla którego dane są gromadzone.
Druga płaszczyzna problemów odnosi się do samych banków danych osobowych; chodzi tu m.in. o:
poufność systemów,
dostęp do banków danych.
Trzecią grupę tworzą zagadnienia związane z korzystaniem z danych. Zwraca się uwagę na takie kwestie, jak:
błędność i niedokładność danych,
relewantność danych ze względu na cel ich wykorzystania,
subiektywność danych,
utrzymywanie i posługiwanie się starymi danymi,
zgoda osoby, której dane dotyczą, na ich używanie,
świadomość osoby co do użytku czynionego z danych.
Wreszcie wyodrębnia się kwestie związane z przekazywaniem i przepływem danych, takie jak:
sprzęganie danych z różnych banków danych,
centralizacja lub łączenie banków danych,
międzynarodowy przepływ danych.
4. Bez obawy popełnienia błędu można przyjąć, że potrzeba uzupełnienia systemu prawnego nowoczesnego i demokratycznego państwa o regulację tworzącą prawne ramy tworzenia i posługiwania się bankami danych, zwłaszcza danych o osobach, jest dziś właściwie powszechnie akceptowana. Wysiłki skierowane są już raczej na doskonalenie tej regulacji, na jej harmonizację i ujednolicanie oraz na tworzenie systemu ochrony międzynarodowej, konwencyjnej. W sferze dyskusji mogą natomiast pozostawać założenia, na których mają być oparte te rozwiązania prawne. Oscylują one bądź w kierunku "modelu własnościowego", w którym każdą osobę należałoby traktować jak właściciela dotyczących jej danych, bądź w kierunku patrzenia na całość problematyki przez pryzmat ochrony praw osobistych jednostki, jej prywatności czy godności. Możliwe do przyjęcia jest - zaznaczmy - jeszcze trzecie podejście, mianowicie założenie, że wolą ustawodawcy było uczynienie z danych osobowych przedmiotu tajemnicy .
Równocześnie wprowadzana ochrona traktuje osobę, której dane dotyczą, jako podmiot słabszy i mniej doświadczony, a przez to wymagający specjalnej ochrony w konglomeracie różnych relacji i stosunków prawnych, w jakich się znajduje.
5. Podstawowe konstrukcje ustaw mających na celu wprowadzenie powszechnej, kompleksowej regulacji odnoszącej się do ochrony danych osobowych oscylują między dwoma modelami. Pierwszy z nich, który można określić mianem modelu licencyjnego, zakładanie banków danych uzależnia od zezwolenia specjalnie w tym celu powołanego organu państwowego, który określa także warunki prowadzenia działalności przez taki bank. Wyposażony jest on przy tym w uprawnienia kontrolne i pewne kompetencje do rozstrzygania sporów. Fundamentem modelu drugiego jest przyjęcie istnienia swego rodzaju podmiotowego prawa do dysponowania danymi o własnej osobie, które może być ograniczone w przypadkach wyraźnie przez ustawodawcę wskazanych . W modelu tym nie tyle decyzje urzędu państwowego, ile przepisy określają, kto, na jakich warunkach i w jaki sposób może przetwarzać dane osobowe, stąd model ten określa się niekiedy jako tzw. model materialnoprawny. Konsekwencją takiego podejścia jest stanowisko, że zbieranie oraz wykorzystywanie (w tym udostępnianie) danych jest dopuszczalne tylko w przypadku zgody uprawnionego lub wyraźnego przepisu ustawy. Oczywiście mogą występować rozwiązania ustawowe łączące elementy obydwu tych modeli .
Z odrębną sytuacją prawną stykamy się w USA. Tu brak jest kompleksowej ustawy o ochronie danych osobowych (i to zarówno na szczeblu federalnym, jak i na szczeblach stanowych). Występuje natomiast złożony układ przepisów sektorowych (branżowych), których uzupełnieniem mają być przyjmowane w gospodarce - w drodze umów lub powszechnej aprobaty - dobrowolne "normy samoregulujące", kodeksy , jak też wskazówki formułowane w orzecznictwie; starają się one wypełnić luki prawne, często mając na uwadze głównie celowość ekonomiczną. Brak też w tym kraju, w przeciwieństwie do krajów europejskich, niezależnego organu, którego zadaniem byłoby kontrolowanie przestrzegania postanowień odnoszących się do ochrony danych osobowych.
Dodajmy, że w większości ustawodawstw zasadniczym kryterium swobody gromadzenia i dysponowania danymi osobowymi jest nieprzekraczanie potrzeb banków danych. Praktyki informatyczne w sferze danych osobowych powinny być aprobowane tylko w skonkretyzowanych i usprawiedliwionych przypadkach i tylko w granicach uzasadnionych prawnie celów; rodzaj zbieranych danych i postępowanie z nimi nie może odbiegać od funkcji, jaką dany bank danych ma realizować, i od zadań, jakie ma spełniać dysponujący bankiem organ państwowy czy urząd. Chodzi więc o przeciwdziałanie nieusprawiedliwionemu zbieraniu danych osobowych, gromadzeniu ich dla niesprecyzowanych potrzeb oraz udostępnianiu podmiotom, które nie mogą się powołać na prawnie uzasadniony interes itd. Nie wszystkie te podstawowe założenia realizowane są w ustawodawstwach krajowych. W szczególności amerykańskiemu systemowi stawia się m.in. zarzut nierespektowania, tak jak się to czyni w Europie, zasady związania celem przetwarzania danych, czyli niewykorzystywania danych osobowych w celu innym niż ten, dla którego zostały zebrane.
6. Niewątpliwie podstawowym, choć nie jedynym celem, jakiemu mają służyć ustawy o ochronie danych osobowych, jest respektowanie interesów tych (osób fizycznych i ewentualnie osób prawnych), których dotyczą gromadzone i przetwarzane informacje. Chodzi - najogólniej mówiąc - o interesy związane z poszanowaniem ujmowanej w zmodyfikowany sposób prywatności. Prawo do prywatności w tym zakresie może być jednak skutecznie wykonywane - jak się niekiedy zaznacza - tylko wtedy, gdy zbierane o danej jednostce przez innych informacje będą dla niej dostępne, gdy zainteresowani będą wiedzieć, kto i z jakich pobudek gromadzi informacje na ich temat. Stąd też istotnym warunkiem umożliwiającym osiągnięcie wspomnianych celów jest ujawnienie działalności (zwłaszcza automatycznych) systemów operujących danymi osobowymi. W rezultacie ustawodawcy decydują się na podanie do publicznej wiadomości faktów dotyczących prowadzonych banków danych (nazwa, adres, krąg osób objętych zakresem działania, rodzaj gromadzonych danych, cel zbierania, źródła danych, rodzaj rutynowego działania, potencjalni odbiorcy tych informacji, przepisy, na podstawie których zainteresowany może mieć dostęp do danych lub ze względu na które może być mu taki dostęp odmówiony itp.). Informacje tego rodzaju ogłaszane bywają bądź w odpowiednich dziennikach rządowych, bądź w specjalnym rejestrze. Ze wspomnianego obowiązku ujawnienia wyłączane są przy tym niektóre systemy informacyjne, np. te, które są w dyspozycji służb ochrony konstytucji, kontrwywiadu wojskowego, jednostek ministerstwa obrony czy bezpieczeństwa publicznego, rejestry policyjne, a także ogólnopaństwowe agencje prasowe czy banki narodowe.
Jak widać, i co jest zrozumiałe, nie wprowadza się identycznych reguł dla wszystkich rodzajów banków danych. Znajduje to swoje odbicie bądź w wydawaniu aktów prawnych dla poszczególnych dziedzin życia społecznego (w pierwszej kolejności tych, w których najwyraźniej występują zagrożenia dla prywatności osób - tak np. w USA), bądź wprowadzaniu, wprawdzie jednego, generalnego aktu prawnego, ale w ramach którego różnicuje się regulację odnoszącą się do poszczególnych typów banków danych. Bywa też, że ustawodawcy ograniczają się do poddania prawnej regulacji wyłącznie banków danych funkcjonujących w sektorze publicznym. Zasadniczo jednak przedmiotem legislacyjnych rozstrzygnięć są banki danych działające zarówno w sektorze publicznym, jak i prywatnym, z tym że niekiedy (choć obecnie coraz rzadziej) wprowadzany bywa wówczas odmienny reżim odnoszący się do przetwarzania danych w administracji państwowej, odmienny zaś, gdy chodzi o tego rodzaju działalność wykonywaną przez osoby prawne prawa prywatnego czy nawet osoby fizyczne. Upraszczając, można powiedzieć, że banki danych w urzędach i instytucjach publicznych mają, w porównaniu z pozostałymi, czasem uprzywilejowany status, z tym że i wśród nich niektóre (np. będące w gestii parlamentu czy służb ochrony konstytucji) traktowane są w sposób szczególny. Z kolei poza sektorem publicznym przewiduje się odmienny reżim prawny dla systemów informatycznych służących zaspokajaniu własnych potrzeb dysponenta oraz takich, które nastawione są na komercyjne zbieranie i udostępnianie danych na zewnątrz. Oczywiście wszystkie te rozróżnienia znajdują odbicie nie tylko w kwestii ujawnienia działalności, ale też w regulacjach dotyczących swobody zbierania danych i posługiwania się posiadanymi informacjami.
7. Ochrona interesów osób, których dotyczą zbierane dane, realizowana jest w różny sposób, m.in. przez przepisy ustawy, kontrolę specjalnie powołanych w tym celu organów państwowych. Nierzadko przyznawane są indywidualne roszczenia, które mają bądź zapobiegać naruszeniom, bądź usuwać skutki dokonanych już naruszeń. Mogą to być roszczenia:
o informacje w sprawie gromadzonych o danej osobie danych oraz podmiotów, którym dane takie zostały udostępnione;
o poprawienie danych nieprawdziwych lub niepełnych;
o zablokowanie danych nieprawdziwych oraz takich, które zainteresowany kwestionuje, nie mogąc jednak natychmiast udowodnić ich nieprawdziwości; w tej sytuacji dalsze wykorzystywanie czy udostępnianie danych nie jest w zasadzie dopuszczalne, chyba że udzielona zostanie na to zgoda lub przemawiają za tym szczególne okoliczności (związane z usunięciem trudności dowodowych czy z badaniami naukowymi);
o usunięcie (wymazanie) tych danych, których gromadzenie w świetle prawa jest niedozwolone lub co do których zachodzą przesłanki usprawiedliwiające ich zablokowanie, a równocześnie nie istnieje obawa, że usunięcie pociągnie za sobą naruszenie zasługujących na ochronę interesów osoby, której dane dotyczą;
o odszkodowanie za szkodę majątkową lub osobistą wynikłą z umieszczenia w banku danych informacji nieprawdziwych.
Występowanie ze wspomnianymi roszczeniami podlega oczywiście pewnym ograniczeniom. Nie bez znaczenia jest tu naturalnie wynikająca z przepisów czy właściwych decyzji jawność banku i dostępność jego zbiorów. Brane są pod uwagę także interesy dysponenta banku danych. Tak np. ze wspomnianym roszczeniem o zablokowanie, przewidzianym w ustawie niemieckiej, występować można wówczas, gdy informacje nie są dla dysponenta niezbędne przy wypełnianiu postawionych mu zadań.
8. Problemem nierozerwalnie związanym z kwestiami przetwarzania danych osobowych jest tajność informacji zebranych w bankach danych. Jest on regulowany w zróżnicowany sposób. Także tu znaczenie ma rodzaj banku danych, jego funkcja, usytuowanie w sektorze publicznym lub prywatnym. Szczególne ustawy zajmujące się ochroną danych osobowych niekiedy wprowadzają bezwzględny zakaz ich udostępniania, odnoszący się jednak tylko do wybranych rodzajów danych, czyli do:
pewnych "danych wrażliwych" lub/i
danych objętych tajemnicą służbową, lub/i
niektórych informacji związanych z przynależnością osób do grup społecznych czy związków, informacji zasadniczo innych niż te, które zaliczane są do danych wolnych.
Najczęściej tajemnica danych ma tylko względny charakter, tzn. udostępnianie danych nie jest generalnie zabronione, lecz jedynie powiązane ze spełnieniem określonych warunków. Takimi warunkami bywa:
zgoda zainteresowanego, względnie zastępujący ją wyraźny przepis ustawy;
zgoda specjalnego urzędu nadzorującego funkcjonowanie banków danych (wymagana jest najczęściej przy przekazywaniu danych za granicę);
istnienie po stronie ubiegającego się o dane prawnej podstawy (umocowania) do wystąpienia z takim żądaniem; czasem kryterium jest mniej ścisłe i słabsze, odwołuje się bowiem do słusznego interesu;
wykazanie, że uzyskanie stosownych informacji jest niezbędne dla wypełnienia normalnych, statutowych zadań, dla wykonywania obowiązków służbowych;
wykazanie, że dane użyte zostaną dla tych samych celów, dla których były zbierane.
W ustawodawstwach dotyczących ochrony danych występują również niezbyt ścisłe, ogólnikowo formułowane zastrzeżenia bezpośrednio uzależniające przekazywanie danych od respektowania interesów osób, których dane dotyczą. Statuowane są więc zakazy ujawniania zgromadzonych informacji we wszystkich przypadkach, gdy występuje obawa, że będą one wykorzystane:
w sposób przynoszący zagrożenie dla życia, zdrowia lub wolności osobistej;
w sposób naruszający chronione prawem interesy podmiotów informacji; uzupełnia się tę przesłankę regułą, że niedozwolone jest przekazywanie danych zawsze wtedy, gdy miano by się nimi posłużyć w sposób sprzeczny z ustawą.
Wreszcie czasem udostępnianie uzależnione jest od zachowania szczególnej formy, tzn. może nastąpić np. tylko w formie tzw. zestawów listowych.
9. Należy nadmienić, że przy wyznaczaniu zakresu poufności bierze się niekiedy pod uwagę również kryteria czasowe. Zabrania się mianowicie przekazywania pewnych danych po upływie określonego czasu. Niedozwolone może być np. przekazywanie informacji o wszelkich sprawach, które wydarzyły się przed więcej niż 5 laty, chyba że ze swej istoty pozostają one relewantne bez względu na upływ czasu albo w konkretnym przypadku jest ewidentne, że zachowały dla określonej sprawy zasadnicze znaczenie. Stwierdza się wówczas, że banki nie powinny przekazywać informacji rzutujących na wiarygodność i zaufanie do kredytobiorcy, jeśli informacje dotyczą zdarzeń czy okoliczności, które miały miejsce przed więcej niż 5 laty. Ustawodawca może także relatywizować taki zakaz udostępniania danych, zezwalając na posłużenie się nimi również po upływie 5 lat, jeżeli w konkretnym przypadku informacja zachowała znaczenie dla oceny solidności i zaufania kredytowego osoby, której ta informacja dotyczy.
10. Analizując rozwiązania prawne wprowadzone w niektórych krajach, dostrzec można pewne symptomy wykształcania się reguł tajemnicy informatycznej, rozumianej jako swoisty rodzaj tajemnicy zawodowej. Z ustalonymi i zakorzenionymi już rodzajami tajemnic zawodowych stykamy się np. w pracy dziennikarzy, adwokatów i lekarzy. W omawianym przypadku chodziłoby o działalność osób, które zajmują się obsługą banków danych i mają dostęp do ich zawartości, w szczególności skomputeryzowanych, a przy tym gromadzących dane osobowe.
Na zagadnienie tajemnicy informatycznej jako szczególnej tajemnicy zawodowej zwrócono uwagę w rezolucjach 22 i 29 Rady Europy z 1973 i 1974 r. Stwierdza się w nich, że personel zajmujący się elektronicznym przetwarzaniem danych powinien zostać związany specjalnymi regułami postępowania (w tym zwłaszcza obowiązkiem dochowania tajemnicy), po to by zapobiec nadużyciom i wykorzystywaniu danych niezgodnie z ich przeznaczeniem. W rezolucji 22 (73) nazywa się nawet wprost te reguły "tajemnicą zawodową" (professional secrety).
Wspomniana tajemnica informatyczna ma w niektórych krajach podstawę w przepisach karnych zamieszczonych w ustawach o ochronie danych. Hipoteza opisywanego w tych przepisach przestępstwa polega na bezprawnym przekazaniu czy wykorzystaniu danych przez osobę, której zostały one powierzone lub udostępnione wyłącznie ze względu na pracę zawodową w zakresie przetwarzania danych (tak np. w USA i Szwecji). Niekiedy ustawodawcy treść przepisu karnego w pewnym stopniu relatywizują i łagodzą przez dodanie, że chodzi tylko o takie posłużenie się bez zezwolenia informacją, które:
jest w stanie wyrządzić szkodę w sferze reputacji, poważania czy prywatności osoby;
może prowadzić do naruszenia słusznych interesów podmiotów, których informacje dotyczą.
Poza normami karnymi podstawę obowiązku zachowania tajemnicy przez personel banków danych stanowić mogą także postanowienia umów o pracę. Ten model przyjmuje ustawa niemiecka, stanowiąc, że ten, kto pracuje w instytucji trudniącej się przetwarzaniem danych, czy to dla siebie, czy to na zewnątrz, nie może bez upoważnienia przetwarzać i udostępniać danych osobowych lub używać ich w inny sposób dla celów odmiennych od tych, które służą zgodnemu z prawem wypełnianiu zadań przez instytucję. Takie zobowiązanie powinna podjąć każda ze wspomnianych osób przed rozpoczęciem działalności. Podobna myśl zawarta jest w ustawie austriackiej. Obie przy tym przewidują, że obowiązek dochowania tajemnicy nie ustaje wraz z zakończeniem działalności banku danych.
Określenie "tajemnica informatyczna" w odniesieniu do przetwarzania danych osobowych może być jednak kwestionowane. Argumenty przemawiające przeciwko posługiwaniu się w tym kontekście wskazanym powyżej pojęciem są następujące: po pierwsze - dane osobowe zazwyczaj objęte są tajemnicą także wtedy, gdy przetwarzane są manualnie, w tradycyjnych zbiorach, np. w kartotekach (a więc poza systemami informatycznymi); po drugie - przetwarzaniem w systemach informatycznych, a co za tym idzie także tajemnicą objęte są często także inne dane, nie tylko osobowe; wreszcie po trzecie - osoby, które przetwarzają dane osobowe, w przeważającej większości nie są informatykami (a można twierdzić, że omawiane określenie odnosi się właśnie do tej grupy zawodowej). Wskazane tu argumenty skłaniają do wniosku, że omówiona powyżej tajemnica zawodowa może być określana jako "tajemnica osób przetwarzających dane osobowe" - ujmując to zagadnienie od strony podmiotowej - lub "tajemnica danych osobowych i sposobów ich zabezpieczenia" - w ujęciu przedmiotowym.
B.Ochrona na płaszczyźnie międzynarodowej
I.Konwencja o ochronie praw człowieka i podstawowych wolności (Europejska Konwencja Praw Człowieka)
Wśród praw uwzględnionych w Konwencji o ochronie praw człowieka i podstawowych wolności, sporządzonej w Rzymie dnia 4 listopada 1950 r., zmienionej następnie Protokołami nr 3, 5 i 8 oraz uzupełnionej Protokołem nr 2 (Dz. U. z 1993 r. Nr 61, poz. 284 z późn. zm.) znajduje się także (w art. 8) prawo do poszanowania życia prywatnego i rodzinnego, mieszkania oraz tajemnicy korespondencji. Inaczej jednak niż ma to miejsce w Powszechnej Deklaracji Praw Człowieka, uchwalonej przez Zgromadzenie Ogólne Narodów Zjednoczonych w 1948 r. (art. 12), w konwencji dopuszcza się pod pewnymi warunkami ograniczenie tych praw w przepisach wewnętrznych. Zastrzega się, że jakiekolwiek ingerowanie przez władze publiczne w wykonywanie wspomnianych praw dopuszczalne jest tylko wówczas, gdy:
następuje na podstawie ustawowego upoważnienia i
stanowi środek niezbędny do zapewnienia w demokratycznym społeczeństwie:
bezpieczeństwa narodowego,
porządku i spokoju publicznego,
gospodarczego dobra kraju,
obrony ładu i przeciwdziałania czynom karalnym,
ochrony zdrowia i moralności lub ochrony praw i wolności innych osób.
Taka regulacja nakłada na państwa przystępujące do wymienionej konwencji zobowiązania dotyczące kwestii tworzenia i posługiwania się bankami danych osobowych, których funkcjonowanie wkracza w zagwarantowane każdemu prawo do prywatności. Ich działalność powinna mieć prawną (ustawową) podstawę i musi służyć realizacji jednego z wymienionych taksatywnie w konwencji celów. O tym jednak, na ile zakres zacytowanego przepisu można rozciągać na zagadnienia ochrony danych osobowych, decyduje to, w jaki sposób i jak szeroko interpretowane jest pojęcie życia prywatnego i rodzinnego. W doktrynie istnieje w tej mierze duża rozbieżność poglądów, od takich, które całkowicie sprzeciwiają się poddawaniu problematyki ochrony danych osobowych pod działanie art. 8 EKPC, po takie, które to w pełni aprobują. Także w orzecznictwie brak wyraźnego wypracowanego stanowiska w sprawie wykładni użytego w art. 8 ust. 1 EKPC pojęcia życia prywatnego w odniesieniu do pozyskiwania, gromadzenia, przetwarzania, zmieniania, usuwania i przekazywania (udostępniania) danych osobowych. Wydaje się, że uzasadnione jest jednak stwierdzenie, że w ograniczonym zakresie omawiana konwencja bezpośrednio dotyczy ochrony danych osobowych. Przemawia za tym niżej omówione orzecznictwo Trybunału w Strasburgu.
Dodajmy, że omawiana konwencja stanowi w art. 14, że korzystanie z wyrażonych w niej praw i wolności musi być gwarantowane bez różnic ze względu na płeć, rasę, kolor skóry, język, religię, poglądy polityczne lub inne, pochodzenie narodowe lub socjalne, przynależność do mniejszości narodowej, majątek, urodzenie lub status innego rodzaju.
II.Orzecznictwo Europejskiego Trybunału Praw Człowieka w Strasburgu
1. Choć problematyka ochrony danych osobowych sensu stricto stanowi materię stosunkowo nową i brak w tej mierze dorobku judykacyjnego Trybunału Strasburskiego, niemniej celowe wydaje się wskazanie na niektóre orzeczenia wydane na gruncie Konwencji o ochronie praw człowieka i podstawowych wolności, których związek z zagadnieniem ochrony danych osobowych wydaje się szczególnie bliski. Chodzi tu przede wszystkim o orzecznictwo na tle art. 8 EKPC. Łatwo bowiem wykazać, że przetwarzanie danych osobowych niejednokrotnie wkracza w chronioną sferę życia prywatnego . Należy mieć przy tym świadomość, że ustalenia w powyższym zakresie mają istotny walor praktyczny. Chodzi bowiem o stwierdzenie, czy krajowa regulacja lub judykatura (interesują nas oczywiście przede wszystkim polskie) dotycząca ochrony danych osobowych są zgodne z wymogami konwencji. Oceny w tym zakresie są dokonywane w pierwszej kolejności z perspektywy przepisu art. 8 ust. 2 EKPC, a zatem dopuszczalnych ograniczeń treści prawa do prywatności "koniecznych w demokratycznym społeczeństwie".
2. Większość spraw związanych ze zbiorami danych osobowych dotyczy sfery danych policyjnych, materiałów związanych z bezpieczeństwem państwa oraz dokumentacji medycznej. Jedno z pierwszych orzeczeń dotyczących ochrony danych osobowych w kontekście prawa do prywatności zapadło na gruncie omawianej konwencji w sprawie X v. Republika Federalna Niemiec (1973) . W orzeczeniu Europejska Komisja Praw Człowieka stwierdziła, że zbieranie i przechowywanie informacji przez Policję samo jako takie nie jest sprzeczne z art. 8 EKPC, nawet jeżeli osoba, której dane dotyczą, nie ma kryminalnej przeszłości. Okolicznością istotną w omawianej sprawie było to, że dane nie były udostępniane osobom trzecim. Z kolei w sprawie X v. Austria uznano, że przekazywanie sądowi przez Policję danych osobowych jest uzasadnione ze względu na zapobieganie przestępczości. Można zatem przyjąć, że poza przypadkami szczególnymi gromadzenie i przechowywanie danych o życiu prywatnym powinno być, co do zasady, oceniane jako naruszenie art. 8 EKPC .
3. W sprawie Leander v. Szwecja (1987) skarżący zarzucał, że szwedzki rząd otrzymuje o nim poufne informacje, a ich wykorzystywanie przez państwo uniemożliwia mu uzyskanie pracy w sektorze publicznym. W orzeczeniu uznano jednak legalność działania Szwecji w świetle art. 8 EKPC i stwierdzono przy tym, że dostęp do pracy w sektorze publicznym nie jest objęty działaniem EKPC. Jest to pierwsze sądowe orzeczenie, w którym stwierdzono, że rejestracja danych osobowych może naruszać prawo do życia prywatnego określone w art. 8 EKPC. W sprawie tej Leander żądał także prawa dostępu do swoich danych w celu dokonania ewentualnych sprostowań. W tej kwestii podniesiono, że art. 10 EKPC zasadniczo zakazuje rządom wprowadzania ograniczeń w otrzymywaniu informacji od osób trzecich, które chcą takich informacji udzielić. Artykuł 10 EKPC natomiast nie dotyczy prawa osoby do dostępu do rejestru zawierającego o niej informację.
4. Duży rozgłos zyskała sprawa Gaskin v. Wielka Brytania (1989) ; dotyczyła ona obowiązku państwa udostępniania osobie zbioru danych na jej temat. Chodziło tu o materiały w sprawie osoby, która większą część życia spędziła w domu poprawczym i domu opieki społecznej. Zainteresowanemu odmówiono dostępu do tych materiałów, argumentując, że zostały one powierzone w warunkach poufności i że nie można uzyskać zgody na ich ujawnienie od osób, które je dostarczyły. Sąd przede wszystkim dokonał wyważenia z jednej strony interesów zainteresowanej osoby w uzyskaniu informacji o danych na temat własnego życia oraz z drugiej strony - interesów osób trzecich, dla których zastrzeżono poufność, oraz interesów państwa w zapewnieniu możliwości gromadzenia obiektywnych i wiarygodnych danych. Choć wynik takiego wyważania interesów wskazywał raczej na prymat interesów państwa, to uznano, że doszło do naruszenia europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności przez to, że nie zapewniono odpowiedniej procedury umożliwiającej niezależnemu organowi rozstrzyganie tego rodzaju spraw w sposób ostateczny; dotyczy to zwłaszcza sytuacji, gdy informator nie może być odnaleziony lub bezpodstawnie nie chce udzielić stosownej informacji.
5. Z kolei w sprawie M.S. v. Szwecja (1997) przedmiotem oceny było udostępnienie przez klinikę Urzędowi Ubezpieczeń Socjalnych medycznych danych osobowych, które można określić jako szczególnie wrażliwe. Powódka twierdziła przy tym, że zostały one przekazane (udostępnione) w szerszym zakresie, niż było to konieczne (konkretnie: dla stwierdzenia zakresu uszkodzenia kręgosłupa). Trybunał stwierdził, że przekazanie tych danych nie naruszało warunków określonych w art. 8 ust. 2 EKPC. Dane udostępnione zostały stosownie do przepisów obowiązującej w Szwecji ustawy. Cel tego działania był uzasadniony, chodziło bowiem o ochronę interesów ekonomicznych państwa; udostępnienie danych miało wpływ na alokację publicznych środków finansowych przewidzianych dla uprawnionych. Ograniczenie prawa do prywatności, z jakim się tu stykamy, można uznać za konieczne w społeczeństwie demokratycznym; umożliwiało weryfikację przez właściwy urząd informacji dostarczonych bezpośrednio przez powódkę przy równoczesnym obowiązku traktowania przez urząd tych danych jako poufnych na podobnych zasadach, jak czyni to klinika. Podniesiono przy tym, że przekazanie danych podlegało istotnym ograniczeniom oraz towarzyszyły mu skuteczne i adekwatne gwarancje zapobiegające nadużyciom. Orzeczenie to jest charakterystyczne także z tego względu, że Trybunał potwierdził w nim wyraźnie, że ochrona danych osobowych, zwłaszcza o charakterze medycznym, ma znaczenie fundamentalne dla korzystania przez obywatela ze służącego mu prawa do poszanowania życia prywatnego i rodzinnego, o którym mówi art. 8 EKPC. Równocześnie podkreślono, że prawo krajowe musi zapewniać właściwe gwarancje zapobiegające takiemu ujawnianiu lub przekazywaniu danych zdrowotnych o charakterze osobistym, które mogłoby być niezgodne z gwarancjami zawartymi w art. 8 EKPC.
Udostępniania zdrowotnych danych osobowych dotyczyło także orzeczenie w sprawie Z. v. Finlandia (1997) . W orzeczeniu tym powtórzono, że "ochrona danych osobowych - nie tylko medycznych - ma zasadnicze znaczenie dla korzystania z prawa do poszanowania życia prywatnego i rodzinnego, zagwarantowanego w art. 8 konwencji". Podkreślono przy tym, że prawo wewnętrzne (krajowe) musi zapewniać odpowiednie gwarancje pozwalające zapobiegać ujawnianiu danych, co ma szczególne znaczenie dla ochrony tajemnicy informacji o zakażeniu wirusem HIV.
6. Na szczególną uwagę zasługuje orzeczenie Trybunału - w sprawie H. Amann v. Szwajcaria - którego główną tezą jest stwierdzenie, że gromadzenie przez władze publiczne danych o jednostce jest ingerencją w prawo do poszanowania życia prywatnego także wówczas, gdy nie chodzi o tzw. dane wrażliwe .
Punktem wyjścia w tej sprawie było założenie przez prokuratora federalnego karty (teczki) H. Amanna, który w latach 80. sprowadzał do Szwajcarii przybory do depilacji, po tym jak zatelefonowała do niego kobieta z ambasady ZSRR w Bernie i zamówiła tego rodzaju przyrząd. Istnienie karty, na której zapisano, że H. Amann jest biznesmenem i miał kontakt z ambasadą ZSRR, wyszło na jaw w 1990 r. W skardze do Europejskiej Komisji Praw Człowieka H. Amann podniósł, że zarejestrowanie rozmowy telefonicznej i założenie w urzędzie prokuratora karty na jego temat przechowywanej w specjalnej kartotece narusza art. 8 EKPC. Komisja tę ocenę podzieliła, podobnie jak Trybunał, który zaznaczył, że rozmowy telefoniczne z pomieszczeń prywatnych i służbowych są objęte pojęciami życia prywatnego i korespondencji w rozumieniu art. 8 ust. 1 EKPC. Zarejestrowanie rozmowy, jakiej dotyczy sprawa, stanowiło ingerencję w życie prywatne i tajemnicę korespondencji. Poszanowanie życia prywatnego obejmuje prawo do nawiązywania i rozwijania stosunków z innymi ludźmi. Nie ma powodów, aby poza pojęciem życia prywatnego sytuować działalność o charakterze zawodowym, biznesowym. Szeroka interpretacja jest tu zgodna z konwencją 108 Rady Europy sporządzoną w Strasburgu dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr 3, poz. 25, uzupełnioną protokółem dodatkowym, sporządzonym w Strasburgu dnia 8 listopada 2001 r., Dz. U. z 2006 r. Nr 3, poz. 15). W tej sprawie założono kartę, na której zapisano m.in., że H. Amann był biznesmenem i miał kontakt z ambasadą ZSRR. Informacje te niezaprzeczalnie należą do danych dotyczących życia prywatnego osoby, co - w konsekwencji - uzasadnia zastosowanie art. 8 EKPC .
O braku naruszenia art. 8 ust. 1 EKPC można byłoby mówić tylko wtedy, gdyby działanie:
było zgodne z prawem,
realizowało uprawniony cel,
było konieczne w demokratycznym społeczeństwie.
Trybunał zaznaczył przy tym, że dla spełnienia kryterium "zgodności z prawem" nie jest wystarczające, że kwestionowany środek ma podstawę w prawie krajowym. Odnośne przepisy muszą być dostępne dla danej jednostki, a ich skutki - przewidywalne. Ten ostatni warunek spełniony jest wówczas, gdy przepis jest na tyle precyzyjny, aby jednostka - korzystając ewentualnie z porady - mogła odpowiednio regulować swoje zachowanie. Rejestrowanie rozmów i formy tajnej kontroli komunikowania się muszą być określone w prawie szczególnie jednoznacznym, zwłaszcza w obliczu coraz bardziej wyrafinowanych technologii. Szwajcarskie przepisy federalne dotyczące służby policyjnej oraz w sprawie postępowania karnego nie mogą być uznane za na tyle jasne i szczegółowe, aby zapewniały właściwą ochronę jednostce przed ingerencją władzy w jej życie prywatne i tajemnicę korespondencji. Ich ogólnikowość nie pozwala też uznać, że spełniony został wskazany wyżej warunek przewidywalności. Ostatecznie Trybunał stwierdził, że dokonana przez organy władzy państwowej ingerencja, w tym założenie karty, nie może być uznana za przewidzianą przez szwajcarskie prawo, gdyż nie wskazuje ono wystarczająco jasno zakresu i warunków korzystania z dyskrecjonalnych uprawnień w tej sferze. Poza tym nie było podstaw do przechowywania karty w kartotece. Szwajcarskie przepisy o postępowaniu karnym wyraźnie przewidują niszczenie dokumentów, które nie są już niezbędne lub stały się bezużyteczne. Tego nie dokonano pomimo stwierdzenia, że nie wchodzi tu w grę żadne przestępstwo.
7. Warto także przywołać orzeczenie z dnia 4 maja 2000 r. w sprawie Rotaru v. Rumunia, w którym Trybunał stwierdził, że przechowywanie informacji związanych z życiem prywatnym jednostki w niejawnym rejestrze i udostępnianie tychże informacji stanowi ingerencję w prawo do prywatności, określone w art. 8 EKPC .
Stan faktyczny w omawianej sprawie przedstawiał się następująco: emerytowany rumuński prawnik A. Rotaru zakwestionował prawdziwość informacji zgromadzonych na jego temat przez komunistyczne służby specjalne. W roku 1994 sąd w Bukareszcie uznał wprawdzie, że informacje były nieprawdziwe, jednak nie dopatrzył się zaniedbań po stronie obecnych służb specjalnych, które uznano za "depozytariusza" informacji zgromadzonych przez formację poprzednią. W zakresie wniosku o usunięcie danych sąd nie uznał się za właściwy. W skardze Rotaru zarzucił służbom specjalnym m.in. naruszenie jego prawa do prywatności (art. 8 EKPC) oraz prawa do skutecznego środka odwoławczego (art. 13 EKPC).
Odnosząc się do zarzutu strony rządowej, że informacje dotyczące A. Rotaru nie dotyczyły jego życia prywatnego, ale wyłącznie jego aktywności publicznej, Trybunał stwierdził, że poszanowanie prawa do życia prywatnego musi do pewnego stopnia zawierać prawo do nawiązania i budowania stosunków z innymi ludźmi; co więcej, nie ma powodu uzasadniającego wykluczenie ze sfery życia prywatnego działań o naturze zawodowej lub biznesowej. W omawianej sprawie kwestionowane informacje dotyczyły m.in. kierunku studiów i przynależności do organizacji legionowej. W omawianym wyroku odnaleźć można również dość kontrowersyjną tezę, zgodnie z którą także informacje publiczne mogą zmieścić się w zakresie życia prywatnego wówczas, gdy są systematycznie zbierane i przechowywane w aktach przez władze. Dotyczy to także sytuacji, gdy dane takie odnoszą się do odległej przeszłości jednostki.
Uznając zarzuty naruszenia Konwencji o ochronie praw człowieka i podstawowych wolności za udowodnione, Trybunał wskazał w wyroku wymogi, jakie powinny być spełnione przy gromadzeniu informacji przez służby specjalne. W ocenie Trybunału aby systemy niejawnej inwigilacji były zgodne z art. 8 EKPC, muszą zawierać gwarancje prawne stosowane do kontroli działań właściwych służb. Procedury kontrolne muszą odpowiadać wartościom demokratycznego społeczeństwa tak wiernie, jak to możliwe, a w szczególności zasadzie praworządności, która jest w sposób wyraźny przywołana w preambule do konwencji. Zasada rządów prawa zakłada m.in., że ingerencja ze strony organów władzy wykonawczej w prawa jednostki powinna być przedmiotem skutecznej kontroli, która w normalnych warunkach powinna być przeprowadzona przynajmniej przez organy sądowe, jako że kontrola sądowa zapewnia najlepszą gwarancję niezależności, bezstronności oraz stosowania właściwej procedury.
8. Na odnotowanie zasługuje również decyzja w sprawie Wypych v. Polska, w której Trybunał odniósł się do przewidzianego w prawie polskim obowiązku składania i publikacji oświadczeń majątkowych. Trybunał uznał, że obowiązek złożenia oświadczenia w przedmiocie stanu finansowego i majątkowego służy zapewnianiu przejrzystości lokalnych procesów politycznych, daje także opinii publicznej możliwość zweryfikowania, czy procesy te nie są poddawane nadmiernej presji lub niewłaściwemu lobbingowi, czy też nawet otwartej korupcji .
Stan faktyczny w omawianej sprawie był następujący: radny powiatowy odmówił złożenia oświadczenia w przedmiocie swojej sytuacji majątkowej i posiadanego mienia oraz przekazania jej przewodniczącemu rady. Po wyczerpaniu środków prawnych dostępnych w porządku krajowym skarżący wniósł skargę, w której zarzucił Polsce m.in. naruszenie prawa do prywatności (art. 8 EKPC). Trybunał nie dopatrzył się jednak naruszenia przepisów EKPC.
W odniesieniu do zakresu informacji, które powinny być przekazywane w oświadczeniu majątkowym, Trybunał stwierdził, że jest on dość obszerny, niemniej jednak należy uznać, że to właśnie ich pełny charakter czyni realnym założenie, że przepisy spełnią swój cel udostępnienia opinii publicznej wyczerpującego obrazu sytuacji majątkowej radnych. Ponadto dodatkowy obowiązek przedstawienia informacji na temat majątku, włącznie z majątkiem małżeńskim, może zostać uznany za uzasadniony w tym sensie, że zmierza do zniechęcenia do prób ukrycia aktywów przez nabywanie ich po prostu na nazwisko małżonka radnego.
Gdy chodzi o dostęp do treści oświadczeń majątkowych, które są publikowane w Biuletynie Informacji Publicznej oraz dostępne wszystkim zainteresowanym w Internecie, Trybunał uznał, że jest to gwarancja zapewniająca, iż obowiązek udostępniania oświadczeń majątkowych jest przedmiotem kontroli ze strony opinii publicznej. Zdaniem Trybunału opinia publiczna ma uzasadniony interes w ocenie, czy polityka lokalna jest przejrzysta, a internetowy dostęp do oświadczeń majątkowych sprawia, że dostęp do takich informacji jest skuteczny i łatwy. Bez takiego dostępu obowiązek ten nie miałby praktycznego znaczenia ani rzeczywistego wpływu na zakres, w jakim opinia publiczna informowana jest o lokalnych procesach politycznych.
9. Warto zwrócić uwagę także na wyrok Trybunału w sprawie Copland v. Wielka Brytania, dotyczący monitorowania połączeń telefonicznych, poczty elektronicznej i korzystania z Internetu w miejscu pracy . Trybunał uznał, że rozmowy telefoniczne prowadzone z pomieszczeń pracodawcy co do zasady wchodzą w zakres pojęć życia prywatnego i korespondencji. Również e-maile wysyłane z pracy powinny być chronione na podstawie art. 8 ETPC, podobnie jak informacje uzyskiwane w wyniku monitorowania korzystania przez pracownika z Internetu. W omawianej sprawie skarżącej nie ostrzeżono, że jej rozmowy telefoniczne będą monitorowane, a tym samym miała ona uprawnione oczekiwania co do prywatności rozmów telefonicznych wykonywanych z aparatu telefonicznego w miejscu pracy. Te same oczekiwania powinny znaleźć zastosowanie do poczty elektronicznej skarżącej i korzystania przez nią z Internetu. W przywołanym orzeczeniu Trybunał uznał jednak, że nie można wykluczyć, iż monitorowanie korzystania przez pracownika z telefonu, e-maila lub Internetu w miejscu pracy może być konieczne w pewnych okolicznościach dla realizacji uprawnionego celu.
III.Rada Europy
1.Konwencja 108 Rady Europy z 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych
Uwagi ogólne
1. Funkcję podstawowej międzynarodowej regulacji poświęconej ochronie danych osobowych spełnia konwencja 108. Jest to - jak się zaznacza - jeden z najstarszych instrumentów międzynarodowej ochrony danych . Konwencja ta nakłada daleko idące zobowiązania na ustawodawców krajów członkowskich i nie pozostaje bez wpływu na interpretację europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności.
Konwencja weszła w życie z dniem 1 października 1985 r., po tym jak ratyfikowało ją 5 państw (Francja, RFN, Norwegia, Hiszpania i Szwecja) . Polska ratyfikowała ją dnia 24 kwietnia 2002 r. Konwencja 108 oddziałuje jedynie w sferze publicznoprawnej; nie wywołuje natomiast żadnych skutków prawnych bezpośrednio po stronie obywateli krajów, które ją ratyfikowały. Niemniej - co należy dostrzec - tworzy ona pewien konsensus w zakresie ochrony danych, z którym zmierzyć się muszą uregulowania przyjmowane w krajach europejskich, chociaż - na co wskazują postanowienia wyjątkowe - chodzi przy tym jedynie o minimalny poziom ochrony. Zachęca ona kraje niemające regulacji na tym polu do wydania odpowiednich przepisów, ukierunkowując prace legislacyjne w tym zakresie i pozostawiając pewien margines swobody w kształtowaniu rozstrzygnięć odpowiadających danemu systemowi prawa. Konwencja 108 bierze pod uwagę istniejące już w niektórych państwach rozstrzygnięcia prawne i stara się wprowadzać pewien wspólny poziom ochrony oraz nie tworzyć bariery dla wykorzystywania nowoczesnej techniki informacyjnej i komunikacyjnej; okoliczności te są szczególnie istotne, jeśli zważy się na to, że konwencja zajmuje się także kwestią przekazywania danych osobowych pomiędzy krajami.
2. W konwencji 108 dostrzega się też szczególny problem ścierania się prawa do informacji z prawem do ochrony danych osobowych, co znajduje odbicie m.in. w jej preambule. Zaraz po "przypomnieniu" o - jak to sformułowano - prawie do poszanowania prywatności preambuła zawiera stwierdzenia: "potwierdzając równocześnie swoje zaangażowanie na rzecz wolności przepływu informacji, bez względu na granice, uznając konieczność pogodzenia podstawowych wartości, takich jak poszanowanie prywatności i swobody przepływu informacji między ludźmi [...]". Można powiedzieć, że głównym zadaniem, jakie sobie stawia konwencja 108, jest wprowadzenie ujednoliconej ochrony danych osobowych w krajach europejskich i zharmonizowanie jej z ideą swobodnego przepływu danych w obrębie państw członkowskich.
Cel i zakres konwencji
3. Celem konwencji 108 (jak stwierdza art. 1) jest zapewnienie na obszarze państw członkowskich każdemu, niezależnie od obywatelstwa i zamieszkania, ochrony jego praw i wolności, a w szczególności prawa do poszanowania sfery osobistej, w związku z automatycznym przetwarzaniem danych osobowych. Kraje członkowskie zobowiązują się konwencję tę stosować do zautomatyzowanych zbiorów danych i do automatycznego przetwarzania danych osobowych zarówno w sektorze publicznym, jak i prywatnym. Pojęcie zautomatyzowanego zbioru danych, jak wyjaśnia konwencja 108, oznacza każdy ogół informacji ujęty dla automatycznego przetwarzania. Natomiast pojęcie automatycznego przetwarzania rozciąga się na następujące działania przeprowadzane w całości lub części za pomocą zautomatyzowanych procesów: gromadzenie danych, stosowanie do nich operacji logicznych i/lub arytmetycznych, ich modyfikowanie, usuwanie, wybieranie lub rozpowszechnianie. "Dane osobowe" rozumiane są na gruncie konwencji 108 jako wszelkie informacje o określonych lub dających się określić osobach fizycznych. Konwencja 108 nie zajmuje się zatem ochroną interesów osób prawnych w kontekście gromadzenia, przetwarzania i udostępniania danych na ich temat.
Konwencja 108 daje krajom przystępującym możność ograniczenia lub poszerzenia zakresu jej działania przez złożenie odpowiednich oświadczeń. Mogą one dotyczyć:
wyłączenia stosowania konwencji do określonych, wymienionych rodzajów zautomatyzowanych zbiorów danych osobowych; po to jednak, aby uniknąć zarzutu protekcjonizmu oraz aby nie dochodziło na tej drodze do tworzenia szczególnego statusu zbiorów z punktu widzenia obrotu międzynarodowego, konwencja zastrzega, że wyłączeniem tym nie można obejmować takich zbiorów, które na podstawie prawa wewnętrznego danego kraju podlegają przepisom o ochronie danych;
objęcia działaniem konwencji 108 także informacji o grupach osób, związkach, fundacjach, stowarzyszeniach, korporacjach i innych organizacjach, niezależnie od tego, czy mają one osobowość prawną, a które bezpośrednio lub pośrednio składają się z osób fizycznych;
objęcia działaniem konwencji 108 także takich zbiorów danych osobowych, które nie są automatycznie przetwarzane.
Kraj, który rozszerza na swoim terytorium działanie konwencji 108 w sytuacjach opisanych w pkt b i c, może równocześnie zastrzec, że dotyczy to tylko wskazanych kategorii danych czy zbiorów. Kraj taki nie jest jednak zobowiązany do zapewnienia tego rodzaju poszerzonej ochrony względem innych krajów członkowskich, które takich poszerzeń nie wprowadziły. Również kraj, który ograniczył zakres stosowania konwencji 108 przez zastrzeżenie wskazane wyżej w pkt a, nie może domagać się od innych krajów ochrony tej kategorii zbiorów danych, które sam objął wyłączeniem.
Zasady ochrony danych osobowych. Minimum ochrony
4. Każdy z krajów członkowskich zobowiązuje się, by przed wejściem w życie konwencji 108 na jego obszarze wprowadzić do swojego prawa wewnętrznego przepisy konieczne do realizowania zasad ochrony danych statuowanych w jej rozdziale II. Powinien on przy tym przewidzieć:
sankcje i środki prawne na wypadek naruszenia tego rodzaju przepisów;
środki właściwe dla zabezpieczenia przed przypadkowym lub bezprawnym zniszczeniem, utratą, dostępem, zmianą lub ujawnieniem danych osobowych zgromadzonych w zautomatyzowanych zbiorach.
Konwencja 108 stanowi ponadto, że przepisy rozdziału II nie powinny być interpretowane w sposób, który ograniczałby lub naruszał możliwości kraju członkowskiego zagwarantowania osobom, których dane dotyczą, szerszego zakresu ochrony niż ten, który przewiduje konwencja.
5. Zasady jakości i adekwatności danych oraz związania celem (przeznaczeniem) zbierania danych zostały określone w art. 5 i 6 konwencji 108. Przetwarzane automatycznie dane osobowe muszą być:
pozyskiwane oraz przetwarzane rzetelnie i zgodnie z prawem;
gromadzone dla określonych i usprawiedliwionych celów i nie mogą być wykorzystywane w sposób niezgodny z tymi celami;
odpowiednie, rzeczowe, niewykraczające poza potrzeby wynikające z celów, dla których są gromadzone;
dokładne i w razie potrzeby uaktualniane;
przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy niż jest to wymagane ze względu na cel, dla którego dane te zgromadzono.
Dane osobowe, które mogą ujawniać pochodzenie rasowe, poglądy polityczne lub religijne albo innego rodzaju przekonania, jak również dane osobowe dotyczące zdrowia, życia seksualnego lub orzeczeń karnych, mogą być automatycznie przetwarzane tylko wówczas, gdy przepisy wewnętrzne zapewniają właściwą ochronę.
6. Ochrona dodatkowa i prawo dostępu do danych określa art. 8 konwencji 108. Każdej osobie musi zostać zapewniona możliwość:
stwierdzenia istnienia zautomatyzowanego zbioru danych osobowych, jego głównego celu i oznaczenia, miejsca pobytu lub siedziby podmiotu odpowiedzialnego za zbiór (chodzi tu o osobę fizyczną lub prawną, władzę, organizację lub inną jednostkę, która według prawa wewnętrznego jest kompetentna do decydowania, jakiemu celowi ma służyć zbiór, jakie rodzaje danych osobowych mają być gromadzone i jakie procesy przetwarzania zostaną zastosowane);
otrzymania we właściwym czasie, bez nadmiernej zwłoki i nadmiernych kosztów potwierdzenia, czy dane na jego temat są zgromadzone w zautomatyzowanym zbiorze danych osobowych, jak również uzyskanie tego, że dane te zostaną mu w zrozumiałej formie zakomunikowane;
poprawienia lub usunięcia w określonych przypadkach danych, jeśli są one przetwarzane wbrew przepisom prawa wewnętrznego realizującym zasady wyrażone w art. 5 i 6 konwencji 108;
dysponowania odpowiednimi środkami prawnymi na wypadek, gdy nie zostaną spełnione żądania, o których mowa w pkt b i c.
7. Dozwolone ograniczenie ochrony - odstąpienie od zasad wyrażonych w art. 5, 6 i 8 konwencji 108 jest dopuszczalne tylko wtedy, gdy:
jest przewidziane w prawie danego kraju członkowskiego i
stanowi środek konieczny w demokratycznym społeczeństwie do:
ochrony państwa, interesów finansowych państwa lub dla utrzymania porządku i bezpieczeństwa publicznego oraz zwalczania przestępczości,
ochrony osoby, której dane dotyczą, albo praw lub wolności innych osób.
Dozwolone jest także ograniczenie ustawą dotyczącą zautomatyzowanych zbiorów danych osobowych uprawnień wskazanych w art. 8 lit. b-d, jeśli chodzi o zbiory służące celom statystycznym lub badaniom naukowym, o ile nie istnieje oczywiste niebezpieczeństwo naruszenia sfery osobistej osób, których gromadzone dane dotyczą.
Przekazywanie danych osobowych pomiędzy krajami
8. Konwencja 108 przyjmuje zasadę swobodnego obrotu danymi pomiędzy krajami członkowskimi, co niewątpliwie zwiększa jej "siłę przyciągania"; przyjęto regułę, że krajom członkowskim nie wolno w istocie zakazywać lub uzależniać od szczególnego zezwolenia przekazywania danych osobowych na teren innego kraju członkowskiego; dozwolone jest to tylko wówczas, gdy służy celom ochrony sfery osobistej. Konwencja 108 pozostawia jednak możliwość wprowadzania pewnych restrykcji w zakresie ponadkrajowego obrotu danymi. Kraj członkowski może wprowadzić w tej mierze dalej idące ograniczenia, gdy:
dla określonych rodzajów danych osobowych lub określonych zbiorów takich danych, ze względu na ich charakter, prawo tego kraju zawiera szczególne (w znaczeniu: statuujące dalej idącą ochronę) przepisy; ograniczeń opartych na tej podstawie nie można jednak stosować względem innych krajów członkowskich, które przewidują w tym zakresie równoważną ochronę;
chodzi o zapobieżenie obchodzenia prawa w sposób polegający na transferowaniu danych na teren kraju nienależącego do konwencji przez obszar innego kraju członkowskiego.
Wzajemna pomoc i współpraca
9. Kraje członkowskie zobowiązują się do wzajemnej pomocy związanej z wykonaniem konwencji 108 i w tym celu wskazują określony urząd lub urzędy mające zadanie to realizować, o czym powiadamiają Sekretarza Generalnego Rady Europy. Urząd taki będzie na prośbę urzędu innego kraju członkowskiego udzielał informacji o stanie prawnym i praktyce w zakresie ochrony danych oraz będzie podejmował wszelkie właściwe środki zgodne z prawem wewnętrznym, a służące tylko ochronie sfery osobistej, po to by udzielić rzeczowych informacji o określonym automatycznym przetwarzaniu danych prowadzonym na jego obszarze, jednak z wyłączeniem informacji o samych przetwarzanych przy tym danych osobowych.
Każdy z krajów członkowskich jest przy tym zobowiązany do udzielania pomocy osobom mieszkającym za granicą przy wykonywaniu praw, jakie przysługują im według przepisów prawa wewnętrznego, a realizujących zasady ustanowione w art. 8 konwencji 108. Osoba mieszkająca na obszarze kraju członkowskiego może swój wniosek o udzielenie pomocy składać do oznaczonego urzędu w tym kraju. Wniosek taki musi zawierać wszystkie potrzebne informacje, w szczególności:
nazwisko, adres i inne dane identyfikujące wnioskodawcę,
zautomatyzowany zbiór danych osobowych, których wniosek dotyczy, oraz podmiot odpowiedzialny za ten zbiór,
cel złożenia wniosku.
Nie może natomiast takiego wniosku złożyć sam urząd zagraniczny w imieniu osoby mieszkającej za granicą bez jej wyraźnej zgody. Poza tym konwencja zastrzega, że informacje otrzymane poprzez urząd danego kraju członkowskiego od urzędu innego kraju członkowskiego w związku ze swoją prośbą lub wnioskiem o udzielenie pomocy mogą być wykorzystywane tylko do celów znajdujących się u podstawy prośby lub wniosku.
Za udzielaną pomoc nie mogą być pobierane żadne opłaty, poza kwotami należnymi rzeczoznawcom i tłumaczom.
Odrzucenie prośby lub wniosku, o których była mowa, może nastąpić tylko wówczas, gdy:
nie są one zgodne z uprawnieniami urzędu właściwego do udzielenia odpowiedzi,
nie odpowiadają postanowieniom konwencji 108,
ich spełnienia nie można pogodzić z suwerennością, bezpieczeństwem lub porządkiem publicznym danego kraju członkowskiego albo z prawami i podstawowymi wolnościami osób poddanych jurysdykcji tego kraju.
Komisja doradcza
10. Sekretarz Generalny Rady Europy powołuje komisję doradczą. Składa się ona z przedstawicieli (po jednym) wszystkich krajów członkowskich; każdy kraj wyznacza też jednego zastępcę. Kraj należący do Rady Europy, który nie przystąpił jednak do konwencji, ma prawo być reprezentowany w komisji przez obserwatora.
Do kompetencji komisji należą:
składanie propozycji w sprawie ułatwienia lub poprawienia stosowania konwencji,
proponowanie zmian w konwencji,
wypowiadanie się co do zaproponowanych zmian w konwencji,
zajmowanie stanowiska na prośbę kraju członkowskiego w sprawie wszystkich kwestii związanych ze stosowaniem konwencji.
Protokół dodatkowy
11. Kraje członkowskie konwencji 108 w instytucjonalnych ramach Rady Europy wypracowały do tej konwencji protokół dodatkowy, który ustanawia dodatkowe materialne oraz formalne warunki dla przetwarzania danych osobowych . Można przyjąć, że głównym celem tego przedsięwzięcia jest zmniejszenie różnic pomiędzy regulacjami przyjętymi w konwencji oraz w dyrektywie 95/46/WE. Różnice te nie są zresztą bardzo liczne. Wiele rozwiązań, jak choćby te, które dotyczą podstawowych reguł legalizacji przetwarzania danych osobowych, a także ich rzetelności (jakości), podobnie jak kwestii danych wrażliwych, ujętych jest w obu wymienionych dokumentach podobnie. To samo odnosi się do praw służących osobom, których dane są przetwarzane. Tak więc ostatecznie protokół koncentruje się w istocie na dwóch zagadnieniach charakteryzowanych w dalszej części tego tekstu.
Ważną część protokołu stanowią przepisy dotyczące tworzenia organu nadzorującego i przekazywania danych pomiędzy krajami konwencji 108. W swoim dotychczasowym kształcie konwencja 108 nie zawiera bowiem wyrażonego w sposób czytelny zobowiązania co do tworzenia organów nadzorczych (kontrolnych), tak jak to przewiduje dyrektywa 95/46/WE , która w art. 28 zobowiązuje zasadniczo kraje członkowskie do ustanowienia "stosownych środków prawnych" . Omawiany protokół uzupełnia dotychczasową regulację, przyjmując, że we wszystkich państwach-stronach konwencji 108 działać powinny organy nadzorcze, które swoje uprawnienie będą wykonywać całkowicie niezależnie. Do ich kompetencji powinno należeć m.in. interweniowanie w interesie poszczególnych osób w przypadku naruszenia prawa oraz wszczynanie postępowań kontrolnych, a także postępowań sądowych.
W niewielkim stopniu konwencja poświęca też uwagę kwestiom ochrony danych w relacjach międzynarodowych . W odniesieniu do tej materii można wskazać co najwyżej na występujące w uzasadnieniu konwencji 108 kryterium "zadowalającego poziomu ochrony danych", jednak określenie to nie jest bliżej zdefiniowane. Nie istnieje przy tym żaden generalny zakaz eksportu danych do krajów niemających "zadowalającego", "stosownego" czy "równorzędnego" poziomu ochrony. Równocześnie konwencja 108 zobowiązuje kraje członkowskie do zapewnienia swobodnego przepływu danych (art. 12). Ten stan rzeczy prowadzi do swoistej sytuacji konfliktowej odnoszącej się do krajów Unii, które muszą uwzględniać zarówno postanowienia wymienionej wyżej dyrektywy, jak i zobowiązania wynikające z konwencji 108. I tak z jednej strony ciąży na nich konwencyjny obowiązek zagwarantowania swobody przepływu danych (art. 12), z drugiej zaś strony - stosownie do reguł wyrażonych w dyrektywie 95/46/WE - powinny one zabronić eksportowania danych, także do krajów członkowskich konwencji, jeśli nie zapewniają one "stosownej" ("adekwatnej") ochrony.
Mając to na uwadze, w omawianym protokole wprowadzono rozwiązanie, które pozwoli kontrolować "rzekę danych" płynącą do innych krajów, a przy tym tworzyć obszar swobodnej cyrkulacji danych. Służyć temu ma głównie ustanowienie wymagania "stosownego" ("adekwatnego") poziomu ochrony przy ponadgranicznym przekazywaniu danych. Od zasady zakazu eksportu, w sytuacjach gdy taki wymóg nie jest spełniony, przewidziane są wyjątki, odpowiadające tym, które przyjęto w dyrektywie 95/46/WE (art. 26).
Protokół dodatkowy do konwencji 108 zaczął obowiązywać 1 lipca 2004 r. w stosunku do pierwszych 5 państw, które go ratyfikowały, natomiast w odniesieniu do pozostałych krajów - po upływie 3 miesięcy od ratyfikacji. Polska zakończyła procedurę ratyfikacyjną protokołu dnia 12 lipca 2005 r.
Warto wspomnieć także o tym, że od kilku lat toczą się prace nad modernizacją konwencji 108 .
2.Rezolucje (zalecenia) Rady Europy
12. W latach 1973 i 1974 wydane zostały przez Komitet Ministrów Rady Europy dwie istotne dla ochrony danych osobowych rezolucje . Dotyczą one ochrony sfery prywatności osób fizycznych w aspekcie wykorzystywania elektronicznych banków danych:
w sektorze prywatnym - rezolucja 22 (73),
w sektorze publicznym - rezolucja 29 (74).
Mają one charakter niewiążących zaleceń, zaś ich głównym zadaniem jest mobilizowanie rządów krajów członkowskich do podjęcia wszelkich koniecznych środków w celu realizacji podanych w tych rezolucjach zasad; kraje członkowskie powinny też powiadamiać Sekretarza Generalnego Rady o poczynionych krokach.
13. Rezolucja 22 (73) formułuje następujące zasady:
gromadzone informacje powinny być dokładne i aktualne, przy czym w zasadzie nie powinny to być informacje dotyczące "ścisłego" życia prywatnego lub takie, które mogłyby łatwo prowadzić do dyskryminacji, a gdy tego rodzaju informacje już są zbierane - nie powinny być rozpowszechniane;
gromadzone informacje powinny ograniczać się do takich, jakie odpowiadają celowi, dla którego są zbierane, oraz jakie są w tej mierze niezbędne;
informacje nie powinny być uzyskiwane sposobami podstępnymi lub nieuczciwymi;
postanowienia powinny oznaczać, do jakiego momentu określone rodzaje informacji mogą być gromadzone lub wykorzystywane;
bez odpowiedniego upoważnienia informacje nie powinny być ani używane do innych celów niż te, dla których były zbierane, ani też udostępniane innym osobom;
zainteresowanym osobom powinno zasadniczo przysługiwać uprawnienie do uzyskania informacji o zbieranych na ich temat informacjach, o celu ich zbierania i szczegółach dotyczących ich wydawania;
powinno się bezwarunkowo zadbać o poprawianie informacji nieścisłych i usuwanie informacji przestarzałych lub uzyskanych w sposób bezprawny;
należy zastosować środki ostrożności zapobiegające niewłaściwemu lub podstępnemu wykorzystywaniu informacji; elektroniczne banki danych powinny być wyposażone w systemy zabezpieczające uniemożliwiające dostęp do nich osobom nieuprawnionym i służące wykryciu informacji utraconych oraz zniekształconych w sposób zamierzony lub niezamierzony;
zebrane dane powinny być dostępne tylko dla osób mających uzasadniony powód, by się z nimi zapoznać; personel obsługujący elektroniczny bank danych powinien podlegać regulaminowi zakładowemu, który zapobiegałby wszelkim przypadkom nadużycia danych, a w szczególności postanowieniom o zachowaniu tajemnicy zawodowej;
dane statystyczne powinny być udostępniane tylko w formie zbiorczej i w sposób, który uniemożliwia łączenie tych informacji z określonymi osobami.
14. Rezolucja 29 (74) powtarza w istocie główne myśli zasad przyjętych w przedstawionej wyżej rezolucji. W niektórych punktach jednak je uściśla. W szczególności aprobując regułę, że postanowienia powinny wskazywać granicę czasową, według której dozwolone jest zbieranie lub wykorzystywanie określonych kategorii danych, zastrzega równocześnie możliwość statuowania w tej mierze wyjątków i dopuszczenia nieograniczonego czasowo używania informacji, jeśli jest to usprawiedliwione celami statystycznymi, naukowymi lub historycznymi; w takich wyjątkowych sytuacjach należy jednak przedsiębrać środki, które będą zapobiegały naruszeniom sfery prywatności osób, których dane dotyczą. Dostęp do informacji, które nie mogą być swobodnie udostępniane, powinien być ograniczony do osób mających odpowiednią wiedzę w związku z wykonywaniem określonych funkcji zawodowych.
Dane wykorzystywane dla celów statystycznych mogą być rozpowszechnianie tylko w sposób uniemożliwiający powiązanie ich z oznaczonymi osobami.
Podobnie jak wcześniej omówiona także i ta rezolucja przyjmuje zasadę, że każda osoba powinna mieć prawo wglądu w zbierane na jej temat informacje; podkreślono przy tym wyraźnie, że wszelkie wyjątki w tej mierze muszą zostać uregulowane w sposób ścisły.
To, co w treści omawianej rezolucji jest nowe, dotyczy dwóch postulatów:
społeczeństwo powinno być w zasadzie regularnie informowane o zakładaniu w sektorze publicznym, eksploatowaniu i rozwijaniu banków danych;
gdy przedmiot przetwarzania stanowią w szczególności dane należące do sfery intymnej osób fizycznych lub gdy przetwarzanie danych może prowadzić do nieusprawiedliwionej dyskryminacji:
założenie takich banków danych musi być przewidziane przez ustawę lub szczególne rozporządzenie albo, zgodnie z systemem prawnym kraju członkowskiego, musi być obwieszczone we właściwym dokumencie,
ustawa, rozporządzenie lub inne przepisy muszą jasno podawać cel zbierania i używania informacji, jak również warunki konieczne do dalszego ich przekazywania bądź w obrębie administracji publicznej, bądź osobom lub instytucjom prywatnym,
gromadzone dane nie mogą być używane do innych niż podane celów, chyba że wyjątek zostanie wyraźnie w ustawie przewidziany lub będzie usankcjonowany przez kompetentną władzę, względnie gdy zmienione zostaną przepisy o elektronicznych bankach danych.
15. Obok przedstawionych wyżej rezolucji odnotować należy również następujące:
rezolucję 29 (78) dotyczącą harmonizacji ustawodawstwa krajów członkowskich dotyczącego pobierania i przeszczepiania ludzkich tkanek i organów; porusza ona m.in. problem poufności indywidualnych zabiegów oraz nieujawniania biorcy tożsamości dawcy i vice versa;
rezolucję 3 (95) dotyczącą karty oceny zawodowej osób niepełnosprawnych; zwraca ona uwagę m.in. na to, aby wszystkie informacje zbierane dla oceny przydatności zawodowej niepełnosprawnych podlegały uregulowaniom dotyczącym ochrony danych osobowych oraz tajemnicy zawodowej i medycznej. Dane takie mogłyby być wykorzystywane tylko w interesie wymienionych osób za ich zgodą oraz do celów rehabilitacji zawodowej.
16. Charakter zaleceń mają także dalsze, szczegółowe rekomendacje wydane i przyjęte przez Komitet Ministrów Rady Europy. Mają one na celu przede wszystkim uszczegółowiać dla konkretnych dziedzin sektora publicznego rozwiązania przyjęte w konwencji 108, o której wcześniej (w pkt 1) była mowa. Na wymienienie zasługują przede wszystkim:
rekomendacja 1 (81) w sprawie regulacji dotyczącej zautomatyzowanych medycznych banków danych; o zakładaniu lub przekształcaniu takich banków (służących np. opiece medycznej, zarządzaniu placówkami medycznymi) powinny być informowane osoby zainteresowane; dostęp do nich powinni mieć tylko pracownicy medyczni;
rekomendacja 3 (83) w sprawie ochrony użytkowników skomputeryzowanych usług informacji prawniczej;
rekomendacja 10 (83) w sprawie ochrony danych osobowych wykorzystywanych do celów badań naukowych i statystyki; podkreśla ona zasadę związania celem, dla którego dane zostały zebrane, oraz stwierdza, że dane takie przed opublikowaniem muszą ulec anonimizacji, chyba że osoby, których one dotyczą, wyraziły zgodę na publikację. Ponadto zaleca, aby instytucjom zbierającym dane dla wymienionych celów umożliwiony został dostęp do oficjalnych rejestrów ludności;
rekomendacja 10 (84) w sprawie rejestrów karnych i rehabilitacji osób skazanych; formułuje ona szczególne ograniczenia, jeśli chodzi o udostępnianie i wykorzystywanie informacji z rejestrów karnych;
rekomendacja 20 (85) w sprawie ochrony danych osobowych wykorzystywanych dla celów marketingu bezpośredniego; w rekomendacji tej wyrażono pogląd, że - w granicach przewidzianych prawem - każda osoba powinna mieć możność zbierania danych osobowych w tych celach za pomocą publicznie dostępnych kartotek lub innych publikacji. Nie może jednak pozyskiwać danych, wskazując na inny cel niż stosunki z klientami. Rekomendacja zajmuje się również udostępnianiem list marketingowych osobom trzecim. Zaleca poza tym tworzenie procedur chroniących interesy potencjalnych klientów, w tym umożliwiających usunięcie nazwisk z takich list;
rekomendacja 1 (86) w sprawie ochrony danych osobowych wykorzystywanych do celów opieki społecznej; dane osobowe służące takim celom powinny być - według rekomendacji - pozyskiwane jedynie w wyjątkowych przypadkach w sposób inny niż bezpośrednio od osób, których one dotyczą, z tym że osoby te powinny być o tym poinformowane oraz powinny wyrazić zgodę. Wymiana danych między instytucjami opieki społecznej, także wymiana transgraniczna, może być realizowana tylko w stopniu koniecznym do wypełniania zadań. Posługiwaniu się numerem dla oznaczenia osoby powinny towarzyszyć przewidziane prawem krajowym gwarancje;
rekomendacja 15 (87) o korzystaniu z danych osobowych w działalności Policji; rozróżnia ona stałe zautomatyzowane kartoteki oraz kartoteki ad hoc. Zarówno jedne, jak i drugie powinny być - choć na różnych warunkach - zgłaszane odpowiedniej władzy i poddane kontroli ze strony niezależnego organu. Policja miałaby być zobowiązana do powiadamiania obywateli o zbieraniu dotyczących ich danych, chyba że wpływałoby to ujemnie na prowadzone dochodzenie. Z tym samym zastrzeżeniem dopuszczalne jest udostępnianie policyjnych zbiorów danych innym osobom, w tym dziennikarzom. Nie jest zabronione przekazywanie danych między różnymi jednostkami Policji. Według rekomendacji dane oparte na faktach i dane oparte na indywidualnych opiniach i ocenach powinny być przechowywane oddzielnie. Również zbiory danych o osobach mających broń, o obcokrajowcach czy listy taksówkarzy powinny być trzymane oddzielnie od zbiorów, które są tworzone do celów walki z przestępczością. Ponadto tylko zbiory danych dotyczące przestępców mogą być łączone;
rekomendacja 2 (89) w sprawie ochrony danych osobowych wykorzystywanych w związku z zatrudnieniem; dane takie powinny być zasadniczo pozyskiwane bezpośrednio od pracownika lub kandydata do pracy, a w innych przypadkach powinien być on o tym powiadamiany. Bez wyraźnej zgody pracownika nie można zbierać z innych źródeł danych o jego stanie zdrowia. Pracownik może być poddany badaniom lekarskim tylko w celu ustalenia zdolności do wykonywania oznaczonej pracy, na potrzeby medycyny prewencyjnej oraz dla przyznania świadczeń socjalnych. Stosowanie testów i innych podobnych metod oceny charakteru lub osobowości wymaga zawsze zgody badanego, któremu przysługuje przy tym prawo do zapoznania się z wynikami. W myśl rekomendacji dane osobowe należy usuwać w sytuacji, gdy oferta pracy stała się nieaktualna;
rekomendacja 19 (90) w sprawie ochrony danych osobowych wykorzystywanych na potrzeby płatności oraz innych operacji finansowych; według tej rekomendacji banki i inne instytucje obsługujące obrót płatniczy nie powinny gromadzić czy przetwarzać danych osobowych służących dostarczaniu środków płatności, chyba że jest to niezbędne do realizacji celów, dla których były zbierane. Dane nie powinny być przechowywane przez czas dłuższy, niż to jest konieczne;
rekomendacja 10 (91) w sprawie przekazywania osobom trzecim danych osobowych będących w dyspozycji instytucji publicznych; zajmuje się ona przede wszystkim kwestią zabezpieczeń chroniących prywatność przy przekazywaniu danych przez instytucje publiczne, określając równocześnie 4 okoliczności, które takie przekazywanie usprawiedliwiają:
przepis specjalnej ustawy,
upoważnienie wynikające z przepisów o dostępie do informacji urzędowej,
upoważnienie wynikające z przepisów krajowej ustawy o ochronie danych osobowych,
zgoda uprawnionego.
Rekomendacja w zasadzie sprzeciwia się łączeniu zbiorów, chyba że istnieją w prawie wewnętrznym właściwe gwarancje chroniące interesy osób, których dane dotyczą. Odnosi się także do zagadnienia współpracy instytucji publicznych w sferze wymiany danych oraz przekazywania danych za granicę;
rekomendacja 4 (95) w sprawie ochrony danych osobowych w dziedzinie usług telekomunikacyjnych, ze szczególnym uwzględnieniem usług telefonicznych; rekomendacja formułuje wiele mających na celu ochronę danych osobowych obowiązków adresowanych do operatorów sieci i dostawców usług telekomunikacyjnych. Odnosi się też do kwestii:
podsłuchu i przechwytywania informacji przekazywanych w sieciach,
prowadzenia tą drogą marketingu bezpośredniego,
zamieszczania danych osobowych w spisach (książkach telefonicznych).
W myśl rekomendacji gromadzenie lub przetwarzanie danych osobowych przez użytkowników albo usługodawców jest usprawiedliwione tylko o tyle, o ile służy podłączeniu do sieci, wykonaniu usługi lub realizacji płatności. Jeśli chodzi o telefonię przenośną, abonenci powinni być informowani o ryzyku naruszenia tajemnicy rozmowy, zwłaszcza przy braku szyfrowania przekazu. Należy również zapewnić, by rachunki za korzystanie z tego rodzaju telefonów nie wymagały rejestrowania danych lokalizujących abonenta i jego rozmówcę;
rekomendacja 1 (95) w sprawie zbierania, przetwarzania, przedstawiania i archiwizacji orzeczeń sądowych w skomputeryzowanych systemach dokumentacji sądowej; wyznacza ona kryteria i sposób selekcji dokumentów znajdujących się w dyspozycji sądów, metody opisania (identyfikacji) takich dokumentów i ich przechowywania;
rekomendacja 5 (97) w sprawie ochrony danych medycznych; ustala ona główne reguły przetwarzania tego rodzaju danych, stanowiąc przy tym, że wykorzystanie ich do celów innych niż profilaktyka, diagnoza i leczenie (np. śledztwa lub postępowania sądowego) wymaga wyraźnego ustawowego upoważnienia. Przekazywanie danych medycznych za granicę może następować jedynie w celach badań naukowych i wymaga ich uprzedniej anonimizacji;
rekomendacja 18 (97) w sprawie ochrony danych osobowych gromadzonych i przetwarzanych w celach statystycznych; zawarte w niej zostały wskazówki zarówno co do zbierania, przetwarzania i udostępniania danych w tym zakresie, jak i co do uprawnień osób, których dane dotyczą. Dane służące podanym celom powinny być anonimizowane;
rekomendacja 5 (99) w sprawie ochrony prywatności w Internecie (ochrony jednostek w związku ze zbieraniem i przetwarzaniem danych osobowych na autostradach informatycznych); rekomendacja zawiera ostrzeżenia o niebezpieczeństwie naruszenia ochrony danych osobowych w Internecie i postuluje stworzenie w obrębie krajów członkowskich odpowiedniego kodeksu etyki;
rekomendacja 9 (2002) w sprawie ochrony danych osobowych gromadzonych i przetwarzanych w celach ubezpieczeniowych; ustala reguły przetwarzania i ochrony danych uwzględniające specyfikę sektorową tego rodzaju działalności, zasadniczo nie obejmuje jednak problematyki ubezpieczeń społecznych. Wskazuje podstawy dopuszczalności przetwarzania danych, precyzuje cele, w jakich dane mogą być zbierane i wykorzystywane, oraz określa uprawnienia osób, których dane dotyczą;
rekomendacja 13 (2010) w sprawie ochrony osób w związku ze zautomatyzowanym przetwarzaniem danych osobowych w kontekście profilowania; określa zasady zbierania i przetwarzania danych osobowych dla celów tworzenia profili. Na potrzeby rekomendacji przez pojęcie profili należy rozumieć zestaw danych charakteryzujących kategorię osób, który ma zostać zastosowany w odniesieniu do danej osoby, natomiast tworzenie profili oznacza automatyczną technikę przetwarzania danych polegającą na przypisaniu danej osobie "profilu" w celu podejmowania dotyczących jej decyzji bądź analizy lub przewidywania jej preferencji, zachowań i postaw;
rekomendacja 3 (2014) w sprawie ochrony praw człowieka w odniesieniu do wyszukiwarek internetowych; rekomendacja stwierdza, że wyszukiwarki internetowe odgrywają kluczową rolę w społeczeństwie informacyjnym, wskazuje jednak, że prawa człowieka i podstawowe wolności mogą być zagrożone wskutek działania wyszukiwarek; zaleca państwom członkowskim we współpracy z sektorem prywatnym i organizacjami społecznymi rozwój i promowanie spójnych strategii mających na celu promowanie ochrony wolności wypowiedzi, dostępu do informacji oraz innych podstawowych praw człowieka w związku z działaniem wyszukiwarek, w szczególności przez zwiększenie przejrzystości sposobu udostępniania informacji; dostępności, pluralizmu i różnorodności usług; przeglądu mechanizmów wyszukiwania i indeksowania treści rezultatów; zwiększenia przejrzystości w zakresie gromadzenia danych osobowych i uzasadnionych celów, dla których są one przetwarzane; umożliwienia użytkownikom łatwego dostępu, a w stosownych przypadkach także skorygowania lub usunięcia swoich danych osobowych przetwarzanych przez operatorów wyszukiwarek oraz opracowania narzędzi w celu zminimalizowania gromadzenia i przetwarzania danych osobowych, w tym egzekwowania ograniczeń odnoszących się do okresów przechowywania, anonimizacji, jak również narzędzi do usuwania danych;
rekomendacja 4 (2014) w sprawie ochrony praw człowieka w odniesieniu do usług sieci społecznościowych, w której zwraca się szczególną uwagę na zagrożenia m.in. dla prywatności i godności ludzkiej związane z korzystaniem z sieci społecznościowych. W rekomendacji zwrócono uwagę na istniejące samoregulacje dotyczące korzystania z tego rodzaju usług, wskazano jednak, że dla skutecznej ochrony użytkowników konieczne jest podejmowanie różnorodnych działań, takich jak m.in. informowanie o sposobie korzystania z usług i związanych z tym zagrożeniach, w tym domyślnych ustawieniach ich profili, konsekwencjach nielimitowanego dostępu do informacji na ich temat oraz zapewnienia mechanizmów kontroli dostępu do informacji. W rekomendacji podkreśla się także m.in. konieczność zwiększenia przejrzystości przetwarzania danych osobowych w ramach usług sieci społecznościowych;
rekomendacja 5 (2015) w sprawie przetwarzania danych osobowych w kontekście zatrudnienia, w której wskazano na wzrost wykorzystywania nowych technologii i znaczenia komunikacji elektronicznej w relacjach między pracodawcami i pracownikami. W związku z tym zwrócono uwagę m.in. na potrzebę stosowania zasad przetwarzania danych w szczególności przy przetwarzaniu danych sensytywnych pracowników; zapewnienia pracownikowi informacji o przetwarzaniu jego danych (zwłaszcza, gdy dane te są gromadzone z wykorzystaniem technologii informacyjnych i komunikacyjnych), a także zasad ochrony prywatności pracownika w zakresie korzystania z Internetu i komunikacji elektronicznej oraz monitoringu .
17. Poza podanym wyżej wyliczeniem wskazać można jeszcze na pewną liczbę specjalistycznych rekomendacji związanych z wybranymi aspektami szeroko rozumianej działalności medycznej. Mamy na myśli:
rekomendację 23 (87) w sprawie systemów informatycznych w szpitalach; zaleca ona tworzenie minimalnych zestawów danych na potrzeby badań epidemiologicznych, klinicznych oraz wymiany międzynarodowej;
rekomendację 4 (89) w sprawie zbierania danych epidemiologicznych w podstawowej opiece medycznej; wyróżnia ona podstawowe cele, dla których dane mogą być zbierane;
rekomendację 14 (89) w sprawie etycznych problemów zakażenia wirusem HIV w zakładach służby zdrowia i placówkach społecznych; zajmuje się ona m.in. kwestiami gromadzenia danych i sprawozdawczości w zakresie zachorowań na AIDS, poddawania się testom na stwierdzenie zakażenia wirusem HIV;
rekomendację 3 (90) w sprawie badań medycznych na istotach ludzkich; nakazuje ona traktować jako poufne wszelkie informacje o charakterze osobistym uzyskane w związku z badaniami medycznymi;
rekomendację 8 (90) w sprawie napływu nowych technologii do służby zdrowia; zaleca ona dokonywanie oceny takich technologii z perspektywy m.in. zapewnienia poufności danych o pacjentach, dostępności danych dla osób zainteresowanych;
rekomendację 13 (90) w sprawie prenatalnych genetycznych badań przesiewowych, prenatalnej diagnostyki genetycznej oraz związanego z tym poradnictwa; dane zebrane w czasie takich badań lub poradnictwa mogą być przetwarzane tylko do celów opieki zdrowotnej, diagnostyki, profilaktyki oraz badań związanych ściśle z opieką zdrowotną;
rekomendację 15 (91) w sprawie współpracy europejskiej w ramach badań epidemiologicznych w dziedzinie zdrowia psychicznego; uwzględniony został w niej m.in. problem poufności danych osobowych pacjentów placówek psychiatrycznych, przy równoczesnym zapewnieniu dostępu do nich w celach badawczych;
rekomendację 1 (92) w sprawie wykorzystania kwasu dezoksyrybonukleinowego (DNA) w postępowaniu karnym; poświęca ona uwagę kwestii zachowania anonimowości próbek pobranych do analizy DNA oraz wyników analiz. Próbek takich nie powinno się przechowywać po wydaniu prawomocnego orzeczenia, chyba że jest to niezbędne do innych celów;
rekomendację 3 (92) w sprawie genetycznych badań diagnostycznych i przesiewowych wykonywanych dla celów opieki zdrowotnej; zajmuje się ona m.in. przechowywaniem danych genetycznych w oddzielnych zbiorach - zbiorach danych medycznych oraz rejestrach związanych z oznaczoną chorobą, a także wykorzystywaniem próbek pobranych do celów medycznych lub naukowych z poszanowaniem ochrony danych osobowych i poufności.
18. Odrębną grupę tworzą rekomendacje Zgromadzenia Parlamentarnego Rady Europy. Zagadnieniom ochrony danych osobowych poświęcone zostały:
rekomendacja 818 (77) dotycząca sytuacji osób psychicznie chorych; ma ona na uwadze m.in. postępowanie z rejestrami byłych pacjentów placówek psychiatrycznych;
rekomendacja 934 (82) dotycząca inżynierii genetycznej; zawarte zostało w niej skierowane do Komitetu Ministrów zalecenie wypracowania zasad co do przygotowania, przechowywania i dysponowania informacjami genetycznymi odnoszącymi się do poszczególnych osób;
rekomendacja 1037 (86) "Ochrona danych i wolność informacji"; wskazuje ona na kolizje, jakie mogą występować między wolnością dostępu do informacji a ochroną danych osobowych. Zgromadzenie zwraca się do Komitetu Ekspertów do spraw Ochrony Danych o opracowanie kryteriów i zasad, które pomogłyby te konflikty przezwyciężać;
rekomendacja 1116 (89) "AIDS a prawa człowieka"; apeluje ona do Komitetu Ekspertów do spraw Ochrony Danych o dokonanie analizy problemów związanych z istnieniem skomputeryzowanych baz danych o nosicielach wirusa HIV oraz wzywa do podejmowania kroków mających na celu zachowanie anonimowości osób zakażonych tym wirusem;
rekomendacja 1181 (92) w sprawie współdziałania policji oraz ochrony danych osobowych w sektorze policyjnym; chodzi tu głównie o zwalczanie przestępczości międzynarodowej, do czego niezbędne jest wymienianie i przetwarzanie danych osobowych;
rekomendacja 1210 (93) dotycząca bezpieczeństwa systemów informatycznych wysokiego ryzyka; dotyczy ona systemów wykorzystywanych do kontroli lotów, w elektrowniach atomowych, w nowoczesnych typach broni i innych.
IV.Unia Europejska
1.Ochrona danych osobowych w prawie pierwotnym Unii Europejskiej
1. Na mocy postanowień Traktatu z Lizbony zmieniającego Traktat o Unii Europejskiej i Traktat ustanawiający Wspólnotę Europejską, sporządzonego w Lizbonie dnia 13 grudnia 2007 r. (Dz. U. z 2009 r. Nr 203, poz. 1569), który wszedł w życie dnia 1 grudnia 2009 r., dokonano istotnych zmian w Unii Europejskiej - system filarowy Wspólnot Europejskich został zastąpiony jednolitym reżimem prawnym Unii Europejskiej jako organizacji międzynarodowej, Unia zyskała osobowość prawną. Zmieniły się także przepisy prawne obowiązujące w Unii: Traktat ustanawiający Wspólnotę Europejską oraz Traktat o Unii Europejskiej (wersja skonsolidowana Dz. Urz. UE C 83 z 30.03.2010, s. 13), w tym pierwszy z nich otrzymał nowy tytuł: Traktat o funkcjonowaniu Unii Europejskiej (wersja skonsolidowana Dz. Urz. UE C 326 z 26.10.2012, s. 47); Karta Praw Podstawowych Unii Europejskiej (Dz. Urz. UE C 326 z 26.10.2012, s. 391) zyskała charakter prawnie wiążący na mocy zmienionego art. 6 Traktatu o Unii Europejskiej (wersja skonsolidowana Dz. Urz. UE C 326 z 26.10.2012, s. 13), została dołączona do traktatów i weszła w skład prawa pierwotnego Unii Europejskiej, Unia przystąpiła do europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności, a prawa podstawowe zagwarantowane w konwencji stały się częścią prawa Unii jako ogólne zasady prawa.
Wskazane powyżej zmiany mają istotne znaczenie także w zakresie ochrony danych osobowych. Artykuł 8 KPP stanowi, że:
każdy ma prawo do ochrony danych osobowych, które go dotyczą;
dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą; każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania;
przestrzeganie tych zasad podlega kontroli niezależnego organu.
Zaliczenie ochrony danych osobowych do podstawowych praw człowieka i ujęcie w Karcie Praw Podstawowych Unii Europejskiej stanowi dowód na to, że problematyka ta z biegiem lat zyskuje coraz większe znaczenie w Unii Europejskiej.
Ponadto w art. 16 TFUE (dawny art. 286 TWE) potwierdzono prawo każdej osoby do ochrony danych osobowych jej dotyczących oraz zobowiązano Parlament Europejski i Radę do określenia zasad dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasad dotyczących swobodnego przepływu takich danych. Uznano także, że przestrzeganie zasad powinno podlegać kontroli niezależnych organów.
Podobną normę można odnaleźć w art. 39 TUE, zgodnie z którym Rada zobowiązana została do przyjęcia decyzji określającej zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania przepisów Tytułu V rozdziału 2 TUE (wspólna polityka zagraniczna i bezpieczeństwa) oraz zasady dotyczące swobodnego przepływu takich danych. Także w tym przypadku uznano, że przestrzeganie tych zasad powinno podlegać kontroli niezależnych organów .
2.Dyrektywa 95/46/WE
2. Początkowo Unia Europejska nie zajmowała się problemem odrębnej regulacji ochrony danych osobowych. Komisja Europejska postulowała jedynie, by kraje członkowskie ratyfikowały do końca 1982 r. konwencję 108 dotyczącą danych osobowych. Od 1990 r. prowadzone były prace nad odpowiednią dyrektywą. Spowodowane było to rangą problematyki ochrony danych osobowych oraz istnieniem w tej kwestii znacznych rozbieżności w uregulowaniach prawnych występujących w państwach członkowskich. Ostatecznie doszło do wydania dyrektywy 95/46/WE . Termin implementacji tej dyrektywy wyznaczono na dzień 23 października 1998 r. Za zasadnicze cele, których osiągnięciu służyć ma regulacja przewidziana dyrektywą, uznano:
zabezpieczenie jednolitego minimalnego poziomu ochrony prywatności osób fizycznych w związku z przetwarzaniem danych osobowych zawartych w zbiorach danych;
zapewnienie możliwości swobodnego przepływu danych osobowych pomiędzy krajami członkowskimi.
Przyjęto przy tym szerokie rozumienie zarówno pojęcia danych osobowych (personal data), obejmując nim wszystkie informacje odnoszące się do oznaczonej lub możliwej do oznaczenia osoby fizycznej, jak i pojęcia przetwarzania danych osobowych; termin "processing" obejmuje bowiem następujące operacje: wprowadzanie, magazynowanie lub łączenie danych, ich zmienianie, używanie lub komunikowanie, łącznie z transmisją, rozpowszechnianiem, zabezpieczaniem, poprawianiem i usuwaniem.
Ponadto trzeba podkreślić, że wprowadzenie ujednoliconej ochrony w omawianym zakresie - jak wskazano także w pkt 3 i 7 preambuły dyrektywy 95/46/WE - jest koniecznym warunkiem zapewnienia swobodnego przepływu towarów, usług i osób pomiędzy krajami Wspólnoty (obecnie Unii Europejskiej), gdyż przepływ ten wiąże się z przekazywaniem danych osobowych.
Spróbujemy obecnie dokonać krótkiej charakterystyki niektórych ważniejszych rozwiązań przyjętych w dyrektywie 95/46/WE.
Minimum ochrony interesów osoby fizycznej
3. Dyrektywa 95/46/WE wprowadza katalog minimalnych praw służących osobom, których dane są zbierane. Naruszenie tych uprawnień - stosownie do postanowień dyrektywy 95/46/WE - może być dochodzone na drodze sądowej.
Po pierwsze, w sytuacjach gdy przewidziana jest zgoda osoby na działania dotyczące jej danych, uzależniona jest ona od uprzedniego dostarczenia tej osobie oznaczonych w dyrektywie (art. 10 i 11) informacji o administratorze, o zbiorze danych, jego charakterze i celu, a także informacji w sprawie dobrowolności udostępniania danych. Osoby, których dane osobowe są zbierane, powinny być informowane co najmniej o: przeznaczeniu danego zbioru danych, obligatoryjnym lub dobrowolnym charakterze odpowiedzi na pytania kwestionariusza, konsekwencjach braku odpowiedzi, możliwości wglądu i korekty danych dotyczących danej osoby oraz o odbiorcach i nadzorującym zbiór danych. Co przy tym istotne, dyrektywa 95/46/WE zakazuje zasadniczo przetwarzania danych w innym celu niż ten, dla którego zostały zebrane, i w innym celu niż ten, który towarzyszył zgodzie ze strony osoby, której dane dotyczą.
Po drugie, przetwarzanie danych osobowych pomimo braku zgody osoby, której dane dotyczą, jest dopuszczalne tylko w ściśle określonych sytuacjach (por. art. 7 dyrektywy 95/46/WE).
Po trzecie, przepisy zawierają wyraźne postanowienia dotyczące zakazu zbierania w celu automatycznego przetwarzania określonych kategorii informacji, chyba że zainteresowany podmiot wyraził w formie pisemnej zgodę na takie postępowanie (por. art. 8 dyrektywy 95/46/WE). Do informacji objętych tym zakazem (tzw. danych sensytywnych, wrażliwych) zaliczono dane dotyczące pochodzenia etnicznego lub rasowego, poglądów politycznych, przekonań religijnych i politycznych, członkostwa w związkach zawodowych oraz informacje dotyczące zdrowia i życia seksualnego. Natomiast jeżeli chodzi o dane dotyczące skazań kryminalnych, to mogą być one gromadzone jedynie w zbiorach danych o charakterze publicznym (por. art. 8 ust. 5 dyrektywy 95/46/WE). Dyrektywa 95/46/WE upoważnia jednak do uchylenia w drodze ustawowej, z ważnych względów publicznych, zakazu przetwarzania niektórych z wyżej wymienionych, oznaczonych w takiej ustawie kategorii danych. W ustawie tego rodzaju powinny być także określone:
osoby, które miałyby dostęp do takich danych,
środki zabezpieczające przeciwko nadużyciom i dostępowi do takich zbiorów osób nieuprawnionych.
Dyrektywa precyzuje poza tym, w jakich przypadkach dopuszczalne jest odstępstwo od zakazu przetwarzania i zbierania danych osobowych bez zgody osoby zainteresowanej. Chodzi m.in. o:
przetwarzanie danych w związku z realizacją przez pracodawcę zobowiązań i uprawnień wynikających z prawa pracy,
przetwarzanie danych w istotnym (vital) interesie danego podmiotu lub innej osoby, gdy zainteresowany ze względów fizycznych lub psychicznych nie jest w stanie udzielić zgody,
opracowywanie danych wyraźnie przekazanych przez zainteresowanego do wiadomości publicznej.
Specjalne postanowienia dotyczą także dopuszczalności zbierania danych wrażliwych ze względów medycznych, interesu publicznego oraz w sferze prawa karnego.
Po czwarte, każda osoba, której dane znajdują się w zbiorze danych, ma prawo do informacji o istnieniu takiego zbioru, jego głównych celach oraz adresie prowadzącego dany zbiór (por. art. 12 dyrektywy 95/46/WE). Ponadto każdy zainteresowany powinien mieć prawo do uzyskania w rozsądnym czasie i za umiarkowaną kwotę informacji o tym, czy dane dotyczące jego osoby znajdują się w zbiorze; w razie odpowiedzi pozytywnej powinno mu przysługiwać prawo do uzyskania tych danych w formie możliwej do zapoznania się z nimi .
Po piąte, uprawniony może domagać się korekt, usunięcia lub zablokowania tych danych dotyczących go, które zostały uzyskane z naruszeniem omawianej dyrektywy. Może się również domagać identycznych czynności od osób trzecich, którym takie dane zostały przekazane. Należy tu dodać, że uprawnienia osoby, której dane te dotyczą, do dostępu i korekty lub wycofania danych mogą zostać ustawowo w poszczególnych krajach członkowskich wyłączone lub ograniczone w przypadkach podyktowanych m.in. następującymi względami: bezpieczeństwa narodowego, obronności, bezpieczeństwa publicznego; działań prewencyjnych, prowadzonych czynności dochodzeniowo-śledczych i prokuratorskich w sprawach karnych lub sprawach o naruszenie zasad etyki w zawodach podlegających regulacji; ważnego interesu ekonomicznego lub finansowego Państwa Członkowskiego lub Unii Europejskiej, łącznie z kwestiami pieniężnymi, budżetowymi i podatkowymi oraz funkcji kontrolnych, inspekcyjnych i regulacyjnych.
Po szóste, zainteresowany może wnieść sprzeciw wobec przetwarzania dotyczących go danych osobowych, zebranych w warunkach, gdy było to niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego lub gdy było to niezbędne do wypełniania usprawiedliwionych celów administratorów danych, jeśli administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazania jego danych osobowych innemu administratorowi danych (por. art. 14 dyrektywy 95/46/WE).
Odpowiedzialność i sankcje
4. Postanowienia dyrektywy 95/46/WE (art. 23) zawierają zobowiązanie, by w przepisach krajów członkowskich wprowadzić na rzecz osoby, która poniosła szkodę w wyniku jakiegokolwiek przetwarzania danych dokonanego w warunkach naruszających postanowienia referowanej dyrektywy, uprawnienie do domagania się odszkodowania od osoby prowadzącej (odpowiedzialnej za) zbiór danych. Dopuszczalne jest jednak wprowadzenie zwolnienia od takiej odpowiedzialności, gdy administrator udowodni, że nie jest odpowiedzialny za zdarzenie, które spowodowało szkodę. Nie podano natomiast katalogu postulowanych sankcji, którymi powinny być zagrożone w ustawodawstwach krajowych poszczególne czyny naruszające zasady prowadzenia zbiorów danych. Dyrektywa 95/46/WE przewiduje, że sankcje ustanowione przez kraje członkowskie powinny skutecznie zniechęcać do naruszania postanowień dyrektywy.
Przekazywanie danych osobowych do krajów trzecich
5. Wśród pierwszoplanowych zagadnień poddanych regulacji na gruncie omawianej dyrektywy znajduje się też kwestia dopuszczalności transferu danych osobowych do krajów trzecich. Znalazło to odbicie przede wszystkim w art. 25 i 26 dyrektywy 95/46/WE, w których przewidziano możliwość takiego przekazywania tylko w sytuacji, gdy w danym kraju trzecim (kraju docelowym) jest zapewniony odpowiedni poziom ochrony (adequate level of protection).
Zagadnienie eksportu danych osobowych było przedmiotem badań Directorate General XV i znalazło odbicie w dokumencie First Orientation on Transfers of Personal Data to Third Countries Possible Ways Forward in Assessing Adequacy, Discussion Document Adopted by the Working Party on June 26 1997 . Ze względu na - co zaznaczono w tym materiale - ogromną liczbę transferów danych osobowych z państw Unii do krajów trzecich nie jest możliwe "jednostkowe" weryfikowanie przesłanki adekwatnej ochrony w tych krajach. Oczywiście nie chodzi o generalne wyłączenia badania poziomu ochrony w jednostkowych przypadkach, lecz raczej o wyznaczenie "kryterium selekcjonującego" sprawy typowe od tych, które takiego badania wymagają. W tym kontekście proponuje się stworzenie tzw. białej listy krajów trzecich, w odniesieniu do których można zakładać, że gwarantują one należytą ochronę. Lista taka nie miałaby charakteru ani ostatecznego, ani też normatywnego. Niemniej jednak gdyby kilka przebadanych reprezentatywnych przypadków transferu danych osobowych do określonego kraju wskazywało na istnienie tam adekwatnej ochrony, kraj ten mógłby zostać umieszczony na "białej liście". Jak się zaznacza, takie podejście nie eliminuje jednak niebezpieczeństwa istnienia różnego poziomu ochrony w poszczególnych sektorach gospodarczych danego kraju . Poza tym jeżeli dane państwo nie zostanie zakwalifikowane do "białej listy", nie oznacza to automatycznie umieszczenia go na "czarnej liście", stanowi jedynie wskazówkę, że konieczna jest wówczas jednostkowa ocena dopuszczalności konkretnego transferu.
W zakresie omawianej tu problematyki przekazywania danych osobowych za granicę charakter wykonawczy w stosunku do regulacji zawartej w dyrektywie 95/46/WE mają postanowienia przyjęte w decyzjach Komisji . Nawiązują one do przepisu art. 26 ust. 2 dyrektywy 95/46/WE, który pozwala na przekazywanie danych do krajów niemających "adekwatnej ochrony", o ile administrator wskaże odpowiednie środki służące ochronie prywatności oraz przestrzeganiu fundamentalnych praw i wolności osobistych, a zwłaszcza wynikające z odpowiednich klauzul umownych. Wspomniane decyzje Komisji podają w aneksach i załącznikach klauzule umowne spełniające taką funkcję.
6. Dyrektywa 95/46/WE nie przesądza o procedurze weryfikowania istnienia należytej (adekwatnej) ochrony danych osobowych. Kraj członkowski może w tym zakresie wprowadzić bezpośrednie obowiązki administratora danych i (lub) wprowadzić system:
uprzedniego udzielania zezwolenia albo
weryfikacji dokonywanej ex post przez odpowiedni organ nadzorczy.
Uważa się przy tym, że konieczne jest wypracowanie systemu weryfikowanych przez taki organ priorytetów i kryteriów w odniesieniu do przedmiotów transferu. Proponowany system powinien umożliwić swoiste mierzenie niebezpieczeństwa udostępniania informacji z perspektywy naruszenia prawa do ochrony danych osobowych jednostki, a w konsekwencji wskazywać na te przypadki przekazywania, które w pierwszej kolejności byłyby poddawane badaniom co do ich zgodności z wymogiem "adekwatnej ochrony". Uważa się, że do tej grupy powinno należeć przekazywanie:
tzw. danych wrażliwych objętych art. 8 dyrektywy 95/46/WE,
danych wiążących się z osobistym bezpieczeństwem,
danych do podejmowania decyzji istotnie dotyczących interesów podmiotu (zatrudnienie, udzielenie kredytu itd.),
danych wiążących się z poważnym ryzykiem dla reputacji jednostki,
danych umożliwiających istotne wkroczenie w sferę życia prywatnego, a także:
stałe transferowanie dużych zbiorów danych (transakcje internetowe, telekomunikacyjne).
7. Oceniając poziom (adekwatność) ochrony danych osobowych w oznaczonym kraju, należy wziąć pod uwagę zarówno przyjęte podstawowe materialnoprawne zasady ochrony, jak i procedurę oraz efektywną możliwość zapewnienia ochrony.
Jeżeli chodzi o analizę materialnoprawnej zawartości ustaw o ochronie danych osobowych w krajach, do których ma nastąpić ich transfer, proponuje się sprawdzenie, czy spełnione są następujące zasady:
ograniczenia wykorzystania danych osobowych tylko do celu, dla którego były gromadzone ,
gromadzenia danych prawdziwych i aktualizowanych oraz relewantnych z punktu widzenia celu gromadzenia lub transferu,
przejrzystości, jawności (transparency principle) zasad i celu gromadzenia danych, a także osoby administratora danych,
należytego zabezpieczenia (technicznego i organizacyjnego) danych osobowych przez administratora,
dostępu zainteresowanego do danych osobowych jego dotyczących wraz z uprawnieniem tej osoby do żądania poprawienia danych niepełnych lub błędnych, a nawet w pewnych sytuacjach ich usunięcia,
ograniczenia dalszego transferowania przekazanych danych do innych krajów.
Ponadto:
w odniesieniu do danych wrażliwych powinny być stosowane dodatkowe czynniki zabezpieczające, jak np. wyraźna zgoda podmiotu na dalsze przetwarzanie tych danych,
w przypadku przekazywania zbiorów danych osobowych na potrzeby marketingu bezpośredniego każdy zainteresowany podmiot powinien mieć prawo do wycofania danych go dotyczących z tego rodzaju eksploatacji,
w przypadku automatycznego podejmowania decyzji w sprawie transferu danych osobowych każdy podmiot, którego dotyczą przekazywane dane, powinien być uprawniony do poznania zasad podejmowania tego rodzaju decyzji.
Z kolei jeżeli chodzi o aspekty proceduralne i wykonawcze istotne dla stwierdzania istnienia adekwatności ochrony, sugeruje się badanie:
zgodności praktyki w danym kraju z obowiązującymi w tej mierze zasadami ,
istnienia efektywnych form pomocy dla podmiotów, których zbiory danych dotyczą, w szybkim i efektywnym dochodzeniu przez nich praw oraz
zapewnienia właściwego systemu naprawiania szkody w przypadku naruszenia reguł ochrony danych osobowych w danym kraju.
8. Rozważana jest poza tym kwestia, w jakim stopniu dozwolone jest domniemanie istnienia należytej (adekwatnej) ochrony w krajach, które są członkami konwencji 108 . Przyjmuje się, że kraje, które ratyfikowały tę konwencję, spełniają wspomniany wymóg, o ile ponadto mają tego rodzaju własny instytucjonalny mechanizm, jakim jest niezależny organ nadzorczy wyposażony w stosowne uprawnienia w zakresie ochrony danych osobowych, a przy tym kraj ten jest ostatecznym miejscem przeznaczenia przekazywanych baz danych osobowych, a nie krajem, z którego ma zostać dokonany dalszy ich transfer.
9. Zgodnie z art. 25 ust. 6 dyrektywy 95/46/WE, na podstawie oceny prawa wewnętrznego danego kraju trzeciego lub jego zobowiązań międzynarodowych, Komisja może stwierdzić, że kraj ten zapewnia poziom ochrony danych adekwatny do poziomu przewidzianego w dyrektywie. Efektem wydania przez Komisję takiej decyzji jest dopuszczalność przekazywania danych osobowych z krajów członkowskich do danego kraju trzeciego bez konieczności zapewnienia dodatkowej ochrony .
Organizacja i nadzór
10. Dyrektywa 95/46/WE przewiduje powołanie:
krajowych organów nadzorczych; zadaniem takich organów, tworzonych w każdym kraju członkowskim, byłoby monitorowanie wykonywania dyrektywy oraz innych kompetencji przewidzianych dla nich w dyrektywie;
Grupy Roboczej (Stałego Komitetu) do spraw Ochrony Danych Osobowych (Working Party on the Protection of Individuals with regard to the Processing of Personal Data); jest ona tworzona z przedstawicieli krajowych organów nadzorczych i przedstawiciela Komisji, a jej celem jest przyczynianie się do jednolitego stosowania dyrektywy w krajach członkowskich, opiniowanie w sprawie istniejącego poziomu ochrony danych osobowych w różnych krajach i udzielanie opinii dla Komisji UE w sprawie nowych unijnych aktów normatywnych z zakresu ochrony prywatności ;
Komitetu (Doradczego) złożonego z przedstawicieli krajów członkowskich; zadaniem tego organu byłoby przygotowanie opinii i projektów nowych aktów normatywnych z zakresu objętego dyrektywą.
3.Orzecznictwo Europejskiego Trybunału Sprawiedliwości
11. Przepisy dyrektywy 95/46/WE oraz ich implementacja budzą niekiedy uzasadnione wątpliwości i stwarzają problemy w praktyce. Niektóre spośród tych wątpliwości rozstrzygane były przez ETS w trybie art. 234 TWE, w drodze odpowiedzi na pytania prawne, formułowane przez sądy państw członkowskich. Po wejściu w życie traktatu lizbońskiego Trybunał Sprawiedliwości Unii Europejskiej orzeka w trybie prejudycjalnym, opierając się na art. 267 TFUE. Orzeczenia prejudycjalne są wprawdzie wiążące jedynie w danej sprawie, niemniej wywierają one istotny wpływ na interpretację norm prawa unijnego. Warto pokrótce przedstawić orzeczenia odnoszące się do kwestii uregulowanych we wskazanej powyżej dyrektywie.
12. Interpretacja istotnych postanowień dyrektywy 95/46/WE została dokonana w orzeczeniu ETS z dnia 20 maja 2003 r. Sprawa dotyczyła ujawniania danych o dochodach pracowników instytucji publicznych . Do ETS zwróciły się austriacki Trybunał Konstytucyjny (Verfassungsgerichtshof) oraz Sąd Najwyższy (Oberste Gerichtshof), w związku ze sporem prawnym pomiędzy Najwyższą Izbą Kontroli (Rechnungshof) i podmiotami podlegającymi kontroli tej Izby. Spór dotyczył interpretacji przepisu nakładającego na podmioty kontrolowane zobowiązanie do przekazywania Izbie danych dotyczących wypłaconych wynagrodzeń i emerytur, które przekraczają określone kwoty (łącznie z nazwiskami osób, które te świadczenia otrzymały), a także ujawniania tych informacji w sprawozdaniu rocznym, przekazywanym m.in. wyższej i niższej izbie parlamentu (Nationalrat, Bundesrat), a także udostępnianym publicznie. Z założenia przekazywanie tych informacji miało na celu umożliwienie kontroli prawidłowości wydatkowania środków publicznych. Podmioty zobowiązane do przekazywania informacji kwestionowały zgodność wewnętrznych przepisów prawnych (które zresztą sformułowane były w sposób dość ogólny) z postanowieniami dyrektywy 95/46/WE, wskazując, że przekazywanie oraz publikowanie w powszechnie dostępnych rocznych sprawozdaniach informacji o dochodach osób fizycznych stanowi niedopuszczalną ingerencję w sferę życia prywatnego. Austriacki Trybunał Konstytucyjny oraz Sąd Najwyższy skierowały do ETS dwa pytania: czy przepisy prawa wspólnotowego, w szczególności dotyczące ochrony danych osobowych, powinny być interpretowane jako zakazujące organom państwa zbierania i przekazywania danych o dochodach oraz publikowania nazwisk i wysokości dochodów pracowników różnych instytucji sektora publicznego, a jeśli tak, to czy przepisy wspólnotowe mają bezpośrednie zastosowanie.
Odpowiadając na pierwsze z postawionych pytań, ETS stwierdził, że przepisy art. 6 ust. 1 lit. c oraz art. 7 lit. c i e dyrektywy 95/46/WE nie sprzeciwiają się krajowym przepisom prawnym, takim jak przepis, do którego odnosiło się postępowanie. Jednak zdaniem Trybunału warunkiem zgodności przepisów krajowych dotyczących ujawniania wysokości rocznych dochodów, a także ujawniania nazwisk osób otrzymujących te dochody z przepisami dyrektywy 95/46/WE jest wykazanie, że jest to niezbędne i stosowne do założonego przez ustawodawcę celu, jakim jest prawidłowe zarządzanie środkami publicznymi. Ocena tego zdaniem ETS należy do sądów krajowych. Udzielając odpowiedzi na drugie pytanie, ETS uznał, że wskazane powyżej przepisy dyrektywy mają bezpośrednie zastosowanie w tym sensie, że jednostka może się na nie powoływać przed sądem krajowym, aby uniemożliwić stosowanie sprzecznych z nimi przepisów prawa krajowego.
Przedstawione powyżej orzeczenie potwierdza, że możliwe jest wprowadzanie do wewnętrznych ustawodawstw krajowych różnego rodzaju ograniczeń prawa do ochrony danych osobowych, pod warunkiem że ograniczenia te będą wprowadzane ustawowo, a także będą niezbędne do realizacji celów wskazanych w art. 13 dyrektywy 95/46/WE. Niewątpliwie istotne dla interpretacji przepisów dyrektywy jest również stwierdzenie możności bezpośredniego jej stosowania (a przez to - bezpośredniego skutku norm prawa wspólnotowego).
13. Na uwagę zasługuje także orzeczenie ETS z dnia 6 listopada 2003 r. dotyczące przetwarzania danych osobowych w Internecie , zawierające interpretację kilku istotnych kwestii uregulowanych w dyrektywie 95/46/WE. Sprawa dotyczy obywatelki Szwecji Bodil Lindqvist, katechetki, która opublikowała na swojej stronie internetowej dane dotyczące kilkunastu kolegów pracujących w parafii, po to aby ułatwić parafianom dostęp do tych informacji. Na wspomnianej stronie internetowej znalazły się imiona, a w odniesieniu do niektórych osób także nazwiska, numery telefonów, opisy prac wykonywanych przez poszczególne osoby, ich stosunków rodzinnych oraz zainteresowań, przedstawione w żartobliwej formie. Na stronie internetowej znalazła się także informacja o tym, że jedna z osób doznała urazu nogi i w związku z tym zatrudniona jest w niepełnym wymiarze czasu pracy. Pani Lindqvist nie spytała swoich kolegów o zgodę na umieszczenie tych informacji w Internecie ani nawet ich o tym nie poinformowała, ani nie zgłosiła tego do Datainspektion (szwedzki organ właściwy w sprawach ochrony danych). Bodil Lindqvist została skazana na karę grzywny w wysokości 4 tys. koron szwedzkich (ok. 450 euro) za to, że: przetwarzała dane osobowe w sposób automatyczny bez uprzedniego pisemnego zgłoszenia tego faktu do Datainspektion, co stanowi naruszenie art. 36 szwedzkiej ustawy o ochronie danych osobowych (Personuppgiftslag); przetwarzała wrażliwe dane osobowe (dotyczące urazu nogi i w związku z tym pracy na niepełny etat) bez zgody osoby, której dane dotyczą - naruszenie art. 13 Personuppgiftslag; przekazywała dane osobowe do państwa trzeciego bez wymaganej zgody - naruszenie art. 33 Personuppgiftslag. Od tego wyroku pani Lindqvist odwołała się do sądu wyższej instancji (Göta hovrätt), który rozpatrując sprawę, zwrócił się do ETS, formułując kilka pytań prawnych dotyczących wątpliwości interpretacyjnych zaistniałych w tej sprawie na gruncie prawa wspólnotowego, w szczególności dyrektywy 95/46/WE.
Europejski Trybunał Sprawiedliwości w wydanym orzeczeniu stwierdził, że:
umieszczenie na stronie internetowej informacji umożliwiających identyfikację osób przez podanie ich nazwisk albo innych danych (imion, numerów telefonów oraz danych o zatrudnieniu czy hobby) stanowi przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany w rozumieniu art. 3 ust. 1 dyrektywy 95/46/WE;
tego rodzaju przetwarzanie danych osobowych nie jest objęte wyłączeniem przewidzianym w art. 3 ust. 2 dyrektywy 95/46/WE;
informacja, że osoba doznała urazu nogi i w związku z tym zatrudniona jest w niepełnym wymiarze, stanowi dane dotyczące stanu zdrowia w rozumieniu art. 8 ust. 1 dyrektywy 95/46/WE;
nie zachodzi przekazywanie danych do kraju trzeciego w rozumieniu art. 25 dyrektywy 95/46/WE, w sytuacji gdy osoba przebywająca w państwie członkowskim umieszcza dane osobowe na stronie internetowej, która jest przechowywana na serwerze osoby fizycznej lub prawnej utrzymującej serwis internetowy w tym państwie albo w innym kraju członkowskim, z którego to serwisu strona ta może być wywoływana, a przez to dane osobowe stają się dostępne dla każdego, kto połączy się z Internetem, włącznie z osobami w krajach trzecich;
postanowienia dyrektywy 95/46/WE jako takie nie zawierają żadnych ograniczeń, które sprzeciwiałyby się wolności słowa ani innym prawom i wolnościom obowiązującym w Unii Europejskiej; zadaniem narodowych władz i sądów odpowiedzialnych za stosowanie narodowych regulacji implementujących dyrektywę jest zapewnienie stosownej równowagi pomiędzy tymi prawami i wolnościami;
podjęte przez państwa członkowskie środki służące zapewnieniu ochrony danych osobowych powinny być zgodne zarówno z postanowieniami dyrektywy 95/46/WE, jak i z jej celem, którym jest zapewnienie równowagi pomiędzy swobodnym przepływem danych osobowych a ochroną życia prywatnego; jednak nic nie stoi na przeszkodzie, by państwa członkowskie rozszerzyły zakres narodowego ustawodawstwa implementującego postanowienia dyrektywy na obszary niezawarte w zakresie jej obowiązywania, o ile inne postanowienia prawa wspólnotowego tego nie wykluczają.
Na szczególne podkreślenie zasługuje ta część wyroku, która odnosi się do przekazywania danych do państwa trzeciego. Ten fragment orzeczenia (zawierający dość obszerne uzasadnienie) będzie miał niewątpliwie istotny wpływ na interpretację postanowień dyrektywy 95/46/WE w kontekście przetwarzania danych osobowych w Internecie.
14. Warto odnotować także wyrok ETS z dnia 30 maja 2006 r. dotyczący problematyki przekazywania danych osobowych przez przewoźników lotniczych z państw członkowskich do Stanów Zjednoczonych Ameryki Północnej.
Stan faktyczny będący podstawą orzeczenia przedstawiał się następująco: w związku z atakami terrorystycznymi z 11 września 2001 r. Stany Zjednoczone wydały przepisy zobowiązujące przewoźników lotniczych realizujących połączenia do lub ze Stanów Zjednoczonych do zapewnienia organom celnym USA elektronicznego dostępu do danych zawartych w ich automatycznych systemach rezerwacji i kontroli wylotów, określanych jako Passenger Name Record (PNR). Komisja Europejska poinformowała władze USA, że przepisy te mogą być niezgodne z obowiązującymi w UE normami odnoszącymi się do ochrony danych osobowych i podjęte zostały negocjacje, w wyniku których Ministerstwo Bezpieczeństwa Wewnętrznego, Biuro Celne i Ochrony Granic USA przyjęło na siebie określone zobowiązania w zakresie ochrony danych. Dnia 14 maja 2004 r. Komisja wydała decyzję 2004/535/WE w sprawie odpowiedniej ochrony zawartych w Passenger Name Record danych osobowych pasażerów lotniczych, przekazywanych do Biura Celnego i Ochrony Granic Stanów Zjednoczonych (Dz. Urz. UE L 232 z 6.07.2004, s. 11), a dnia 17 maja 2004 r. Rada wydała decyzję 2004/496/WE w sprawie zawarcia porozumienia pomiędzy Wspólnotą Europejską a Stanami Zjednoczonymi Ameryki w sprawie przetwarzania i przekazywania danych dotyczących Passenger Name Record przez przewoźników lotniczych do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Biura Ceł i Ochrony Granic (Dz. Urz. UE L 183 z 20.05.2004, s. 83). Obie decyzje zostały zaskarżone przez Parlament do Trybunału jako niezgodne z prawem.
Europejski Trybunał Sprawiedliwości stwierdził nieważność obu wskazanych powyżej decyzji, uznając, że decyzja dotycząca odpowiedniej ochrony nie wchodzi w zakres regulacji dyrektywy 95/46/WE, jako że przekazywanie danych następuje w ramach ustanowionych przez władze publiczne, mających na celu ochronę bezpieczeństwa publicznego, a więc zachodzi wyłączenie z art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE, natomiast w odniesieniu do decyzji dotyczącej zawartego porozumienia Trybunał uznał, że została ona wydana według niewłaściwej podstawy prawnej. Europejski Trybunał Sprawiedliwości utrzymał jednak w mocy skutki decyzji o odpowiedniej ochronie do dnia 30 września 2006 r., dając tym samym czas na uregulowanie tych kwestii w sposób zgodny z prawem. W roku 2007 zostało podpisane nowe porozumienie pomiędzy Unią Europejską a Stanami Zjednoczonymi dotyczące przetwarzania i transferu danych w ramach PNR .
15. W zakresie obowiązku implementacji dyrektywy 95/46/WE szczególne znaczenie ma wyrok z dnia 9 marca 2010 r. w sprawie Komisja Europejska v. Republika Federalna Niemiec . Trybunał uznał, że Republika Federalna Niemiec, poddając kontroli państwowej organy nadzorcze właściwe w zakresie nadzoru nad przetwarzaniem danych osobowych przez instytucje niepubliczne i przedsiębiorstwa publiczne działające na konkurencyjnym rynku (öffentlich-rechtliche Wettbewerbsunternehmen) w niektórych krajach związkowych i dokonując w ten sposób błędnej implementacji wymogu, zgodnie z którym organy te wykonują zadania "całkowicie niezależnie", uchybiła zobowiązaniom ciążącym na niej na podstawie art. 28 ust. 1 akapit drugi dyrektywy 95/46/WE.
16. Warto odnotować także wyrok z dnia 8 kwietnia 2014 r. , w którym Trybunał stwierdził nieważność dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE (Dz. Urz. UE L 105 z 13.04.2006, s. 54) z uwagi na to, że prawodawca unijny, przyjmując tę dyrektywę, przekroczył granicę, jaką stanowi zasada proporcjonalności w odniesieniu do ochrony życia prywatnego i rodzinnego oraz ochrony danych osobowych (art. 7 i 8 KPP). Trybunał uznał, że rozwiązania przyjęte w dyrektywie 2006/24/WE stanowią nieproporcjonalną ingerencję we wskazane powyżej prawa, a cel polegający na zwalczaniu przestępczości oraz zapewnienie bezpieczeństwa publicznego można osiągnąć środkami, które w mniejszym stopniu ingerują w chronione prawa. Orzeczenie to pociąga za sobą konieczność zmiany przepisów dotyczących retencji danych, zarówno na płaszczyźnie prawa unijnego, jak również prawa krajowego.
17. Na szczególną uwagę zasługuje wyrok z dnia 13 maja 2014 r. , dotyczący działalności wyszukiwarek internetowych. Wyrok został wydany w następującym stanie faktycznym: w marcu 2010 r. M. Costeja González wniósł do hiszpańskiego organu nadzorczego (AEPD) skargę skierowaną przeciwko wydawcy dziennika "La Vanguardia" oraz przeciwko spółkom Google Spain i Google Inc., dotyczącą tego, że przy wprowadzeniu imienia i nazwiska skarżącego do wyszukiwarki Google pojawiał się link do dwóch stron dziennika "La Vanguardia" z roku 1998, na których znajdowało się ogłoszenie w przedmiocie licytacji nieruchomości związanej z ich zajęciem wynikającym z niespłaconych należności na rzecz zakładu zabezpieczeń społecznych, zawierające nazwisko skarżącego. W skardze M. Costeja González zażądał nakazania spółce La Vanguardia usunięcia lub zmiany tych stron internetowych w taki sposób, by nie pojawiały się na nich jego dane osobowe, a także zobowiązania Google do usunięcia lub ukrycia jego danych osobowych w taki sposób, by nie były one ujawniane w wynikach wyszukiwania, twierdząc, że sprawa zajęcia nieruchomości została rozwiązana wiele lat temu i że aktualnie nie ma żadnego znaczenia. Hiszpański organ nadzorczy oddalił skargę przeciw wydawcy dziennika, uznając, że istniała podstawa prawna publikacji danych skarżącego, jednak wydał decyzje nakazujące spółkom Google Inc. i Google Spain usunięcie kwestionowanych danych z wyników wyszukiwarki. Od decyzji AEPD spółki odwołały się do hiszpańskiego Sądu Najwyższego, który skierował do Trybunału kilka pytań. Odpowiadając na postawione pytania, Trybunał uznał, że:
prowadzoną przez wyszukiwarki internetowe działalność, która polega na zlokalizowaniu informacji opublikowanych lub zamieszczonych w Internecie przez osoby trzecie, indeksowaniu ich w sposób automatyczny, czasowym przechowywaniu takich informacji i wreszcie ich udostępnianiu internautom w sposób uporządkowany zgodnie z określonymi preferencjami, w sytuacji gdy takie informacje zawierają dane osobowe, należy uznać za przetwarzanie danych osobowych, a operatora wyszukiwarki internetowej należy uznać za administratora odpowiedzialnego za przetwarzanie danych osobowych;
przetwarzanie danych osobowych ma miejsce w ramach działalności gospodarczej prowadzonej przez administratora danych odpowiedzialnego za to przetwarzanie na terytorium danego państwa członkowskiego, jeśli operator wyszukiwarki internetowej ustanawia w danym państwie członkowskim oddział lub spółkę zależną, których celem jest promocja i sprzedaż powierzchni reklamowych oferowanych za pośrednictwem tej wyszukiwarki, a działalność tego oddziału lub spółki zależnej jest skierowana do osób zamieszkujących to państwo;
operator wyszukiwarki internetowej jest zobowiązany do usunięcia z wyświetlanej listy wyników wyszukiwania mającego za punkt wyjścia imię i nazwisko danej osoby linków do publikowanych przez osoby trzecie stron internetowych zawierających dotyczące tej osoby informacje, również w przypadku, gdy imię czy nazwisko bądź informacje na temat tej osoby nie zostały uprzednio czy też jednocześnie usunięte z tych stron internetowych, nawet jeśli ich publikacja na tych stronach jest zgodna z prawem;
należy w szczególności przeanalizować kwestię, czy osoba, której dotyczą dane, ma prawo do tego, aby odnosząca się do niej informacja nie była już w aktualnym stanie rzeczy powiązana z jej imieniem i nazwiskiem przez listę wyświetlającą wyniki wyszukiwania mającego za punkt wyjścia to imię i nazwisko, przy czym stwierdzenie, że takie prawo przysługuje, pozostaje bez związku z tym, czy zawarcie na tej liście wyników wyszukiwania danej informacji wyrządza szkodę tej osobie. Ponieważ osoba ta może, ze względu na przysługujące jej i przewidziane w art. 7 i 8 KPP prawa, zażądać tego, aby dana informacja nie była już podawana do wiadomości szerokiego kręgu odbiorców przez zawarcie jej na takiej liście wyników wyszukiwania, prawa te są co do zasady nadrzędne nie tylko wobec interesu gospodarczego operatora wyszukiwarki internetowej, lecz również wobec interesu, jaki może mieć krąg odbiorców w znalezieniu tej informacji w ramach wyszukiwania prowadzonego w przedmiocie imienia i nazwiska tej osoby. Taka sytuacja nie ma jednak miejsca, jeśli ze szczególnych powodów, takich jak rola odgrywana przez tę osobę w życiu publicznym, należałoby uznać, że ingerencja w jej prawa podstawowe jest uzasadniona nadrzędnym interesem kręgu odbiorców polegającym na posiadaniu, dzięki temu zawarciu na liście, dostępu do danej informacji. Orzeczenie to poddane zostało analizie w piśmiennictwie przedmiotu (por. M. Czerniawski, glosa do wyroku TSUE z dnia 13 maja 2014 r., C-131/12, LEX/el. 2015; Ł. Goździaszek, glosa do wyroku TSUE z dnia 13 maja 2014 r., C-131/12, Prawo do bycia zapomnianym w wyszukiwarce internetowej, EPS 2015, nr 2, s. 41-48; M. Górski, glosa do wyroku TSUE z dnia 13 maja 2014 r. r., C-131/12, LEX/el. 2014; M. Kręcisz, glosa do wyroku TSUE z dnia 13 maja 2014 r., C-131/12, LEX/el. 2014).
18. W dniu 11 grudnia 2014 r. Trybunał wydał wyrok dotyczący monitoringu wizyjnego w kontekście wyłączenia stosowania przepisów o ochronie danych osobowych do przetwarzania danych przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze (art. 3 ust. 2 dyrektywy 95/46/WE). Wyrok został wydany na kanwie następujących okoliczności faktycznych: František Ryneš zainstalował na swoim domu system kamer nagrywających obraz wejścia do jego domu, drogi publicznej i wejścia do domu położonego naprzeciwko. Zarejestrowany obraz przechowywany był na twardym dysku komputera, do którego dostęp miał wyłącznie F. Ryneš. Powodem zainstalowania systemu monitoringu była chęć ochrony majątku, zdrowia i życia jego oraz jego rodziny, gdyż F. Ryneš, jak i jego rodzina byli wielokrotnie celem ataków ze strony nieznanych sprawców (a w okresie 2005-2007 wielokrotnie wybito okna domu jego rodziny). W nocy z dnia 6 na 7 października 2007 r. doszło do kolejnego ataku (wybito szybę w domu), a dzięki nagraniu z kamery możliwe stało się ustalenie tożsamości dwóch podejrzanych. Nagrania zostały przekazane Policji i wykorzystane jako dowód w ramach postępowania karnego. Jeden z podejrzanych zażądał od czeskiego organu ochrony danych weryfikacji legalności systemu kamer F. Ryneša. Organ decyzją z dnia 4 sierpnia 2008 r. stwierdził, że F. Ryneš dopuścił się naruszenia czeskiej ustawy o ochronie danych z uwagi na to, że:
jako administrator danych osobowych pozyskiwał za pomocą systemu kamer dane osobowe bez zgody osób poruszających się po ulicy lub wchodzących do domu po drugiej stronie ulicy;
nie poinformował tych osób o przetwarzaniu danych osobowych, o zakresie i celu tego przetwarzania, o osobie dokonującej przetwarzania oraz o sposobie dokonania przetworzenia ani o osobach, które mogły mieć dostęp do tych danych, oraz
jako administrator danych osobowych nie dopełnił obowiązku zawiadomienia organu o przetwarzaniu danych.
František Ryneš wystąpił ze skargą na decyzję organu, którą oddalił sąd pierwszej instancji, natomiast czeski Naczelny Sąd Administracyjny, do którego skarżący wniósł skargę kasacyjną, wystąpił do Trybunału z pytaniem prejudycjalnym. Odpowiadając na pytanie, Trybunał uznał, że obraz osoby zarejestrowany przez kamerę stanowi dane osobowe, o ile pozwala on ustalić tożsamość danej osoby, a nadzór kamer wideo wchodzi zasadniczo w zakres stosowania dyrektywy, o ile stanowi on zautomatyzowane przetwarzanie danych. W ocenie Trybunału wykorzystywanie systemu kamer przechowującego zapis obrazu osób na sprzęcie nagrywającym w sposób ciągły, takim jak dysk twardy, zainstalowanego przez osobę fizyczną na jej domu rodzinnym w celu ochrony własności, zdrowia i życia właścicieli domu, który to system monitoruje również przestrzeń publiczną, nie stanowi przetwarzania danych w trakcie czynności o czysto osobistym lub domowym charakterze. Jednak Trybunał zwrócił uwagę także na to, że zastosowanie przepisów dyrektywy pozwala, w razie konieczności, uwzględnić w szczególności zgodnie z art. 7 lit. f, art. 11 ust. 2, a także art. 13 ust. 1 lit. d i g dyrektywy 95/46/WE uzasadnione interesy administratora danych, które w szczególności obejmują ochronę własności, zdrowia i życia tego administratora, a także jego rodziny. Oznacza to, że podstawą przetwarzania danych może być prawnie usprawiedliwiony cel administratora danych (nie jest tu wymagana zgoda osoby, której dane dotyczą); informowanie osób może być ograniczone, gdy dostarczenie informacji osobie, której dane dotyczą, wymagałoby niewspółmiernie dużego wysiłku, a ograniczenia stosowania przepisów o ochronie danych osobowych mogą być wprowadzane, gdy będą stanowić środek konieczny dla zabezpieczenia działań prewencyjnych, prowadzonych czynności dochodzeniowo-śledczych i prokuratorskich w sprawach karnych, jak również dla ochrony praw i wolności innych osób. Orzeczenie to zostało poddane krytycznej ocenie (por. M. Czerniawski, glosa do wyroku TSUE z dnia 11 grudnia 2014 r., C-212/13, LEX/el. 2015).
4.Dyrektywa 2002/58/WE
19. Specyfika gromadzenia i przesyłania danych osobowych oraz posługiwania się nimi w związku ze świadczeniem oraz korzystaniem z usług telekomunikacyjnych, a także pojawiające się na tym obszarze zagrożenia dla szeroko rozumianej prywatności, ujawniające się zwłaszcza w świetle integrowania się sieci przesyłu informacji, stały się powodem wydania specjalistycznej dyrektywy 97/66/WE Parlamentu Europejskiego i Rady z dnia 15 grudnia 1997 r. w sprawie przetwarzania danych osobowych i ochrony prywatności w dziedzinie telekomunikacji (Dz. Urz. WE L 24 z 30.01.1998, s. 1). Gwałtowny rozwój techniczny w tej dziedzinie oraz potrzeba uwzględnienia go w regulacjach prawnych doprowadziły do zastąpienia tego aktu nową dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. Urz. WE L 201 z 31.07.2002, s. 37; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 29, s. 514, z późn. zm.), która została częściowo zmieniona dyrektywą 2006/24/WE. Jak wskazaliśmy powyżej, dyrektywa retencyjna, zmieniająca dyrektywę 2002/58/WE, została uznana przez Trybunał Sprawiedliwości UE za nieważną. W tym miejscu jedynie sygnalizujemy te akty prawne, zostaną one omówione w części poświęconej zagadnieniom szczególnym (pkt E.VII).
5.Konwencja z Schengen
Uwagi wstępne
20. Niezależnie od omówionych wyżej dyrektyw problem przetwarzania danych osobowych pojawił się jeszcze w innych, można powiedzieć, specjalistycznych porozumieniach. Trzeba tu wymienić zwłaszcza konwencję (porozumienie) zawartą 14 czerwca 1985 r. w Schengen, poświęconą znoszeniu kontroli granicznej między państwami Wspólnoty Europejskiej . Na jej podstawie zawarte zostało w 1990 r. między Francją, Włochami, Niemcami, Holandią, Belgią, Luksemburgiem, Hiszpanią i Portugalią porozumienie wykonawcze powołujące do życia m.in. System Informacyjny Schengen (SIS) służący wymianie informacji na temat osób przekraczających granice tych państw. Podstawowym jego celem jest zneutralizowanie skutków zniesienia kontroli granicznej pomiędzy krajami, które przystąpiły do konwencji, oraz skoncentrowanie tej ochrony na zewnętrznych granicach "terytorium Schengen".
Porozumienie zawiera rozbudowane postanowienia dotyczące zasad gromadzenia i rozpowszechniania danych osobowych. Schengen Information System jest skomputeryzowanym systemem informacyjnym przeznaczonym do kontroli granicznej, celnej i policyjnej.
Omawiana konwencja nie jest wprawdzie aktem prawnym Unii Europejskiej, niemniej jednak przystąpienie do tej konwencji większości krajów członkowskich Unii, w tym również Polski, skłania do uwzględnienia jej w tej części uwag wstępnych.
Trzeba przy tym podkreślić, że celem charakteryzowanej konwencji nie jest harmonizacja zasad ochrony danych osobowych w krajach członkowskich. Problem ten powinna regulować wcześniej omówiona dyrektywa 95/46/WE. Niewątpliwie jednak przystąpienie do tej konwencji i efektywna wymiana informacji nie będzie możliwa w przypadku kraju, w którym istnieje znacząco niższy poziom ochrony danych osobowych. Można bowiem przypuszczać, że kraje z zaawansowaną ochroną w tym zakresie nie wyrażą zgody na przekazanie "swoich danych osobowych" do krajów, w których nie jest zapewniona odpowiednia ochrona tych danych.
Podstawowe zasady Systemu Informacyjnego Schengen (SIS)
21. System Informacyjny Schengen w istocie składa się z wielu krajowych systemów informacyjnych, które są jednak wzajemnie dostępne. Zbiór danych osobowych danego kraju może być modyfikowany i uzupełniany jedynie przez odpowiedni organ danego kraju. Ponadto informacje osobowe z SIS mogą być wykorzystane przez władze innego kraju niż ten, który dane wprowadził, w zasadzie wyłącznie do celów określonych w raporcie zawierającym te informacje. Wyżej wymienione zasady konstytuują tzw. zasadę krajowej własności poszczególnych baz danych.
Podstawowym celem SIS jest pomoc Policji i organom celnym krajów Schengen. W szczególności wykorzystując SIS, będzie można uzyskać natychmiastową informację, czy dana osoba znajduje się w banku SIS i jaką akcję należy w stosunku do niej podjąć.
Dostęp do danych SIS przysługuje wyłącznie organom wykonującym kontrolę graniczną, organom celnym i Policji. Ponadto w ograniczonym zakresie przysługuje on także organom wydającym wizy do danego kraju.
Dane osobowe utrzymywane są w SIS jedynie przez okres niezbędny do zrealizowania celu, dla którego zostały wprowadzone. Po upływie 3 lat od ich wprowadzenia są one automatycznie usuwane z SIS, chyba że dany kraj wskaże na celowość prolongaty tego terminu.
Zawartość SIS
22. Do SIS wprowadzane są dane dotyczące osób, pojazdów i innych obiektów (np. skradzionych dokumentów, podrobionych banknotów). Dane dotyczące osoby mogą zawierać co najwyżej następujące informacje:
imię i nazwisko,
szczególne i widoczne cechy fizyczne,
pierwszą literę drugiego imienia,
datę i miejsce urodzenia,
płeć,
narodowość,
informację w sprawie możliwości posiadania broni lub "gwałtownego" charakteru,
przyczynę sporządzenia raportu dotyczącego oznaczonej osoby,
czynności, jakie powinny być podjęte w stosunku do danej osoby.
Systemem SIS może zostać objęte jedynie pięć kategorii osób:
osoby, które należy aresztować w celu ich ekstradycji,
obcokrajowcy, którym odmówiono prawa przekroczenia granicy,
osoby zaginione lub osoby, których umieszczenie w bezpiecznym miejscu jest celowe w ich własnym interesie,
świadkowie lub inne osoby wezwane do stawienia się przed sądem w związku z sądowym postępowaniem karnym,
osoby inwigilowane.
Równocześnie w każdym raporcie dotyczącym danej osoby w SIS określone jest działanie, które w odniesieniu do tej osoby powinno zostać podjęte.
Ochrona danych osobowych
23. Każda osoba może domagać się:
informacji w każdym kraju grupy Schengen, czy dane jej dotyczące znajdują się w SIS; zagadnienia proceduralne w tej mierze reguluje prawo wewnętrzne kraju, w którym dochodzi się tej informacji;
dostępu do danych jej dotyczących zawartych w SIS na warunkach określonych w ustawie o ochronie danych osobowych danego kraju;
sprostowania lub usunięcia danych nieprawdziwych albo wprowadzonych niezgodnie z zasadami konwencji;
wnieść powództwo do sądu lub odpowiedniego organu nadzorczego w sprawie sprostowania lub usunięcia informacji jej dotyczących oraz o odszkodowanie w związku z wprowadzonym do SIS raportem na jej temat.
Wymiana danych osobowych nieobjętych SIS
24. Konwencja reguluje także możliwość wymiany danych osobowych pomiędzy krajami członkowskimi w odniesieniu do:
udzielania azylu,
międzynarodowej współpracy Policji,
wzajemnego udostępniania danych osobowych w związku z postępowaniem karnym.
6.Rezolucje Parlamentu Europejskiego
25. Niektóre aspekty przetwarzania i ochrony danych osobowych poruszone zostały także w rezolucjach Parlamentu Europejskiego. W grę wchodzą rezolucje dotyczące Karty Praw Pacjenta oraz zajmujące się problemami inżynierii genetycznej, a także rezolucja (z 1984 r.) poświęcona konsekwencjom nowych technologii dla społeczeństwa europejskiego. W tym ostatnim przypadku zwrócono uwagę przede wszystkim na zagrożenia w sferze prywatności, jakie przyniosły ze sobą technologie informatyczne i telekomunikacyjne. Spowodowały one gwałtowny wzrost ilości dostępnych informacji przy równoczesnym zmniejszeniu kontroli nad nimi.
7.Ochrona danych osobowych w instytucjach Unii Europejskiej
26. Odrębnej regulacji prawnej poddana została tematyka ochrony danych osobowych przetwarzanych przez instytucje i organy wspólnotowe (obecnie: unijne). Podstawowe znaczenie w tym zakresie mają: rozporządzenie 2001/45/WE Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz. Urz. WE L 8 z 12.01.2001, s. 1; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 26, s. 102) oraz decyzja Rady 2004/644/WE z dnia 13 września 2004 r. ustanawiająca reguły wykonawcze dotyczące rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz. Urz. UE L 296 z 21.09.2004, s. 16). Wspomniane akty prawne stanowią konkretyzację i uszczegółowienie dyrektyw odnoszących się do ochrony danych (zarówno dyrektywy ogólnej, jak i dyrektywy telekomunikacyjnej), uwzględniają specyfikę przetwarzania danych przez instytucje oraz organy wspólnotowe. Oprócz przepisów natury ogólnej, odnoszących się m.in. do zasad i podstaw dopuszczalności przetwarzania danych przez wspomniane instytucje i organy, rozporządzenie oraz decyzja zawierają wiele postanowień odnoszących się do kwestii szczegółowych, m.in. przekazywania danych zarówno w stosunkach wewnętrznych, jak i zewnętrznych, wstępnej kontroli przetwarzania danych, ochrony danych w kontekście wewnętrznych sieci telekomunikacyjnych i innych istotnych zagadnień.
Na szczególną uwagę zasługuje także utworzenie, na mocy przepisów wskazanego powyżej rozporządzenia, niezależnego organu nadzorczego - Europejskiego Inspektora Ochrony Danych (European Data Protection Supervisor - EDPS). Do zadań Europejskiego Inspektora należy m.in. monitorowanie i zapewnienie stosowania wspólnotowych przepisów o ochronie danych osobowych (w szczególności wskazanego wyżej rozporządzenia), doradzanie instytucjom i organom wspólnotowym oraz osobom, których dane dotyczą, w sprawach związanych z przetwarzaniem danych, a także współpraca z narodowymi organami ochrony danych i instytucjami nadzorczymi. Pierwszy Europejski Inspektor został powołany na pięcioletnią kadencję przez Parlament Europejski i Radę decyzją, która weszła w życie dnia 17 stycznia 2004 r. Warto wspomnieć, że w grudniu 2014 r. zastępcą Europejskiego Inspektora Ochrony Danych Osobowych został dotychczasowy polski Generalny Inspektor Ochrony Danych Osobowych - dr Wojciech Rafał Wiewiórowski.
8.Reforma ochrony danych osobowych w Unii Europejskiej
27. W ostatnich latach coraz wyraźniej widać, że konstrukcje prawne dotyczące ochrony danych osobowych nie przystają do realiów współczesnego świata, gdyż nie uwzględniają specyfiki przetwarzania danych "w środowisku cyfrowym", Internetu i innych aspektów rozwoju technologii informacyjnej. Tego rodzaju wnioski stały się impulsem do podjęcia działań mających na celu modernizację prawnych instrumentów ochrony danych osobowych Unii Europejskiej. W styczniu 2012 r. Komisja Europejska przedstawiła projekt pakietu legislacyjnego mającego stanowić nowe ramy prawne ochrony danych osobowych w Unii Europejskiej. Pakiet składa się z dwóch projektów:
projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem tych danych (projekt tzw. ogólnego rozporządzenia o ochronie danych) oraz
projektu dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w tych sprawach, wykrywania i ścigania przestępstw albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych .
Jednym z podstawowych założeń reformy unijnych ram prawnych w zakresie ochrony danych osobowych jest zmiana charakteru regulacji prawnej - dyrektywa 95/46/WE miałaby zostać zastąpiona rozporządzeniem, a zatem aktem normatywnym, którego przepisy miałyby być stosowane bezpośrednio, zasadniczo bez potrzeby implementacji do krajowych systemów prawnych, co miałoby przyczynić się do faktycznego ujednolicenia przepisów na obszarze wszystkich państw członkowskich Unii Europejskiej, przy czym w niektórych obszarach regulacji nadal miałyby pozostać różnice (dotyczy to np. przepisów szczególnych z zakresu prawa pracy). Projekt rozporządzenia, opierając się w znacznej mierze na zmodyfikowanych konstrukcjach zaczerpniętych z dyrektywy 95/46/WE, zakłada podniesienie poziomu ochrony m.in. przez wprowadzenie nowych konstrukcji prawnych, uwzględniających przemiany technologiczne, które mają poprawić skuteczność stosowania przepisów o ochronie danych. Do nowych rozwiązań zaproponowanych w projekcie ogólnego rozporządzania można zaliczyć prawo do bycia zapomnianym, szczegółowe regulacje dotyczące profilowania, obowiązek zgłaszania naruszeń ochrony danych organowi nadzorczemu, obowiązek uwzględnienia ochrony danych osobowych na etapie projektowania i jako ustawień domyślnych, ocenę skutków projektowanych rozwiązań dla ochrony prywatności oraz powoływania inspektora ds. ochrony danych i inne . Wiele rozwiązań proponowanych w projektowanych przepisach budzi zastrzeżenia i obawy, co przekłada się na długi czas prac nad regulacją i jest przyczyną wątpliwości dotyczących rezultatów tych prac. Szczególne kontrowersje budzą zawarte w projekcie rozporządzenia propozycje rozwiązań prawnych dotyczących nakładania kar pieniężnych za naruszenie przepisów o ochronie danych osobowych. Projekt przewiduje bardzo wysokie kary pieniężne (do wysokości miliona euro lub w przypadku przedsiębiorstwa do 2% jego rocznego światowego obrotu), jakie miałyby być nakładane przez organy nadzorcze za naruszenie przepisów o ochronie danych osobowych. Wiele kontrowersji budziła również zawarta w projekcie rozporządzenia duża liczba upoważnień do wydawania aktów wykonawczych i aktów delegowanych, w których miałyby zostać uregulowane kwestie szczegółowe, z tego rozwiązania jednak się wycofano, pozostawiając w projekcie znacznie mniejszy zakres delegacji. Prace legislacyjne nad projektem nie zostały jak dotąd zakończone i nie sposób przewidzieć, jak będą one przebiegały, a w szczególności wskazać prawdopodobnego terminu, w jakim regulacje te mogą zostać uchwalone.
V.OECD
1.Wytyczne Organizacji Współpracy Gospodarczej i Rozwoju (OECD)
Uwagi ogólne
1. Dnia 23 września 1980 r. europejska Organizacja Współpracy Gospodarczej i Rozwoju (OECD) wydała związane z omawianą tematyką wytyczne, których przedmiotem jest regulacja kwestii ochrony prywatności oraz przepływu danych osobowych pomiędzy krajami . Zostały one przyjęte m.in. przez USA, a w 1999 r. potwierdzone na konferencji OECD w Ottawie poświęconej zagadnieniom handlu elektronicznego.
Wytyczne mają charakter prawny zaleceń Rady OECD i nie są w związku z tym dla krajów członkowskich wiążące ani nie nakładają obowiązku implementacji do prawa wewnętrznego określonych rozwiązań . Niemniej kraj przystępujący do wytycznych (podpisujący je) daje wyraz swemu zamiarowi stosowania wytycznych oraz uwzględnienia ich w wewnętrznym ustawodawstwie. Rozdział czwarty wytycznych poświęcony jest ich wprowadzaniu w państwach członkowskich i wzywa do wprowadzenia instytucji prawnych oraz prawnych i administracyjnych procedur mających służyć ochronie prywatności i wolności indywidualnych.
Jak pokazuje analiza postanowień wytycznych, proponują one w dużej części rozstrzygnięcia podobne do tych, które występują w omówionej powyżej konwencji Rady Europy, choć w niektórych kwestiach oba te akty przyjmują różne regulacje.
O ile konwencja, zajmując się ochroną danych osobowych, kładzie nacisk przede wszystkim na zagadnienie ochrony prywatności, o tyle w preambule wytycznych OECD stwierdza się, że przekazywanie danych pomiędzy krajami stanowi czynnik przyczyniający się do ich socjalnego i gospodarczego rozwoju; zwraca się też uwagę na rozwój handlu światowego, którego istotnym warunkiem jest swoboda międzynarodowego przepływu danych (transborder data flows). Wytyczne dopuszczają ograniczenie w przepisach wewnętrznych swobody eksportu i importu danych, niemniej zaznaczają, że tworzenie w ten sposób nieusprawiedliwionych przeszkód dla gospodarczych i socjalnych stosunków między krajami członkowskimi powinno być eliminowane. Można by powiedzieć, że w tym stanie rzeczy ochrona danych osobowych jawi się poniekąd jako przejaw ogólnego, złożonego konfliktu interesów społecznych (publicznych) i interesów indywidualnych.
Cel i zakres wytycznych
2. Rozdział pierwszy wytycznych wprowadzając definicje niektórych używanych terminów, wyznacza też zakres ich stosowania. "Dane osobowe" są rozumiane jako wszelkie informacje o określonych lub dających się zidentyfikować osobach fizycznych, z tym że krajom podpisującym pozostawiono możliwość rozszerzenia kręgu podmiotowego również na grupy osób i organizacje. Nie wprowadzono przy tym, po długiej dyskusji, zawężenia zakresu działania wytycznych do takich tylko zbiorów danych, które są skomputeryzowane i posługują się procesami zautomatyzowanymi .
Autorzy wytycznych wprowadzili doniosłą zasadę, według której przedmiot regulacji mają stanowić wszelkie występujące w sektorze publicznym i prywatnym przypadki przetwarzania danych, które ze względu na swój charakter lub naturę albo ze względu na wzajemne powiązania eksploatacyjne niosą niebezpieczeństwo ingerencji w sferę prywatności jednostki i jej podstawowe wolności. Przyjmując, że jednym z ważnych celów, jakiemu mają służyć wytyczne, jest właśnie ochrona tej sfery, nie można pominąć tego, iż jest ona zagrożona również w przypadku tzw. manualnego przetwarzania danych. Krajom członkowskim pozostawiono wybór, czy przepisy wewnętrzne mają się ograniczać do przypadków automatycznego przetwarzania danych, czy będą obejmować również przetwarzanie manualne. Poza tym chcąc jednak ułatwić krajom członkowskim przystępowanie do wytycznych oraz mając na uwadze istniejące różnice poglądów, wytyczne uwzględniły możliwość przewidzenia w konkretnych przypadkach odstępstwa od określonych zasad w nich statuowanych. I tak np. regulacja krajowa może być ograniczona do automatycznego przetwarzania danych, może wprowadzać odmienne standardy ochrony dla różnych kategorii danych, może nie znajdować zastosowania do tych danych, które oczywiście nie niosą ze sobą żadnych niebezpieczeństw w sferze praw osobistych (w wyjaśnieniach użyto zwrotu: trivial cases of collection and use of personal data) . Ta znaczna liczba fakultatywnych możliwości ograniczenia regulacji stawia - zdaniem niektórych - pod znakiem zapytania osiągnięcie celu harmonizacyjnego przez omawiane wytyczne.
Zasady dotyczące przetwarzania danych. Minimum ochrony
3. Sformułowane w rozdziale drugim wytycznych podstawowe, częściowo krzyżujące się zasady odnoszące się do poszczególnych faz przetwarzania danych osobowych należy traktować jako pewną całość; powinny one być inkorporowane do prawa wewnętrznego po to, aby ujednolicić rozwiązania legislacyjne oraz praktykę występującą w poszczególnych krajach oraz aby na płaszczyźnie międzynarodowej stworzyć na tym polu pewne minimum ochrony. W szczególności wytyczne wprowadzają:
zasadę ograniczenia zbierania danych osobowych z zastrzeżeniem uzyskiwania ich środkami zgodnymi z prawem i dobrymi obyczajami oraz - zależnie od możliwości - za wiedzą lub zgodą osób, których dane dotyczą (collection limitation principle), a także
zasadę jakości danych, nakazującą badać, na ile, ze względu na cel, któremu ma służyć zbiór, określone dane są konieczne i istotne, a także merytorycznie prawidłowe, autentyczne oraz kompletne (data quality principle) ;
zasadę podania celu przetwarzania danych; cel ten powinien zostać przez osobę odpowiedzialną za przetwarzanie danych szczegółowo ujawniony najpóźniej przy zbieraniu danych (purpose specification principle) ;
zasadę eksploatowania danych jedynie w granicach podanych celów, chyba że uzyskana zostanie zgoda zainteresowanych lub będzie istnieć upoważnienie ustawowe (use limitation principle);
zasadę transparentności, ułatwiającą skuteczne realizowanie roszczeń osób, których dane dotyczą, a której mają służyć środki pozwalające w możliwie łatwy sposób:
stwierdzić występowanie (obecność) danych osobowych,
ustalić główny cel i charakter ich eksploatacji,
identyfikować i lokalizować podmiot odpowiedzialny za przetwarzanie danych (openness principle);
zasadę wprowadzenia odpowiednich przedsięwzięć zabezpieczających, których celem jest ograniczenie niebezpieczeństwa utraty danych, nieuprawnionego dostępu, zniszczenia, eksploatacji, zamiany lub odtworzenia (security safeguards principle);
zasadę indywidualnego uczestnictwa, która uprawnia każdego do dostępu (w odpowiednim czasie, w odpowiedni sposób, w odpowiedniej formie i bez nadmiernych kosztów) do dotyczących go danych, informacji o nich, korygowania i usuwania danych w określonych przypadkach (individual participation principle);
zasadę odpowiedzialności podmiotu prowadzącego przetwarzanie danych za przestrzeganie powyższych reguł (zasad) (accountability principle).
Przekazywanie danych osobowych pomiędzy krajami
4. Problemowi przekazywania danych pomiędzy krajami poświęcony jest w całości rozdział trzeci wytycznych zatytułowany "Free Flow and Legitimate Restrictions". Przyjęte w nim rozwiązania stanowią próbę pogodzenia przeciwstawnych interesów: swobody przepływu danych osobowych i ochrony sfery prywatności.
Postanowienia wytycznych nakazują krajom członkowskim OECD brać pod uwagę skutki, jakie wywołują prowadzone w jednym kraju przetwarzanie danych osobowych i ich reeksport dla innych krajów. Zastrzeżenie to skierowane jest przeciw liberalnej polityce sprzeciwiającej się duchowi wytycznych i ułatwiającej naruszanie i obchodzenie przepisów o ochronie danych osobowych wydanych w krajach członkowskich. Przy wydawaniu i stosowaniu tego rodzaju przepisów kraje członkowskie powinny uwzględniać specyficzne interesy związane z zagranicznymi danymi i informacjami o osobach mających obce obywatelstwo. Przepisy krajowe dotyczące reeksportu powinny zapewnić, że dane nie zostaną pozbawione ochrony przez transfer w państwach nieprzewidujących mechanizmów kontrolnych.
Stosownie do postanowień wytycznych kraje członkowskie powinny przewidzieć środki zapewniające niezakłócony i bezpieczny przepływ danych między krajami. Celem tych postanowień jest przede wszystkim wprowadzenie przedsięwzięć chroniących znajdujące się w międzynarodowym obrocie dane przed nieupoważnionym dostępem, zniszczeniem itp., przy czym wszelkie te przedsięwzięcia powinny:
być zgodne z systemem łączności i międzynarodowymi umowami w tym zakresie,
gwarantować szybką międzynarodową wymianę informacji i utrzymanie tajemnicy korespondencji.
Rozstrzygnięcie kwestii szczegółowych co do tych przedsięwzięć pozostawiono ustawodawstwom krajowym.
Istotne znaczenie mają postanowienia wytycznych statuujące dopuszczalne restrykcje w sferze międzynarodowego przekazywania danych. Możliwe są one z trzech powodów. Po pierwsze, chodzi o tzw. standard równoważnej ochrony danych, równoważnej pomiędzy krajem uzyskującym dane i krajem eksportu danych, przy czym wytyczne nie wyjaśniają, kto i według jakich kryteriów miałby to oceniać. Eksport danych może być w szczególności zabroniony, jeśli prowadziłby do próby obejścia ustawodawstwa o ochronie danych przez rozpowszechnianie danych w kraju, który nie respektuje wytycznych OECD. Po drugie, możliwe są ograniczenia transferu danych związane z reeksportem, wtedy gdy w wyniku przekazania informacji do innego państwa udaremniony zostaje cel, jaki ma spełniać krajowe ustawodawstwo o ochronie danych. Wytyczne nie zawierają przy tym żadnej wskazówki, czy w grę wchodzi tu tylko reeksport do kraju trzeciego, czy też do kraju członkowskiego. W literaturze przyjmuje się raczej, że omawiane postanowienie dotyczy transferu z kraju członkowskiego, przez inny kraj członkowski, do kraju nienależącego do OECD. Po trzecie, możliwe są restrykcje związane z określonymi kategoriami danych osobowych (np. tzw. danymi sensytywnymi), dla których ustawodawstwo jednego kraju przewiduje szczególne uregulowanie, zaś ustawodawstwo innego kraju nie zna względem nich ochrony równoważnej.
Postanowienia omawianego rozdziału wytycznych dotyczą także środków, które tamują przepływ danych między krajami, a wykraczają poza potrzeby wynikające z ochrony sfery prywatności i indywidualnych wolności. Żaden kraj nie powinien, powołując się na zasady ochrony danych, ograniczać ich eksportu do innego kraju lub uzależniać go od specjalnej zgody, jeśli chce przez to osiągnąć faktycznie inne cele, których jednak nie podaje do wiadomości. Jednak wytyczne nie zamierzają ograniczać prawa krajów członkowskich do regulowania przepływu danych do innych państw w zakresie: wolnego handlu, ceł, zatrudnienia i warunków gospodarczych międzynarodowego obrotu takim "towarem".
Wzajemna pomoc i współpraca
5. Rozdział piąty wytycznych zawiera postanowienia poświęcone współpracy w ramach OECD odnośnie do problematyki ochrony danych. Zaleca on krajom członkowskim z jednej strony wzajemne informowanie się o realizacji wytycznych, z drugiej strony wprowadzenie postępowania umożliwiającego wymianę doświadczeń oraz wzajemną pomoc. Poza tym kraje te powinny współpracować przy uregulowaniu przepływu danych pomiędzy państwami i przy wypracowaniu w tym zakresie norm kolizyjnych oraz dążyć do przyjęcia zharmonizowanego uregulowania w kwestii kontroli eksportu i importu danych (np. na drodze systemu licencjonowania); konieczne jest ponadto przyjęcie prostego i uzgodnionego między krajami członkowskimi postępowania dotyczącego transgranicznego przekazywania danych oraz ochrony sfery prywatności i indywidualnych wolności.
VI.ONZ
Problem ochrony danych osobowych nie pojawia się w dosłownym brzmieniu w wydawanych po II wojnie światowej pod auspicjami ONZ aktach międzynarodowych, niemniej wypada zaznaczyć, że przywiązują one dużą wagę do bezpośrednio z tym problemem związanych kwestii ochrony prywatności. I tak art. XII Powszechnej Deklaracji Praw Człowieka, przyjętej w formie rezolucji przez Zgromadzenie Ogólne ONZ w 1948 r., stwierdza: "Nie wolno wkraczać samoistnie w czyjekolwiek życie prywatne, rodzinne, domowe lub korespondencję [...]. Każdy człowiek ma prawo do ochrony prawnej przeciwko takim ingerencjom i atakom". Podobną myśl zawiera przyjęty przez Zgromadzenie Ogólne ONZ Międzynarodowy Pakt Praw Obywatelskich i Politycznych otwarty do podpisu w Nowym Jorku dnia 19 grudnia 1966 r. (Dz. U. z 1977 r. Nr 38, poz. 167, zał.). Przepis art. 17 MPPOP przewiduje: "Nikt nie może być narażony na samowolną lub bezprawną ingerencję w jego życie prywatne, rodzinne, dom czy korespondencję [...]. Każdy ma prawo do ochrony prawnej przed tego rodzaju ingerencjami i zamachami".
1.Wytyczne w sprawie uregulowania elektronicznych zbiorów danych osobowych
1. Mając na uwadze, że do zadań ONZ należą także działania na rzecz ochrony poszanowania praw człowieka, organizacja ta uczyniła przedmiotem swojego zainteresowania również problem ochrony danych osobowych. Postanowienie art. 10 Karty Narodów Zjednoczonych Statutu Międzynarodowego Trybunału Sprawiedliwości i Porozumienie ustanawiające Komisję Przygotowawczą Narodów Zjednoczonych (Dz. U. z 1947 r. Nr 23, poz. 90 z późn. zm.) upoważnia przy tym Zgromadzenie Ogólne do wydawania zaleceń dla państw członkowskich w zakresie problematyki uwzględnionej w Karcie ONZ. Ten stan rzeczy upoważnił do wydania projektu wytycznych poświęconych uregulowaniu elektronicznych banków danych, w których zawarte są dane osobowe (z dnia 26 czerwca 1985 r.), przygotowanego pod auspicjami Komisji Praw Człowieka ONZ (Commission on Human Rights, Subcommission on Prevention of Discrimination and Protection of Minorities), który to projekt został w 1988 r. przyjęty przez Komisję i ogłoszony jako rezolucja 45 (95) Zgromadzenia Ogólnego ONZ z dnia 14 grudnia 1990 r. Tego rodzaju wytyczne, dodajmy, nie mają z punktu widzenia prawa wiążącego charakteru. Stanowią one jedynie zalecenia kierowane nie tylko do państw, ale także do organizacji międzynarodowych rządowych oraz instytucji pozarządowych; ich treść nie musi być przeniesiona do prawa wewnętrznego.
Wytyczne obejmując zakresem swojego działania w zasadzie komputerowe przetwarzanie danych osobowych, nie wykluczają jednak ich zastosowania także do przetwarzania manualnego. Nie jest natomiast dostatecznie jasne, jakie rodzaje zbiorów danych (kartotek) są tu brane pod uwagę: czy tylko te funkcjonujące w sektorze publicznym, czy również znajdujące się w sektorze prywatnym. Regulacje zawarte w wytycznych są niewątpliwie mniej konkretne niż te, które podają wytyczne OECD; charakteryzują się dużą elastycznością i ogólnikowymi sformułowaniami, co można tłumaczyć tym, że są one adresowane do stu kilkudziesięciu państw o niezwykle zróżnicowanym statusie, także technicznym i prawnym.
2. W literaturze zwraca się uwagę na następujące podstawowe regulacje i wypracowane zasady, które znalazły odbicie w wytycznych :
Zasada legalności i uczciwości. Dane osobowe nie mogą być ani zbierane, ani przetwarzane za pomocą bezprawnych lub nieuczciwych metod, korzystanie z nich nie może być sprzeczne z celami i zasadami Karty ONZ. O tym, co jest nielegalne lub nieuczciwe, rozstrzygać mają już przepisy wewnętrzne każdego kraju.
Zasada jakości (wartości) danych. Podmioty odpowiedzialne za przetwarzanie danych osobowych powinny być zobowiązane do badania dokładności i relewantności zgromadzonych danych, a w razie potrzeby uzupełniać je i uaktualniać.
Zasada celowości. Przed założeniem zbioru danych powinien być ustalony jego cel, który należy usprawiedliwić i podać do publicznej wiadomości, a także zagwarantować, że ze względu na ten cel zbierane dane będą miały charakter konieczny i odpowiedni. Po osiągnięciu celu dalsze gromadzenie danych jest niedozwolone. Dane nie mogą poza tym być ani wykorzystywane, ani przekazywane do innych celów.
Zasada niedyskryminacji. Zabronione jest zasadniczo gromadzenie danych sensytywnych, które mogłyby stanowić podstawę do samowolnej dyskryminacji, chyba że odstępstwa od tej zasady są dopuszczone przez prawo wewnętrzne, nie kolidują z powszechnymi deklaracjami w sprawie praw człowieka, paktami dotyczącymi praw obywatelskich i politycznych oraz poświęconymi prawom gospodarczym, socjalnym i kulturalnym, a także przewidziane są odpowiednie zabezpieczenia.
Zasada dostępu zainteresowanego do swoich danych. Każdemu powinno być zapewnione prawo do informacji o zgromadzonych na jego temat danych (w stosownym czasie, bez nadmiernych kosztów i w zrozumiałej formie) oraz prawo do żądania poprawienia albo usunięcia danych nieprawdziwych, niedozwolonych, niekoniecznych lub niedokładnych. Z roszczeniami takimi przeciwko osobie odpowiedzialnej za przetwarzanie danych wystąpić może każdy, bez względu na swoje obywatelstwo czy miejsce pobytu.
Odstępstwa od tych reguł są możliwe, gdy przewidują to ustawy wewnętrzne, a ponadto jest to niezbędne do: ochrony bezpieczeństwa narodowego, porządku publicznego, zdrowia i moralności publicznej lub praw osób trzecich. Poza tym pozarządowe organizacje międzynarodowe mogą wyłączyć stosowanie podanych reguł w odniesieniu do niektórych zbiorów danych, takich, które służą ochronie praw człowieka i podstawowych wolności.
Zasada bezpieczeństwa danych. Należy podjąć odpowiednie środki zabezpieczające dane przed utratą, zniszczeniem, zmianą, nieuprawnionym dostępem lub wykorzystaniem.
Zasada kontroli ochrony danych. System prawny każdego kraju powinien przewidywać funkcjonowanie niezależnego, wyspecjalizowanego i kompetentnego od strony technicznej organu sprawującego kontrolę nad realizacją zasad przyjętych w wytycznych. Wytyczne omawiane w tym punkcie przewidują wyższy poziom ochrony niż wytyczne OECD.
Swobodny obrót danymi pomiędzy krajami jest aprobowany, o ile ich przepisy wewnętrzne zapewniają zbliżony (dosłownie: "mniej lub bardziej równoważny") standard ochrony. Przy braku podobnego poziomu ochrony ponadgraniczny obrót danymi może być ograniczony. Restrykcje te - jak zaznaczają wytyczne - nie powinny być jednak nieproporcjonalne i dozwolone są jedynie w takim zakresie, w jakim jest to niezbędne do ochrony sfery prywatności.
2.Rezolucja 45 (95) Zgromadzenia Ogólnego ONZ: Wytyczne w sprawie uregulowania kartotek skomputeryzowanych danych osobowych
3. Wskazany dokument wypracowany przez Zgromadzenie Ogólne ONZ ma ogólny charakter i odnosi się wprost do minimalnego standardu ochrony danych osobowych, jaki powinien zostać zapewniony w ustawodawstwach krajowych . Ujęty został w postaci kilku podstawowych zasad, które nawiązują do rozwiązań wypracowanych przez omówione wyżej wytyczne. Należy zapewnić stosowanie tych zasad w pierwszym rzędzie w odniesieniu do wszystkich skomputeryzowanych kartotek publicznych i prywatnych zawierających dane osobowe, jak też, ewentualnie, w sposób odpowiedni, do kartotek manualnych. Rezolucja 45 (95) zezwala też na wprowadzenie specjalnych przepisów dotyczących danych na temat osób prawnych, zwłaszcza gdy zawierają one pewne informacje o osobach fizycznych.
W rezolucji 45 (95) zostały przyjęte następujące zasady:
zasada zgodności z prawem i słuszności; nakazuje posługiwać się przy przetwarzaniu danych słusznymi i zgodnymi z prawem sposobami oraz zabrania wykorzystywać te dane do celów sprzecznych z celami i zasadami Karty ONZ;
zasada rzetelności danych; nakazuje zachowanie dbałości o aktualność danych, ich kompletność, zgodność z prawdą;
zasada celowości; nakazuje ujawniać cel, jakiemu mają służyć zbiór danych i ich wykorzystywanie, głównie po to, aby można było kontrolować, czy:
gromadzone dane są względem tego celu istotne i adekwatne,
dane nie są, bez zgody zainteresowanych, wykorzystywane do innych celów,
dane przechowywane są nie dłużej, niż to jest potrzebne do osiągnięcia oznaczonego celu;
zasada dostępu osoby zainteresowanej; nakazuje umożliwić zainteresowanym zorientowanie się (bez nieuzasadnionej zwłoki i wydatków oraz w zrozumiałej formie), czy dotyczące ich informacje podlegają przetwarzaniu i komu są przekazywane, jak również umożliwić weryfikację, uzupełnienie lub usunięcie danych fałszywych, niepełnych, niekoniecznych, nieaktualnych;
zasada niedyskryminacji (szczególnej ochrony danych wrażliwych); zabrania zbierania - poza szczególnymi przewidzianymi prawem sytuacjami - danych, które mogłyby prowadzić do niezgodnej z prawem bądź arbitralnej dyskryminacji, w tym danych dotyczących pochodzenia rasowego lub etnicznego, koloru skóry, życia seksualnego, poglądów politycznych, religijnych, filozoficznych i innych przekonań, jak również danych mówiących o członkostwie w stowarzyszeniach lub związkach zawodowych;
zasada bezpieczeństwa; nakazuje podejmować środki właściwe w celu ochrony kartotek przed niebezpieczeństwami naturalnymi (np. przypadkowe zniszczenie, utrata), jak i zagrożeniami ze strony ludzi (np. nieuprawniony dostęp, oszukańcze nadużycie danych, skażenie wirusem komputerowym).
Przepisy wewnętrzne każdego kraju powinny przy tym powoływać do życia niezależną władzę odpowiedzialną za przestrzeganie powyższych zasad oraz przewidywać sankcje karne lub inne za naruszenie wspomnianych zasad. Poza tym rezolucja zaznacza, że transgraniczne przekazywanie danych jest dozwolone zasadniczo o tyle, o ile kraje tym zainteresowane przewidują porównywalne gwarancje ochrony prywatności.
Przepisy wewnętrzne mogą wprowadzać wyjątki w zakresie pełnego respektowania powyższych zasad, jeśli przemawia za tym interes ochrony bezpieczeństwa narodowego porządku publicznego, ochrony zdrowia lub moralności publicznej oraz praw i wolności innych osób, zwłaszcza prześladowanych. Wyjątki takie muszą być wyraźnie sformułowane. W przypadku danych wrażliwych dodatkowym kryterium dopuszczalności wprowadzenia wyjątków jest to, aby mieściły się one w ramach wyznaczonych przez Powszechną Deklarację Praw Człowieka i inne dokumenty z dziedziny ochrony praw człowieka oraz zapobiegania dyskryminacji.
Wreszcie rezolucja wspomina o kartotekach danych osobowych prowadzonych przez rządowe organizacje międzynarodowe. Także w odniesieniu do takich zbiorów, przy odpowiedniej adaptacji, powinny znajdować zastosowanie wyszczególnione wyżej zasady. Odstępstwo od nich może występować wówczas, gdy celem kartoteki jest ochrona praw człowieka i podstawowych wolności bądź świadczenie pomocy humanitarnej.
C.Ochrona danych osobowych w systemie prawa polskiego
I.Ochrona danych osobowych na gruncie Konstytucji RP
1. Ochrona danych osobowych jest zakotwiczona w przepisach obecnie obowiązującej w Polsce Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. Nr 78, poz. 483 z późn. zm.). Trzeba jednak zaznaczyć, że zakres konstytucyjnego unormowania nie rozciąga się na wszelkie przejawy zbierania i przetwarzania danych osobowych. Ustawodawca skupia uwagę na ochronie najważniejszych interesów obywatelskich. Dlatego też ograniczył się on do uznania, że:
nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (art. 51 ust. 1);
każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych; ograniczenie tego prawa może określić ustawa (art. 51 ust. 3);
każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą (art. 51 ust. 4).
2. Z powyższych stwierdzeń zamieszczonych w Konstytucji RP można wyprowadzić kilka istotnych wniosków.
Polski system prawny przyjmuje zasadę (prawo do) samodzielnego decydowania każdej osoby o ujawnianiu dotyczących jej informacji. Zasada ta odnosi się do wszelkich tego rodzaju informacji; nie została zawężona do informacji szczególnego charakteru albo dotyczących szczególnych kwestii; poza tym oznacza, że:
zobowiązania do ujawniania informacji na swój temat mają zawsze charakter wyjątkowy, co sprzeciwia się ich rozszerzającemu interpretowaniu;
wspomniane zobowiązania muszą mieć ustawowe umocowanie; nie mogą zatem wynikać np. z aktów wewnątrzzakładowych (regulaminów pracy) ani z układów zbiorowych pracy, norm deontologicznych czy nawet z prawa zwyczajowego.
Użyte w analizowanych normach określenie "informacje dotyczące osoby" może być uznane za synonim pojęcia danych osobowych.
3. Prawo do decydowania o ujawnianiu swoich danych osobowych przysługuje "każdemu". Nie jest - według Konstytucji RP - uzależnione od spełnienia przez osobę fizyczną jakichkolwiek warunków, w tym też dotyczących wieku, stanu psychicznego, zdolności do czynności prawnych. Nie jest to prawo należące do "praw publicznych", a zatem sądowe pozbawienie osoby takich praw nie odbiera jej możliwości decydowania o udostępnianiu danych osobowych.
4. Prawu do "samostanowienia" o ujawnianiu informacji na swój temat towarzyszy prawo do sprawowania swoistej kontroli nad takimi informacjami. Nie ma jednak ono już tak ekstensywnego i bezwzględnego charakteru. W Konstytucji RP wyraża się to gwarantowaniem każdemu - w myśl art. 51 ust. 3 - prawa dostępu do dotyczących go urzędowych dokumentów i (tu również chyba należy dodać przymiotnik "urzędowych") zbiorów danych. Wprawdzie określenie "dotyczących go" nie oznacza wprost, że w grę wchodzą wyłącznie takie dokumenty i zbiory, w których figurują informacje dotyczące tej osoby (kogoś mogą bowiem "dotyczyć" różnorakie materiały, w których nie jest on w ogóle "wymieniony"), niemniej trzeba przyjąć, że ustawodawca miał na myśli takie właśnie dokumenty oraz zbiory. Treść omawianego postanowienia wskazuje przy tym jednoznacznie, że:
omawiane prawo może być ograniczone tylko normami rangi ustawowej;
nie można domagać się (na podstawie komentowanego przepisu) dostępu do "nieurzędowych" (prywatnych) zbiorów i dokumentów, nawet jeśli będą one w całości nastawione na gromadzenie informacji dotyczących danej osoby.
Uwagi zamieszczone w pkt 2 mają tu odpowiednie zastosowanie.
5. Jeśli analizowane przepisy odwołują się do "urzędowego" dokumentu czy zbioru, to - jak się wydaje - istotny jest tu nie tyle sam charakter dokumentu (zbioru), ile raczej cechy jego dysponenta. Zauważmy bowiem, że dokument o urzędowym charakterze (np. odpis aktu urodzenia) może znajdować się w prywatnych rękach (np. w zbiorach kolekcjonera), lecz wówczas brak podstaw do domagania się poprawienia w nim błędnie podanej informacji (np. co do miejsca urodzenia).
6. Urzeczywistnieniem prawa kontroli jest - gwarantowana w art. 51 ust. 4 Konstytucji RP - możność weryfikowania (prostowania) albo usuwania danych osobowych. Dotyczy to informacji nieprawdziwych lub niepełnych. Usunięcia informacji można domagać się także wówczas (niezależnie od tego, czy są one prawdziwe oraz pełne), gdy zostały one zebrane w sposób sprzeczny z ustawą. Należy zaznaczyć, że wprawdzie Konstytucja RP stanowi wprost nie o prawie do sprostowania czy usunięcia, ale o "prawie do żądania" sprostowania i usunięcia, jednak nie powinno to stanowić argumentu na rzecz osłabienia prawa i uznania, że jego respektowanie (przez dysponenta informacji) ma w jakiejś mierze uznaniowy charakter.
Treść omawianego postanowienia Konstytucji RP może nasuwać pytanie, czy z żądaniem poprawienia, uzupełnienia lub usunięcia informacji można wystąpić przeciw każdemu, czy tylko wówczas, gdy chodzi o informacje będące w gestii urzędów, znajdujące się w urzędowych dokumentach lub zbiorach. Wprawdzie stosując wykładnię literalną, można by opowiadać się za pierwszą z dwóch podanych wyżej interpretacji, niemniej bardziej celowa, racjonalna i uwzględniająca kontekst całej regulacji wydaje się wykładnia druga. Wątpliwe byłoby formułowanie prawa do sprostowania tam, gdzie nie istnieje w ogóle prawo dostępu do zbioru informacji.
Uwagi zamieszczone w pkt 2 stosuje się tu odpowiednio.
7. Przetwarzania danych osobowych w pełnym tego słowa znaczeniu dotyczy tylko art. 51 ust. 2 Konstytucji RP. Postanowienie to przewiduje, że: "Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym". Uzupełnieniem tej regulacji jest zawarte w art. 51 ust. 5 stwierdzenie: "Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa". Można uznać, że jest nią ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Jak wynika z zacytowanych norm, poza regulacją konstytucyjną pozostaje takie pozyskiwanie, przetwarzanie i udostępnianie informacji o obywatelach, które prowadzone jest przez inne podmioty niż "władze publiczne"; mogą to być np. jednostki gospodarcze, instytucje kulturalne, związki zawodowe, stowarzyszenia, fundacje, związki wyznaniowe i kościoły oraz inne niepubliczne jednostki organizacyjne i osoby prawne, a także osoby fizyczne. Ich działalność w zakresie przetwarzania danych osobowych tylko wówczas będzie mogła być uznana za sprzeczną z Konstytucją RP, gdy wykazane zostanie naruszenie innych norm konstytucyjnych, innych konstytucyjnych praw lub wolności. Tak samo należy ocenić wszelkie formy obrotu danymi osobowymi dokonywanego poza sektorem publicznym. Takie ujęcie nie przeszkadza jednak temu, że również w odniesieniu do tych przypadków Konstytucja RP gwarantuje wymienione wcześniej indywidualne uprawnienie zachowania w poufności danych osobowych - prawo do samodzielnego decydowania o ujawnianiu dotyczących osoby danych.
8. Jeśli chodzi o pozyskiwanie, gromadzenie i udostępnianie informacji o obywatelach (ich danych osobowych) przez władze publiczne, Konstytucja RP wprowadza następujący generalny wyznacznik: takie działanie jest dopuszczalne tylko w takim zakresie, w jakim jest to niezbędne w demokratycznym państwie prawnym.
Jak się podkreśla w literaturze zagranicznej, niezbędnym składnikiem państwa demokratycznego jest skuteczna ochrona danych osobowych. Cechą takiego państwa jest bowiem udział obywateli w podejmowaniu decyzji. Tymczasem niekontrolowane przetwarzanie danych, sytuacja, w której obywatel nie wie, kto, jakie i w jakim celu gromadzi dotyczące go dane, rodzi niebezpieczeństwo ograniczenia pełnej swobody podejmowania decyzji, rozstrzygania o własnym rozwoju, niebezpieczeństwo zaistnienia braku zaufania do organów władzy. Ochrona danych osobowych powinna mieć zatem rangę konstytucyjną. Powinny jej służyć odpowiednie, kompleksowe ustawy oraz działalność specjalnych organów państwowych.
9. Konstytucja RP pomija kwestię pozyskiwania, gromadzenia i udostępniania przez władze publiczne informacji na temat innych podmiotów niż obywatele (niż osoby fizyczne).
10. Rozważając ochronę danych osobowych na gruncie Konstytucji RP, nie sposób pominąć prawa do prywatności. Artykuł 47 Konstytucji RP stanowi: "Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym". Trudno nie dostrzec, że zbieranie, przetwarzanie i udostępnianie danych osobowych co najmniej w części przypadków będzie wkraczać w obszar szeroko rozumianego - tak jak to przyjmuje Konstytucja RP - prawa do prywatności.
Wypada zauważyć, że w krajach, w których konstytucje nie wspominają wprost o zagadnieniu ochrony danych osobowych, nadanie ich ochronie rangi konstytucyjnej odbywa się niekiedy właśnie przez odpowiednią interpretację norm poświęconych ochronie dóbr osobistych czy prywatności. Za przykład może tu posłużyć niemiecka nauka prawa, która z ogólnego prawa osobistości (Persönlichkeitsrecht) osadzonego w Konstytucji Federalnej wywodzi konstytucyjne prawo do "informacyjnego samookreślenia się" (Recht auf informationelle Selbstbestimmung).
11. Trzeba także wspomnieć o gwarantowanej Konstytucją RP (art. 49) wolności i ochronie tajemnicy komunikowania się. Problem, jaki tu się pojawia, dotyczy systemów informatycznych wykorzystywanych do przetwarzania danych osobowych. Nasuwa się pytanie, czy przepływ informacji w tych systemach korzysta z ochrony tajemnicy komunikowania się. Wydaje się, że udzielenie odpowiedzi twierdzącej wchodzi ewentualnie w rachubę w odniesieniu do otwartych sieci komputerowych; natomiast przekaz wewnętrzny, w ramach zamkniętych systemów, znajduje się poza zakresem konstytucyjnych gwarancji tajemnicy komunikowania się.
12. Rozważając kwestie ochrony danych osobowych, nie sposób również pominąć problematyki prawa do informacji, gwarantowanego przepisami art. 54 i 61 Konstytucji RP. Na tym tle uwidacznia się konflikt pomiędzy tymi konstytucyjnie chronionymi prawami. Z jednej strony jednostka ma prawo chronić swoje dane osobowe, a z drugiej strony może domagać się uzyskania informacji o innych osobach. Wspomniany powyżej konflikt stara się łagodzić ustawa o dostępie do informacji publicznej.
13. Kończąc tę część rozważań, należałoby jeszcze wskazać na przyjętą w Konstytucji RP zasadę swobody działalności gospodarczej. Gwarantuje ona, że: "Ograniczenie wolności działalności gospodarczej jest dopuszczalne tylko w drodze ustawy i tylko ze względu na ważny interes publiczny" (art. 22 Konstytucji RP). Nie ma powodów, aby nie przyjąć, że w określonych przypadkach elementem działalności gospodarczej lub wręcz samą tego rodzaju działalnością może być przetwarzanie danych osobowych bądź wykonywanie niektórych operacji na danych. Sygnalizowane w Konstytucji RP ograniczenia w tej mierze znajdują podstawę właśnie w komentowanej ustawie o ochronie danych osobowych; równocześnie wskazywać można, co najmniej w większości przypadków, na przemawiający za tymi ograniczeniami ważny interes publiczny.
II.Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych... (ogólna charakterystyka i założenia)
1. Prace nad przygotowaniem obecnie obowiązującej ustawy o ochronie danych osobowych trwały ponad 6 lat. Nie dziwi to, jeśli zważy się na jej złożoną materię, a przede wszystkim na to, że jest to w polskim systemie prawnym pierwszy akt prawny zajmujący się ochroną danych osobowych. Komentowana ustawa nie miała swojej poprzedniczki, której byłaby nowelizacją; nie istniała przez to możliwość odwołania się przy jej stosowaniu do praktyki, orzecznictwa, a w istocie też do krajowej doktryny. Ochrona tych interesów, którym służy omawiana ustawa, realizowana była wcześniej:
w innym (węższym) zakresie,
na odmiennej płaszczyźnie,
według innych założeń,
głównie przez ogólne przepisy prawa cywilnego dotyczące dóbr osobistych i - w pewnej mierze - przez przepisy odnoszące się do zbierania, przechowywania i udostępniania informacji w niektórych dziedzinach życia społecznego.
Jak się zauważa , tworzenie prawa ochrony danych osobowych można traktować jako przejaw jurydyzacji obszarów do niedawna wolnych od publicznoprawnej ingerencji. Ten stan rzeczy niesie z sobą interpretacyjne wątpliwości i trudności , a równocześnie skłania do obserwowania sposobu stosowania podobnych ustaw w innych krajach, zwłaszcza należących do Unii Europejskiej.
To ostatnie stwierdzenie ma swoje uzasadnienie przede wszystkim w tym, że w toku prac nad ustawą brano pod uwagę w znacznej mierze rozwiązania, jakie przyjęła dyrektywa 95/46/WE , i kierowano się nimi. Jako nowsza i bardziej szczegółowa miała większy i bardziej bezpośredni wpływ na kształt ustawy niż konwencja 108. Bardziej pełne i prawidłowe przeniesienie na grunt prawa polskiego rozwiązań przyjętych w cytowanej dyrektywie było poza tym głównym celem nowelizacji dokonanej ustawą z dnia 25 sierpnia 2001 r. o zmianie ustawy o ochronie danych osobowych (Dz. U. Nr 100, poz. 1087). Cel ten nie został jednak w pełni osiągnięty, co sprawiło, że w 2004 r. dokonano kolejnej obszernej zmiany ustawy (nowela z dnia 22 stycznia 2004 r.), dostosowując ją do postanowień dyrektywy 95/46/WE. Warto także podkreślić, że ustawa jest zgodna z wymogami konwencji 108, co znalazło swoje odzwierciedlenie w ratyfikacji konwencji przez Polskę dnia 24 kwietnia 2002 r.
2. Omawianej ustawie starano się nadać kompleksowy charakter, i to na kilku płaszczyznach. Obok głównego nurtu, jakim jest ochrona interesów tych, których dotyczą przetwarzane dane, ustawa zajmuje się także - choć może jeszcze fragmentarycznie, jakby na dalszym planie - drugą stroną, jaką są: kwestia wolności informacji, kwestia udostępniania danych osobowych, interes osób trzecich (instytucji, obywateli) związany z dostępem i wykorzystywaniem informacji . Poszukuje w tym zakresie sposobu pogodzenia do pewnego stopnia sprzecznych interesów. Co przy tym istotne, ustawa nie wprowadza żadnych wyraźnych przepisów, jeśli chodzi o obrót zbiorami (bazami) danych osobowych.
Ważną rolę w zakresie ochrony zarówno jednych, jak i drugich interesów ustawa przyznaje przy tym administratorom danych. Nakłada na nich:
rozległe obowiązki informacyjne w stosunku do tych, których dotyczą zbierane i przetwarzane dane osobowe (art. 24, 25, 32, 33, 54 u.o.d.o.);
obowiązek dbania o legalność i rzetelność przetwarzania danych osobowych (art. 26, 49 u.o.d.o.);
obowiązek dbania o zachowanie danych osobowych w poufności (art. 37-39, 51 u.o.d.o.);
obowiązek zabezpieczenia zbiorów danych osobowych (art. 36-39, 52 u.o.d.o.);
obowiązek rejestracji zbioru (art. 40-46, 53 u.o.d.o.).
Kompleksowy charakter ustawy polega też na tym, że zakresem swego działania obejmuje:
wszelkie postacie przetwarzania danych, zarówno tradycyjne - manualne, jak i zautomatyzowane, czemu towarzyszy bardzo szerokie ujęcie pojęć przetwarzania i danych osobowych;
przetwarzanie danych zarówno w sektorze publicznym, jak i prywatnym.
Wreszcie ów złożony, kompleksowy charakter ustawy wyraża się i tym, że łączy ona normy należące do różnych dziedzin prawa; głównie prawa administracyjnego i karnego. Niemniej - co należy zaznaczyć - dane osobowe (czy inaczej: słuszne interesy związane z przetwarzaniem danych osobowych) są na gruncie komentowanej ustawy chronione przede wszystkim środkami publicznoprawnymi, co nie wyłącza oczywiście możliwości sięgnięcia w licznych przypadkach także po środki prywatnoprawne.
Natomiast nie wpasowują się dobrze w przyjęte regulacje - co podnoszone jest jako mankament ustawy - te przypadki przetwarzania danych osobowych, do których dochodzi w międzynarodowych sieciach informatycznych .
3. Należy też zaznaczyć, że ustawa przyjęła model rejestracyjny (materialnoprawny), jeśli chodzi o prowadzenie przetwarzania danych osobowych. Nie jest ono zależne od uzyskania uprzedniego zezwolenia ze strony władzy, a jedynie na administratora danych nałożony został obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi; wiele zbiorów zostało przy tym zwolnionych z rejestracji. Dokonana w 2004 r. nowelizacja ustawy wprowadziła jednak istotne zmiany w zakresie możności rozpoczęcia przetwarzania danych sensytywnych; przetwarzanie takich danych jest dopuszczalne dopiero po zarejestrowaniu zbioru, a nie - jak to było przed nowelizacją - z chwilą zgłoszenia zbioru do rejestracji.
4. U podstaw ustawy o ochronie danych osobowych z 1997 r. leży koncepcja, że przetwarzanie danych dopuszczalne jest tylko w przypadkach i na warunkach wskazanych przez ustawę; równocześnie wykorzystanie danych osobowych nie może być zabronione, o ile odbywa się z poszanowaniem ustawy. Nie przyjęto zatem proponowanego niekiedy założenia przeciwnego, według którego jedynie w określonych sytuacjach gromadzenie i wykorzystywanie danych osobowych zależne jest od zgody zainteresowanego lub od spełnienia innych wymogów; nie przyjęto też rozwiązania pośredniego, w myśl którego, gdy przetwarzanie danych jest "naturalnym składnikiem normalnej działalności" prowadzonej przez daną firmę czy osobę, praktyka taka jest dozwolona, z zastrzeżeniem jednak nieprzekazywania posiadanych danych innym podmiotom (z takim podejściem spotykamy się np. w ustawie duńskiej).
Ustawa nie przewiduje przy tym expressis verbis instytucji rzecznika ochrony danych w przedsiębiorstwach, tak jak o tym stanowi np. ustawa niemiecka. Jednak na mocy noweli z dnia 22 stycznia 2004 r. wprowadzono przepis nakładający na administratora danych obowiązek sprawowania nadzoru nad przestrzeganiem zasad zabezpieczenia danych, w tym przewidziano możliwość wyznaczenia administratora bezpieczeństwa informacji, którego zadaniem było nadzorowanie przestrzegania zasad zabezpieczenia danych osobowych . Nowelizacja z dnia 7 listopada 2014 r. w sposób istotny zmieniła regulacje odnoszące się do statusu i zadań administratora bezpieczeństwa informacji .
5. Ustawa opiera się zasadniczo na regule ujednoliconego (wspólnego) standardu w zakresie przetwarzania i ochrony danych osobowych. Poza przejęciem powszechnie stosowanego rozróżnienia danych zwykłych i danych wrażliwych (sensytywnych) oraz wprowadzeniem dla tej ostatniej kategorii szczególnych ograniczeń, gdy chodzi o dopuszczalność przetwarzania, pozostałe dane, niezależnie od ich treści i charakteru, traktowane są jeśli nie identycznie, to w sposób bardzo zbliżony. Ustawodawca nie wprowadza też radykalnego zróżnicowania uregulowania ze względu na to, czy przetwarzanie danych jest realizowane w sektorze publicznym, czy prywatnym; poza tym częściowo tylko, można powiedzieć - w niewielkim stopniu, uwzględniany jest cel przetwarzania danych (np. cel naukowy, cele statystyczne, badanie opinii publicznej) .
Opisane podejście przyjęte w komentowanej ustawie nie oznacza bynajmniej, że w praktyce w zakresie zbierania, udostępniania czy przechowywania rozmaitych kategorii danych nie występują istotne różnice. Ich źródeł należy jednak poszukiwać przede wszystkim w przepisach szczegółowych, znajdujących się poza wspomnianą ustawą.
6. Ustawa nie wyodrębnia kategorii "danych wolnych", które stawiałaby poza zakresem swojego działania. Niemniej wyraźnie łagodzi reżim ochronny, jeśli chodzi o "dane ogólnie dostępne" . Do czasu wejścia w życie noweli z dnia 22 stycznia 2004 r. administrator, zbierając takie dane nie od osoby, której one dotyczą, nie musiał bezpośrednio po utrwaleniu zebranych danych spełniać obowiązków informacyjnych, o których stanowi art. 25 ust. 1 u.o.d.o. Zwolnienie z tego obowiązku uznano jednak za zbyt daleko idące i na mocy wspomnianej noweli nałożono na administratorów danych ogólnodostępnych obowiązek informacyjny. Zbiory takich danych są jednak nadal zwolnione z obowiązku rejestracji, a administrator może je przekazywać swobodnie do kraju trzeciego niezależnie od poziomu ochrony istniejącego w kraju docelowym. Ponadto podanie danych do wiadomości publicznej przez osobę, której te dane dotyczą (co niekiedy możne być równoznaczne z nadaniem tym informacjom statusu danych ogólnie dostępnych) stanowi jedną z podstaw dopuszczalności przetwarzania tzw. danych sensytywnych.
7. Ustawa wprowadza szczególne przywileje w odniesieniu do przetwarzania danych osobowych w celach naukowych. Przede wszystkim stosownie do znowelizowanego przepisu art. 27 ust. 2 pkt 9 u.o.d.o. dozwolone jest przetwarzanie danych wrażliwych, gdy jest to niezbędne do prowadzenia badań naukowych, z tym jednak zastrzeżeniem, aby w przypadku publikacji wyników badań naukowych nie była możliwa identyfikacja osób, których dane zostały przetworzone. Ponadto ułatwienia polegają zarówno na zwolnieniu administratora z obowiązku przekazywania "z urzędu" określonych informacji osobom, których dotyczą dane, gdy nie są one bezpośrednio od tych osób zbierane (art. 25 u.o.d.o.), jak i na zwolnieniu go z obowiązku udzielania na życzenie wspomnianych osób informacji o przetwarzaniu ich danych, gdyby pociągało to za sobą nakłady niewspółmierne z zamierzonym celem, a zachowane zostałyby równocześnie warunki powodujące, że przetwarzanie nie naruszałoby praw lub wolności osób, których dane dotyczą (art. 32 ust. 4 u.o.d.o.). Wreszcie w celach badań naukowych mogą być przetwarzane dane osobowe zebrane w innym celu (nienaukowym), pod warunkiem że przetwarzanie to nie będzie naruszać praw i wolności osoby, której dane dotyczą, oraz że zostaną zachowane przepisy art. 23 i 25 ustawy (art. 26 ust. 2 u.o.d.o.).
Zaznaczmy, że zbiory danych osobowych przetwarzanych dla celów naukowych nie są zwolnione z wymogu rejestracji.
Szczególne wątpliwości powstają w odniesieniu do relacji występującej między pojęciem badań naukowych (z art. 27 ust. 2 pkt 9 u.o.d.o.) a określeniem "badania naukowe, dydaktyczne, historyczne i statystyczne lub badania opinii publicznej" (z art. 25 ust. 2 pkt 3 u.o.d.o.). Problem polega na tym, że wyłącznie językowa wykładnia obu tych przepisów przemawiałaby za niestosowaniem przywileju z art. 27 ust. 2 pkt 9 u.o.d.o. zezwalającego w sposób generalny na przetwarzanie danych osobowych w celach naukowych, jeśliby miało to służyć prowadzeniu prac "dydaktycznych, historycznych i statystycznych lub badaniu opinii publicznej". Por. w tej sprawie komentarz do art. 27 ust. 2 pkt 9.
Inaczej traktowane są dane osobowe niezbędne do badania opinii publicznej. Administrator przetwarzający takie dane korzysta w świetle ustawy z jednego tylko przywileju (wyrażonego w art. 25 ust. 2 pkt 3 u.o.d.o.), mianowicie w przypadku zbierania danych osobowych nie od osób, których one dotyczą, administrator danych nie musi przekazywać tym osobom (bezpośrednio po utrwaleniu zebranych danych) takich informacji:
które by go identyfikowały;
które podawałyby cel i zakres zbierania danych, a w szczególności odbiorców lub kategorie odbiorców danych;
które wskazywałyby na źródło danych;
które wskazywałyby na prawo wglądu do swoich danych oraz ich poprawiania, a także na uprawnienia wynikające z art. 32 ust. 1 pkt 7 i 8 u.o.d.o.
Także przetwarzanie danych do celów archiwalnych zostało w bardzo skromnym zakresie uwzględnione w komentowanej ustawie. Podlega ono regułom ogólnym z tym tylko wyjątkiem, że administrator danych może odstąpić od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem (art. 32 ust. 4 u.o.d.o.). Nie jest on natomiast zwolniony z obowiązków informacyjnych podanych w art. 24 i 25 u.o.d.o.
W wyniku noweli z dnia 22 stycznia 2004 r. wyłączono z zakresu stosowania większości przepisów ustawy prasową działalność dziennikarską oraz działalność literacką i artystyczną .
8. Pierwotnie w ustawie uregulowane były również kwestie udostępniania i odmowy udostępniania danych osobowych (art. 29 i 30 u.o.d.o.). Zgodnie z tymi przepisami osoba starająca się o udostępnienie jej danych musiała bądź wskazać na przepisy, które upoważniają ją do uzyskania danych, bądź uzasadnić w sposób wiarygodny potrzebę posiadania danych przy zastrzeżeniu, że ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą. Wskutek nowelizacji dokonanej ustawą z dnia 29 października 2010 r. przepisy ustawy dotyczące udostępniania i odmowy udostępniania danych zostały uchylone. Nie oznacza to jednak zasadniczego ograniczenia udostępniania danych, ale jedynie konieczność dokonywania oceny dopuszczalności udostępnienia danych na podstawie przesłanek dopuszczalności przetwarzania danych, określonych w przepisach art. 23 i 27 u.o.d.o.
III.Ochrona danych osobowych na gruncie innych ustaw
1. Nadanie ustawie o ochronie danych osobowych generalnego charakteru w zakresie materii wskazanej w jej tytule sprawia, że regulacja ta jest uzupełniana licznymi przepisami szczegółowymi rozsianymi w wielu aktach prawnych dotyczących poszczególnych dziedzin życia społecznego . Co istotne, w licznych przypadkach są to przepisy wydane wcześniej niż omawiana ustawa. Ta ostatnia dostrzega ten stan rzeczy i stara się dać stosującym prawo wskazówkę, jak postępować w sytuacjach, gdy usprawiedliwione byłoby odwołanie się zarówno do ustawy z 1997 r., jak i do ustawy szczegółowej. Stosownie do art. 5 u.o.d.o.: "Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw" .
2. W komentarzu tym w zasadzie nie omawiamy szczegółowo specjalnych czy branżowych regulacji dotyczących przetwarzania i ochrony danych osobowych. Zagadnienia dotyczące gromadzenia i wykorzystywania informacji o osobach fizycznych uregulowane zostały w bardzo wielu aktach normatywnych. Zestawienie wszystkich regulacji prawnych, które choćby częściowo odnoszą się do tej problematyki, byłoby niezwykle obszerne. Ograniczymy się tu więc do przedstawienia wykazu najważniejszych ustaw i rozporządzeń wykonawczych zawierających przepisy dotyczące przetwarzania i ochrony danych osobowych. Dla usystematyzowania zamieszczonego poniżej zestawienia wskazane akty prawne zostały ujęte w specjalnie w tym celu utworzone grupy tematyczne.
1.Akty stanu cywilnego
- ustawa z dnia 28 listopada 2014 r. - Prawo o aktach stanu cywilnego (Dz. U. poz. 1741 z późn. zm.),
- rozporządzenie Ministra Spraw Wewnętrznych z dnia 9 lutego 2015 r. w sprawie sposobu prowadzenia rejestru stanu cywilnego oraz akt zbiorowych rejestracji stanu cywilnego (Dz. U. poz. 225),
- rozporządzenie Ministra Spraw Wewnętrznych z dnia 29 stycznia 2015 r. w sprawie wzorów dokumentów wydawanych z zakresu rejestracji stanu cywilnego (Dz. U. poz. 194).
2.Ewidencja ludności, dowody osobiste, paszporty
- ustawa z dnia 24 września 2010 r. o ewidencji ludności (tekst jedn.: Dz. U. z 2015 r. poz. 388),
- rozporządzenie Ministra Spraw Wewnętrznych z dnia 16 lutego 2012 r. w sprawie trybu rejestracji danych w rejestrze PESEL oraz w rejestrach mieszkańców i rejestrach zamieszkania cudzoziemców (Dz. U. poz. 347 z późn. zm.),
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 września 2011 r. w sprawie określenia wzorów i sposobu wypełniania formularzy stosowanych przy wykonywaniu obowiązku meldunkowego (Dz. U. Nr 220, poz. 1306 z późn. zm.),
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 5 października 2011 r. w sprawie określenia wzorów wniosków o udostępnienie danych z rejestru mieszkańców, rejestru zamieszkania cudzoziemców i rejestru PESEL oraz trybu uzyskiwania zgody na udostępnienie danych po wykazaniu interesu faktycznego (Dz. U. Nr 243, poz. 1450 z późn. zm.),
- rozporządzenie Rady Ministrów z dnia 12 września 2011 r. w sprawie opłat za udostępnienie danych z rejestrów mieszkańców, rejestrów zamieszkania cudzoziemców oraz rejestru PESEL (Dz. U. Nr 195, poz. 1153 z późn. zm.),
- rozporządzenie Ministra Spraw Wewnętrznych z dnia 24 grudnia 2014 r. w sprawie trybu i terminów przekazywania danych pomiędzy rejestrem PESEL a rejestrami centralnymi (Dz. U. poz. 1942),
- ustawa z dnia 6 sierpnia 2010 r. o dowodach osobistych (Dz. U. Nr 167, poz. 1131 z późn. zm.),
- rozporządzenie Ministra Spraw Wewnętrznych z dnia 29 stycznia 2015 r. w sprawie wzoru dowodu osobistego oraz sposobu i trybu postępowania w sprawach wydawania dowodów osobistych, ich utraty, uszkodzenia, unieważnienia i zwrotu (Dz. U. poz. 212),
- rozporządzenie Ministra Spraw Wewnętrznych z dnia 20 listopada 2014 r. w sprawie prowadzenia Rejestru Dowodów Osobistych (Dz. U. poz. 1709 z późn. zm.),
- rozporządzenie Rady Ministrów z dnia 21 listopada 2011 r. w sprawie opłat za udostępnienie danych z Rejestru Dowodów Osobistych i dokumentacji związanej z dowodami osobistymi (Dz. U. z 2012 r. poz. 75 z późn. zm.),
- ustawa z dnia 13 lipca 2006 r. o dokumentach paszportowych (tekst jedn.: Dz. U. z 2013 r. poz. 268 z późn. zm.),
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 16 sierpnia 2010 r. w sprawie dokumentów paszportowych (Dz. U. Nr 152, poz. 1026 z późn. zm.),
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 15 lutego 2010 r. w sprawie ewidencji paszportowych i centralnej ewidencji (Dz. U. Nr 26, poz. 131).
3.Obywatelstwo polskie
- ustawa z dnia z dnia 2 kwietnia 2009 r. o obywatelstwie polskim (Dz. U. z 2012 r. poz. 161 z późn. zm.),
- rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 7 sierpnia 2012 r. w sprawie określenia wzoru formularza wniosku o nadanie obywatelstwa polskiego, wymogów dotyczących fotografii dołączanej do wniosku oraz wzorów aktu nadania obywatelstwa polskiego i zawiadomienia o odmowie nadania obywatelstwa polskiego (Dz. U. poz. 927).
4.Cudzoziemcy, repatrianci, uchodźcy
- ustawa z dnia 12 grudnia 2013 r. o cudzoziemcach (Dz. U. poz. 1650 z późn. zm.),
- rozporządzenie Ministra Spraw Wewnętrznych z dnia 29 kwietnia 2014 r. w sprawie dokumentów wydawanych cudzoziemcom (Dz. U. poz. 589),
- ustawa z dnia 14 lipca 2006 r. o wjeździe na terytorium Rzeczypospolitej Polskiej, pobycie oraz wyjeździe z tego terytorium obywateli państw członkowskich Unii Europejskiej i członków ich rodzin (tekst jedn.: Dz. U. z 2014 r. poz. 1525),
- ustawa z dnia 9 listopada 2000 r. o repatriacji (tekst jedn.: Dz. U. z 2014 r. poz. 1392),
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 28 czerwca 2001 r. w sprawie określenia wzorów ewidencji i rejestrów prowadzonych w postępowaniu w sprawie repatriacji oraz sposobu przetwarzania danych zawartych w tych ewidencjach i rejestrach (Dz. U. Nr 73, poz. 778 z późn. zm.),
- ustawa z dnia 13 czerwca 2003 r. o udzielaniu cudzoziemcom ochrony na terytorium Rzeczypospolitej Polskiej (tekst jedn.: Dz. U. z 2012 r. poz. 680 z późn. zm.).
5.Oświata i szkolnictwo wyższe
- ustawa z dnia 7 września 1991 r. o systemie oświaty (tekst jedn.: Dz. U. z 2004 r. Nr 256, poz. 2572 z późn. zm.),
- rozporządzenie Ministra Edukacji Narodowej z dnia 29 sierpnia 2014 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. poz. 1170),
- rozporządzenie Ministra Edukacji Narodowej z dnia 10 czerwca 2015 r. w sprawie szczegółowych warunków i sposobu oceniania, klasyfikowania i promowania uczniów i słuchaczy w szkołach publicznych (Dz. U. poz. 843),
- ustawa z dnia 15 kwietnia 2011 r. o systemie informacji oświatowej (tekst jedn.: Dz. U. z 2015 r. poz. 45 z późn. zm.),
- rozporządzenie Ministra Edukacji Narodowej z dnia 9 sierpnia 2012 r. w sprawie szczegółowego zakresu danych gromadzonych w bazach danych oświatowych, zakresu danych identyfikujących podmioty prowadzące bazy danych oświatowych, terminów przekazywania danych między bazami danych oświatowych oraz wzorów wydruków zestawień zbiorczych (Dz. U. poz. 957 z późn. zm.),
- rozporządzenie Ministra Edukacji Narodowej z dnia 20 grudnia 2012 r. w sprawie szczegółowego zakresu danych dziedzinowych gromadzonych w systemie informacji oświatowej oraz terminów przekazywania niektórych danych do bazy danych systemu informacji oświatowej (Dz. U. poz. 1547),
- ustawa z dnia 27 lipca 2005 r. - Prawo o szkolnictwie wyższym (tekst jedn.: Dz. U. z 2012 r. poz. 572 z późn. zm.),
- rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 14 września 2011 r. w sprawie dokumentacji przebiegu studiów (Dz. U. Nr 201, poz. 1188).
6.Praca
- ustawa z dnia 26 czerwca 1974 r. - Kodeks pracy (tekst jedn.: Dz. U. z 2014 r. poz. 1502 z późn. zm.),
- rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz. U. Nr 62, poz. 286 z późn. zm.),
- rozporządzenie Ministra Zdrowia z dnia 1 sierpnia 2002 r. w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób (tekst jedn.: Dz. U. z 2013 r. poz. 1379).
7.Ubezpieczenia społeczne, działalność ubezpieczeniowa, fundusze emerytalne
- ustawa z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (tekst jedn.: Dz. U. z 2015 r. poz. 121 z późn. zm.),
- rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 21 grudnia 2009 r. w sprawie szczegółowego zakresu danych zawartych w centralnych rejestrach prowadzonych przez Zakład Ubezpieczeń Społecznych (tekst jedn.: Dz. U. z 2013 r. poz. 219),
- ustawa z dnia 20 grudnia 1990 r. o ubezpieczeniu społecznym rolników (tekst jedn.: Dz. U. z 2013 r. poz. 1403 z późn. zm.),
- ustawa z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (tekst jedn.: Dz. U. z 2013 r. poz. 950 z późn. zm.),
- rozporządzenie Ministra Zdrowia z dnia 17 maja 2012 r. w sprawie szczegółowego zakresu i trybu udzielania zakładom ubezpieczeń przez podmioty wykonujące działalność leczniczą informacji o stanie zdrowia ubezpieczonych lub osób, na rzecz których ma zostać zawarta umowa ubezpieczenia, oraz sposobu ustalania wysokości opłat za udzielenie tych informacji (Dz. U. poz. 605),
- rozporządzenie Ministra Finansów z dnia 16 sierpnia 2007 r. w sprawie danych gromadzonych w bazach danych tworzonych przez Polską Izbę Ubezpieczeń (Dz. U. Nr 159, poz. 1119),
- rozporządzenie Ministra Finansów z dnia 31 października 2003 r. w sprawie szczegółowych zasad tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia (Dz. U. Nr 193, poz. 1889),
- ustawa z dnia 22 maja 2003 r. o pośrednictwie ubezpieczeniowym (tekst jedn.: Dz. U. z 2014 r. poz. 1450 z późn. zm.),
- ustawa z dnia 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych (tekst jedn.: Dz. U. z 2013 r. poz. 989 z późn. zm.),
- rozporządzenie Rady Ministrów z dnia 12 maja 1998 r. w sprawie szczegółowych zasad prowadzenia rejestru członków funduszu emerytalnego, szczegółowego zakresu informacji, które powinny być zawarte w rejestrze, oraz zasad sporządzania i przechowywania kopii danych zawartych w rejestrze na wypadek jego utraty (Dz. U. Nr 63, poz. 402 z późn. zm.).
8.Pomoc społeczna, przeciwdziałanie bezrobociu
- ustawa z dnia 12 marca 2004 r. o pomocy społecznej (tekst jedn.: Dz. U. z 2015 r. poz. 163 z późn. zm.),
- ustawa z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy (tekst jedn.: Dz. U. z 2015 r. poz. 149 z późn. zm.),
- rozporządzenie Ministra Pracy i Polityki Społecznej z dnia 12 listopada 2012 r. w sprawie rejestracji bezrobotnych i poszukujących pracy (Dz. U. poz. 1299),
- rozporządzenie Ministra Pracy i Polityki Społecznej z dnia 30 maja 2011 r. w sprawie systemów teleinformatycznych stosowanych w publicznych służbach zatrudnienia (Dz. U. Nr 130, poz. 754).
9.Ochrona zdrowia
- ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn.: Dz. U. z 2012 r. poz. 159 z późn. zm.),
- ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej (tekst jedn.: Dz. U. z 2013 r. poz. 217 z późn. zm.),
- rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (tekst jedn.: Dz. U. z 2014 r. poz. 177 z późn. zm.),
- rozporządzenie Ministra Sprawiedliwości z dnia 2 lutego 2011 r. w sprawie rodzajów i zakresu dokumentacji medycznej prowadzonej w zakładach opieki zdrowotnej dla osób pozbawionych wolności oraz sposobu jej przetwarzania (Dz. U. Nr 39, poz. 203 z późn. zm.),
- rozporządzenie Ministra Zdrowia z dnia 29 lipca 2010 r. w sprawie rodzajów dokumentacji medycznej służby medycyny pracy, sposobu jej prowadzenia i przechowywania oraz wzorów stosowanych dokumentów (Dz. U. Nr 149, poz. 1002),
- ustawa z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (tekst jedn.: Dz. U. z 2015 r. poz. 581 z późn. zm.),
- rozporządzenie Ministra Zdrowia z dnia 15 grudnia 2004 r. w sprawie sposobu wydawania i określenia wzoru poświadczenia potwierdzającego prawo do świadczeń opieki zdrowotnej (Dz. U. Nr 273, poz. 2718),
- rozporządzenie Ministra Zdrowia z dnia 27 lipca 2005 r. w sprawie zakresu niezbędnych informacji gromadzonych w systemie informatycznym Narodowego Funduszu Zdrowia oraz zakresu i sposobu ich przekazywania ministrowi właściwemu do spraw zdrowia oraz wojewodom i sejmikom województw (Dz. U. Nr 152, poz. 1271 z późn. zm.),
- rozporządzenie Ministra Zdrowia z dnia 20 czerwca 2008 r. w sprawie zakresu niezbędnych informacji gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych informacji oraz ich przekazywania podmiotom zobowiązanym do finansowania świadczeń ze środków publicznych (tekst jedn.: Dz. U. z 2013 r. poz. 1447 z późn. zm.),
- ustawa z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (tekst jedn.: Dz. U. z 2011 r. Nr 231, poz. 1375 z późn. zm.),
- ustawa z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (tekst jedn.: Dz. U. z 2015 r. poz. 464),
- ustawa z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (tekst jedn.: Dz. U. z 2013 r. poz. 947 z późn. zm.),
- rozporządzenie Ministra Zdrowia z dnia 18 maja 2010 r. w sprawie sposobu prowadzenia rejestru zakażeń i zachorowań na chorobę zakaźną oraz zgonów spowodowanych zakażeniem lub chorobą zakaźną, ich podejrzeń, przypadków stwierdzenia dodatniego wyniku badania laboratoryjnego oraz wzorów i terminów przekazywania raportów zawierających te informacje (Dz. U. Nr 94, poz. 610).
10.Rachunkowość, podatki, doradztwo podatkowe
- ustawa z dnia 29 września 1994 r. o rachunkowości (tekst jedn.: Dz. U. z 2013 r. poz. 330 z późn. zm.),
- ustawa z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (tekst jedn.: Dz. U. z 2012 r. poz. 749 z późn. zm.),
- rozporządzenie Ministra Finansów z dnia 24 grudnia 2002 r. w sprawie informacji podatkowych (tekst jedn.: Dz. U. z 2013 r. poz. 190),
- rozporządzenie Ministra Sprawiedliwości z dnia 28 czerwca 2004 r. w sprawie określenia rodzajów i zakresu informacji przekazywanych organom podatkowym przez sądy, komorników sądowych i notariuszy oraz terminu, formy, z uwzględnieniem formy wypisu aktu i sposobu ich przekazywania (Dz. U. Nr 156, poz. 1640 z późn. zm.),
- rozporządzenie Ministra Finansów z dnia 24 grudnia 2002 r. w sprawie rejestru zastawów skarbowych oraz Centralnego Rejestru Zastawów Skarbowych (tekst jedn.: Dz. U. z 2013 r. poz. 152),
- ustawa z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (tekst jedn.: Dz. U. z 2012 r. poz. 361 z późn. zm.),
- ustawa z dnia 12 stycznia 1991 r. o podatkach i opłatach lokalnych (tekst jedn.: Dz. U. z 2014 r. poz. 849 z późn. zm.),
- rozporządzenie Ministra Finansów z dnia 22 kwietnia 2004 r. w sprawie ewidencji podatkowej nieruchomości (Dz. U. Nr 107, poz. 1138),
- ustawa z dnia 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników (tekst jedn.: Dz. U. z 2012 r. poz. 1314 z późn. zm.),
- rozporządzenie Ministra Finansów z dnia 25 listopada 2014 r. w sprawie wzorów formularzy zgłoszeń identyfikacyjnych i zgłoszeń aktualizacyjnych oraz zgłoszeń w zakresie danych uzupełniających (Dz. U. poz. 1665),
- ustawa z dnia 5 lipca 1996 r. o doradztwie podatkowym (tekst jedn.: Dz. U. z 2011 r. Nr 41, poz. 213 z późn. zm.).
11.Kontrola państwowa, kontrola skarbowa, kontrola celna
- ustawa z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (tekst jedn.: Dz. U. z 2012 r. poz. 82 z późn. zm.),
- ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092),
- ustawa z dnia 28 września 1991 r. o kontroli skarbowej (tekst jedn.: Dz. U. z 2015 r. poz. 553 z późn. zm.),
- rozporządzenie Prezesa Rady Ministrów z dnia 23 grudnia 2004 r. w sprawie przekazywania wywiadowi skarbowemu informacji o osobie, uzyskanych w wyniku prowadzenia czynności operacyjno-rozpoznawczych (Dz. U. Nr 282, poz. 2802),
- ustawa z dnia 27 sierpnia 2009 r. o Służbie Celnej (tekst jedn.: Dz. U. z 2013 r. poz. 1404 z późn. zm.),
- rozporządzenie Ministra Finansów z dnia 22 października 2010 r. w sprawie wzoru imiennego upoważnienia do uzyskania dostępu do danych osobowych przez funkcjonariusza celnego lub członka korpusu służby cywilnej zatrudnionego w jednostce organizacyjnej Służby Celnej (Dz. U. Nr 205, poz. 1360).
12.Przeciwdziałanie praniu pieniędzy, zwalczanie korupcji
- ustawa z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tekst jedn.: Dz. U. z 2014 r. poz. 455 z późn. zm.),
- rozporządzenie Ministra Finansów z dnia 21 września 2001 r. w sprawie określenia wzoru rejestru transakcji, sposobu jego prowadzenia oraz trybu dostarczania danych z rejestru Generalnemu Inspektorowi Informacji Finansowej (Dz. U. Nr 113, poz. 1210 z późn. zm.),
- ustawa z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym (tekst jedn.: Dz. U. z 2014 r. poz. 1411 z późn. zm.).
13.Bankowość, obrót instrumentami finansowymi, fundusze inwestycyjne
- ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jedn.: Dz. U. z 2015 r. poz. 128),
- rozporządzenie Ministra Finansów z dnia 27 marca 2007 r. w sprawie szczegółowego zakresu przetwarzanych informacji dotyczących osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów oraz trybu usuwania tych informacji (Dz. U. Nr 56, poz. 373),
- ustawa z dnia 20 lipca 2001 r. o kredycie konsumenckim (tekst jedn.: Dz. U. z 2014 r. poz. 1497 z późn. zm.),
- ustawa z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (tekst jedn.: Dz. U. z 2014 r. poz. 94 z późn. zm.),
- ustawa z dnia 27 maja 2004 r. o funduszach inwestycyjnych (tekst jedn.: Dz. U. z 2014 r. poz. 157 z późn. zm.).
14.Ruch drogowy, ewidencja kierowców, transport drogowy, przewozy
- ustawa z dnia 20 czerwca 1997 r. - Prawo o ruchu drogowym (tekst jedn.: Dz. U. z 2012 r. poz. 1137 z późn. zm.),
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 sierpnia 2001 r. w sprawie centralnej ewidencji kierowców (Dz. U. Nr 92, poz. 1028 z późn. zm.),
- rozporządzenie Ministra Spraw Wewnętrznych z dnia 18 czerwca 2014 r. w sprawie centralnej ewidencji pojazdów (Dz. U. poz. 816),
- rozporządzenie Ministra Spraw Wewnętrznych z dnia 25 kwietnia 2012 r. w sprawie postępowania z kierowcami naruszającymi przepisy ruchu drogowego (Dz. U. poz. 488),
- ustawa z dnia 6 września 2001 r. o transporcie drogowym (tekst jedn.: Dz. U. z 2013 r. poz. 1414 z późn. zm.),
- ustawa z dnia 15 listopada 1984 r. - Prawo przewozowe (tekst jedn.: Dz. U. z 2012 r. poz. 1173 z późn. zm.).
15.Statystyka, archiwa, ściganie zbrodni przeciwko Narodowi Polskiemu
- ustawa z dnia 29 czerwca 1995 r. o statystyce publicznej (tekst jedn.: Dz. U. z 2012 r. poz. 591 z późn. zm.),
- rozporządzenie Rady Ministrów z dnia 27 lipca 1999 r. w sprawie sposobu i metodologii prowadzenia i aktualizacji rejestru podmiotów gospodarki narodowej, w tym wzorów wniosków, ankiet i zaświadczeń, oraz szczegółowych warunków i trybu współdziałania służb statystyki publicznej z innymi organami prowadzącymi urzędowe rejestry i systemy informacyjne administracji publicznej (Dz. U. Nr 69, poz. 763 z późn. zm.),
- ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (tekst jedn.: Dz. U. z 2011 r. Nr 123, poz. 698 z późn. zm.),
- rozporządzenie Ministra Kultury z dnia 16 września 2002 r. w sprawie postępowania z dokumentacją, zasad jej klasyfikowania i kwalifikowania oraz zasad i trybu przekazywania materiałów archiwalnych do archiwów państwowych (Dz. U. Nr 167, poz. 1375),
- ustawa z dnia 18 grudnia 1998 r. o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu (tekst jedn.: Dz. U. z 2014 r. poz. 1075).
16.Telekomunikacja, świadczenie usług drogą elektroniczną
- ustawa z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (tekst jedn.: Dz. U. z 2014 r. poz. 243 z późn. zm.),
- ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (tekst jedn.: Dz. U. z 2013 r. poz. 1422).
17.Działalność publiczna, wybory, referenda
- ustawa z dnia 5 stycznia 2011 r. - Kodeks wyborczy (Dz. U. Nr 21, poz. 112 z późn. zm.),
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 27 lipca 2011 r. w sprawie rejestru wyborców oraz trybu przekazywania przez Rzeczpospolitą Polską innym państwom członkowskim Unii Europejskiej danych zawartych w tym rejestrze (Dz. U. Nr 158, poz. 941 z późn. zm.),
- ustawa z dnia 14 marca 2003 r. o referendum ogólnokrajowym (tekst jedn.: Dz. U. z 2015 r. poz. 318),
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 30 kwietnia 2003 r. w sprawie sposobu sporządzania spisu osób uprawnionych do udziału w referendum ogólnokrajowym (Dz. U. Nr 74, poz. 670 z późn. zm.),
- ustawa z dnia 15 września 2000 r. o referendum lokalnym (tekst jedn.: Dz. U. z 2013 r. poz. 706 z późn. zm.),
- ustawa z dnia 9 maja 1996 r. o wykonywaniu mandatu posła i senatora (tekst jedn.: Dz. U. z 2011 r. Nr 7, poz. 29 z późn. zm.),
- ustawa z dnia 21 sierpnia 1997 r. o ograniczeniu prowadzenia działalności gospodarczej przez osoby pełniące funkcje publiczne (tekst jedn.: Dz. U. z 2006 r. Nr 216, poz. 1584 z późn. zm.),
- ustawa z dnia 3 marca 2000 r. o wynagradzaniu osób kierujących niektórymi podmiotami prawnymi (tekst jedn.: Dz. U. z 2013 r. poz. 254 z późn. zm.).
18.Dostęp do informacji publicznej, działalność prasowa
- ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (tekst jedn.: Dz. U. z 2014 r. poz. 782 z późn. zm.),
- ustawa z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24 z późn. zm.).
19.Działalność gospodarcza, ewidencja i rejestry
- ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (tekst jedn.: Dz. U. z 2015 r. poz. 584 z późn. zm.),
- ustawa z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (tekst jedn.: Dz. U. z 2014 r. poz. 1015 z późn. zm.),
- ustawa z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (tekst jedn.: Dz. U. z 2013 r. poz. 1203 z późn. zm.),
- ustawa z dnia 6 grudnia 1996 r. o zastawie rejestrowym i rejestrze zastawów (tekst jedn.: Dz. U. z 2009 r. Nr 67, poz. 569 z późn. zm.).
20.Ewidencja gruntów i budynków, księgi wieczyste
- ustawa z dnia 17 maja 1989 r. - Prawo geodezyjne i kartograficzne (tekst jedn.: Dz. U. z 2015 r. poz. 520),
- rozporządzenie Ministra Rozwoju Regionalnego i Budownictwa z dnia 29 marca 2001 r. w sprawie ewidencji gruntów i budynków (tekst jedn.: Dz. U. z 2015 r. poz. 542 z późn. zm.),
- ustawa z dnia 6 lipca 1982 r. o księgach wieczystych i hipotece (tekst jedn.: Dz. U. z 2013 r. poz. 707 z późn. zm.).
21.Porządek i bezpieczeństwo publiczne
- ustawa z dnia 6 kwietnia 1990 r. o Policji (tekst jedn.: Dz. U. z 2015 r. poz. 355 z późn. zm.),
- rozporządzenie Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r. w sprawie przetwarzania informacji przez Policję (Dz. U. z 2013 r. poz. 8),
- rozporządzenie Prezesa Rady Ministrów z dnia 8 marca 2002 r. w sprawie zakresu, warunków i trybu przekazywania Policji informacji o osobie, uzyskanych przez organy uprawnione do wykonywania czynności operacyjno-rozpoznawczych w czasie wykonywania tych czynności, oraz wzoru upoważnienia stanowiącego podstawę udostępnienia policjantom danych osobowych (Dz. U. Nr 24, poz. 245),
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 27 maja 2002 r. w sprawie szczegółowych zasad i trybu wydawania, posługiwania się, przechowywania i ewidencji dokumentów, które uniemożliwiają ustalenie danych identyfikujących policjanta lub osobę udzielającą pomocy Policji oraz środków, którymi posługują się przy wykonywaniu zadań służbowych (Dz. U. Nr 74, poz. 684 z późn. zm.),
- ustawa z dnia 29 sierpnia 1997 r. o strażach gminnych (tekst jedn.: Dz. U. z 2013 r. poz. 1383 z późn. zm.),
- ustawa z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (tekst jedn.: Dz. U. z 2010 r. Nr 29, poz. 154 z późn. zm.),
- rozporządzenie Prezesa Rady Ministrów z dnia 26 czerwca 2002 r. w sprawie wzoru imiennego upoważnienia funkcjonariusza Agencji Bezpieczeństwa Wewnętrznego stanowiącego podstawę udostępnienia danych osobowych (Dz. U. Nr 93, poz. 829),
- rozporządzenie Prezesa Rady Ministrów z dnia 26 czerwca 2002 r. w sprawie wzoru imiennego upoważnienia funkcjonariusza Agencji Wywiadu stanowiącego podstawę udostępnienia danych osobowych (Dz. U. Nr 93, poz. 830),
- rozporządzenie Prezesa Rady Ministrów z dnia 3 kwietnia 2003 r. w sprawie zakresu, warunków i trybu przekazywania Agencji Bezpieczeństwa Wewnętrznego informacji uzyskanych w wyniku wykonywania czynności operacyjno-rozpoznawczych przez organy, służby i instytucje państwowe (Dz. U. Nr 70, poz. 643),
- ustawa z dnia 12 października 1990 r. o Straży Granicznej (tekst jedn.: Dz. U. z 2014 r. poz. 1402 z późn. zm.),
- rozporządzenie Prezesa Rady Ministrów z dnia 6 lutego 2002 r. w sprawie wzoru imiennego upoważnienia do udostępnienia funkcjonariuszowi Straży Granicznej danych osobowych (Dz. U. Nr 17, poz. 156),
- rozporządzenie Prezesa Rady Ministrów z dnia 10 maja 2002 r. w sprawie zakresu, warunków i trybu przekazywania Straży Granicznej informacji o osobie, uzyskanych w wyniku prowadzenia przez uprawnione organy, służby i instytucje czynności operacyjno-rozpoznawczych lub kontroli operacyjnej (Dz. U. Nr 66, poz. 599),
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 27 czerwca 2002 r. w sprawie dokumentów, które uniemożliwiają ustalenie danych identyfikujących funkcjonariusza Straży Granicznej (tekst jedn.: Dz. U. z 2014 r. poz. 484),
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 21 lipca 2010 r. w sprawie gromadzenia przez Straż Graniczną odcisków linii papilarnych, zdjęć oraz danych osobowych, ich przechowywania, wykorzystania i przekazywania innym organom oraz wzorów wykorzystywanych dokumentów (Dz. U. Nr 134, poz. 902),
- ustawa z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych (tekst jedn.: Dz. U. z 2010 r. Nr 29, poz. 153 z późn. zm.),
- ustawa z dnia 20 marca 2009 r. o bezpieczeństwie imprez masowych (tekst jedn.: Dz. U. z 2013 r. poz. 611 z późn. zm.),
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 2 marca 2010 r. w sprawie przekazywania informacji dotyczących bezpieczeństwa imprez masowych (Dz. U. Nr 54, poz. 329),
- ustawa z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (tekst jedn.: Dz. U. z 2014 r. poz. 1203),
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 5 października 2011 r. w sprawie wzorów kart wpisu i wzorów kart zapytania o dane w Systemie Informacyjnym Schengen oraz sposobu ich wypełniania (Dz. U. Nr 237, poz. 1415 z późn. zm.).
22.Przetwarzanie informacji o karalności, postępowanie karne
- ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (tekst jedn.: Dz. U. z 2012 r. poz. 654 z późn. zm.),
- rozporządzenie Ministra Sprawiedliwości z dnia 16 maja 2012 r. w sprawie gromadzenia danych osobowych i danych o podmiotach zbiorowych w Krajowym Rejestrze Karnym oraz usuwania tych danych z Rejestru (tekst jedn.: Dz. U. z 2014 r. poz. 1057),
- rozporządzenie Ministra Sprawiedliwości z dnia 25 lipca 2013 r. w sprawie szczegółowości informacji umieszczanych w karcie rejestracyjnej i w zawiadomieniu (Dz. U. poz. 892),
- rozporządzenie Ministra Sprawiedliwości z dnia 5 maja 2014 r. w sprawie udzielania informacji o osobach oraz o podmiotach zbiorowych na podstawie danych zgromadzonych w Krajowym Rejestrze Karnym (Dz. U. poz. 660),
- rozporządzenie Ministra Sprawiedliwości z dnia 18 czerwca 2014 r. w sprawie trybu udzielania z Krajowego Rejestru Karnego informacji o osobach oraz o podmiotach zbiorowych za pośrednictwem systemu teleinformatycznego (Dz. U. poz. 841),
- rozporządzenie Ministra Sprawiedliwości z dnia 18 czerwca 2014 r. w sprawie opłat za wydanie informacji z Krajowego Rejestru Karnego (Dz. U. poz. 861),
- ustawa z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego (Dz. U. Nr 89, poz. 555 z późn. zm.),
- rozporządzenie Ministra Sprawiedliwości z dnia 11 czerwca 2003 r. w sprawie regulaminu czynności w zakresie przeprowadzania wywiadu środowiskowego oraz wzoru kwestionariusza tego wywiadu (Dz. U. Nr 108, poz. 1018),
- rozporządzenie Ministra Sprawiedliwości z dnia 18 czerwca 2003 r. w sprawie postępowania o zachowanie w tajemnicy okoliczności umożliwiających ujawnienie tożsamości świadka oraz sposobu postępowania z protokołami z zeznań tego świadka (Dz. U. Nr 108, poz. 1024),
- ustawa z dnia 20 czerwca 1985 r. o prokuraturze (tekst jedn.: Dz. U. z 2011 r. Nr 270, poz. 1599 z późn. zm.),
- ustawa z dnia 7 września 2007 r. o wykonywaniu kary pozbawienia wolności poza zakładem karnym w systemie dozoru elektronicznego (tekst jedn.: Dz. U. z 2010 r. Nr 142, poz. 960 z późn. zm.),
- rozporządzenie Ministra Sprawiedliwości z dnia 4 lipca 2013 r. w sprawie sposobu archiwizowania oraz sposobu i trybu usuwania danych osobowych i informacji zarejestrowanych w związku z wykonywaniem kary pozbawienia wolności poza zakładem karnym w systemie dozoru elektronicznego (Dz. U. poz. 893).
23.Usługi detektywistyczne
- ustawa z dnia 6 lipca 2001 r. o usługach detektywistycznych (tekst jedn.: Dz. U. z 2014 r. poz. 273 z późn. zm.).
24.Wojsko, służba wojskowa, wywiad i kontrwywiad wojskowy
- ustawa z dnia 21 listopada 1967 r. o powszechnym obowiązku obrony Rzeczypospolitej Polskiej (tekst jedn.: Dz. U. z 2015 r. poz. 144 z późn. zm.),
- ustawa z dnia 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych (tekst jedn.: Dz. U. z 2013 r. poz. 568 z późn. zm.),
- rozporządzenie Ministra Obrony Narodowej z dnia 24 lipca 2012 r. w sprawie wzoru upoważnienia do udostępnienia żołnierzom Żandarmerii Wojskowej danych osobowych uzyskanych przez uprawnione organy, służby i instytucje państwowe w wyniku wykonywania czynności operacyjno-rozpoznawczych lub prowadzenia kontroli operacyjnej (Dz. U. poz. 876),
- rozporządzenie Ministra Obrony Narodowej z dnia 27 grudnia 2001 r. w sprawie sposobu gromadzenia odcisków linii papilarnych, zdjęć oraz danych osobowych przez Żandarmerię Wojskową (Dz. U. Nr 157, poz. 1859),
- ustawa z dnia 9 czerwca 2006 r. o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego (tekst jedn.: Dz. U. z 2014 r. poz. 253 z późn. zm.),
- rozporządzenie Ministra Obrony Narodowej z dnia 25 września 2006 r. w sprawie wzoru pisemnego imiennego upoważnienia funkcjonariusza Służby Kontrwywiadu Wojskowego stanowiącego podstawę udostępniania danych osobowych (Dz. U. Nr 177, poz. 1312).
3. Rozważając ochronę danych osobowych na gruncie innych ustaw niż komentowana w tej pracy, należy zaznaczyć, że niekiedy chodzi tu nie o ustawy szczególne czy branżowe, lecz o inne generalne ustawy lub generalne instytucje prawne, które mogą również (równolegle) chronić dane osobowe.
Trzeba tu powołać przede wszystkim ustawę z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228 z późn. zm.), która zastąpiła ustawę o tym samym tytule z dnia 22 stycznia 1999 r. (tekst jedn.: Dz. U. z 2005 r. Nr 196, poz. 1631 z późn. zm.). Nie ulega bowiem wątpliwości, że "informacjami niejawnymi" w rozumieniu tej ustawy będą nierzadko także informacje mające charakter danych osobowych. Relacje zachodzące pomiędzy tą ustawą a ustawą, której poświęcamy niniejszy komentarz, nie są jednak jasne. Przede wszystkim nasuwają się dwa pytania:
czy ustawa o ochronie informacji niejawnych, poza zakresem działania której nie powinno się stawiać a priori szeroko rozumianego przetwarzania danych osobowych, przewidziała - odwołajmy się tu do kryterium z art. 5 u.o.d.o. - dalej idącą ich ochronę niż ta, która wynika z komentowanej ustawy z 1997 r., a jeśli tak, to
czy zwrot przewidujący, że należy wówczas stosować przepisy "ustawy posiadającej dalej idącą ochronę", oznacza, że ustawa z 1997 r. w ogóle nie będzie już w danej dziedzinie znajdowała zastosowania, czy też że nie będą wykorzystywane tylko te jej przepisy, w zakresie których można dopatrzyć się kolizji z przepisami owej "dalej idącej ustawy".
Naszym zdaniem należy przyjąć, że ustawa o ochronie informacji niejawnych przewiduje w stosunku do ustawy o ochronie danych osobowych dalej idącą ochronę, jeśli chodzi o te dane osobowe, które mają status informacji niejawnych. W związku z tym - w myśl art. 5 u.o.d.o. - pierwszeństwo w tym zakresie należy przyznać ustawie o ochronie informacji niejawnych. Owo pierwszeństwo nie sprowadza się jednak do aspektów utajniania informacji, aspektów związanych z ograniczaniem osobom trzecim dostępu do informacji czy też stosowania szeroko rozumianych środków zabezpieczenia. Należy przyjąć, że obejmuje ono także inne sfery, w tym sferę uprawnień osób, których informacja dotyczy. Ustawa o ochronie informacji niejawnych w żaden sposób nie uprzywilejowuje osób, których dotyczą informacje niejawne. W stosunku do wszystkich formułuje zasadę (art. 4), że informacje niejawne mogą być udostępnione wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo wykonywania czynności zleconych. W konsekwencji w przypadku przetwarzania danych osobowych stanowiących równocześnie informację niejawną ci, których dane te dotyczą, nie będą mogli powoływać się np. na uprawnienia przyznane im w art. 24, 25, 32-35 u.o.d.o. i korzystać z nich. Na tej samej w istocie podstawie nie powinny znajdować zastosowania przepisy dotyczące dopuszczalności przetwarzania danych w zakresie oceny legalności udostępniania danych (po uchyleniu art. 29 i 30 u.o.d.o.).
Brak jest podstaw i uzasadnienia tego, aby zbiory danych osobowych spełniających równocześnie kryteria informacji niejawnych postawić poza zakresem uprawnień kontrolnych przyznanych Generalnemu Inspektorowi Ochrony Danych Osobowych (chodzi zwłaszcza o przepisy art. 14-19 u.o.d.o.). Natomiast - stosownie do art. 4 ust. 3 u.o.i.n. - jeśli zakres kontroli dotyczy informacji niejawnych, kontrola ta, a w szczególności dostęp do pomieszczeń i materiałów, powinna być realizowana z zachowaniem przepisów tej ustawy.
Zgodnie z art. 43 ust. 1 pkt 1 u.o.d.o. w brzmieniu nadanym ustawą o ochronie informacji niejawnych z dniem 2 stycznia 2011 r. z obowiązku rejestracji zwolnieni są administratorzy zbiorów zawierających informacje niejawne. Przed nowelizacją wspomniany przepis zwalniał z obowiązku rejestracyjnego administratorów prowadzących zbiory, w których zawarte były dane objęte tajemnicą państwową, ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego. W świetle ówczesnego brzmienia przepisu zbiory, w których dane osobowe miały charakter tajemnicy służbowej, nie były zwolnione z rejestracji. Rezygnacja przez prawodawcę w nowej ustawie o ochronie informacji niejawnych z pojęć tajemnicy państwowej i tajemnicy służbowej spowodowała konieczność zmiany przepisów, które posługiwały się tymi określeniami. Jednak zmiana dokonana w ustawie o ochronie danych osobowych nie ma wyłącznie charakteru redakcyjnego, gdyż prowadzi do znacznego poszerzenia zakresu zwolnienia z obowiązku rejestracyjnego, który obecnie odnosi się do wszystkich zbiorów zawierających informacje niejawne, informacji oznaczonych klauzulami: "ściśle tajne", "tajne", "poufne" i "zastrzeżone", a więc informacji, które pod rządami poprzedniej ustawy objęte były zarówno tajemnicą państwową, jak i służbową.
4. Dane osobowe i ich zbiory mogą stanowić także tajemnicę przedsiębiorstwa w rozumieniu art. 11 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jedn.: Dz. U. z 2003 r. Nr 153, poz. 1503 z późn. zm.). Sama ta okoliczność nie może zmieniać zasad ich zbierania czy - szerzej - przetwarzania, ustalonych w ustawie o ochronie danych osobowych. Poza tym to, że ktoś zbiór danych osobowych utajnia, chce z niego czerpać wyłącznie dla siebie korzyści i czyni go tajemnicą przedsiębiorstwa, nie wpływa na uprawnienia osób, których dane dotyczą. Jeżeli zaś chodzi o samą ochronę danych, to przybiera ona postać ochrony kumulowanej, opartej równocześnie na dwóch różnych reżimach prawnych, natomiast co do udostępniania danych osobowych, racjonalne wydaje się przyjęcie, że w omawianych sytuacjach obowiązek udostępnienia powinien występować tylko na podstawie szczególnych przepisów.
Ochrona kumulowana występuje w odniesieniu do danych osobowych i ich zbiorów również wówczas, gdy stanowią one przedmiot tajemnicy zawodowej. Odmowę udostępniania takich danych można wywodzić zarówno z przepisów ustanawiających określoną tajemnicę zawodową, jak i z przepisów ustawy o ochronie danych osobowych, odwołując się do art. 36 ust. 1 u.o.d.o., nakładającego na administratora danych obowiązek zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym oraz zabraniem przez osobę nieuprawnioną.
D.Prawo polskie a prawo unijne (zgodność polskiego ustawodawstwa z dyrektywą 95/46/WE)
I.Uwagi wprowadzające
1. Celem rozważań zawartych w niniejszym fragmencie "Wstępu" jest przede wszystkim zbadanie, w jakim stopniu przepisy prawa polskiego odpowiadają tym regulacjom, które wyznaczają odpowiednie standardy w Unii Europejskiej. Należy mieć przy tym świadomość, że zbliżanie ochrony danych osobowych nie było wyraźnie objęte wykazem zamieszczonym w przepisie art. 69 Układu Europejskiego ustanawiającego stowarzyszenie między Rzecząpospolitą Polską z jednej strony a Wspólnotami Europejskimi i ich Państwami Członkowskimi z drugiej strony, sporządzonego w Brukseli dnia 16 grudnia 1991 r. (Dz. U. z 1994 r. Nr 11, poz. 38, zał.); przepis ten wymieniał dziedziny mające priorytetowy charakter, jeśli chodzi o harmonizację prawa polskiego z prawem wspólnotowym. Nie można tego jednak rozumieć jako zwolnienia od potrzeby dostosowania w tym zakresie prawa polskiego do standardów europejskich, tym bardziej że można bronić zdania, iż przynajmniej w części chodzi tu o uwzględnioną w art. 69 układu stowarzyszeniowego dziedzinę ochrony praw konsumenta. Warto wspomnieć także o tym, że traktat o przystąpieniu Polski do Unii Europejskiej (tzw. traktat akcesyjny - Traktat podpisany w Atenach w dniu 16 kwietnia 2003 r. między Królestwem Belgii, Królestwem Danii, Republiką Federalną Niemiec, Republiką Grecką, Królestwem Hiszpanii, Republiką Francuską, Irlandią, Republiką Włoską, Wielkim Księstwem Luksemburga, Królestwem Niderlandów, Republiką Austrii, Republiką Portugalską, Republiką Finlandii, Królestwem Szwecji, Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej (Państwami Członkowskimi Unii Europejskiej) a Republiką Czeską, Republiką Estońską, Republiką Cypryjską, Republiką Łotewską, Republiką Litewską, Republiką Węgierską, Republiką Malty, Rzecząpospolitą Polską, Republiką Słowenii, Republiką Słowacką dotyczący przystąpienia Republiki Czeskiej, Republiki Estońskiej, Republiki Cypryjskiej, Republiki Łotewskiej, Republiki Litewskiej, Republiki Węgierskiej, Republiki Malty, Rzeczypospolitej Polskiej, Republiki Słowenii i Republiki Słowackiej do Unii Europejskiej, Dz. U. z 2004 r. Nr 90, poz. 864 z późn. zm., zał.) nie zawierał postanowień odnoszących się do problematyki ochrony danych osobowych. Jednak Polska od dnia przystąpienia do Unii jest związana prawem unijnym (a więc także postanowieniami dyrektywy 95/46/WE), które wywiera bezpośredni skutek i ma pierwszeństwo przed ustawami krajowymi (z wyjątkiem Konstytucji RP).
Zaznaczmy również w tym miejscu, że wymieniona dyrektywa powinna być uwzględniana przy wykładni polskiego prawa jeszcze przed akcesją Polski do Unii Europejskiej. Tezę tę usprawiedliwiają następujące istotne okoliczności.
Po pierwsze, założeniem polskiej ustawy było inkorporowanie zasad wyrażonych w dyrektywie.
Po drugie, stosownie do art. 68 układu stowarzyszeniowego: "Strony uznają, że istotnym warunkiem wstępnym integracji gospodarczej Polski ze Wspólnotą jest zbliżanie istniejącego i przyszłego ustawodawstwa Polski do ustawodawstwa istniejącego we Wspólnocie. Polska podejmie wszelkie starania w celu zapewnienia zgodności jej przyszłego ustawodawstwa z ustawodawstwem Wspólnoty".
Należy przyjąć, że zbliżanie prawa polskiego do prawa Unii Europejskiej może być dokonywane zarówno przez odpowiednią zmianę przepisów prawnych, jak i w drodze orzecznictwa sądowego. Posłużenie się tą drugą metodą jest jednak możliwe tylko w tych przypadkach, gdy przepisy prawne są na tyle niedookreślone, że usprawiedliwiona staje się kompetencja sądu do takiej ich interpretacji, która jest zgodna z prawem (z dyrektywami) Unii Europejskiej. W takim kontekście oczywiście prawo Unii nie ma dla sądu polskiego charakteru źródła prawa; niemniej może być powoływane jako mocne uzasadnienie - w ramach wykładni funkcjonalnej - przyjętego rozstrzygnięcia, odpowiadającego rozwiązaniom prawnym przyjmowanym w Unii Europejskiej . Jednak w konkretnych, szczególnych przypadkach, mimo luzów interpretacyjnych pozostawionych przez daną normę, racje społeczno-gospodarcze istniejące po stronie Polski mogą przemawiać - jak zgodnie podkreśla się w polskiej literaturze prawniczej - za odrzuceniem takiej "europejskiej wykładni" .
2. Porównanie polskiej ustawy z dyrektywą 95/46/WE pozwala dostrzec wiele różnic występujących pomiędzy tymi aktami prawnymi. Zanim jednak przejdziemy do ich wskazania, należy stwierdzić, że w istotnej części ustawa polska jest zharmonizowana z rozwiązaniami przyjętymi w dyrektywie, zwłaszcza po trzech obszernych nowelizacjach dokonanych w latach 2001, 2004 i 2010. Analogiczne są przy tym funkcje ustawy i dyrektywy. W obu przypadkach chodzi o ochronę słusznych interesów osób fizycznych w związku z przetwarzaniem dotyczących ich danych osobowych .
Trzeba równocześnie podkreślić, że wprowadzenie ujednoliconej ochrony w omawianym zakresie na obszarze Unii Europejskiej stanowi konieczny warunek - jak podkreślono w pkt 3 i 7 preambuły dyrektywy 95/46/WE - zapewnienia swobodnego przepływu towarów, usług i osób pomiędzy krajami Wspólnoty, przepływowi temu niejednokrotnie towarzyszy bowiem niezbędne przekazywanie danych osobowych.
3. Rozpatrzmy obecnie, jak przedstawiają się granice swobody kształtowania treści ustaw krajowych w świetle dyrektywy 95/46/WE .
Dyrektywa 95/46/WE nie przewiduje wprowadzenia ani jednolitego prawa odnoszącego się do ochrony zbiorów danych osobowych, ani też wymogu jednolitych ustaw krajowych, lecz w istocie formalnie jedynie wprowadza minimalne standardy w tym zakresie . Wprawdzie są one w znacznym stopniu uszczegółowione, jednak margines swobody kształtowania prawa krajowego jest relatywnie znaczny.
Wyraźne postanowienia upoważniające do "krajowego kształtowania" granic ochrony zawierają przepisy art. 8, 9, 11, 13, 14, 18-21 i 24 dyrektywy 95/46/WE. Chodzi tu m.in. o możność ustanowienia "własnych regulacji" w odniesieniu do:
specjalnych kategorii danych, określanych często jako dane wrażliwe, w zakresie dopuszczalnych granic ich przetwarzania ze względu na uzasadnione interesy pracodawcy względem pracowników oraz względy interesu publicznego;
numerów identyfikacyjnych;
zasad powiadamiania osób, których dane dotyczą, o zbieraniu informacji ich dotyczących;
ograniczeń ochrony przewidzianej w art. 6 ust. 1, art. 10, 11 ust. 1, art. 12 i 21 ze względu na interes publiczny, bezpieczeństwo publiczne, interesy ekonomiczne kraju, ochronę praw i wolności osoby, której dane dotyczą, lub osób trzecich ;
ograniczenia dostępu do danych osobowych w przypadku ich przetwarzania w celach badawczych lub statystycznych;
sposobu powiadamiania o uprawnieniach związanych z możliwością sprzeciwiania się zainteresowanego przetwarzaniu "jego" danych osobowych;
sytuacji, w których dopuszczalne jest podjęcie decyzji dotyczącej danej osoby wyłącznie na podstawie automatycznego przetwarzania danych jej dotyczących.
Odrębną samodzielną podstawę "własnych" krajowych regulacji stanowi przepis art. 5 dyrektywy 95/46/WE, który wyraźnie upoważnia kraje członkowskie do formułowania szczególnych warunków przetwarzania danych w granicach przewidzianych dyrektywą.
Wydaje się, że pomimo zakreślenia relatywnie szerokiej swobody w kształtowaniu ochrony danych osobowych w krajach Unii Europejskiej regulacja w tym zakresie zostanie w wyniku wydania dyrektywy zasadniczo ujednolicona. W szczególności, jak podkreśla Y. Poullet , postanowienia w sprawie swobodnego przepływu danych osobowych między krajami członkowskimi powodują, że ze względu na łatwość obejścia krajowego zakazu nie byłoby racjonalne wprowadzanie wyższego standardu ochrony niż minimalny, przewidziany dyrektywą 95/46/WE. Należy też zwrócić uwagę na postanowienia dyrektywy 95/46/WE (art. 29 i 30) dotyczące Working Party on the protection of Individuals with regard to the Processing of Personal Data, które zapewniają wzajemne zbliżanie się ustaw krajowych. Jedną z form działania tego organu jest wydawanie stosownych dokumentów, w tym rekomendacji , a także informowanie Komisji o zaistnieniu istotnych różnic w poziomie ochrony danych osobowych w krajach członkowskich.
4. Wątpliwości co do harmonizacji prawa polskiego z prawem wspólnotowym mogą natomiast powstawać w kontekście tych norm ustawy, które zawierają upoważnienie do określonego działania związanego z przetwarzaniem danych osobowych, działania wkraczającego w prawa osobiste. Chodzi tu o zastrzeżenia odwołujące się do "zezwoleń na podstawie innych przepisów prawa". Stykamy się z tym chociażby w:
art. 25 ust. 2 pkt 1 u.o.d.o. (obowiązek poinformowania osoby, której dane są zbierane, nie powstaje wtedy, gdy przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą);
art. 27 ust. 2 pkt 2 u.o.d.o. (dozwolone jest przetwarzanie danych wrażliwych bez zgody zainteresowanego, gdy przepis szczególny innej ustawy na to zezwala).
Otóż należy wyraźnie stwierdzić, że tego rodzaju możliwości szerokiego posługiwania się generalnymi odesłaniami do innych ustaw nie znajdujemy w dyrektywie 95/46/WE. Wręcz przeciwnie, w omawianych typach sytuacji podawany jest zamknięty katalog przypadków uprawniających do określonych działań (por. odpowiednio art. 11 i 8 dyrektywy 95/46/WE).
5. Rozpatrując w powyższym kontekście kwestie zgodności polskiego ustawodawstwa z dyrektywą 95/46/WE, należy przedstawić następujące uwagi.
Powołane przepisy ustawy wykraczają formalnie poza granice wytyczone w dyrektywie 95/46/WE. Niemniej wydaje się, że można bronić stanowiska o zgodności ustawy z dyrektywą 95/46/WE z dwóch względów. Po pierwsze, wydane w Polsce ustawy dotyczące wskazanych wyżej kwestii w istocie nie wykraczają poza generalne, merytoryczne granice określone w dyrektywie. Stąd też nie można stwierdzić, że obowiązujące w Polsce przepisy pozwalają wyraźnie na przetwarzanie danych poza granicami przewidzianymi dyrektywą. Po drugie - stosownie do art. 31 ust. 3 Konstytucji RP - "Ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw". Ponadto, według art. 51 ust. 2 Konstytucji RP: "Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym".
Na potrzeby tego opracowania nie jest konieczne ustalenie (niezwykle spornej, niejednoznacznej) relacji pomiędzy powołanymi wyżej przepisami Konstytucji RP. Ważne jest bowiem tylko to, że przepisy te ustanawiają istotne ograniczenia w wydawaniu ustaw, do których odwołuje się obowiązujący obecnie w Polsce akt normatywny o ochronie danych osobowych, a które to ustawy mogłyby w konsekwencji prowadzić do ustanowienia w naszym kraju ochrony danych osobowych na poziomie niższym, niż to przewiduje dyrektywa.
II.Podstawowe pojęcia - zakres stosowania
6. Można przyjąć, że znaczenie podstawowych pojęć, rzutujące na przedmiotowy zakres stosowania regulacji, jest w dyrektywie 95/46/WE i ustawie niemal identyczne. I tak w obydwu przypadkach stosowane jest szerokie rozumienie terminu "dane osobowe" (personal data), obejmujące wszystkie informacje odnoszące się do oznaczonej lub możliwej do zidentyfikowania osoby fizycznej, jak też nadawane jest szerokie rozumienie pojęciu przetwarzania danych osobowych (processing); termin ten w dyrektywie 95/46/WE obejmuje następujące operacje: wprowadzanie, magazynowanie lub łączenie danych, ich zmienianie, używanie lub komunikowanie, łącznie z transmisją, rozpowszechnianiem, zabezpieczaniem, poprawianiem i usuwaniem. Takie ujęcie nie odbiega od tego, z którym stykamy się w art. 7 pkt 2 u.o.d.o.
W sposób bardzo zbliżony definiowana jest w ustawie i dyrektywie 95/46/WE kategoria "administratora danych" (controller). Należy jednak odnotować, że do ustawy polskiej nie przeniesiono rozwiązania występującego w dyrektywie 95/46/WE, według którego w przypadkach gdy cel i środki przetwarzania danych nie zostają wyznaczone przez oznaczoną osobę fizyczną lub prawną, lecz wynikają z przepisów prawa (lub postanowień administracyjnych), wówczas przepisy mogą wskazać administratora bądź określić specjalne kryteria, według których ma być on wyznaczony. A. Mednis podaje urząd statystyczny jako przykład tego rodzaju administratora .
Pewnej różnicy między prawem polskim i wspólnotowym można dopatrywać się ewentualnie również w pojmowaniu zgody (zezwolenia) na przetwarzanie danych (the data subject’s consent). Dyrektywa 95/46/WE przewiduje tu bardziej liberalne podejście, gdyż - jak się przyjmuje - dopuszcza wyrażenie zgody w sposób konkludentny (zgodą może być bowiem: any freely given specific and informed indication of his wishes, by which the data subject signifies his agreement to personal data relating to him being processed). Natomiast ustawa polska zastrzega, że "zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści"; można twierdzić, że brak tu aprobaty ustawodawcy dla zgody wyrażonej per facta concludentia.
W sposób zbliżony definiowana jest w ustawie i dyrektywie 95/46/WE kategoria zbioru danych osobowych ("systemu ewidencjonowania danych osobowych"), określana w dyrektywie terminem filing system. Postanowienie art. 2 lit. c dyrektywy 95/46/WE stwierdza, że takim zbiorem (systemem) jest jakikolwiek zorganizowany zbiór danych osobowych, dostępnych po spełnieniu pewnych kryteriów, niezależnie od tego, czy jest on scentralizowany, czy zdecentralizowany lub usytuowany na zasadzie funkcjonalnej albo geograficznej. Zgodnie z art. 3 ust. 1 dyrektywy 95/46/WE ma ona zastosowanie wyłącznie do przetwarzania danych, które już stanowią lub mają stanowić część filing system . W podobny sposób należałoby interpretować w naszym przekonaniu treść art. 2 u.o.d.o., choć redakcja tego przepisu budzi pewne wątpliwości. W szczególności treść art. 2 ust. 2 u.o.d.o., który odwołuje się także do wykazów i zbiorów ewidencyjnych, może wywoływać wrażenie, że zakres stosowania ustawy wykracza poza wykorzystanie danych osobowych w "zbiorach danych" definiowanych podobnie jak filing system. Trzeba jednak dodać, że także pojęciu filing system nadaje się w komentarzach do dyrektywy rozszerzające znaczenie.
7. Oprócz wspólnego ustawie i dyrektywie 95/46/WE wyłączenia z zakresu ich działania przetwarzania danych przez osobę fizyczną w celach osobistych i domowych (by a natural person in the course of a purely personal or household activity) dyrektywa 95/46/WE nie znajduje zastosowania (art. 3 ust. 2) w odniesieniu do przetwarzania danych osobowych, które będzie służyło bezpieczeństwu publicznemu, obronności, bezpieczeństwu państwowemu (w tym gospodarczemu dobrobytowi państwa, gdy proces przetwarzania dotyczy spraw bezpieczeństwa tego państwa) oraz działalności państwa w sferze prawa karnego. W ustawie polskiej brak jest analogicznego generalnego wyłączenia.
Szczególne wątpliwości budzić może art. 2 ust. 3 u.o.d.o., który przewiduje, że w przypadku "zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych lub poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5" (dotyczącego zabezpieczenia danych). Regulacja ta, która nie ma odpowiednika w dyrektywie 95/46/WE, jest - w naszym przekonaniu - z nią niezgodna.
8. Jeśli chodzi o podmiotowy zakres stosowania regulacji, to można wskazać pewne różnice. W dyrektywie 95/46/WE obejmuje on podmioty, które przetwarzają dane w kontekście działalności gospodarczej prowadzonej na terytorium państwa członkowskiego, oraz podmioty, które nie prowadzą działalności gospodarczej na terytorium Unii, ale przetwarzają dane przy wykorzystaniu środków technicznych znajdujących się na tym terytorium. Polska ustawa znajduje zastosowanie do podmiotów mających siedzibę lub miejsce zamieszkania na terytorium naszego kraju albo w państwie trzecim (państwie nienależącym do Europejskiego Obszaru Gospodarczego), o ile dane osobowe przetwarzane są przy wykorzystaniu środków technicznych znajdujących się na terytorium Polski.
Istotne znaczenie w tym kontekście ma specjalna definicja siedziby zawarta w preambule dyrektywy 95/46/WE (pkt 19), umożliwiająca objęcie jej działaniem szerszego kręgu podmiotów niż wynika to z polskiej ustawy. Głównym kryterium pozwalającym oznaczyć siedzibę jest - według dyrektywy 95/46/WE - miejsce, gdzie występuje efektywne i rzeczywiste (realne) wykonywanie określonej działalności w sposób stały; nie ma natomiast decydującego znaczenia status prawny tego rodzaju działalności, a więc to, czy jest ona prowadzona przez jednostkę podporządkowaną (subsidiary), przez oddział, czy filię mającą osobowość prawną.
Porównywane tu akty prawne poza zakresem zainteresowania pozostawiają przypadki, gdy urządzenia techniczne wykorzystywane są jedynie do tranzytu (przesyłu) przez dane terytorium.
III.Podstawowe zasady przetwarzania danych osobowych
9. Artykuł 6 dyrektywy 95/46/WE formułuje pięć podstawowych zasad dotyczących przetwarzania danych osobowych; jego odpowiednikiem jest przepis art. 26 u.o.d.o. Różnice dotyczą następujących zagadnień.
Po pierwsze, dyrektywa 95/46/WE nie poprzestaje na zastrzeżeniu, że przetwarzanie danych osobowych ma być prowadzone w sposób zgodny z prawem i dla zgodnych z prawem celów, ale stawia też wymóg, aby odbywało się to "rzetelnie" (sprawiedliwie, uczciwie), "w dobrej wierze" (fairly and lawfully, loyalement et licitement, nach Treu und Glauben und auf rechtmässige Weise - art. 6 ust. 1 lit. a dyrektywy 95/46/WE).
Po drugie, ustawa nie wprowadza tak rozbudowanego jak dyrektywa 95/46/WE obowiązku dbania o rzetelność danych (art. 6 ust. 1 lit. d); dane - według dyrektywy - powinny być merytorycznie prawdziwe, ścisłe (accurate, exactes) oraz, jeśli to potrzebne, aktualne, powinny uwzględniać najnowszy stan. Powinny też być podjęte wszelkie stosowne - z perspektywy celu, dla którego dane są zbierane i udostępniane - środki, aby dane nieścisłe i niepełne były poprawiane lub usuwane. Ustawa polska stawia w tym miejscu tylko ogólny wymóg "merytorycznej poprawności danych" (art. 26 ust. 1 pkt 3 u.o.d.o.).
Szczegółowe przesłanki legalizujące przetwarzanie danych podaje art. 7 dyrektywy 95/46/WE, z którym koresponduje art. 23 u.o.d.o. Można tu dostrzec dwie istotne różnice ujawniające się przy porównaniu treści wymienionych przepisów.
Po pierwsze, art. 23 ust. 1 pkt 2 u.o.d.o. po nowelizacji dokonanej w 2004 r. dopuszcza przetwarzanie danych osobowych, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W dyrektywie 95/46/WE odpowiednikiem tego przepisu jest art. 7 lit. c, który jednak odnosi się tylko do przetwarzania danych, które jest konieczne do spełnienia obowiązków prawnych nałożonych na administratora. Powstaje w związku z tym wątpliwość, czy wskazana powyżej podstawa dopuszczalności przetwarzania danych zawarta w polskiej ustawie nie została sformułowana zbyt szeroko.
Po drugie, art. 23 ust. 1 pkt 5 u.o.d.o., upoważniający do przetwarzania danych do wypełnienia usprawiedliwionych celów administratora danych lub odbiorcy danych, jest bardziej restryktywny niż odpowiedni przepis dyrektywy 95/46/WE. Stosownie do przepisów prawa polskiego działanie prowadzone dla wspomnianych celów jest dopuszczalne tylko wówczas, gdy nie narusza praw i wolności osoby, której dane dotyczą. Tymczasem według przepisów dyrektywy 95/46/WE (art. 7 lit. f) postępowanie takie nie jest dozwolone tylko wówczas, gdy podstawowe prawa i wolności jednostki związane z przetwarzaniem danych osobowych przewyższają (overriden) uzasadnione interesy administratora danych, a więc w konkretnym przypadku mają od nich większą wagę.
IV.Dane wrażliwe
10. Katalog danych wrażliwych (sensytywnych), jaki podaje ustawa, jest obszerniejszy od występującego w dyrektywie 95/46/WE, która nie wyszczególnia danych odnoszących się do:
przynależności partyjnej,
przynależności wyznaniowej,
kodu genetycznego,
nałogów.
O ile jeszcze można wykazywać, że dane dotyczące kodu genetycznego i nałogów dają się objąć ogólną kategorią "danych o zdrowiu" występującą w dyrektywie 95/46/WE - choć jest to wykładnia dyskusyjna - to już nie można chyba uważać, że dane o poglądach politycznych w każdym przypadku rozciągają się zawsze na dane o przynależności partyjnej, i podobnie dane o przekonaniach religijnych - na dane o przynależności wyznaniowej.
Natomiast jeśli chodzi o przetwarzanie danych wrażliwych, można uznać, że ustawa wprowadza zbyt szerokie zezwolenia w tym zakresie. Chodzi tu przede wszystkim o postanowienie art. 27 ust. 2 pkt 2 u.o.d.o., według którego przetwarzanie tego rodzaju danych jest dozwolone w każdym przypadku, gdy przepis szczególny innej ustawy zezwala na to bez zgody osoby, której dane dotyczą, a równocześnie stworzone są pełne gwarancje ochrony tych danych. Tymczasem dyrektywa 95/46/WE zezwala - poza kazuistycznie wymienionymi w art. 8 ust. 2 przypadkami - na ograniczenie praw jednostki w sferze przetwarzania danych wrażliwych tylko ze względu na istotny interes publiczny (art. 8 ust. 4 dyrektywy); ograniczenie to może nastąpić bądź na drodze wydania odpowiedniego przepisu, bądź przez decyzję organu kontrolnego.
Ponadto w odniesieniu do przetwarzania tego rodzaju danych przez fundacje, kościoły i inne podmioty określone w art. 27 ust. 2 pkt 4 u.o.d.o. dyrektywa 95/46/WE wprowadza dodatkowe ograniczenie, zabraniające udostępniania tych danych osobom trzecim bez zgody zainteresowanej jednostki . Ustawa polska jest o tyle surowsza, że przewiduje wymóg "pisemnej" zgody na przetwarzanie danych sensytywnych, podczas gdy dyrektywa 95/46/WE stanowi tylko o "wyraźnej" zgodzie.
V.Obowiązek informowania jednostki w związku ze zbieraniem dotyczących jej danych
11. Problematykę zakresu udzielania informacji tym podmiotom, na temat których są przetwarzane (zbierane) dane osobowe, reguluje art. 10 i 11 dyrektywy 95/46/WE oraz art. 24 i 25 u.o.d.o. Zarówno w jednym, jak i w drugim przypadku odrębnie potraktowano przypadki bezpośredniego zbierania danych (od osoby) i przypadki zbierania pośredniego (z innych źródeł).
Rozbieżności pomiędzy ustawą a dyrektywą 95/46/WE dopatrzyć się można w zwolnieniu administratora w prawie polskim od obowiązków informacyjnych:
przy zbieraniu danych bezpośrednio, gdy ustawa zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania (art. 24 ust. 2 u.o.d.o.);
przy zbieraniu danych pośrednio, gdy ustawa przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane te dotyczą (art. 25 ust. 2 pkt 1).
Należy tu zaznaczyć, że przepisy dyrektywy 95/46/WE dopuszczają wprawdzie możliwość wprowadzenia w ustawie ograniczeń w zakresie omawianego uprawnienia (art. 13 ust. 1), lecz przewidują, że może to nastąpić tylko w imię ochrony wyraźnie wymienionych podstawowych interesów (chodzi w szczególności o bezpieczeństwo państwa, obronność, bezpieczeństwo publiczne, zapobieganie czynom przestępnym i ściganie ich, ważne gospodarcze lub finansowe interesy kraju członkowskiego Unii Europejskiej, ochronę osób, których dane dotyczą, oraz praw i wolności innych osób). Nie przesądzając, czy wydane w Polsce ustawy już przekroczyły granice przewidziane w dyrektywie 95/46/WE, należałoby rozważyć zawężenie odpowiednich postanowień zgodnie z dyrektywą.
Poza tym regulacja zawarta w dyrektywie 95/46/WE wydaje się mniej rygorystyczna.
Po pierwsze, bezwzględny obowiązek informacyjny dotyczy jedynie identyfikacji administratora danych oraz celu przetwarzania. Natomiast przy bezpośrednim zbieraniu danych obowiązek informowania o niektórych okolicznościach (o przewidywanych odbiorcach danych, o tym, czy udzielenie odpowiedzi jest obowiązkowe i jakie są ewentualnie skutki odmowy, o istnieniu uprawnień w sprawie sprostowania oraz dostępu do dotyczących osoby danych) wprowadzony jest tylko wtedy, gdy jest to konieczne w kontekście szczególnych warunków, w jakich ma miejsce zbieranie danych, po to aby zapewnić uczciwe (prowadzone "w dobrej wierze") względem zainteresowanego przetwarzanie "jego danych" (to guarantee fair processing in respect of the data subject; um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten). Podobnie jest przy pośrednim zbieraniu danych, z tym że tu analogiczny warunek odnosi się do następujących informacji: rodzaje danych, które będą przetwarzane, przewidywani odbiorcy danych, istnienie uprawnień w sprawie sprostowania oraz dostępu do dotyczących osoby danych.
Po drugie, w przypadku pośredniego zbierania danych dyrektywa 95/46/WE wyłącza działanie przepisu wprowadzającego obowiązki informacyjne, gdy dotarcie z tymi informacjami do zainteresowanego jest niemożliwe lub wymaga poważnych (nieproporcjonalnych) nakładów. Analogicznego zwolnienia nie wprowadza ustawa. Na jej gruncie natomiast podobna okoliczność (spełnienie określonych warunków wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania) ma znaczenie tylko wtedy, gdy dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, a ich przetwarzanie nie narusza praw ani wolności osoby, której one dotyczą.
VI.Prawo jednostki do informacji... (dostęp do dotyczących jej zbiorów danych i kontrola ich przetwarzania)
12. W swoich głównych założeniach treść art. 32 u.o.d.o. w tym zakresie, w którym odnosi się do prawa dostępu jednostki do własnych danych osobowych, jest zgodna z wymogami przewidzianymi w art. 12-14 dyrektywy 95/46/WE . Można jednak uznać, że w prawie polskim zakres uprawnień jednostki został nieco szerzej czy bardziej szczegółowo ujęty (mamy na myśli np. uzyskanie informacji, od kiedy przetwarza się w zbiorze dane dotyczące określonej osoby, czy informacji o sposobie udostępniania danych). Ustawa pomija jednak zastrzeżenie zawarte w dyrektywie 95/46/WE, że uzyskanie informacji powinno nastąpić bez nieuzasadnionego opóźnienia oraz nadmiernych kosztów (without constraint at reasonable intervals and without excessive delay or expense).
Przechodząc do problematyki kontroli przetwarzania danych osobowych, należy stwierdzić, że w polskiej ustawie zbyt szeroko - na tle art. 13 ust. 2 dyrektywy 95/46/WE - został także ujęty art. 32 ust. 4 u.o.d.o. Stanowi on, że jeżeli dane są przetwarzane do celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, administrator danych może odstąpić od informowania osób o przetwarzaniu ich danych, w przypadkach gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem. Natomiast w myśl dyrektywy dozwolone jest ustawowe ograniczenie uprawnień informacyjnych zainteresowanego wtedy, gdy dane są wykorzystywane do celów badań naukowych lub przechowywane są nie dłużej, niż jest to konieczne do sporządzenia statystyki ; nie została uwzględniona - przewidziana w polskiej ustawie - możliwość odmowy przekazania informacji w przypadku wykorzystywania danych do celów dydaktycznych i archiwalnych.
Dodajmy, że redakcja art. 32 ust. 1 pkt 6 i art. 35 u.o.d.o. może budzić wątpliwości interpretacyjne. Chodzi tu o stwierdzenie, czy w przypadku gdy dane osobowe są niekompletne lub nieaktualne, zainteresowany może żądać - tak jak wskazywałaby literalna treść przepisu - także ich usunięcia, czy tylko - jak można wnioskować z treści art. 12 lit. b dyrektywy 95/46/WE - domagać się ich stosownego poprawienia (na co mogłoby wskazywać zastrzeżenie as appropriate na początku tego postanowienia).
VII.Indywidualne decyzje na podstawie automatycznego przetwarzania danych osobowych
13. Do czasu dokonania nowelizacji w 2001 r. zasadniczą lukę w ustawie stanowił brak zakazu w sprawie podejmowania indywidualnych decyzji na podstawie automatycznego przetwarzania danych osobowych. Obecnie zharmonizowany z założeniami dyrektywy 95/46/WE (art. 15) przepis art. 26a ust. 1 u.o.d.o. stanowi: "Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym". Zakaz ten nie znajduje zastosowania tylko wówczas, gdy rozstrzygnięcie zostało podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą.
Korzystną w tym kontekście zmianę w zakresie zgodności przepisów ustawy z dyrektywą 95/46/WE przyniosła także nowela z dnia 22 stycznia 2004 r., na mocy której dodano do ustawy art. 32 ust. 1 pkt 5a. Zgodnie ze wskazanym tu przepisem osoba, której dotyczy indywidualne rozstrzygnięcie podjęte na podstawie automatycznego przetwarzania danych, ma prawo do uzyskania informacji o przesłankach podjęcia tego rozstrzygnięcia. Nowy przepis stanowi odpowiednik stosownego uprawnienia, które zostało przewidziane w art. 12 lit. a in fine dyrektywy 95/46/WE.
VIII.Ochrona danych osobowych a wolność prasy i swoboda twórcza
14. Zajmując się ochroną danych osobowych, dyrektywa 95/46/WE dostrzega pozostającą w stosunku do tego w pewnej opozycji kwestię wolności prasy. Regulacja zawarta w dyrektywie 95/46/WE nie tylko upoważnia, lecz także wyraźnie zaleca, aby kraje członkowskie ze względu na funkcjonowanie prasy i innych mediów wprowadziły odstępstwa od zasad przyjętych w dyrektywie. Mogą tego dokonać, ale tylko w takim zakresie, w jakim jest to konieczne do pogodzenia ochrony prawa do prywatności z normami przyjętymi w kwestii wolności prasy i informacji. Przepis art. 9 dyrektywy 95/46/WE zawiera wymóg, aby kraje członkowskie wprowadziły wyjątki od przewidzianych w dyrektywie zasad ochrony danych osobowych w przypadku przetwarzania takich danych wyłącznie do celów dziennikarskich (co ma obejmować też prasowych reporterów i fotografów) oraz do działalności literackiej lub artystycznej (for journalistic purposes or the purpose of artistic or literary expression), lecz tylko w zakresie koniecznym do pogodzenia (wyważenia) ochrony prawa do prywatności z zasadami związanymi ze swobodą wypowiedzi (only if they are necessary to reconcile the right to privacy with the rules governing freedom of expression).
Natomiast dyrektywa 95/46/WE nie przewiduje wyłączenia reguł ochrony danych osobowych, jeśli chodzi o prowadzenie działalności naukowej, badawczej czy dydaktycznej.
Wskazana możliwość (a można by nawet twierdzić: obowiązek) wprowadzenia do przepisów krajowych uregulowań wyjątkowych, pozwalających na przetwarzanie danych do celów dziennikarskich, literackich i artystycznych, w szczególności w zakresie audiowizualnym, jest rozwinięta i wyjaśniona szerzej w pkt 37 preambuły dyrektywy 95/46/WE. Wiąże się tam takie rozwiązania ze swobodą wypowiedzi oraz z prawem do informacji, zwłaszcza w zakresie gwarantowanym przez art. 10 EKPC. Z dyrektywy 95/46/WE wynika także, że instrumentem przydatnym w zakresie ochrony danych osobowych mogą być normy deontologiczne, zasady etyczne przyjmowane w niektórych środowiskach zawodowych (np. wśród naukowców).
Do czasu nowelizacji ustawy dokonanej w 2004 r. przepisy prawa polskiego nie zawierały odpowiednika przedstawionego wyżej "przywileju dziennikarskiego". Sytuacja uległa zmianie wskutek wprowadzenia przepisu art. 3a ust. 2, który zawiera wyłączenie stosowania ustawy do prasowej działalności dziennikarskiej oraz działalności literackiej i artystycznej. Wyłączenie to nie obejmuje jednak uprawnień kontrolnych Generalnego Inspektora Ochrony Danych Osobowych oraz obowiązku zabezpieczenia danych, o którym mowa w art. 36 ust. 1 u.o.d.o.
Na temat ochrony danych osobowych w konfrontacji z działalnością mediów zob. też pkt E.V "Wstępu".
IX.Uprzednia kontrola
15. Stosownie do art. 20 dyrektywy 95/46/WE w oznaczonych przypadkach, gdy przetwarzanie danych może prowadzić do szczególnego narażenia praw i wolności jednostki, przed rozpoczęciem przetwarzania danych powinna być dokonywana kontrola przez odpowiedni organ (organ ochrony danych osobowych). Taka uprzednia kontrola (prior checking) może być przeprowadzona na wniosek albo administratora, albo osoby odpowiedzialnej za ochronę danych (the data protection official), która powziąwszy wątpliwości, powinna skonsultować się z organem kontrolnym. Polska ustawa po dokonanej w styczniu 2004 r. nowelizacji przewiduje uprzednią kontrolę w odniesieniu do tzw. danych sensytywnych. Zgodnie z brzmieniem art. 46 ust. 2 u.o.d.o. administrator danych może rozpocząć przetwarzanie danych, o których mowa w art. 27 ust. 1 u.o.d.o., dopiero po zarejestrowaniu zbioru danych, a nie - jak było to przed nowelizacją - po zgłoszeniu zbioru do rejestracji. Można więc przyjąć, że w ten sposób polska ustawa czyni zadość stosownym wymogom przewidzianym w dyrektywie 95/46/WE.
X.Rejestracja zbiorów danych osobowych
16. Zarówno dyrektywa 95/46/WE, jak i ustawa opowiadają się za systemem zgłoszeń zbiorów danych osobowych i ich rejestracji przez instytucję kontrolną. Zgłoszenie takie - według dyrektywy 95/46/WE - powinno być dokonane, zanim przeprowadzone zostanie całkowicie albo częściowo zautomatyzowane przetwarzanie danych bądź wielość takich operacji służących realizacji jednego albo wielu połączonych celów. Podobne podejście występuje w ustawie, choć nie jest ono - jeśli chodzi o czas zgłoszenia - expressis verbis w ten sposób przedstawione. W sposób zbliżony, choć nieidentyczny, wyznaczony został w obydwu aktach prawnych zakres informacji, jakie powinny być zamieszczone w zgłoszeniu przetwarzania danych (art. 19 dyrektywy 95/46/WE oraz art. 41 u.o.d.o.) oraz w rejestrze (art. 21 dyrektywy 95/46/WE oraz art. 42 ust. 1 u.o.d.o.).
Znaczące różnice występują natomiast w kwestii przypadków zwolnień z obowiązku rejestracji zbioru danych (opisane w art. 18 ust. 2-4 dyrektywy 95/46/WE oraz art. 43 u.o.d.o.).
XI.Odpowiedzialność i sankcje
17. Postanowienia dyrektywy 95/46/WE (art. 23) zawierają zobowiązanie, by w przepisach krajów członkowskich wprowadzić na rzecz osoby, której dane osobowe zostały wprowadzone do zbioru i która to osoba poniosła szkodę w wyniku jakiegokolwiek przetwarzania danych - dokonanego bezprawnie lub w warunkach naruszających przepisy implementujące dyrektywę - uprawnienie do domagania się odszkodowania od administratora. Dopuszczalne jest jednak zwolnienie lub ograniczenie odpowiedzialności, gdy administrator danych wykaże, że nie jest odpowiedzialny za zdarzenie, które spowodowało szkodę, a w szczególności, jeśli szkoda jest wynikiem siły wyższej lub działania poszkodowanego. Analogicznych postanowień nie zawiera polska ustawa. Może się przy tym rodzić wątpliwość, czy przepisy dotyczące odpowiedzialności zawarte w ustawie z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. z 2014 r. poz. 121 z późn. zm.) harmonizują z przytoczonymi regułami dyrektywy 95/46/WE.
Dyskusyjne jest także, czy w prawie polskim istnieje - tak jak to przewiduje art. 22 dyrektywy 95/46/WE - niezależne od środków administracyjnoprawnych uprawnienie jednostki do występowania na drodze sądowej przeciw naruszeniom praw przewidzianych ustawą o ochronie danych osobowych. Można mieć zastrzeżenia, czy wymóg ten spełnia istniejąca de lege lata ochrona cywilnoprawna, w szczególności dotycząca prawa do prywatności, oraz ochrona w ramach przepisów o czynach niedozwolonych. Zastrzeżenia te biorą się m.in. stąd, że - jak uważamy - nie wszystkie naruszenia praw jednostki przewidziane w ustawie stanowią równocześnie bezprawne naruszenie dóbr osobistych poddanych ochronie w art. 23 i 24 k.c., a tym bardziej czyn nieuczciwej konkurencji.
XII.Kodeksy postępowania
18. Artykuł 27 dyrektywy 95/46/WE dotyczy tzw. kodeksów postępowania (codes of conduct), których celem ma być usprawnienie procesu prawidłowego wprowadzania krajowych przepisów implementujących normy zawarte w dyrektywie, przy uwzględnieniu specyfiki różnych branż. Wskazany przepis nakłada na państwa członkowskie obowiązek zachęcania stowarzyszeń zawodowych i innych instytucji reprezentujących różne kategorie administratorów do opracowywania tego rodzaju kodeksów oraz opiniowania przez władze państwowe projektów takich kodeksów pod kątem zgodności z prawem. Polska ustawa nie zawiera przepisów dotyczących tej kwestii, poprzestaje jedynie na ogólnym stwierdzeniu, że do zadań Generalnego Inspektora Ochrony Danych Osobowych należy m.in. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.
XIII.Organ nadzorczy
19. Dyrektywa 95/46/WE nakłada na państwa członkowskie obowiązek powołania organu sprawującego kontrolę nad przestrzeganiem przepisów o ochronie danych osobowych, wskazując uprawnienia, w jakie powinien być on wyposażony. Ustawa powołała do życia stosowny organ - Generalnego Inspektora Ochrony Danych Osobowych - i przydała mu wiele kompetencji, które zasadniczo odpowiadają uprawnieniom określonym w dyrektywie 95/46/WE. Jednak wśród tych uprawnień zabrakło (wyrażonej w art. 28 dyrektywy 95/46/WE jako obowiązek) kompetencji do wzajemnej współpracy z organami nadzorczymi innych państw w zakresie koniecznym do wykonywania ich obowiązków. Zgodnie z art. 12 pkt 7 u.o.d.o. Generalny Inspektor ma jedynie uczestniczyć w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. Wydaje się, że ta kompetencja sformułowana jest w ustawie w sposób zbyt ogólny i powinna zostać doprecyzowana.
XIV.Przekazywanie danych osobowych do państwa trzeciego
20. Jednym z istotniejszych problemów, które starano się rozwiązać w dyrektywie 95/46/WE, było ustalenie warunków dopuszczalności przekazywania danych osobowych do innych krajów. Znalazło to odbicie w przepisie art. 25 dyrektywy 95/46/WE zezwalającym na takie udostępnianie danych tylko w sytuacji, gdy w "kraju docelowym" zapewniony jest odpowiedni poziom ochrony (adequate level of protection; angemessenes Schutzniveau). W ustawie kwestii tej poświęcone są postanowienia art. 47 i 48.
Na tle regulacji dotyczącej przekazywania danych osobowych do państw trzecich powstaje pytanie, czy przepisy prawa polskiego w sprawie transferu danych osobowych z Polski do kraju trzeciego są zgodne z wymogami przewidzianymi dla krajów członkowskich Unii Europejskiej, jeśli chodzi o eksport tego rodzaju danych.
Można przyjąć, że zasadniczo podstawowy warunek dopuszczalności przekazania danych do kraju trzeciego wprowadzony do ustawy (art. 47 ust. 1 u.o.d.o.) odpowiada założeniom dyrektywy; chodzi o warunek "odpowiedniej (adekwatnej) ochrony". Pewne różnice ujawniają się wtedy, gdy analizujemy opis tych sytuacji wyjątkowych, w których dane mogą być przekazywane do państwa trzeciego mimo braku odpowiedniej ochrony w kraju docelowym. Tu polska ustawa wydaje się, pod pewnymi względami, bardziej liberalna od przepisów wspólnotowych. Przewiduje ona, że eksport danych osobowych jest dozwolony wówczas, gdy "przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej" (art. 47 ust. 2).
Tak ujętej klauzuli nie zamieszczono w dyrektywie 95/46/WE. Dyrektywa nie przewiduje również szerokiego zwolnienia umożliwiającego administratorowi przekazywanie do państwa trzeciego danych osobowych ogólnie dostępnych.
Dyrektywa pozwala natomiast eksportować dane, gdy następuje to z rejestru, który ma służyć, zgodnie z obowiązującymi przepisami ustawowymi lub wykonawczymi, za źródło informacji dla ogółu społeczeństwa, udostępnionego do konsultacji obywateli i każdej osoby wykazującej uzasadniony interes, o ile warunki określone przez prawo odnośnie do wglądu do takiego rejestru zostały w danym przypadku spełnione (art. 26 ust. 1 lit. f). Ponadto w dyrektywie znajdujemy postanowienie (art. 26 ust. 2), którego odpowiednika nie ma w ustawie. Zgodnie z nim Państwo Członkowskie może zezwolić na przekazanie lub przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony w znaczeniu art. 25 ust. 2, jeżeli administrator danych zaleci odpowiednie zabezpieczenia odnośnie do ochrony prywatności oraz podstawowych praw i wolności osoby oraz odnośnie do wykonywania odpowiednich praw; takie środki zabezpieczające mogą w szczególności wynikać z odpowiednich klauzul umownych. W tym punkcie uregulowanie zamieszczone w dyrektywie należy uznać za bardziej liberalne i elastyczne od uregulowania występującego w ustawie.
Tę różnicę w pewnej mierze łagodzi wprowadzona do ustawy generalna klauzula, pozwalająca też w innych niż kazuistycznie wymienionych przypadkach przekazywać dane osobowe za granicę do kraju niedającego gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, o ile wyrazi na to zgodę Generalny Inspektor (art. 48 u.o.d.o.). Ponadto warto wspomnieć, że na mocy noweli z dnia 7 listopada 2014 r. zgoda Generalnego Inspektora Ochrony Danych Osobowych nie jest wymagana w sytuacji, gdy administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:
standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską lub
wiążące reguły korporacyjne, które zostały zatwierdzone przez GIODO (por. komentarz do art. 48 u.o.d.o.).
Usprawiedliwione jest - i naszym zdaniem słuszne - generalne stanowisko, że ta ochrona danych osobowych, jaka została zapewniona na terytorium Rzeczypospolitej Polskiej, jest odpowiednia (adekwatna) z punktu widzenia dyrektywy 95/46/WE; dotyczy to także przepisów o dopuszczalności przekazywania danych do państwa trzeciego. Choć być może wskazane byłoby usunięcie opisanych wcześniej różnic występujących między prawem polskim a dyrektywą 95/46/WE w kwestii dopuszczalności transferu danych osobowych do państwa trzeciego, to niemniej nie stanowią one - według nas - dostatecznej podstawy do zakwestionowania istnienia w Polsce "adekwatnego poziomu ochrony danych osobowych" z punktu widzenia art. 25 dyrektywy. Uwaga powyższa w istocie dotyczy odpowiednio także innych, wcześniej omówionych, różnic występujących między poziomem ochrony danych osobowych gwarantowanym w polskich przepisach prawnych i regulacjach wspólnotowych. Po przystąpieniu Polski do Unii Europejskiej nasz kraj przestał być krajem trzecim w rozumieniu przepisów dyrektywy 95/46/WE. W konsekwencji przekazywanie danych osobowych pomiędzy Polską a państwami należącymi do Europejskiego Obszaru Gospodarczego nie podlega ograniczeniom określonym w art. 25 i 26 dyrektywy 95/46/WE. Zarówno transfer danych osobowych z Polski do państwa należącego do Europejskiego Obszaru Gospodarczego, jak i transfer z takiego państwa do Polski powinien odbywać się w sposób swobodny, z poszanowaniem prawa wewnętrznego.
E.Zagadnienia szczególne
I.Teoretyczno-konstrukcyjne modele ochrony danych osobowych
1.Ochrona danych osobowych jako przejaw ochrony powszechnych dóbr osobistych. Koncepcja ochrony prywatności
1. W wypowiedziach na temat uregulowań dotyczących danych osobowych bardzo często pojawia się problem relacji pomiędzy powszechną ochroną dóbr osobistych (realizowaną w Polsce przede wszystkim na podstawie przepisów kodeksu cywilnego) a ochroną danych osobowych (opartą na ustawie o ochronie danych osobowych). Posuwając się o krok dalej, można postawić pytanie, czy ochrona statuowana wymienioną ustawą stanowi jedynie realizację, ukonkretnienie w zakresie pewnych praktyk społecznych, powszechnej ochrony dóbr osobistych, będąc względem niej swoistym lex specialis, czy też mamy tu do czynienia z autonomicznym obszarem prawnym.
Istnieje wiele argumentów przemawiających za tym, że specjalne przepisy o ochronie danych osobowych związane są z realizacją powszechnego prawa do prywatności (right to privacy), którego istotą jest eliminowanie ingerencji w życie osobiste, gwarantowanie każdemu człowiekowi pozostawienia go w spokoju (right to be alone), zapewnienie mu możliwości decydowania o ujawnianiu, udostępnianiu i wykorzystywaniu elementów swojego szeroko rozumianego wizerunku. Znalazło to odbicie w konwencji 108. W wyjaśniającej jej genezę i funkcję preambule zawarte jest m.in. stwierdzenie: "w przekonaniu, że pożądane jest rozszerzenie zakresu ochrony praw i podstawowych wolności każdej osoby, a w szczególności prawa do poszanowania prywatności [...]". Tę myśl powtarza przepis art. 1 konwencji 108, który stwierdza, że: "Celem niniejszej konwencji jest zapewnienie każdej osobie fizycznej, bez względu na narodowość lub miejsce zamieszkania, poszanowania jej praw i podstawowych wolności na terytorium każdej ze stron konwencji, a w szczególności jej prawa do prywatności w związku z automatycznym przetwarzaniem dotyczących jej danych osobowych ("ochrona danych")".
Odniesienie do podstawowych praw i wolności, a w szczególności prawa do prywatności, uwidocznione zostało także w dyrektywie 95/46/WE.
2. Na gruncie prawa niemieckiego można przy tym mówić o szczególnym zbliżeniu ochrony praw osobistych do ochrony danych osobowych. Za sprawą Federalnego Sądu Konstytucyjnego (przez wydanie w 1983 r. głośnego orzeczenia - Volkszahlungsurteil) wprowadzone zostało w latach 80. do niemieckiego porządku prawnego tzw. prawo do informacyjnego samookreślenia się (Recht auf informationelle Selbstbestimmung). Niewątpliwie asumpt dla wykreowania takiego prawa, któremu przyznano rangę konstytucyjną, dały obawy związane z rozwojem nowych, elektronicznych metod zbierania, gromadzenia i przetwarzania informacji o osobach. Uznano za niezbędne zapewnienie każdemu obywatelowi władztwa nad zakresem istniejących na jego temat informacji (Recht am eigenen Datum). Takie podejście nakłada na ustawodawcę obowiązek stworzenia instrumentów, dzięki którym aksjologiczna idea praw zasadniczych, konstytucyjnych, znajdowałaby spełnienie w obrębie prawa prywatnego. Chodzi o uprawnienie pozwalające samodzielnie rozstrzygać, kiedy oraz w jakich granicach ujawniane miałyby być informacje dotyczące osobistych sytuacji życiowych, i to o uprawnienie nie tylko sprowadzone do relacji obywatel - państwo, ale odnoszące się też do wzajemnych stosunków między obywatelami. W orzeczeniach Federalnego Sądu Najwyższego zaprezentowany został pogląd, że każde przekazywanie danych zebranych w kartotekach, jeśli nie dotyczy sytuacji przewidzianych ustawą o ochronie danych osobowych, stanowi naruszenie powszechnego prawa osobistego (allgemeinen Persönlichkeitsrechts) także wówczas, gdy zasługujące na ochronę interesy zainteresowanego w ogóle nie zostaną zagrożone.
Rozpatrując stosunek ochrony danych osobowych do powszechnych praw osobistych, w literaturze niemieckiej, jeśli chodzi o ochronę danych, rozróżnia się czasem:
zewnętrzny zakres ochrony - obszar zakazu takiego przetwarzania danych, które stanowi też naruszenie powszechnych praw osobistych;
wewnętrzny zakres ochrony - obejmujący przypadki przetwarzania danych, przy których nie zawsze dochodzi do równoczesnego naruszenia powszechnych praw osobistych, pomimo braku zgody osoby zainteresowanej, braku upoważnienia ustawowego i braku słusznych interesów podmiotu dokonującego przetwarzania danych.
3. Lektura ustawy nie pozwala zauważyć odesłań lub nawiązań do prawa do prywatności czy innych powszechnych dóbr osobistych. Ustawa w żadnym z przepisów nie odwołuje się wprost do prawa do prywatności, do prawa do decydowania o życiu osobistym czy też do prawa do poszanowania czci i dobrego imienia. Poza tym również sama Konstytucja RP nie łączy ochrony danych osobowych z prawem do prywatności. Obydwu tym kwestiom poświęca odrębne przepisy (o prawie do prywatności mówi w art. 47, o danych osobowych - w art. 51); brzmienie tych postanowień nie upoważnia w żadnej mierze do tego, aby upatrywać istnienia bezpośredniego bliskiego związku pomiędzy regulowaną w nich materią.
Problem, czy i na ile dane osobowe mogą korzystać z ochrony wynikającej z przepisów służących ochronie powszechnych dóbr osobistych, rozpatrywany był w polskim orzecznictwie jeszcze przed wejściem w życie komentowanej ustawy. I tak Sąd Apelacyjny w Gdańsku w wyroku z dnia 15 marca 1996 r., I ACr 33/96, OSA 1996, z. 7-8, poz. 31, zaznaczył, że "dobro osobiste podlega ochronie prawnej, gdy jest zagrożone cudzym bezprawnym działaniem (art. 24 § 1 k.c.). Nie można wszakże przyjąć, iżby posłużenie się danymi osobowymi osoby fizycznej w ofercie handlowej do niej skierowanej było bezprawnym działaniem oferenta. Podstawowe dane osobowe człowieka (nazwisko i imię) są jego dobrem osobistym, ale jednocześnie są dobrem powszechnym w tym znaczeniu, iż istnieje publiczna zgoda na posługiwanie się nimi w życiu społecznym (towarzyskim, urzędowym, handlowym itd.). Dopóki więc dane osobowe człowieka są używane zgodnie z regułami społecznymi, nie można mówić ani o bezprawności działań innych osób, ani o zagrożeniu dóbr osobistych tymi działaniami".
Należy ponadto odnotować, że w literaturze polskiej (A. Mednis) wyrażany jest pogląd, że ochrona tzw. prywatności informacyjnej jest jednym z aspektów prawa do prywatności . Podnosi się także, że dane osobowe stanowią "nowe dobro osobiste" należące do sfery prywatności . Za przedmiot ochrony uznawane jest też dobro osobiste określane jako "autonomia informacyjna" . Takie podejście otwiera szerokie możliwości posługiwania się w sferze ochrony danych osobowych roszczeniami cywilnymi o charakterze niemajątkowym i majątkowym (roszczeniem o zadośćuczynienie) stosowanymi dla ochrony powszechnych dóbr osobistych.
Sam brak w jej przepisach wyraźnego odniesienia tego rodzaju nie jest wprawdzie rozstrzygającym i niepodważalnym argumentem pozwalającym mówić o oderwaniu ustawowej regulacji od powszechnego prawa do prywatności. Taki stan rzeczy sprzeciwia się jednak patrzeniu na tę regulację przez pryzmat prawa do prywatności i nakazuje co najmniej ostrożność, jeśli chodzi o jej korygowanie przez zasady wypracowane w literaturze oraz orzecznictwie dotyczące powszechnych praw osobistych, w tym prawa do prywatności.
4. Nie wchodząc w przekraczające ramy tego komentarza rozważania teoretyczne, można przyjąć, że pomiędzy ochroną prawa do prywatności (występującą na płaszczyźnie prawa konstytucyjnego oraz w ramach powszechnych dóbr osobistych) a ochroną danych osobowych (dostrzeganą w nowej Konstytucji RP, a szczegółowo ujmowaną w komentowanej ustawie) zachodzi stosunek krzyżowania. Są to przy tym reżimy wzajemnie niezależne. Oczywiście w wielu przypadkach nieuprawnione przetwarzanie danych osobowych będzie nosiło znamiona niedozwolonej ingerencji w prawo do prywatności; także ochrona prawa do prywatności nierzadko będzie polegać na sprzeciwianiu się wykorzystaniu przez osoby trzecie cudzych danych osobowych. Jednak obok tego mogą również wystąpić sytuacje, w których przetwarzanie danych nie zostałoby zapewne zakwalifikowane jako naruszenie prawa do prywatności; ten punkt widzenia - jak się wydaje - przyjmuje Sąd Najwyższy w uchwale składu 7 sędziów z dnia 16 lipca 1993 r., I PZP 28/93, OSNC 1994, nr 1, poz. 2, stwierdzając, że ujawnienie osobom trzecim wysokości wynagrodzenia za pracę nie stanowi samo w sobie naruszenia sfery prywatności, chyba że informacja taka wkraczałaby w sferę intymności pracownika (np. ujawniałaby dokonywanie potrąceń alimentacyjnych). Jeszcze wyraźniej stanowisko to zostało wyrażone w przytoczonym wyżej wyroku Sądu Apelacyjnego w Gdańsku z dnia 15 marca 1996 r. Podobnie można wyobrazić sobie również przypadki wkroczenia w objętą ochroną sferę prywatności przez inne działania niż przetwarzanie danych osobowych. W konsekwencji dochodzenie ochrony na podstawie przepisów omawianej ustawy nie będzie wymagało wykazania, że doszło do naruszenia prywatności, przynajmniej tak jak jest ona rozumiana w kontekście ochrony dóbr osobistych na gruncie kodeksu cywilnego.
5. Wówczas gdy przetwarzanie danych osobowych stanowi równocześnie bezprawne naruszenie prawa do prywatności, występuje ochrona kumulowana. Jest to sytuacja przewidziana przez kodeks cywilny w tym sensie, że przepis art. 23 k.c. wyraźnie zastrzega, że dobra osobiste człowieka (do których powszechnie zalicza się też prywatność) "pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach". Do rzędu tych "innych przepisów" zaliczyć można także przepisy ustawy o ochronie danych osobowych.
To, że w danym przypadku zbiega się ochrona płynąca z przepisów kodeksu cywilnego oraz ustawy o ochronie danych osobowych, nie powinno bynajmniej powodować, że dochodząc ochrony na podstawie tej ustawy, należy brać pod uwagę przyjęte w prawie cywilnym:
przesłanki ochrony czy
okoliczności uchylające bezprawność działania.
To drugie założenie, dodajmy, nie ma zresztą dużego praktycznego znaczenia. Jest tak dlatego, że przewidziane w ustawie okoliczności usprawiedliwiające przetwarzanie danych osobowych pokrywają się w znacznej mierze z kryteriami egzoneracyjnymi stosowanymi na gruncie prawa cywilnego w odniesieniu do ochrony powszechnych dóbr osobistych. Mamy tu na myśli nie tylko zgodę zainteresowanego, ale też działanie w jego interesie, działanie w ramach przepisów prawa, wykonywanie określonych prawem zadań wypełnianych dla dobra publicznego (por. art. 23 u.o.d.o.). Natomiast autonomiczność regulacji zamieszczonej w omawianej ustawie w stosunku do norm prawa cywilnego znajduje wyraz w tym, że przesłanki dopuszczalności przetwarzania danych osobowych ujęte są odmiennie i - co istotniejsze - szerzej niż przesłanki uchylające bezprawność ingerencji w dobra osobiste, o których mowa w art. 23 k.c.
Teoretycznie można by jeszcze stosunek między przepisami o ochronie prywatności i przepisami o ochronie danych osobowych ujmować w relację lex generalis - lex specialis. Dla takiego stanowiska trudno jednak znaleźć oparcie na brzmieniu czy systematyce przepisów. Zastrzeżenia wzbudzałyby także konsekwencje takiego ujęcia polegające m.in. na ograniczeniu zakresu stosowania ochrony opartej na przepisach art. 23-24 k.c.
6. Naszym zdaniem - jak już zaznaczyliśmy wcześniej - między ochroną prawa do prywatności (zakotwiczoną w normach konstytucyjnych) a ochroną danych osobowych (dostrzeganą w Konstytucji RP, a szczegółowo ujmowaną w komentowanej ustawie) zachodzi stosunek krzyżowania. Często, ale nie zawsze, nieuprawnione przetwarzanie danych osobowych będzie naruszało prywatność danej osoby, jednak ingerencja w prawo do prywatności nie sprowadza się do przypadków niedozwolonego przetwarzania tego rodzaju danych. Nie jest zatem warunkiem dochodzenia ochrony na podstawie przepisów komentowanej ustawy wykazanie, że doszło do naruszenia prywatności, podobnie czci, dobrego imienia czy decydowania o swoim życiu osobistym.
Odejście od traktowania zagadnienia ochrony danych osobowych wyłącznie jako składnika nadrzędnego problemu prawa do prywatności nie przeczy bynajmniej temu, że ochrona danych osobowych wykazuje bardzo silne powiązania z ochroną powszechnych dóbr osobistych; nie przeszkadza również temu, że w coraz większym stopniu zaciera się granica pomiędzy tradycyjnie rozumianą ochroną prywatności a ochroną danych osobowych. Cechę prywatności nabywają dzisiaj, zwłaszcza w obliczu możliwości, jakie przyniosła ze sobą nowoczesna technika informatyczna, właściwie wszelkie już dane (informacje) dotyczące zidentyfikowanej lub dającej się zidentyfikować osoby, dane "z różnych dziedzin życia", o ile tylko istnieje możliwość powiązania ich z oznaczoną osobą.
2.Ujęcie własnościowe ochrony danych osobowych
7. Ogólnych ram i uzasadnienia dla ochrony danych osobowych można poszukiwać także w nowych doktrynalnych koncepcjach ujmujących w sposób poszerzony prawo własności. W literaturze zagranicznej można się spotkać z poglądami, że tradycyjne spojrzenie, uznające za przedmiot własności jedynie rzecz (ruchomą lub nieruchomą), i - co najwyżej - stosowanie konstrukcji zbliżonych do własności w odniesieniu do oznaczonych dóbr niematerialnych (np. utworów, wynalazków), nie odpowiada już obecnym potrzebom i praktyce. Do rangi szczególnie wartościowego dobra urosła dziś sama informacja jako taka. Daje się ona wyodrębnić, oznaczyć i zasługuje na to, by być przedmiotem szczególnie intensywnej ochrony, zaś pozycję i interesy dysponenta informacji powinno się traktować podobnie jak pozycję i interesy właściciela.
Takie podejście otwiera drogę do formułowania tezy, że każdą osobę można by uznawać za "właściciela" informacji na jej temat, czyli za "właściciela" dotyczących jej danych osobowych (piszemy na ten temat również w pkt 3 komentarza do art. 1). Każdemu byłaby w związku z tym pozostawiona swoboda dysponowania "własnymi" danymi osobowymi, władania nimi, a równocześnie na wszystkich innych osobach, względem których skuteczne byłoby to prawo, spoczywałby obowiązek prawny biernego zachowania się w stosunku do uprawnionego (a więc obowiązek wstrzymania się od jakiegokolwiek przetwarzania "jego" danych osobowych). Naturalnie tak jak klasyczne prawo własności, także własność danych osobowych nie byłaby jakimś prawem absolutnym, lecz zostałaby ujęta w określone ramy i podlegała ograniczeniom wynikającym z ustaw, a jej wykonywanie - ocenie z perspektywy zasad współżycia społecznego.
Powyższy punkt widzenia można poddać też pewnej modyfikacji polegającej na zastąpieniu odwołania się do prawa własności odwołaniem się do samoistnego posiadania i płynącego z niego władztwa. Jest to kuszące, zwłaszcza gdy zaaprobuje się pogląd, że posiadanie nie jest żadnym prawem rzeczowym, lecz jedynie stanem faktycznym, z którego wynikają określone skutki prawne, stanem charakteryzującym się władztwem nad rzeczą i możliwością faktycznego dysponowania nią.
Trzeba jednak zaznaczyć, że teza o istnieniu absolutnego, bezwzględnego prawa do własnych danych spotkała się z krytyką. W literaturze niemieckiej podkreślano, że nie zawsze, gdy ustawodawca chce zagwarantować poszanowanie pewnych słusznych interesów przez "ustawę o ochronie" (Schutzgesetz), możliwe i potrzebne jest kreowanie prawa bezwzględnego w cywilnoprawnym rozumieniu. Nie jest przy tym ani trafne, ani usprawiedliwione przyznawanie każdemu prawa do własnych danych osobowych w znaczeniu pełnego i nieograniczonego władztwa nad nimi.
3.Ochrona danych osobowych jako informacji niejawnych (poufnych)
8. Rozpatrując zagadnienie prawnych konstrukcji, które można traktować jako pewnego rodzaju oparcie czy nawet usprawiedliwienie dla ochrony danych osobowych, należy jeszcze zwrócić uwagę na zagadnienie ochrony informacji niejawnych.
Ten kierunek badań przyjmuje jednak założenie, że dane osobowe stanowią informacje niejawne . Prawdziwość tego założenia można kwestionować. Obok takich danych osobowych, które mają niewątpliwie charakter niejawny, są też takie, które tego rodzaju cech nie wykazują. Są one dostępne (np. zawarte są w powszechnie dostępnych źródłach) i każdy może się z nimi zapoznać. Trudno więc je uznać za niejawne, przynajmniej w ścisłym tego słowa znaczeniu. Zauważmy jednak, że nie wyklucza to całkowicie znaczenia i wartości, jakie ma uzyskanie danych bezpośrednio od osoby, której one dotyczą. Przemawia za tym wzgląd na "większą wiarygodność", aktualność, możliwość uzyskania w bezpośrednim kontakcie dodatkowych, nieznanych danych czy wskazówek odnoszących się do poszukiwania innych informacji. Zaznaczmy ponadto, że o niejawnym zbiorze informacji można mówić również wówczas, gdy:
tylko część składających się nań danych ma charakter poufny,
gdy do danych można dotrzeć samodzielnie, choć w rezultacie działań znacznie bardziej czasochłonnych, niekiedy też kosztownych,
gdy istnieje inny jeszcze dysponent danych, tyle tylko, że nieudostępniający ich powszechnie.
To, co przy tym najistotniejsze, to wola nieujawniania danych na swój temat. Nie chodzi tu o utrzymywanie ich w ścisłej, bezwzględnej tajemnicy, lecz o powstrzymywanie się od częstego (można by powiedzieć: przy lada okazji) ich przedstawiania.
Dane osobowe, a w szczególności ich zestaw, zbiór, mogą być traktowane - co najmniej w niektórych przypadkach - jako szczególny rodzaj szeroko rozumianego know-how, niezawężanego do wiadomości technicznych. Szeroka definicja know-how znajduje zresztą potwierdzenie w przepisach prawa. W szczególności art. 11 ust. 4 u.z.n.k. stanowi, że przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje mające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. Podobnie na gruncie prawa podatkowego (art. 29 ust. 1 ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych, tekst jedn.: Dz. U. z 2012 r. poz. 361 z późn. zm., oraz art. 21 ust. 1 ustawy z dnia 15 lutego 1992 r. o podatku dochodowym od osób prawnych, tekst jedn.: Dz. U. z 2014 r. poz. 851 z późn. zm.) know-how rozumiane jest jako "informacje związane ze zdobytym doświadczeniem w dziedzinie przemysłowej, handlowej lub naukowej".
Ochrona know-how ma także podstawę w międzynarodowych konwencjach dotyczących własności intelektualnej. Wspomnieć tu trzeba art. 10bis konwencji paryskiej o ochronie własności przemysłowej oraz art. 39 Porozumienia w sprawie handlowych aspektów praw własności intelektualnej (Dz. U. z 1996 r. Nr 32, poz. 143, zał.). Obecnie pierwszorzędne znaczenie ma zwłaszcza drugi spośród wymienionych przepisów, nakładający na kraje członkowskie określone zobowiązania i tworzący wśród nich platformę ujednolicenia ochrony. Stanowi on (w ust. 2), że:
"Osoby fizyczne i prawne będą miały możliwość zapobiegania temu, aby informacje pozostające w sposób zgodny z prawem pod ich kontrolą nie zostały ujawnione, nabyte lub użyte bez ich zgody przez innych, w sposób sprzeczny z uczciwymi praktykami handlowymi, tak długo, jak takie informacje:
są poufne w tym sensie, że jako całość lub w szczególnym zestawie i zespole ich elementów nie są ogólnie znane lub łatwo dostępne dla osób z kręgów, które normalnie zajmują się tym rodzajem informacji;
mają wartość handlową dlatego, że są poufne i
poddane zostały przez osobę, pod której legalną kontrolą informacje te pozostają, rozsądnym, w danych okolicznościach, działaniom dla utrzymania ich poufności".
9. W świetle praktyki i współczesnych wypowiedzi przedstawicieli polskiej doktryny nie wzbudza już zastrzeżeń uznanie know-how za "dobro zdatne do wymiany"; umowy dotyczące know-how są aprobowane i dostrzegane przez ustawodawcę. Praktyka i doktryna potwierdzają też zawieranie w obrocie umów know-how niezależnie od wszelkich wątpliwości co do tego, czy można je uznać za przedmiot prawa bezwzględnego i wyłącznego, a jeśli tak, to jaka jest podstawa oraz treść takiego prawa .
Wyjaśnienie, czy ochrona know-how na gruncie prawa polskiego uzasadnia stwierdzenie o istnieniu w tym zakresie prawa podmiotowego, ma znaczenie nie tylko teoretyczne. Umożliwia m.in. oceny prawne co do traktowania umów, na podstawie których dochodzi do definitywnej utraty możliwości korzystania z know-how przez dotychczasowego ich posiadacza na rzecz nabywcy. Ustawa o zwalczaniu nieuczciwej konkurencji ułatwia konstrukcyjne wyjaśnienie podstawy i treści prawa podmiotowego do poufnych informacji. Można przyjąć, że przedmiotem tego prawa są "cudze informacje stanowiące tajemnicę przedsiębiorstwa", zaś treść tego prawa sprowadza się do "żądania, aby każda osoba nieuprawniona powstrzymywała się od przekazywania, ujawniania lub wykorzystywania cudzych informacji stanowiących tajemnicę przedsiębiorstwa". Rozpatrywanie istnienia prawa podmiotowego o charakterze bezwzględnym w odniesieniu do know-how powinno być dokonywane w świetle art. 11 ust. 3 u.z.n.k., który dotyczy ograniczonej ochrony know-how względem osób trzecich. Cel i ramy komentarza wyłączają bliższą analizę tej problematyki. Wydaje się, że w świetle obowiązującego prawa można bronić poglądu, że jest to swoiste, ograniczone prawo podmiotowe (a nie "prawo podmiotowe względne lub stan faktyczny pośrednio chroniony przez przepisy ustawy o zwalczaniu nieuczciwej konkurencji"), niemające wszystkich atrybutów praw podmiotowych bezwzględnych, zwłaszcza ze względu na ograniczenie praw uprawnionego do know-how względem nabywcy tego know-how w dobrej wierze od osoby trzeciej. Takie ujęcie usprawiedliwiałoby wykształcenie umowy o charakterze rozporządzającym w sprawie przeniesienia praw do know-how.
II.Zbiór danych osobowych jako przedmiot prawa i przedmiot ochrony
1.Uwagi ogólne
1. Rozpoczynając rozważania na temat ewentualnego uznania zbioru danych osobowych za przedmiot prawa, należy podkreślić, że przedmiotem takim nie są - według dominującego poglądu - poszczególne dane. Podnosi się, że ustaw o ochronie danych osobowych nie należy rozumieć w ten sposób, że uznają one dane za przedmiot prawa czy że statuują prawo podmiotowe do "własnych danych osobowych". Funkcją tych ustaw jest ujęcie w prawne ramy procedur określanych jako "przetwarzanie danych" i zapewnienie na tym polu osobom fizycznym (rzadko - też prawnym) ochrony słusznych interesów.
To, że pojedyncze dane nie zostaną uznane za wyodrębniony przedmiot prawa i ochrony, że nikomu nie będzie przyznane prawo wyłączne do informacji jako takiej, nie oznacza bynajmniej, że to samo można powiedzieć o zbiorach danych. Wyróżnić tu trzeba kilka wchodzących w rachubę płaszczyzn prawnych.
2.Prawo autorskie
2. Uznanie zbiorów informacji (mogą to być też informacje na temat osób - dane osobowe) za przedmiot prawa autorskiego nie jest bynajmniej czymś całkiem nowym. Dawno już do międzynarodowych konwencji oraz krajowych ustaw o prawie autorskim wprowadzone zostały przepisy, z których wynikało, że prawo to obejmuje również encyklopedie, wypisy, leksykony, antologie itp. Orzecznictwo sądowe w wielu krajach za dobro chronione w ramach prawa autorskiego uznawało przy tym nie tylko zbiory "utworów", lecz także materiałów, które same nie są przedmiotem prawa autorskiego (skorowidze biograficzne, książki telefoniczne, zbiory przepisów). Niemniej w kwestii granic ochrony zaznaczyła się pewna różnica stanowisk pomiędzy judykaturą kontynentalną a - co najmniej w części - angielską i amerykańską.
W licznych judykatach sądów amerykańskich przyjmowany był pogląd odchodzący w pewnej mierze od założeń prawa autorskiego; aprobowały one przyznawanie zbiorom ochrony nie według kryterium twórczości i indywidualnego wyboru, lecz na podstawie tzw. doktryny wysiłku intelektualnego (intellectual effort), określanej też obrazowo jako "doktryna spoconego czoła" (sweat of the brow) lub "teoria potu" (sweat theory). A więc sam nakład pracy, niezbędna fachowość, wysiłek, a także nakład finansowy towarzyszące powstaniu dzieła (zbioru) miałyby wystarczać do objęcia go autorskoprawną ochroną. Nieco podobny rezultat osiągały sądy brytyjskie, stosując tzw. test zręczności i pracy (skill and labour test). Niemniej także przed wydaniem orzeczenia w sprawie Feist, o którym będzie dalej jeszcze mowa, można było odnotować w orzecznictwie amerykańskim (zwłaszcza w orzeczeniach nowojorskiego Federal Court of Appeals for the Second Circuit) także inne podejście, bliższe praktyce kontynentalnej, a wiążące ochronę z uzewnętrznieniem osobowości, indywidualności autora (personality approach).
Przełomowym momentem dla ochrony banków danych w USA stało się wydanie głośnego orzeczenia w sprawie Feist. Przedmiotem sporu była książka telefoniczna; chodziło o tę jej część, która określana jest jako tzw. white pages, a w której zamieszczane są w układzie alfabetycznym dane dotyczące nazwisk, adresów i numerów telefonicznych poszczególnych abonentów. Oddalając powództwo o naruszenie prawa autorskiego, sąd uznał, że nie mamy tu do czynienia z przedmiotem prawa autorskiego ze względu na brak cechy twórczości. Twórczość w zakresie kompilacji danych może - zdaniem sądu - przejawiać się w selekcji, koordynacji i układzie danych (selection and arrangement). Natomiast gdy istnieje tylko jeden sposób ich prezentacji lub nawet więcej, ale tylko jeden jest optymalny z użytkowego punktu widzenia, wówczas ochrona autorska nie wchodzi w rachubę (doctrine of merger).
3. Z kolei sądy krajów kontynentalnych, w państwach od wielu lat należących do Konwencji berneńskiej o ochronie dzieł literackich i artystycznych z dnia 9 września 1886 r., przejrzana w Berlinie dnia 13 listopada 1908 r. i w Rzymie dnia 2 czerwca 1928 r. (Dz. U. z 1935 r. Nr 84, poz. 515 z późn. zm.) w brzmieniu nadanym Aktem paryskim konwencji berneńskiej o ochronie dzieł literackich i artystycznych sporządzonym w Paryżu dnia 24 lipca 1971 r. (Dz. U. z 1990 r. Nr 82, poz. 474, zał.), wielokrotnie i od dawna przypominały w wydawanych orzeczeniach, że warunkiem przyznania ochrony jest, i pozostać musi, twórczy charakter pracy, subiektywne, indywidualne piętno, które przy omawianych kategoriach prac przejawia się przede wszystkim w wyborze materiału i sposobie jego uporządkowania. Podkreślano równocześnie, rozszerzając w ten sposób zasięg oddziaływania prawa autorskiego, że wystarczy nawet niewielki stopień twórczości.
Dość powszechnie przyjęte było jeszcze z końcem lat 80. stanowisko, że te same zasady, które wypracowano i stosowano w odniesieniu do tradycyjnych zbiorów czy kompilacji, należy stosować także do coraz bardziej zautomatyzowanych banków danych. Pojawiały się wprawdzie w doktrynie wypowiedzi wskazujące na specyficzne rodzaje dzieł objętych ochroną prawa autorskiego, które określano jako formating work lub organisierter Werk, niemniej nie myślano jeszcze o kreowaniu dla nich odrębnych zasad ochrony, a co najwyżej zastanawiano się nad możliwością wykorzystania rozwiązań znanych prawu autorskiemu Holandii i krajów skandynawskich.
4. Jeżeli chodzi o aktualny stan prawny obowiązujący w Polsce, to - stosownie do art. 3 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jedn.: Dz. U. z 2006 r. Nr 90, poz. 631 z późn. zm.) - "bazy danych [...] są przedmiotem prawa autorskiego, nawet jeżeli zawierają niechronione materiały, o ile przyjęty w nich dobór, układ lub zestawienie ma twórczy charakter".
Zacytowany przepis przesądza o tym, że poszczególne części składowe zbioru nie muszą jednostkowo podlegać ochronie; mogą nimi być m.in. także dane osobowe. Niemniej zbiory takie tylko wówczas będą stanowić przedmiot prawa autorskiego, gdy dopatrzymy się twórczego charakteru przejawiającego się w doborze, układzie lub zestawieniu materiałów. Nie mają natomiast znaczenia nakład pracy ani koszty poniesione przy tworzeniu zbioru. Znamion twórczości nie można przy tym dopatrywać się:
w doborze informacji lub materiałów - gdy taki dobór ma charakter wyczerpujący lub jest całkowicie zdeterminowany celem zbioru, względnie ma charakter oczywisty (co występuje w odniesieniu np. do książek adresowych lub telefonicznych, katalogów towarów lub wykazów cen, katalogów firm, indeksów rzeczowych czy osobowych dołączanych do większych dzieł naukowych);
w zestawieniu informacji lub materiałów - gdy takie zestawienie ma charakter oczywisty, standardowy, oparte jest np. na kryterium alfabetycznym, chronologicznym.
Takie podejście powoduje, że autorskoprawna ochrona baz danych ma w istocie drugorzędne znaczenie.
3.Ochrona sui generis
5. Rosnące bardzo szybko znaczenie oraz powszechność rozmaitych, przede wszystkim komputerowych, banków danych, a także niedostosowanie dotychczasowego prawa autorskiego do nowych sytuacji spowodowały poszukiwanie nowych rozwiązań prawnych, takich, które zabezpieczałyby słuszne interesy niezależnie od "twórczego (oryginalnego) charakteru zbioru" i równocześnie stwarzały szansę dla ochrony w jakimś stopniu samej zawartości bazy danych. Chodziłoby więc o system pozwalający uprawnionemu dysponentowi takiej bazy sprzeciwiać się niekontrolowanemu przejmowaniu i powtórnemu wykorzystaniu zebranych przez niego danych. Problem ten ujawnił się zresztą już na długo przed wprowadzeniem komputerowych baz danych; bardzo dobrym tego przykładem jest spór z roku 1937: Leon v. Pacific Telephone and Telegraph Co. W sprawie tej powód skompletował książkę telefoniczną, w której w porządku alfabetycznym wymienieni zostali posiadacze telefonów i obok zostały podane numery ich telefonów. Pozwany natomiast, posługując się tymi samymi danymi, niepodlegającymi autorskoprawnej ochronie (nazwiskami i numerami telefonów), lecz nie wykorzystując sposobu ich uporządkowania w zbiorze, przygotował inny zbiór, w którym podane zostały kolejno numery telefonów, a obok nazwiska osób, do których one należą. Za pomocą takiej książki można było łatwo, znając numer telefonu, określić osobę abonenta. W sprawie tej sąd dopatrzył się jednak naruszenia prawa autorskiego.
Ostatecznie kierunek zmian został wyznaczony w raporcie ekspertów "Green Paper on Copyright and Challenge of Technology" przygotowanym dla Unii Europejskiej w 1988 r. W rozdziale 6 tego raportu pojawił się postulat wprowadzenia dla baz danych szczególnego prawa pokrewnego. Idea ta została zrealizowana w dyrektywie 96/9/WE Parlamentu Europejskiego i Rady z dnia 11 marca 1996 r. w sprawie ochrony prawnej baz danych (Dz. Urz. WE L 77 z 27.03.1996, s. 20; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, s. 459, z późn. zm.).
6. Podstawowym pojęciem w tej dyrektywie jest pojęcie banku danych (bazy danych). Obejmuje ono wszelkie bazy (zbiory) danych niezależnie od tego, czy oparte są one na technice elektronicznej. Natomiast jedną z głównych funkcji dyrektywy 96/9/WE jest wprowadzenie w odniesieniu do baz danych nowego, swoistego prawa wyłącznego. Przedmiotem tej sui generis ochrony są wszelkie banki danych, a więc zarówno te, które spełniają cechy utworu w rozumieniu prawa autorskiego, jak i te, które utworami nie są. Ochrona ma być zagwarantowana w krajach członkowskich Unii każdemu producentowi (maker) banku danych, który wykaże się wniesieniem istotnego wkładu (substantial investment) o charakterze ilościowym lub (i) jakościowym w otrzymanie, weryfikację lub prezentację zawartości takiej bazy.
Należy przypuszczać, że ustalenie, czy konkretna baza danych stanowi wynik istotnej (substantial) inwestycji, będzie przedmiotem sporów ze względu na nieostrość tego pojęcia. Niemniej jednak można przyjąć, że istotna inwestycja może zarówno odnosić się bezpośrednio do nakładów finansowych, jak i być związana z organizowaniem i prowadzeniem pracy zespołu badawczego. Poza tym na gruncie ochrony sui generis szczególnie trudnym, praktycznym problemem będzie stwierdzanie, w którym momencie inwestycja związana z tworzeniem banku danych nabiera cechy "inwestycji istotnej" w rozumieniu art. 7 dyrektywy 96/9/WE; tymczasem dopiero rozstrzygnięcie tej kwestii pozwala określić moment, od którego powstaje ochrona.
7. Dla prawa sui generis dyrektywa 96/9/WE przewiduje 15-letni okres ochrony. Jest on liczony od początku roku następującego po roku, w którym bank danych ukończono (the date of completion). Jeżeli jednak przed upływem tego terminu bank danych został w jakikolwiek sposób udostępniony publicznie, początek biegu okresu ochrony wyznacza pierwsze publiczne udostępnienie.
Mówiąc o czasie ochrony baz danych, należy zwrócić uwagę na możliwość jej przedłużania, w istocie bezterminowo. Daje się przy tym jednak zauważyć swoisty paradoks. Otóż płynąca z przepisów prawa autorskiego ochrona ulegnie przedłużeniu wówczas, gdy baza danych poddana zostanie twórczej modyfikacji. Inaczej jest z ochroną opartą na prawie sui generis, która będzie odnawiana wtedy, gdy zmiany i modyfikacje zawartości bazy danych będą miały charakter "zasadniczy" (istotny - substantial) z punktu widzenia czy to ilościowego, czy to jakościowego. Z treści dyrektywy 96/9/WE wynika, że każda taka zmiana, w tym też taka, która jest rezultatem sukcesywnego zbierania, uzupełniania, usuwania lub zmieniania składników bazy, powinna być traktowana jako wykreowanie nowej bazy ze swoją własną ochroną. Warunkiem jest jednak to, aby rezultat zmian dokonanych w bazie mógł być uznany za istotną nową inwestycję (which result in the base being considered to be a substantial new investment) pod względem ilościowym lub jakościowym (evaluated qualitatively or quantitatively). Z uwagi na powyższe, a także ze względu na to, że często łatwiejsze będzie doprowadzenie do zmian zasadniczych niż twórczych w rozumieniu prawa autorskiego, może się okazać, że przedłużenie ochrony oryginalnej bazy danych (traktowanej jako utwór) będzie o wiele trudniejsze niż innych baz danych. Oznacza to także, że w przypadku bazy danych korzystającej z ochrony zarówno autorskiej, jak i sui generis łatwiejsze będzie przedłużanie ochrony drugiego rodzaju, ochrony szczególnej.
8. Treścią sui generis prawa do banku danych jest prawo zakazowe (możność sprzeciwiania się) zarówno co do:
pobierania (ekstrakcji - extraction) całości lub istotnej - ocenianej z punktu widzenia jakościowego lub (i) ilościowego - części zawartości bazy danych, jak i co do
powtórnego wykorzystywania (re-utilization) takiej całości lub istotnej części.
Dla uproszczenia można oba te uprawnienia określić łącznie mianem prawa zakazu przejmowania i wykorzystywania danych.
Należy przy tym wyjaśnić, że systematycznie lub inaczej powtarzające się wykorzystywanie drobnych części bazy danych, choć jednostkowo traktowane, stanowi "nieistotną" eksploatację, niemniej ujmowane w całości stanowi korzystanie z istotnej części bazy danych.
Pobieranie (ekstrakcja) definiowane jest w dyrektywie 96/9/WE jako trwałe lub okresowe przeniesienie (transfer) całej lub istotnej części zawartości bazy danych dowolnymi środkami i w dowolnej formie na inny nośnik. Natomiast powtórne wykorzystanie obejmuje wszelkie formy publicznego udostępniania całej lub istotnej części zawartości bazy danych przez rozpowszechnianie kopii, ich wynajmowanie (renting), transmisję bezpośrednią on-line lub w inny sposób. Dyrektywa 96/9/WE zaznacza jednak, że pierwsza sprzedaż kopii bazy danych na obszarze Unii przez uprawnionego lub za jego zgodą prowadzi do wyczerpania prawa do kontroli dalszych sprzedaży takich kopii na tym obszarze. Wyjaśnia też, że publiczne wypożyczanie (public lending) nie stanowi aktu pobrania czy powtórnego wykorzystania.
Omawiane prawo ma charakter bezwzględny; może być przedmiotem umów rozporządzających oraz umów licencyjnych. Dyrektywa 96/9/WE przewiduje jednak istotne ograniczenie swobody umów dotyczących baz danych. Po pierwsze, umowa między sprzedającym egzemplarz bazy lub licencjodawcą a legalnym użytkownikiem nie może zawierać ograniczeń uniemożliwiających dostęp do bazy i normalne z niej korzystanie. Po drugie, umowa taka w przypadku bazy udostępnionej do użytku publicznego nie może także zakazywać pobierania lub (i) powtórnego wykorzystywania nieistotnej części zawartości bazy.
9. Jeśli chodzi o zagadnienie ograniczenia treści prawa, to postanowienia dyrektywy 96/9/WE pozwalają legalnemu użytkownikowi dokonywać w dowolnym celu pobierania (ekstrakcji) lub powtórnego wykorzystywania nieistotnych części zawartości bazy danych. Odnosi się to jednak tylko do takich banków danych, które zostały w jakikolwiek sposób publicznie udostępnione. Poza tym tak ujętemu upoważnieniu towarzyszą dwa zakazy. Po pierwsze, nie mogą być dokonywane takie czynności, które pozostawałyby w sprzeczności z normalną eksploatacją bazy danych albo które prowadziłyby do nieusprawiedliwionego naruszenia słusznych interesów jej producenta. Po drugie, wyłączone jest także dokonywanie takich czynności, które prowadziłyby do naruszenia praw autorskich lub praw pokrewnych do materiałów zgromadzonych w bazie danych.
Dyrektywa 96/9/WE zezwala krajom członkowskim na ustanawianie na rzecz legalnego użytkownika publicznie udostępnionej bazy danych licencji zezwalających mu na pobranie (ekstrakcję) lub (i) powtórne wykorzystanie istotnych części zawartości bazy danych w trzech przypadkach. Po pierwsze, do celów prywatnych, gdy chodzi o zawartości nieelektronicznych baz danych. Po drugie, do ilustracji nauczania lub dla badań naukowych, w zakresie usprawiedliwionym celem niekomercyjnym oraz pod warunkiem wskazania źródła. Po trzecie, w interesie bezpieczeństwa publicznego lub na potrzeby toczącego się postępowania sądowego albo administracyjnego.
Podobnie jak w przypadku baz danych będących utworami, dyrektywa 96/9/WE nie zezwala na ustanowienie dozwolonego użytku prywatnego w stosunku do elektronicznych baz danych.
10. Powtórzmy na zakończenie, że zasadnicze novum i znaczenie wprowadzanej szczególnej ochrony polegają nie tylko na tym, że składające się na nią uprawnienia odnoszą się do banków danych niebędących utworami, ale też na tym, że również w odniesieniu do banków danych noszących cechy utworu pobranie (wyłączenie) i powtórne wykorzystanie całej lub części zawartości cudzej bazy danych będzie stanowić naruszenie prawa, i to również wówczas, gdy przejęciu będą podlegały tylko nietwórcze jej elementy. Jest to zasadnicze ograniczenie swobody, jaką wcześniej dawało prawo autorskie sensu stricto. Z punktu widzenia tego prawa przygotowujący nową, nawet konkurencyjną bazę danych, mógł dotychczas swobodnie przejmować same informacje zgromadzone w cudzej bazie, o ile tylko nie przejmował równocześnie oryginalnego, indywidualnego doboru, układu lub zestawienia.
Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (Dz. U. Nr 128, poz. 1402 z późn. zm.), która weszła w życie z dniem 10 listopada 2002 r., implementuje do prawa polskiego wyżej scharakteryzowaną dyrektywę. W rządowym uzasadnieniu projektu ustawy stwierdzono, że jej opracowanie "wynika z konieczności dostosowania polskiego ustawodawstwa do dyrektywy Parlamentu Europejskiego i Rady nr 96/9 z 11 marca 1996 r. o ochronie baz danych". Wbrew opinii Sekretarza Komitetu Integracji Europejskiej wyrażonej na podstawie art. 2 ust. 1 pkt 2 ustawy z dnia 8 sierpnia 1996 r. o Komitecie Integracji Europejskiej (Dz. U. Nr 106, poz. 494 z późn. zm.), w piśmie z dnia 4 czerwca 2001 r. w sprawie zgodności projektu ustawy o ochronie baz danych z prawem Unii Europejskiej - projekt ustawy i następnie sama ustawa w pierwotnym brzmieniu była w wielu elementach zasadniczo niezgodna z prawem Unii Europejskiej, na co wskazywaliśmy m.in. w poprzednich wydaniach niniejszego komentarza, formułując postulat nowelizacji ustawy.
Przypomnijmy, że według dyrektywy 96/9/WE sui generis ochrona baz danych "stosuje się niezależnie od tego, czy określona baza danych, podlega ochronie na podstawie prawa autorskiego lub innych praw". Tymczasem art. 1 u.o.b.d. przewidywał, że ochronie na jej podstawie podlegają bazy danych "z wyłączeniem baz danych spełniających cechy utworu określone w ustawie [...] o prawie autorskim i prawach pokrewnych". Polska ustawa w pierwotnym brzmieniu - wbrew dyrektywie 96/9/WE - nie tylko wykluczała możliwość kumulatywnej ochrony baz danych (na podstawie omawianej ustawy o ochronie baz danych oraz ustawy o prawie autorskim i prawach pokrewnych), lecz także, absurdalnie, eliminowała możliwość alternatywnej ochrony, rozumianej jako kompetencja uprawnionego do wyboru podstawy ochrony. W ten sposób polski ustawodawca wyłączył z zakresu "nakazanej" ochrony sui generis istotną grupę baz danych. Wystarczyło bowiem odnaleźć w bazie element, który ze względu na dobór, układ lub zestawienie ma choćby w niewielkim stopniu twórczy charakter (por. art. 3 u.p.a.p.p.), aby stwierdzić, że w całości baza jest pozbawiona ochrony sui generis (gdyż "spełnia cechy utworu"). Niewątpliwie argument o występowaniu w bazie danych cech twórczych w rozumieniu prawa autorskiego mógł być podnoszony przeciw jej producentowi w każdym sporze dotyczącym naruszenia ochrony sui generis. Spotkaliśmy się z argumentem, że zarzut ten nie ma istotnego znaczenia praktycznego, gdyż przecież ochrona z tytułu prawa autorskiego jest bardziej intensywna niż przewidziana w komentowanej ustawie. Takie stwierdzenie wynika z braku rozumienia istoty ochrony autorskoprawnej. Otóż na gruncie prawa autorskiego ochrona obejmuje utwór tylko w tym zakresie, w którym ma on twórczy (indywidualny) charakter; pozostałe składniki utworu nie są przedmiotem wyłączności i mogą być dowolnie w innych dziełach wykorzystywane. Z zupełnie innym podejściem mamy do czynienia przy ochronie sui generis; wówczas bowiem analizowana jest "istotność" eksploatowanej części bazy. Co więcej, prawo to chroni także przed systematyczną eksploatacją nieistotnej części bazy danych. Stąd też w zagranicznych opracowaniach prawniczych analizuje się korzyści, znaczenie (ale i problemy) wynikające z ochrony kumulowanej; polskie prawo przez kilka lat jej nie przewidywało .
Na mocy art. 4 pkt 1 ustawy z dnia 9 maja 2007 r. o zmianie ustawy o prawie autorskim i prawach pokrewnych oraz niektórych innych ustaw (Dz. U. Nr 99, poz. 662) uległ zmianie m.in. art. 1 u.o.b.d. Zgodnie z obowiązującym obecnie brzmieniem tego przepisu bazy danych podlegają ochronie określonej w ustawie niezależnie od ochrony przyznanej na podstawie ustawy o prawie autorskim i prawach pokrewnych bazom danych spełniającym cechy utworu. Usunięto w ten sposób sygnalizowaną wcześniej niezgodność polskich przepisów z prawem europejskim, wprowadzając konstrukcję ochrony kumulatywnej .
4.Ochrona na podstawie przepisów o zwalczaniu nieuczciwej konkurencji
11. Możliwości ochrony, przynajmniej niektórych, baz danych nie wyczerpują się na systemie prawa autorskiego czy na modelu związanym z prawem sui generis, tak jak zostało ono ujęte w omówionej wyżej dyrektywie 96/9/WE i zasygnalizowane na podstawie polskiej ustawy. Istotną płaszczyznę ochrony, także w polskim systemie prawnym, mogą tu stanowić regulacje nastawione na zwalczanie przejawów nieuczciwej konkurencji. Ustawa o zwalczaniu nieuczciwej konkurencji podaje i opisuje w sposób kazuistyczny czyny uznane za przejaw nieuczciwej konkurencji. Równocześnie zawiera przepis (art. 3 ust. 1 u.z.n.k.) pełniący rolę klauzuli generalnej. Ujęty jest on następująco: "Czynem nieuczciwej konkurencji jest działanie sprzeczne z prawem lub dobrymi obyczajami, jeżeli zagraża lub narusza interes innego przedsiębiorcy lub klienta", i może być ewentualnie podstawą poszerzania katalogu zachowań kwalifikowanych jako nieuczciwa konkurencja. Z kolei art. 11 u.z.n.k. stwierdza, że: "Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza istotny interes przedsiębiorcy". Przepis ten może służyć jako podstawa ochrony deliktowej dla zbiorów danych osobowych uznawanych za tajemnicę przedsiębiorstwa .
12. Dla efektywnej ochrony baz danych na podstawie uregulowania zamieszczonego w ustawie o zwalczaniu nieuczciwej konkurencji znaczenie ma poza tym odpowiedź na pytanie, czy ustawa ta może zostać wykorzystana do zakazu przejmowania udostępnionych do wiadomości powszechnej całych baz danych lub ich elementów niechronionych prawami wyłącznymi. W tej mierze uwagę może zwracać przepis art. 13 ust. 1 u.z.n.k. Stanowi on: "Czynem nieuczciwej konkurencji jest naśladowanie gotowego produktu, polegające na tym, że za pomocą technicznych środków reprodukcji jest kopiowana zewnętrzna postać produktu, jeżeli może wprowadzić klientów w błąd co do tożsamości producenta lub produktu". Bliższa analiza tego przepisu wskazuje jednak na jego ograniczone znaczenie. Nieprzydatność tego przepisu wynika stąd, że jego hipoteza wymaga, aby dochodziło do wprowadzenia odbiorców w błąd co do tożsamości producenta lub produktu w wyniku dokonanej reprodukcji. Poza tym trudno byłoby uznać, że przejmowanie zbioru informacji jest kopiowaniem "zewnętrznej postaci produktu" za pomocą "technicznych środków reprodukcji".
13. W tej sytuacji ewentualna bezprawność przejmowania niechronionych prawami wyłącznymi, a zarazem publicznie ujawnionych baz danych może być ewentualnie wywodzona wyłącznie z klauzuli generalnej wyrażonej w art. 3 u.z.n.k. Zakazuje ona - przypomnijmy - "działania sprzecznego z prawem lub dobrymi obyczajami, jeżeli zagraża lub narusza interes innego przedsiębiorcy lub klienta". Taka klauzula niesie ze sobą nie tylko niepewność prawną, ale zarazem większą elastyczność i "lepszą przystawalność" do różnych dziedzin i sektorów rynku, a to głównie dzięki odwołaniu się do "dobrych obyczajów". Za czyn nieuczciwej konkurencji może być uznany czyn niekolidujący wprawdzie z wyraźnym przepisem prawa, ale za to niezgodny z "dobrymi obyczajami", jeśli zagraża interesowi innego przedsiębiorcy lub klienta albo go narusza. Trudności związane ze stosowaniem tak ujętej normy biorą się m.in. z tego, że samo pojęcie dobrych obyczajów nie jest pojęciem ostrym. Chcąc je uściślić lub przynajmniej opisać, przyjmuje się (np. w Niemczech), że pewne zachowanie narusza dobre obyczaje, gdy jest sprzeczne z "poczuciem przyzwoitości" (Anstandsgefühl) występującym w danym środowisku lub gdy środek użyty w walce konkurencyjnej jest powszechnie negatywnie oceniany. Sięga się przy tym po kryterium "poglądów rozsądnych i przyzwoitych przeciętnych obywateli". Także środowiskowe zwyczaje lub oceny traktowane są niejednokrotnie w zagranicznych orzeczeniach jako kryterium rozgraniczenia tego, co dozwolone, i tego, co niedozwolone w zakresie wykorzystywania (przejmowania) rezultatów cudzej pracy. Tak postąpił m.in. Cour de Lyon w orzeczeniu z 1950 r. dotyczącym książki adresowej. Odwołał się w nim do "przyzwoitych zwyczajów przyjętych w zainteresowanych kręgach" i stwierdził, że pozwalają one na daleko idące zapożyczenia z konkurencyjnej książki adresowej, jej elementy są bowiem w dużej mierze dobrem powszechnym.
Za działania naruszające reguły uczciwej konkurencji uznaje się niekiedy w orzecznictwie zagranicznym przejawy "pasożytnictwa", polegające na wykorzystywaniu, zwłaszcza permanentnym, efektów cudzej pracy na własne potrzeby. Z nowszego dorobku orzecznictwa można zwrócić uwagę na orzeczenie Oberlandsgericht Frankfurt am Main (z dnia 29 października 1996 r.), wydane - co istotne - jeszcze przed implementacją do prawa niemieckiego dyrektywy 96/9/WE. W orzeczeniu tym stwierdzono, że:
zbiór danych telefonicznych i telefaksowych nie korzysta z ochrony prawa autorskiego;
ten, kto taki zbiór w ten sposób kopiuje, że zwielokrotnia poszczególne strony książki, a tak uzyskane informacje po każdej stronie wprowadza do banku danych, zmazując przy tym elektroniczną kopię, nie narusza prawa do zwielokrotnienia wymienionego w § 16 niemieckiej ustawy autorskiej;
przejęcie danych telefonicznych oraz telefaksowych przez konkurenta nie jest niedozwolone ani z punktu widzenia bezpośredniego przejmowania cudzych świadczeń (unmittelbare Leistungsübernahme), ani ze względu na nierespektowanie postanowień dotyczących ochrony danych.
Orzeczenie to zostało opatrzone krytyczną częściowo glosą, w której wytknięto m.in. zbyt łatwe odrzucenie odpowiedzialności opartej na przepisach o zwalczaniu nieuczciwej konkurencji. Taka ocena odpowiada stanowisku Landgericht Mannheim (postanowienie z dnia 25 września 1996 r.); sąd ten przyjął, że mamy do czynienia z nieuczciwym uzyskaniem korzyści konkurencyjnej (w rozumieniu § 1 niemieckiej ustawy o zwalczaniu nieuczciwej konkurencji), gdy dane przedsiębiorstwo, obniżając koszty uzyskania danych, wprowadza na rynek produkt, który wytworzony został przez inne przedsiębiorstwo na podstawie zobowiązań ustawowych i korzystanie z którego mocą ustawy zostało opłacone.
14. Wypada również odnotować, że obecnie prowadzone są w USA prace nad ustanowieniem dodatkowej, komplementarnej w stosunku do przewidzianej w prawie autorskim ochrony baz danych (obecnie w USA bazy danych są chronione także jako tajemnica handlowa i na podstawie umowy). Ten nowy model ochrony miał mieć początkowo postać sui generis ochrony autorskiej (chodzi tu o Database Investment and Intellectual Property Antipiracy Act of 1996). W 1997 r. wniesiony został jednak nowy projekt, zatytułowany Missappropriation of Collections of Information, oparty na przyjętych w USA zasadach ochrony przed nieuczciwą konkurencją (wzorowany w części na Lanham Act). Nie ulega wątpliwości, że proponowana regulacja w USA zapewnia o wiele niższy poziom ochrony niż wyznaczony omówioną wcześniej dyrektywą Unii Europejskiej.
Projekt (HR 2652) wprowadza odpowiedzialność każdej osoby, która pobiera lub wykorzystuje w działalności gospodarczej całość lub zasadniczą część zestawu informacji zebranych, ułożonych albo utrzymywanych (maintained) przez inną osobę, która poniosła w tym celu istotne nakłady finansowe lub innego rodzaju. Do powstania odpowiedzialności jest niezbędne, by tego rodzaju postępowanie naruszyło interesy prowadzącego działalność handlową dysponenta bazy danych przez wkroczenie w aktualny lub potencjalny rynek (klientelę) obrotu towarami lub usługami obejmującymi bazy danych.
Proponowana ochrona nie obejmuje:
wykorzystywania pojedynczych informacji lub nieistotnych części zbioru,
niezależnego tworzenia równoległego zbioru danych,
weryfikowania własnych informacji (w tym zbioru danych) za pomocą cudzej bazy danych,
wykorzystywania zbioru danych nie w celu zysku w sferze edukacji i badań naukowych,
eksploatacji zbioru w celach przekazu wiadomości bieżących (news),
baz danych stworzonych w ramach działalności organizacji rządowych.
15. Ostatecznie jednak, na gruncie prawa polskiego, z uwagi na:
obowiązującą w polskim systemie prawnym zasadę numerus clausus praw na dobrach niematerialnych (istotą tej zasady jest stwierdzenie, że wyłączne prawa majątkowe powstają tylko ze względu na te rezultaty pracy intelektualnej, które przez obowiązujące ustawodawstwo zostały zaliczone do dóbr chronionych prawami wyłącznymi, natomiast pozostałe wyniki pracy intelektualnej znajdują się poza taką ochroną prawną: każdy może je wykorzystywać, nikt nie nabywa do nich żadnych praw, niezależnie od tego, czy je odkrył, zapisał, czy tylko eksploatował) oraz
szczególnie wąskie ujęcie ochrony przed naśladownictwem wynikające z art. 13 u.z.n.k. (przyjęta tu konstrukcja prawna oparta jest na założeniu, że każdemu powinna przysługiwać wolność kopiowania lub naśladowania cudzych rozwiązań, chyba że narusza to prawa własności intelektualnej lub może wywołać konfuzję),
wydaje się, że z reguły te kategorie baz danych, w których nie będzie można się dopatrzyć cech twórczych, oryginalnych, nie będą objęte ochroną płynącą z podanej ustawy, chyba że chodzi o ich ochronę ze względu na stan tajemnicy (art. 11 u.z.n.k.). Podobną wykładnię proponują M. Poźniak-Niedzielska i S. Sołtysiński, pisząc, że: "Nie można natomiast całkowicie wykluczyć uznania za bezprawne takich aktów naśladownictwa cudzego gotowego produktu, które nie wprowadzają w błąd klienta, lecz mogą być uznane za czyn nieuczciwej konkurencji ze względu na swą sprzeczność z dobrymi obyczajami (art. 3 ust. 1 u.z.n.k.). Jednakże ze względu na szczególną regulację problematyki naśladownictwa w art. 13 u.z.n.k., sprzeczność czynu naśladowcy z dobrymi obyczajami nie może polegać na samym kopiowaniu, ponieważ poza sytuacją określoną w analizowanym przepisie i ustawodawstwie poświęconym własności intelektualnej, naśladownictwo nie jest czynem zakazanym przez prawo" .
Dodajmy, że wprowadzenie sui generis ochrony baz danych niewątpliwie ograniczy znaczenie ochrony tych baz na podstawie ustawy o zwalczaniu nieuczciwej konkurencji.
5.Ochrona kontraktowa
16. Niezależnie od istniejącej lub postulowanej ochrony opartej na prawach wyłącznych, a także na przepisach dotyczących czynów niedozwolonych (w tym zwłaszcza przepisach służących zwalczaniu nieuczciwej konkurencji) trzeba jeszcze wskazać na możliwość kontraktowej ochrony baz danych.
Dysponent bazy danych utrzymywanej w tajemnicy, który przekazuje ją innej osobie, np. w celu wykorzystania jej w części lub w całości, może zabezpieczać swoje interesy przez wprowadzenie do umowy, na podstawie której dochodzi do owego udostępnienia, klauzul o obowiązku utrzymania bazy (jej zawartości) w tajemnicy oraz o celu i zakresie dopuszczalnej eksploatacji. Strony mogą w takiej umowie wskazać, jakie działania powinny być podjęte dla zapewnienia poufności bazy danych, dla utrzymania jej w tajemnicy (np. zobowiązanie kontrahenta do zawarcia odpowiednich umów ze swoimi pracownikami). Poza tym strony mogą też wskazać okoliczności, wobec wystąpienia których będzie powstawać obowiązek zaniechania dalszego korzystania z bazy danych oraz obowiązek jej zwrotu połączony ze zniszczeniem wszelkich sporządzonych kopii czy wyciągów.
Do umowy mogą zostać wprowadzone jeszcze inne postanowienia, w tym zaostrzające odpowiedzialność po stronie tego, który otrzymuje bazę z zastrzeżeniem utrzymania poufności.
Trzeba jednak podkreślić, że ochrona kontraktowa ze swej natury ma tę słabą stronę, że jest podmiotowo ograniczona. Jest skuteczna tylko względem drugiej strony umowy, względem kontrahenta.
6.Inne formy ochrony
17. W ostatnim czasie dostrzec można jeszcze inne niż wcześniej opisane przejawy wzmocnienia ochrony informacji; dotyczy to także ochrony tych informacji (oraz ich zbiorów), które mają status danych osobowych. W tym nurcie mieszczą się rozwiązania prawne wprowadzone przez dyrektywę 98/84/WE Parlamentu Europejskiego i Rady z dnia 20 listopada 1998 r. w sprawie prawnej ochrony usług opartych lub polegających na warunkowym dostępie (Dz. Urz. WE L 320 z 28.11.1998, s. 54; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 6, t. 3, s. 147); dotyczą one usług (najczęściej kodowanych) świadczonych na odległość, z których korzystanie przez odbiorcę jest związane z odpłatnością. Chodzi tu przede wszystkim o telewizję kablową, ale także o różne usługi w sieciach komputerowych - najczęściej związane z dostępem do baz danych i elektronicznych publikacji. Usługi w tym zakresie są z reguły zabezpieczone przed dostępem ze strony osób niemających upoważnienia przez odpowiednie zamki elektroniczne, hasła lub przez zakodowanie udostępnianych materiałów. Zasadniczym celem wspomnianej dyrektywy jest ochrona przed wprowadzaniem na rynek w celach uzyskania (bezpośredniej lub pośredniej) korzyści finansowej takich urządzeń i programów komputerowych, które umożliwiają lub ułatwiają bezprawne usunięcie technicznych środków przeznaczonych do zabezpieczenia wynagrodzenia dla legalnie zapewnianych usług.
W obowiązującym w naszym kraju stanie prawnym problematyka ta została uregulowana ustawą z dnia 5 lipca 2002 r. o ochronie niektórych usług świadczonych drogą elektroniczną opartych lub polegających na dostępie warunkowym (Dz. U. Nr 126, poz. 1068 z późn. zm.). Polska regulacja implementuje postanowienia zawarte we wskazanej powyżej dyrektywie.
Szczególne znaczenie dla ochrony informacji ma "wmontowywana" do systemu prawa autorskiego ochrona przed usuwaniem zabezpieczeń, przeciwdziałających swobodnemu dostępowi do rozpowszechnianych utworów. Szeroko podnoszone są obawy, że tego rodzaju ochrona, zwłaszcza gdy nadawany jest jej szczególnie intensywny charakter, stwarza nowe bariery w dostępie społeczeństwa do informacji. Uniemożliwia ona (lub co najmniej utrudnia) dostęp do informacji objętej dozwolonym użytkiem prywatnym i publicznym. Ponadto wprowadzenie tego rodzaju ochrony prowadzi do wyłączenia ze sfery powszechnej dostępności różnych materiałów w rezultacie ich udostępniania w sieci tylko w wersji zakodowanej. Chodzi bowiem o to, że przez wyeliminowanie lub ograniczenie dostępu do urządzeń dekodujących pojawi się możliwość monopolizowania zbiorów danych uprzednio powszechnie dostępnych w wersji papierowej.
Opisana ochrona - w różnym zresztą stopniu intensywności - przewidziana jest w:
amerykańskim Digital Millennium Copyright Act z 1998 r.,
konwencjach WIPO z 1996 r. (konwencji o prawach autorskich i konwencji o wykonaniach artystycznych i fonogramach),
dyrektywie Parlamentu Europejskiego i Rady 2001/29/WE z dnia 22 maja 2001 r. w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych w społeczeństwie informacyjnym (Dz. Urz. WE L 167 z 22.06.2001, s. 10; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 17, t. 1, s. 230) .
Wskazane cztery postacie ochrony informacji (ochrona sui generis, ochrona tajemnicy, ochrona związana z warunkowym dostępem oraz ochrona przed usuwaniem lub omijaniem zabezpieczeń) ujmowane łącznie tworzą realne zagrożenie tworzenia monopoli podważających swobodę dostępu społeczeństwa do informacji .
III.Obrót danymi osobowymi
1. Rozpatrując obrót danymi osobowymi, można wyodrębnić obrót zbiorami danych i obrót poszczególnymi danymi (informacjami) . Przez "obrót" rozumiemy przy tym takie sytuacje, w których przez umowy cywilnoprawne dochodzi do udostępnienia danych innemu podmiotowi; natomiast abstrahujemy od celu i dopuszczalności takiego udostępnienia . Rozpatrzmy, jakie konstrukcje prawne mogą być w tym zakresie wykorzystane.
Przedmiotem umów autorskich mogą być niewątpliwie prawa (ściślej: majątkowe prawa autorskie) do tych baz (zbiorów) danych osobowych, które spełniają kryteria "utworu", tj. przede wszystkim - charakteryzują się cechami twórczymi w doborze lub zestawieniu danych . Pojawić się mogą umowy, w których prawa wyłączne do wspomnianych baz danych będą przenoszone na inną osobę, bądź umowy, na podstawie których inna osoba będzie upoważniona do korzystania z bazy. Chodzi tu o umowy licencyjne i umowy o przeniesienie autorskich praw majątkowych, uregulowane w art. 41-68 u.p.a.p.p. Ściśle ujmując, opisane umowy nie mają za przedmiot samych danych. Prawdziwym obiektem kontraktu jest dobór lub zestawienie danych, w tym bowiem zawiera się dobro relewantne z punktu widzenia prawa autorskiego. Dlatego nabywca (lub licencjobiorca) takiej oryginalnej bazy danych nie może - zwłaszcza gdy baza była już publicznie udostępniona - sprzeciwiać się posługiwaniu się danymi przez osobę trzecią, jeśli tylko nie wykorzystuje ona oryginalnego zastosowanego doboru lub zestawienia.
2. Jak pisaliśmy już wcześniej, dnia 10 listopada 2002 r. pojawiła się w Polsce sui generis ochrona baz danych , która - przypomnijmy - pozwala skutecznie sprzeciwić się:
pobieraniu (extraction) całości lub istotnej - ocenianej z punktu widzenia jakościowego lub (i) ilościowego - części zawartości bazy danych,
powtórnemu wykorzystywaniu (re-utilization) takiej całości lub istotnej części.
Związane z tą ochroną prawo może być - jak wyraźnie zaznacza ustawa o ochronie baz danych (art. 6) - przedmiotem zbycia.
Tak ukształtowane charakter oraz treść nowego prawa otwierają możliwości zawierania umów, które będą zezwalać innemu niż producent podmiotowi na pobieranie całości lub istotnej części zawartości bazy oraz na jej powtórne wykorzystanie, także do innych celów.
Ustawa o ochronie baz danych nie zawiera postanowień dotyczących umów. W tej sytuacji zapewne najczęściej zawierane będą umowy upoważniające, udostępniające zbiór danych osobowych; będą to - z typologicznego punktu widzenia - umowy nienazwane, które można jednak określać terminem "umowy licencyjne", przyjmując szerokie znaczenie tego pojęcia. Do takich umów mogą znajdować zastosowanie, w drodze analogii, niektóre postanowienia ustawy o prawie autorskim i prawach pokrewnych. Chodzi tu w szczególności o art. 43 u.p.a.p.p. (domniemanie odpłatności umowy), art. 67 ust. 2 u.p.a.p.p. (domniemanie niewyłącznego charakteru umowy), art. 67 ust. 3 u.p.a.p.p. (prawo udzielania sublicencji). Nie ma także przeszkód do zawierania umów o przeniesienie prawa sui generis do zbioru danych osobowych, jeśli zbiór ten stanowi bazę danych w rozumieniu ustawy o ochronie baz danych .
3. Analizując problematykę obrotu danymi, nie możemy pominąć - sygnalizowanej już wcześniej - kwestii, że zawartość baz (zbiorów) danych osobowych utrzymywanych w tajemnicy może być w określonych przypadkach traktowana jako swego rodzaju know-how i w związku z tym mogą być na tym polu zastosowane konstrukcje wypracowane już dla umów know-how .
Obecnie można spotkać zarówno umowy, których celem jest przeniesienie "prawa do poufnych informacji" (następuje wówczas zmiana dysponenta informacji), jak i (częściej) umowy, których celem jest uzyskanie dostępu lub prawa do korzystania z poufnego know-how (podstawę będzie tu stanowić umowa licencyjna, upoważniająca). Zawarcie umowy licencyjnej mającej za przedmiot poufne informacje nie budzi dziś zastrzeżeń. Stronom pozostawiono tu znaczną swobodę kształtowania treści takiej umowy. Dopuszcza się także - jak zaznaczyliśmy - zawarcie umowy prowadzącej do nabycia cudzych tajemnic przedsiębiorstwa. Nabycie może nastąpić zarówno w drodze sukcesji syngularnej (np. sprzedaży), jak i w drodze sukcesji uniwersalnej (np. nabycie majątku przedsiębiorstwa).
Jak się zaznacza , umowy licencyjne dotyczące know-how zawierają:
zobowiązanie dysponenta do dostarczenia odbiorcy oznaczonych w umowie informacji;
upoważnienie odbiorcy do wykorzystania (np. gospodarczego) dostarczonych informacji; może tu wchodzić w rachubę m.in. wykorzystanie informacji przy świadczeniu usług przez odbiorcę;
zobowiązanie odbiorcy do zapłaty ustalonego wynagrodzenia za dostarczone informacje i upoważnienie do ich wykorzystania;
obowiązek odbiorcy do zachowania otrzymanych informacji w tajemnicy.
Natomiast przy umowach "przeniesienia know-how" następuje:
zobowiązanie do przeniesienia faktycznej wyłączności korzystania oraz rozporządzania know-how (ewentualnie przeniesienia prawa, jeśli uznamy, że do know-how przysługuje nie tylko faktyczna, ale i prawna wyłączność);
zobowiązanie zbywcy do zachowania know-how w tajemnicy;
zobowiązanie zbywcy do niekorzystania z know-how;
zobowiązanie nabywcy do zapłaty ustalonego wynagrodzenia.
Podsumowując dotychczasowe wywody, powtórzmy, że już obecnie na gruncie prawa polskiego zestawy danych osobowych mogą stanowić w określonych warunkach przedmiot umów typu know-how (o charakterze licencyjnym) oraz umów o "przeniesienie know-how". Jeżeli natomiast uznamy - co można kwestionować - że art. 11 u.z.n.k. daje dostateczną podstawę do stwierdzenia istnienia prawa podmiotowego do poufnych informacji, transakcję dotyczącą tego rodzaju zbioru danych osobowych należy traktować w kategoriach umowy o przeniesienie prawa.
Trzeba przy tym dostrzec zarówno wykształcanie się nowych typów umów związanych z dostarczaniem i przekazywaniem informacji, przy których element poufności nie miałby już konstytutywnego znaczenia, jak i adaptowanie do tych celów umów nazwanych znanych od dawna kodeksowi cywilnemu. Poniekąd zmusza do tego sytuacja, w której w kierowaniu, zwłaszcza dużymi, organizacjami gospodarczymi, w walce konkurencyjnej pierwszoplanową rolę odgrywa dziś to, co określa się jako "efektywne zarządzanie informacją" (effektives Informationsmanagement). Tworzenie, przetwarzanie i rozpowszechnianie informacji stało się - zdaniem niektórych autorów - czwartym czynnikiem produkcyjnym obok pracy, gruntu i kapitału.
Jak już zaznaczaliśmy, informacje, i to nie tylko poufne, uznawane są dziś powszechnie za towar, za mienie przedsiębiorcy (niekiedy o dużej wartości rynkowej), które należą do niego także wtedy, gdy to pracownik przyczynił się do ich powstania lub zgromadzenia, a umowa o pracę nie przewidywała stosownych postanowień w tym zakresie. W konsekwencji przedmiot handlu stanowią obecnie różne dobra, nie tylko rzeczy i prawa, ale również informacje. Na szczególną uwagę zasługują te przypadki, gdy przedmiotem obrotu stają się same informacje, bez jakichkolwiek fizycznych nośników.
4. Rozpatrywanie informacji jako towaru nie jest nowym ujęciem. Niekiedy pisze się, że jest tak stare jak szpiegostwo. Jednak technika elektroniczna uczyniła przetwarzanie danych tak łatwym, że ta gałąź handlu, której - jako mało znaczącej - nie poświęcano wiele uwagi, zasługuje obecnie na szersze i bardziej wnikliwe potraktowanie, chociażby po to, aby chronić słuszne interesy zarówno "kupców", jak i tych, których dotyczą dane będące przedmiotem handlu. Tymi danymi często są adresy określonych osób, z reguły dobierane i zestawiane według określonych kryteriów, na określone potrzeby (np. prowadzenia odpowiednio ukierunkowanej kampanii reklamowej, akcji ofertowej itp.). Za popularną formę handlu danymi uznaje się odpłatną sprzedaż adresów, do jednokrotnego bądź wielokrotnego wykorzystania, najczęściej z zakazem dalszego rozpowszechniania.
5. W literaturze niemieckiej podejmowane są próby przyporządkowania występujących praktyk handlowych do istniejących typów umów cywilnoprawnych. Do sytuacji gdy uprzednio sporządzona lista adresowa zbywana jest za zapłatą do dowolnie częstego wykorzystania, adekwatna jest umowa sprzedaży. Kwalifikacji takiej nie przeczy zamieszczenie w umowie ograniczeń co do dalszego zbywania (przekazywania) danych, gdyż takie dodatkowe warunki pojawiają się również przy zwykłych umowach sprzedaży. Na odmienną ocenę zasługują przypadki, gdy przekazanie adresów następuje do jednorazowego albo określonego wielokrotnego wykorzystania, natomiast dalsze ich eksploatowanie przez "nabywcę" jest zabronione. W odróżnieniu od poprzednio omawianej sytuacji "nic tu nie jest ostatecznie przeniesione", a tylko ustanowiona została (najczęściej jednorazowa) możliwość korzystania. Dlatego uznano, że - z punktu widzenia regulacji i praktyki występującej w Niemczech - można się tu dopatrzyć bliższego związku z umową najmu niż umową sprzedaży. Przeszkodą jest jednak to, że przedmiotem najmu (podobnie zresztą jak w prawie polskim) może być jedynie rzecz. W związku z tym w sposób naturalny pojawia się pytanie o zaliczenie transakcji udostępnienia danych do kategorii umowy dzierżawy, której zakres przedmiotowy jest szerzej ujęty; przedmiotem dzierżawy mogą być bowiem zarówno rzeczy, jak i prawa. Z naturą umowy dzierżawy trudno jednak byłoby pogodzić te przypadki, kiedy udostępnienie danych następuje do jednorazowego, a nie na oznaczony czas, wykorzystania; pewne wątpliwości może ponadto wzbudzać stosowanie przepisów mówiących o pobieraniu pożytków. Wreszcie korzystanie nie ma tu charakteru wyłącznego; z tych samych danych mogą korzystać, nawet równocześnie, także inne podmioty. Zauważmy przy tym, że wprawdzie ekskluzywność eksploatacji przy dzierżawie jest elementem modelowym, niemniej nie jest elementem niezbędnym, konstytutywnym. Tak więc mimo wszelkich zastrzeżeń przekazanie list adresowych do jednorazowego (lub liczbowo oznaczonego) wykorzystania może być - jak przyjmuje się w literaturze niemieckiej - traktowane w kategoriach umowy dzierżawy.
W określonych okolicznościach pojawia się problem zastosowania - o czym już wspominaliśmy - konstrukcji umowy o dzieło. Chodzi głównie o przypadki, gdy nie istnieje już (gotowa) lista adresowa, lecz będzie ona dopiero tworzona według założeń przedstawionych przez jej przyszłego użytkownika. Obiekcje wzbudza jednak sytuacja niepasująca do umowy o dzieło, kiedy pozyskujący zbiór danych (adresów) może się nimi tylko raz lub ograniczoną ilość razy posłużyć. Można bronić stanowiska, że także dla tych sytuacji bliższa jest umowa dzierżawy.
Oprócz umów wyżej wymienionych na gruncie prawa polskiego należy uwzględnić także umowę użyczenia i zamianę; w praktyce będą się zapewne pojawiać również rozmaite umowy mieszane .
6. Jak trafnie zaznacza T. Grossmann , umowy, na podstawie których dochodzi do udostępnienia danych, powinny przede wszystkim dokładnie wskazywać (opisywać) owe dane (zbiór danych), ich charakter, a ponadto cel i inne warunki ich zebrania. Towarzyszą temu oświadczenia udostępniającego mówiące o podstawie i zakresie przysługujących mu uprawnień dotyczących danych i ich przetwarzania, o wywiązaniu się z obowiązku rejestracji zbioru. Osoba uzyskująca dane powinna złożyć deklarację, że będzie je wykorzystywać w tym samym celu, dla którego zostały zebrane, chyba że w grę wchodzą szczególne sytuacje pozwalające na odstępstwa od zasady związania celem. Ważnym elementem umów mogą okazać się postanowienia dotyczące jakości (w tym aktualności) i kompletności zbioru danych osobowych oraz odpowiedzialności za jego ewentualne wady.
Wiele szczególnych postanowień powinno występować przy umowach dotyczących zbiorów danych przetwarzanych w systemach informatycznych.
Ustawa o ochronie danych osobowych nie wprowadza ze swej strony żadnych specjalnych wymagań w stosunku do formy umów mających za przedmiot dane osobowe. Jedynie art. 31 ust. 1 u.o.d.o. zastrzega wymóg formy pisemnej dla umów, na podstawie których administrator danych powierza innemu podmiotowi przetwarzanie danych.
7. Zbadajmy obecnie, czy obowiązująca polska ustawa o ochronie danych osobowych uwzględnia temat obrotu samymi danymi, umów mających za przedmiot dane osobowe.
Lektura ustawy pokazuje, że nie ma ona własnego uregulowania odnoszącego się wprost do umów dotyczących danych osobowych (wyjątek stanowi art. 31 ust. 2 dotyczący zlecania osobom trzecim przez administratora przetwarzania danych). Taki stan rzeczy nie zwalnia jednak od postawienia pytań, czy znajdą tu zastosowanie normy odnoszące się do sytuacji logicznie powiązanych z takimi umowami. Mamy tu na myśli przede wszystkim postanowienia regulujące udostępnianie danych, a także ich przetwarzanie.
I tak pojawia się problem, czy na umowy, których celem jest:
"przeniesienie prawa do poufnych informacji" lub
udostępnienie możności korzystania z poufnych informacji (najczęściej w postaci umowy licencyjnej),
należy nałożyć wszelkie te rygory i ograniczenia, które ustawa statuuje w odniesieniu do udostępniania danych osobowych oraz ich przetwarzania. Wydaje się, że - teoretycznie ujmując - możliwe są w tej sprawie trzy stanowiska.
Po pierwsze, można bronić poglądu, że do tego typu transakcji nie należy w ogóle stosować przepisów dotyczących przetwarzania i udostępniania danych. Na rzecz tej wykładni można by podnieść, że udostępnienie danych jest elementem ich przetwarzania. Jest zatem - jak to wynika z art. 7 pkt 2 u.o.d.o. - jedną z operacji wykonywanych na danych. Tymczasem jest co najmniej wątpliwe, czy "odstąpienie" informacji albo zezwolenie na korzystanie z nich stanowi operację na danych. Trzeba przy tym wyraźnie podkreślić, że niepoddanie obrotu danymi całemu reżimowi wynikającemu z przepisów o przetwarzaniu i udostępnianiu danych nie oznacza bynajmniej, że reżim ten wyczerpuje swoje znaczenie na działaniach podejmowanych przez pierwszego dysponenta danych. Także dalsi dysponenci muszą przy przetwarzaniu danych respektować regulacje ustawy.
Kolejny argument można wyprowadzić z rozdziału ustawy zatytułowanego "Przekazywanie danych osobowych do państwa trzeciego". Można założyć, że takie przekazywanie danych będzie następować w wielu (o ile nie w większości) przypadkach na podstawie umowy. Ustawodawca
nie posługuje się tu określeniem "udostępnianie" danych, jakby chcąc podkreślić odrębność występującej tu sytuacji, określanej jako "przekazywanie", w stosunku do "przetwarzania" danych;
nie stawia przekazaniu danych innych wymogów niż ten, aby kraj docelowy dawał na swoim terytorium gwarancje ochrony danym osobowym przynajmniej takie, jakie obowiązują na terytorium RP.
W sumie oznaczałoby to, że obrót danymi, który charakteryzuje się właśnie przekazywaniem danych, a nie ich przetwarzaniem (w tym udostępnianiem), nie wymagałby spełniania wymogów sformułowanych z myślą o przetwarzaniu.
Co takie podejście oznacza w praktyce, jeśli chodzi np. o umowy dotyczące danych zwykłych (niewrażliwych)? Ujmując to zwięźle - uniezależnienie ważności takich umów od warunków podanych w art. 23 ust. 1 u.o.d.o. A zatem dla ważności analizowanych tu kontraktów nie byłoby potrzebne m.in. (tak jak tego wymaga art. 23 ust. 1 u.o.d.o.):
aby przez osobę (osoby), której (których) dane dotyczą, wyrażona została zgoda;
aby przetwarzanie było niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
aby przetwarzanie danych było konieczne do realizacji umowy, gdy stroną umowy jest osoba, której dane dotyczą;
aby przetwarzanie następowało na żądanie osoby, której dane dotyczą, w celu podjęcia niezbędnych działań przed zawarciem umowy;
aby taka umowa była niezbędna do ochrony żywotnych interesów osoby, której dane dotyczą, a nie jest możliwe uzyskanie zgody osoby zainteresowanej;
aby taka umowa była niezbędna do wykonania zadań określonych prawem, a realizowanych dla dobra publicznego;
aby taka umowa była niezbędna do wypełniania usprawiedliwionych celów administratorów danych albo odbiorców danych, a przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczą.
Po drugie, do czasu nowelizacji dokonanej ustawą z dnia 29 października 2010 r. możliwa była obrona stanowiska pośredniego. Bazuje ono na przyjęciu, że umowy dotyczące danych osobowych, obojętnie jaki będą miały charakter, cechują się tym, że prowadzą do udostępnienia danych (otwierają bowiem możliwość poznania ich przez inne osoby). Nie mamy tu co prawda do czynienia z "przetwarzaniem danych" i przepisy dotyczące "przetwarzania" nie znajdują tu zastosowania, niemniej nie można pominąć tych zasad, które sformułowane zostały z myślą o "udostępnianiu". To ostatnie pojęcie - jak się wydaje - funkcjonuje w ustawie zarówno jako określenie jednego ze składników procedury "przetwarzania", jak i szerzej, jako dowolne postępowanie, także niezwiązane z "przetwarzaniem danych", z operacjami na danych, dające innym możliwość zapoznania się z (niekiedy dalej - też skorzystania czy dysponowania) danymi.
Co z kolei takie podejście mogło oznaczać w praktyce, jeśli chodzi np. o umowy dotyczące danych zwykłych (niewrażliwych)?
Tak jak i przy poprzednio przedstawionym poglądzie, ważność i skuteczność umów jest niezależna od warunków podanych w art. 23 ust. 1 u.o.d.o. Zastosowanie mogły znaleźć natomiast klauzule wyrażone w art. 29 i 30. Tak więc kiedy umowa będzie zapewniała "nabywcy" (licencjobiorcy) uprawnienia względem danych szersze niż sprowadzające się do wprowadzenia ich do zbioru, wówczas do skutecznego zawarcia umowy niezbędne będą:
albo przepis prawa dający nabywcy (licencjobiorcy) legitymację do otrzymania danych;
albo wykazanie w sposób wiarygodny potrzeby posiadania danych, o ile będzie można ponadto stwierdzić, że udostępnienie:
nie naruszy praw i wolności osób, których dane dotyczą, a także nie naruszy istotnie ich dóbr osobistych lub dóbr osobistych innych osób,
nie doprowadzi do ujawnienia wiadomości stanowiącej tajemnicę państwową,
nie sprowadzi zagrożenia dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,
nie sprowadzi zagrożenia dla podstawowego interesu gospodarczego lub finansowego państwa.
Ustawa (w art. 29 ust. 4) nakładała przy tym na nabywcę (licencjobiorcę) obowiązek wykorzystywania danych osobowych wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione (chodzi tu o cel "udostępnienia pierwotnego", udostępnienia, jakie miało miejsce na rzecz "zbywcy", licencjodawcy). Na mocy dokonanej w 2010 r. nowelizacji ustawy przepisy art. 29 i 30 u.o.d.o. zostały uchylone. W omawianym tu zakresie oznacza to, że nie ma obecnie podstaw do przyjmowania stanowiska zaprezentowanego powyżej.
Po trzecie, i to stanowisko uważamy za poprawne, można uznać, że w przypadku umów licencyjnych lub umów o przeniesienie prawa do zbioru danych osobowych (bez względu na to, czy zbiór ma charakter poufny oraz czy zgodzimy się na istnienie prawa podmiotowego do poufnych informacji) stosuje się w pełni przepisy o przetwarzaniu danych osobowych. Zasadniczego argumentu na rzecz tego poglądu dostarcza definicja pojęcia przetwarzania danych zamieszczona w art. 7 pkt 2 u.o.d.o. Nie wymienia ona wprawdzie licencji lub przeniesienia prawa, lecz podaje jedynie w przykładowy sposób formy posługiwania się danymi. Co przy tym istotne i czego nie można pominąć, zasadniczym celem umów odnoszących się do danych osobowych jest ich udostępnienie innej osobie, a co za tym idzie - zgodnie z szerokim rozumieniem przetwarzania danych przyjętym w polskiej ustawie - właśnie ich przetwarzanie.
Za dodatkowy argument może tu służyć odpowiednia definicja umieszczona w dyrektywie 95/46/WE (art. 2 lit. b). Nakazuje ona termin processing (który odpowiada polskiemu terminowi "przetwarzanie") odnosić do wszystkich postaci transmisji, rozpowszechniania lub innych sposobów zapewnienia dostępności danych.
Natomiast kontrargumentem była okoliczność, że przy takiej wykładni przepisy formułujące warunki udostępniania danych w dużej mierze tracą znaczenie i rację bytu. Można było jednak wskazywać, że z reguły umowy takie dotyczą udostępniania danych w celu włączenia do zbioru, a wówczas przepis art. 29 u.o.d.o. nie znajdował zastosowania. Kontrargument ten utracił jednak swoje znaczenie wskutek wspomnianej nowelizacji i uchylenia przepisu art. 29 u.o.d.o.
Opowiedzenie się za tym trzecim stanowiskiem oznacza, że w przypadku zawierania umów mających za swój przedmiot dane osobowe stosuje się wszystkie przewidziane dla ich przetwarzania ograniczenia . Należy je uwzględniać również wówczas, gdy będzie chodziło o obrót prawami autorskimi do baz danych osobowych czy obrót prawem sui generis. Tak więc po to, aby udostępnienie danych w drodze umowy nie stanowiło naruszenia prawa, spełniona musiałaby być jedna z przesłanek przewidzianych w art. 23 ust. 1 u.o.d.o.; może to być w szczególności:
zgoda na takie działanie udzielona przez osoby, których dane dotyczą (nie wystarcza przy tym jednak zaaprobowanie przy podawaniu swoich danych ogólnikowego stwierdzenia mówiącego o zezwoleniu na udostępnianie danych osobom trzecim);
okoliczność, że dane są niezbędne do wypełnienia usprawiedliwionych celów przez administratora lub odbiorcę, który uzyskuje dane, zaś ich udostępnienie nie naruszy prawa i wolności osoby, której dane dotyczą.
Poza tym zachowany musi zostać cel, dla którego dane były pierwotnie przetwarzane, chyba że zaistnieje któraś z sytuacji wskazanych w art. 26 ust. 2 u.o.d.o. Należy przyjąć, że to na udostępniającym dane (na zbywcy) ciąży obowiązek dołożenia szczególnej staranności w celu zbadania, czy będą one przez kontrahenta wykorzystywane w tym samym celu, dla którego zostały zebrane.
Wypada zauważyć, że z perspektywy podmiotu, który od kogoś innego uzyskuje dane osobowe, jego działanie mieści się w hipotezie art. 25 ust. 1 u.o.d.o.; mamy tu bowiem do czynienia ze zbieraniem danych osobowych nie od osoby, której one dotyczą. Na uzyskującym dane ciążą więc obowiązki informacyjne podane w wymienionym przepisie ustawy, które powinny zostać spełnione bezpośrednio po utrwaleniu pozyskanych na drodze umowy danych . Warto także wspomnieć o tym, że wskutek zmiany ustawy dokonanej nowelą z dnia 22 stycznia 2004 r. obowiązek informacyjny z art. 25 u.o.d.o. dotyczy również tych podmiotów, które uzyskały dane ogólnie dostępne, oraz tych administratorów, którzy nie przetwarzają dalej uzyskanych danych po ich jednorazowym wykorzystaniu.
IV.Dane osobowe osób prawnych
1.Uwagi ogólne
1. Powszechnie, zwłaszcza w krajach europejskich, zapewniona jest na gruncie prawa cywilnego ochrona dóbr osobistych osób prawnych. W Polsce art. 43 k.c. stanowi o odpowiednim stosowaniu przepisów o ochronie dóbr osobistych osób fizycznych (chodzi tu przede wszystkim o art. 23 i 24 k.c.) do ochrony takich interesów osób prawnych . Tego rodzaju regulacje dają podstawę do - przynajmniej częściowej - ochrony danych osobowych osób prawnych (rozumianych jako informacja dotycząca osoby prawnej, którą można takiej zidentyfikowanej osobie przypisać).
O wiele większe kontrowersje wywołuje problem ochrony danych osobowych osób prawnych w ramach prawa publicznego, a ściślej ujmując, na podstawie ustaw dotyczących ochrony danych osobowych. Zajęcie stanowiska w tej kwestii jest w dużej mierze zależne od lokalizacji źródeł tego rodzaju ochrony. Często bowiem uważa się, że prawo do ochrony danych osobowych jest emanacją praw osobistych człowieka (prawa osobowości, prawa do informacyjnego samookreślenia), których głównym celem jest zapewnienie poszanowania prywatności, godności czy osobowości człowieka. Przyjmując taką perspektywę, krajowe ustawy o ochronie danych osobowych koncentrują się na właściwym wyważaniu interesów związanych z ochroną prywatności (w szerokim rozumieniu) osób fizycznych z takimi interesami powszechnymi jak swobodny przepływ i dostęp do informacji. Wyłączenie stosowania ustaw o ochronie danych osobowych do osób prawnych może być dodatkowo uzasadniane postulatem ochrony interesów konsumenta, potrzebą zapewnienia mu uzyskiwania informacji o przedsiębiorstwach, istotnych dla podejmowania decyzji w sprawie zawarcia transakcji. Zaznaczmy, że obecnie przeważają tego rodzaju regulacje, które ograniczają ochronę danych osobowych do informacji dotyczących osób fizycznych. Takie podejście dominuje w krajach Unii Europejskiej ; przyjmuje je również komentowana ustawa polska.
Dostrzega się jednak, że ochrona danych osobowych związana jest (lub powinna być) z szerszym kręgiem interesów niż tylko prawo do prywatności jednostki. W krajach, których ustawodawstwa chronią także dane osobowe osób prawnych , wskazuje się na celowość ochrony interesów osób prawnych związanych z przetwarzaniem danych ich dotyczących. Podkreśla się przy tym, że chodzi tu o ochronę słabszą niż w przypadku osób fizycznych, a ponadto faktycznie zróżnicowaną pod względem intensywności w zależności od charakteru osoby prawnej . Nie bez znaczenia jest także okoliczność, że w wielu przypadkach trudno wytyczyć linię podziału pomiędzy danymi dotyczącymi osób fizycznych a innymi informacjami. I tak np. istnieją sytuacje, gdy dane dotyczące małego przedsiębiorstwa są równocześnie informacjami, niekiedy nawet o charakterze sensytywnym, dotyczącymi jego właściciela .
2.Ochrona na gruncie konwencji międzynarodowych i dyrektyw Unii Europejskiej
2. Również na płaszczyźnie międzynarodowej przyjmuje się, że korzenie ochrony danych osobowych usytuowane są w prawach człowieka gwarantowanych m.in. przez Europejską Konwencję Praw Człowieka. Chodzi tu przede wszystkim o powiązanie z ochroną prawa do prywatności (art. 8 EKPC). Równocześnie pojawia się problem konfrontacji omawianej ochrony z uwzględnianymi przez konwencję innymi uznanymi wartościami, zwłaszcza z wolnością informacji (prawem do informacji, o którym stanowi art. 10 EKPC) .
Trudno jednak nie zauważyć, że zarówno wytyczne Organizacji Współpracy Gospodarczej i Rozwoju (OECD) w sprawie ochrony prywatności i przekazywania danych osobowych pomiędzy krajami, jak i konwencja 108 oraz dyrektywa 95/46/WE przewidują możliwość objęcia ochroną danych dotyczących osób prawnych. Na gruncie prawa wspólnotowego należy szczególnie zwrócić uwagę na tzw. dyrektywę telekomunikacyjną (dyrektywę 97/66/WE), która w wielu przypadkach wyraźnie ustanawia wymóg jej stosowania w odniesieniu do osób prawnych .
Trzeba też nadmienić, że wiele orzeczeń odnoszących się do ochrony danych, wydawanych przez Trybunał w Strasburgu, zapadało w sprawach wniesionych przez stowarzyszenia, redakcje gazet lub spółki. Z tego punktu widzenia charakterystyczne jest orzeczenie w sprawie X and Church of Scientology v. Szwecja , w którym uznano, że różnica pomiędzy Kościołem a jego członkami na gruncie art. 9 ust. 1 EKPC jest w istocie sztuczna. Gdy Kościół wnosi roszczenie, powołując się na konwencję, w rzeczywistości czyni to w imieniu swych członków. Dlatego też trzeba przyjąć, że Kościół jest zdolny do posiadania i wykonywania praw określonych w art. 9 ust. 1 EKPC jako reprezentant wyznawców. Na gruncie konwencji ochrona innych podmiotów niż osoby fizyczne oczywiście dotyczy "praw człowieka", lecz głównie związanych z własnością, prawem do należytego procesu, wolnością wypowiedzi, zakazem dyskryminacji.
Zdaniem D. Korffa można uznać i traktować jako generalną zasadę prawa wspólnotowego to, że:
informacja dotycząca osoby fizycznej lub prawnej, która może być wykorzystana do podjęcia istotnej decyzji dotyczącej tej osoby, powinna być udostępniona zainteresowanej osobie;
osoba ta powinna mieć możliwość zweryfikowania informacji, sprawdzenia jej prawdziwości i odpowiedniości (przydatności) w kontekście podejmowania określonej decyzji.
Rozumowanie to wymieniony autor odnosi także do Konwencji o ochronie praw człowieka i podstawowych wolności. Przekonująco wykazuje, że przetwarzanie informacji dotyczących politycznych, związkowych, religijnych oraz innych organizacji zrzeszających osoby fizyczne powoduje konieczność dokonywania ocen nie tylko pod kątem ochrony prawa do prywatności tych osób (art. 8 EKPC), lecz także wolności określonych w art. 9-11 EKPC (wolność wyrażania poglądów, wolność religii, swoboda zrzeszania się, ochrony przed dyskryminacją). Oczywiście nie upoważnia to do odnoszenia praw człowieka, a zwłaszcza tych, o których stanowi art. 8 EKPC, do osób prawnych. W stosunku do niepublicznych osób prawnych istnieje - zdaniem D. Korffa - możność ochrony ich interesów ze względu na prawo własności, prawo do sprawiedliwego procesu i wolność wypowiedzi. Zasadnicze znaczenie, ze względu na ochronę danych osobowych, ma możliwość rekonstruowania uprawnień osoby prawnej do:
wiedzy o zebranych informacjach, które jej dotyczą i mogą stanowić podstawę decyzji podejmowanych w odniesieniu do takich osób, oraz
weryfikacji prawdziwości zebranych informacji.
Natomiast zbieranie danych o organizacjach politycznych, religijnych i związkowych może samoistnie, bezpośrednio naruszać ich podstawowe prawa (a nie tylko członków tego rodzaju organizacji) na podstawie omawianej konwencji .
3.Proponowany model ochrony danych osobowych osób prawnych
3. Według D. Korffa istnieje uzasadnienie objęcia osób prawnych ochroną, jeśli chodzi o przetwarzanie ich danych osobowych. Jest to obiektywnie uzasadnione i przemawia za tym interes publiczny. Rozważając tę problematykę w aspekcie jednolitego prawa Unii Europejskiej, wskazuje się ponadto, że przyjęcie w tej kwestii wspólnych reguł usunie trudności związane z występowaniem odmiennych zasad ochrony osób prawnych (w analizowanym zakresie) w krajach członkowskich.
Model ochrony danych osobowych osób prawnych nie powinien być tożsamy z modelem ochrony wprowadzonym w interesie osób fizycznych. Postuluje się wprawdzie przyjęcie ogólnej reguły sprawiedliwego i zgodnego z prawem przetwarzania danych, ale - ogólnie rzecz ujmując - uważa się, że zakres ochrony służącej osobom prawnym powinien być istotnie węższy niż przysługujący osobom fizycznym.
Po pierwsze chodziłoby o zapewnienie ochrony ze względu na przetwarzanie danych handlowych przez podmioty oceniające zdolność kredytową lub inne elementy wiarygodności osoby prawnej. Po drugie chodzi o ochronę mającą na uwadze tego rodzaju przetwarzanie informacji dotyczących osoby prawnej, którego rezultaty stanowią podstawę wydania przez organy publiczne lub prywatne istotnych dla tej osoby decyzji. Kolejna sfera ochrony wiąże się z przetwarzaniem danych osobowych przez organy państwowe dla celów statystycznych. Istnieją słuszne interesy osób prawnych, by tego rodzaju dane, udostępniane obowiązkowo, nie były następnie przekazywane konkurentom oraz aby okres ich gromadzenia bez anonimizacji nie był dłuższy, niż wynika to z celu ich zbierania. Rozważa się także rozbudowanie ochrony osób prawnych (poza reguły określone w wyżej wymienionej dyrektywie telekomunikacyjnej) ze względu na marketing bezpośredni. Wreszcie zwraca się uwagę na celowość ustanowienia szczególnej regulacji w odniesieniu do zbierania i przetwarzania danych dotyczących organizacji związkowych, religijnych, politycznych, taka działalność może bowiem zagrażać fundamentalnym prawom i wolnościom człowieka, takim jak wolność przekonań, religii, edukacji i stowarzyszania się. Podkreślmy na zakończenie tego wyliczenia, że ochrona danych osobowych osób prawnych obejmowałaby także regulacje wprowadzone już do dyrektywy telekomunikacyjnej z myślą o poszanowaniu interesów użytkowników i subskrybentów usług telekomunikacyjnych (nie tylko osób fizycznych), zagrożonych przetwarzaniem, a w szczególności udostępnianiem ich danych.
Trudno obecnie prognozować, czy i ewentualnie w jakim stopniu dojdzie do rozszerzania dotychczasowej ochrony danych osobowych przez uwzględnianie także interesów osób prawnych. Wprawdzie wyłom w zasadzie, że przedmiotem zainteresowania prawa powinno być jedynie przetwarzanie danych osobowych osób fizycznych, został już w dyrektywie telekomunikacyjnej dokonany, niemniej wydaje się, że dalej idące uwzględnianie interesów osób prawnych mogłoby okazać się w tym sensie niebezpieczne, ponieważ prowadziłoby w istocie do erozji (przez swoiste rozwodnienie) dopiero konstruowanego systemu ochrony danych osobowych osób fizycznych. Zauważmy przy tym, że w przypadku ochrony danych o osobach fizycznych oraz w przypadku ochrony danych o osobach prawnych mamy do czynienia z zupełnie odmiennymi kręgami interesów. W pierwszej sytuacji chodzi (w dużej mierze) o dobra osobiste, prawo do prywatności, prawo do decydowania o własnym wizerunku (informacyjnym samookreśleniu się), a więc o interesy związane z prawami człowieka. Z kolei tam, gdzie chodzi o osoby prawne, na plan pierwszy wysuwają się interesy majątkowe, których respektowanie powinno być domeną prawa handlowego lub ustawy o zwalczaniu nieuczciwej konkurencji. W sytuacjach szczególnych, drastycznych, gdy odwołanie się do wspomnianych dziedzin prawa nie przyniosłoby właściwych rezultatów, pozostaje możliwość sięgnięcia po przepisy kodeksu cywilnego i przewidzianą tam ochronę dóbr osobistych osób prawnych. Warto zwrócić uwagę, że w odniesieniu do osób prawnych jawność wielu danych jest elementem koniecznym do zagwarantowania pewności obrotu prawnego. Wreszcie nie można też pomijać tego, że przyznanie intensywnej ochrony osobom prawnym ograniczałoby istotnie interesy konsumentów, a w wielu przypadkach nie miałoby również racjonalnego uzasadnienia .
V.Ochrona danych osobowych a działalność mediów
1.Uwagi wstępne
1. Między ochroną danych osobowych a swobodą dostępu do nich i swobodą wykorzystania ich przez dziennikarzy istnieje niewątpliwy, zrozumiały stan napięcia. Znajduje on swoje odbicie na różnych prawnych płaszczyznach. Odnotować go można np. jako konflikt zachodzący na tle Konwencji o ochronie praw człowieka i podstawowych wolności pomiędzy normą z art. 8 (dotyczącą poszanowania życia prywatnego ) i normą z art. 10 (dotyczącą swobody wypowiedzi ). Identyczny problem istnieje również w świetle postanowień Konstytucji RP, a to w związku z jednej strony z treścią art. 47 i 51 oraz z drugiej strony z treścią art. 54. Odnotujmy tutaj, że dla owej szczególnej kolizji zachodzącej w obrębie podstawowych praw człowieka pomiędzy ochroną danych osobowych a swobodą działania mediów nie ma istotnego znaczenia okoliczność, czy prawo do ochrony danych osobowych zostało wyodrębnione w konstytucji danego kraju, czy też jest objęte ochroną płynącą z przepisów ogólnych (cywilnych, karnych) odnoszących się do prawa do prywatności.
Zagadnienie ograniczenia ochrony danych osobowych ze względu na swobodę funkcjonowania mediów było przedmiotem wielu opracowań przygotowanych przez organizacje międzynarodowe ; znalazło także swój bezpośredni wyraz w dyrektywie 95/46/WE. Spróbujmy zatem zastanowić się nad istotą tego problemu, sposobem rozwiązywania swoistych, powstających tu konfliktów oraz nad próbą oceny tej kwestii na gruncie polskiego prawa.
2.Media a dane osobowe - problemy ogólne
2. Z problematyką danych osobowych w mediach związane są m.in. takie kwestie szczegółowe, jak:
zakładanie i prowadzenie zbiorów (baz) danych przez poszczególne redakcje (w ramach tego specyficzną grupę tworzą bazy zawierające dane wrażliwe, np. zbierane na podstawie informacji dotyczących procesów sądowych);
radiowe i telewizyjne archiwa elektroniczne;
funkcjonowanie agencji prasowych (przy czym należy tu wyróżnić zarówno kwestię zbierania danych i ich przetwarzania, jak i kwestię obowiązku ich aktualizacji), czemu towarzyszy często aspekt przekazywania danych za granicę;
udostępnianie dziennikarzom informacji ze zbiorów danych osobowych.
Przepisy Konwencji o ochronie praw człowieka i podstawowych wolności zawierają w odniesieniu do ochrony życia prywatnego postanowienie (art. 8 ust. 2), według którego "niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na [...] ochronę praw i wolności innych osób". Przyjmuje się, że to zastrzeżenie obejmuje gwarancję swobody prasy i stanowi podstawę usunięcia przez ustawodawców krajów członkowskich kolizji rysującej się między przepisami chroniącymi dane osobowe a przepisami gwarantującymi wolność prasy. W rezultacie prezentowany jest pogląd, że konwencja uprawnia kraje członkowskie do sytuowania przetwarzania danych osobowych przez media poza zakresem rygorów przewidzianych w ustawach dotyczących ochrony tych danych, choć przy całkowitym wyłączeniu w ustawie krajowej praw jednostek w tym zakresie mógłby powstać problem naruszenia wymogów konwencji w zakresie ochrony prawa do prywatności.
3. Istnieją różne sposoby podejścia do problematyki funkcjonowania mediów w krajowych ustawach o ochronie danych osobowych. W niektórych spośród nich brak jest jakiejkolwiek wyraźnej regulacji w tej kwestii. Uważa się jednak, że taki stan oczywiście nie odbiera możliwości stosowania dla tej sfery (tj. na polu działalności mediów) ustaw o ochronie danych osobowych, choć - ze względu na dotyczące wolności słowa i prasy postanowienia konstytucyjne oraz wspomnianych międzynarodowych konwencji - w rachubę mogłoby wchodzić bądź stosowanie przewidzianych ustawą mechanizmów ochronnych w ograniczonym zakresie, bądź nieegzekwowanie niektórych przepisów . Alternatywnym rozwiązaniem jest wprowadzenie do ustawy o ochronie danych osobowych wskazówki, która przesądzałaby o tym, czy, a jeśli tak, to jak dalece uregulowania ustawy byłyby wyłączone w sferze działalności dziennikarskiej. Takie rozstrzygnięcia mogą się też znaleźć w odpowiednich "ustawach medialnych" (zwłaszcza w prawie prasowym).
Zarówno w cytowanym raporcie Rady Europy, jak i we wcześniejszych dokumentach można znaleźć wyraźne zastrzeżenie, aby wprowadzone ustawą wyłączenia ochrony danych osobowych w obszarze działania prasy nie eliminowały ochrony praw jednostki. W tym kontekście zwraca się w szczególności uwagę na odpowiedzialność mediów za dozwolony sposób uzyskiwania danych osobowych , za ich merytoryczną poprawność, a także właściwe wyważenie dozwolonych granic zbierania i ujawniania informacji stanowiących dane wrażliwe. Warunki te mogą być m.in. realizowane przez stosowną regulację prawną, ale i właściwe, profesjonalne szkolenie dziennikarzy, oraz stosowanie kodeksów etycznych.
3.Prawo Unii Europejskiej
4. Szczegółowe postanowienie dotyczące omawianego problemu zawiera art. 9 dyrektywy 95/46/WE. Przepis ten stanowi, że kraje członkowskie zapewnią wyjątki lub wyłączenia w zakresie stosowania postanowień rozdziału II, IV i VI dla przetwarzania danych osobowych dokonywanego wyłącznie w celach dziennikarskich lub ze względu na twórczość literacką i artystyczną (artistic or literary expression), jednak tylko w tym zakresie, w jakim są one konieczne dla pogodzenia (to reconcile) prawa do prywatności z zasadami stosowanymi w odniesieniu do swobody wypowiedzi (freedom of expression). Analizując to postanowienie, należy zwrócić uwagę na następujące okoliczności.
Po pierwsze, wyłączenia wprowadzone ze względu na funkcje i rolę mediów w społeczeństwie nie odnoszą się do całości uregulowań dyrektywy 95/46/WE. Zachowane pozostają, także w odniesieniu do dziennikarzy, obowiązki zapewnienia bezpieczeństwa danych , a także zasady odpowiedzialności (tu: mediów) względem jednostek za naruszenie ich praw (określone w rozdziale III dyrektywy 95/46/WE). Nienaruszone pozostają również rozbudowane postanowienia rozdziału V dyrektywy 95/46/WE dotyczące kodeksów etycznych (w tym ich opiniowania przez organy krajowe w zakresie zgodności z przepisami o ochronie danych osobowych).
Po drugie, zwolnienia mediów (łącznie z mediami elektronicznymi) z wielu rygorów dotyczących ochrony danych przewidzianych w dyrektywie 95/46/WE (i odpowiednio - ustawach krajowych) mogą dotyczyć jedynie celów dziennikarskich przetwarzania takich danych. A zatem gdy chodzi o zbiory danych prowadzone przez media w innych celach (np. marketingu bezpośredniego lub weryfikowania płatności abonentów), w pełni mają zastosowanie ogólne przepisy dyrektywy (i odpowiednio - ustaw).
Po trzecie, wprawdzie wprowadzenie ograniczeń w stosowaniu uregulowań dyrektywy przy przetwarzaniu danych do celów dziennikarskich ma charakter obowiązkowy, lecz jeśli chodzi o ich zakres, to powinien być on limitowany zasadą stosownego wyważenia racji i wartości związanych z poszanowaniem prywatności oraz prawem do swobodnej wypowiedzi. Niewątpliwie ustalenie stosownych relacji w ochronie tych dóbr w świetle dyrektywy 95/46/WE i Konwencji o ochronie praw człowieka i podstawowych wolności ma największe praktyczne znaczenie i wywołuje najwięcej wątpliwości zarówno teoretycznych, jak i powstających na tle rozwiązywania konkretnych sporów. Są one dwojakiego rodzaju. Część problemów dotyczy merytorycznych kryteriów, część zaś zagadnienia, czy odpowiednie, w miarę precyzyjne wskazówki powinny być zamieszczane w ustawach, czy też - mając na uwadze niemożność sformułowania ścisłych kryteriów i reguł - powinno się w tej mierze pozostawić większą swobodę sądom. Nie ulega wątpliwości, że na pełne stosowanie zasługuje tu zasada proporcjonalności wypracowana na gruncie art. 8 ust. 2 EKPC. Podkreśla się w szczególności, że zakres marginesu swobody oceny w poszukiwaniu równowagi między chronionymi dobrami zależy od charakteru, wagi i rodzaju interesów wchodzących w rachubę, od ich znaczenia dla interesów jednostki oraz stopnia ingerencji. Konieczne jest przy tym zachowanie proporcji między celem ingerencji a zastosowanymi środkami .
Poza tym należy wskazać, że powoływane dokumenty - rezolucje i rekomendacja 1 (97) - wyraźnie akcentują, że przy stwierdzaniu (w ustawodawstwach lub judykatach krajowych) zachowania omawianej zasady proporcjonalności należy w szczególności brać pod uwagę istnienie specyficznych gwarancji dla praw jednostki związanych z funkcjonowaniem mediów. Chodzi przede wszystkim o prawo do odpowiedzi i do sprostowania nieprawdziwych informacji. Równolegle powinno się badać istnienie oraz treść "medialnych" i dziennikarskich kodeksów etycznych, a także funkcjonowanie zawodowych, dobrowolnych, organów nadzorujących działalność mediów, również w omawianym zakresie.
Dla ilustracji i lepszego zrozumienia omawianych zagadnień celowe wydaje się przedstawienie tych ograniczeń stosowania przepisów o ochronie danych osobowych w odniesieniu do mediów, które przyjęto w angielskiej ustawie z 1998 r. (Data Protection Act 1998, Chapter 29); rozwiązanie to jest interesujące również ze względu na oryginalny sposób inkorporowania do prawa wewnętrznego unormowań występujących w dyrektywie 95/46/WE. I tak, stosownie do art. 32 wspomnianej ustawy, konieczne jest spełnienie trzech warunków do wyłączenia jej stosowania w sferze działania mediów:
przetwarzanie danych musi być dokonywane do celów dziennikarskich z zamiarem publikacji na ich podstawie materiału dziennikarskiego;
administrator danych musi mieć racjonalne przeświadczenie, biorąc pod uwagę interes publiczny związany z poszanowaniem wolności wypowiedzi (freedom of expression), że publikacja odpowiada interesowi społecznemu;
administrator danych musi mieć racjonalne (uzasadnione) przeświadczenie, że - biorąc pod uwagę wszystkie okoliczności - przestrzeganie postanowień ustawy o ochronie danych osobowych byłoby w tym konkretnym przypadku nie do pogodzenia z celami działalności dziennikarskiej .
Dodajmy, że ustawa brytyjska wprowadza specjalny mechanizm zabezpieczający przed zablokowaniem publikacji w wyniku powołania się na naruszenie ustawy o ochronie danych osobowych; zabezpieczenie to trwa do upływu 24 godzin od pierwszej publikacji materiału .
Z inną sytuacją mamy do czynienia w Niemczech. W przygotowywanej tu nowelizacji ustawy o ochronie danych osobowych, mającej implementować regulacje dyrektywy 95/46/WE, przewidziano przepisy, na podstawie których także media miały zostać wciągnięte w system kontroli przetwarzania danych. Każdemu obywatelowi miało być przy tym zapewnione roszczenie informacyjne co do wszystkich zebranych i zapisanych na jego temat danych. Ten zamysł wywołał ostry sprzeciw i krytykę ze strony Niemieckiej Rady Prasowej oraz licznych mediów. Ostatecznie udało się jednak Federalnemu Ministrowi Spraw Wewnętrznych oraz Radzie Prasowej osiągnąć kompromis w sprawie kontrolowania danych gromadzonych przez media. Zgodnie z nim powinno się uwzględnić specyfikę pracy redakcyjnej. Kontrolę nad przestrzeganiem przepisów o ochronie danych w mediach sprawować ma nie Generalny Inspektor (tam: Datenschutzbeauftragten), lecz Niemiecka Rada Prasowa będąca na tym polu organem samokontroli. Ponadto Rada Prasowa powinna wypracować kodeks ochrony danych przewidziany dla redakcji oraz procedurę zażaleniową przed niezależną komisją. Poza tą samokontrolą nie jest natomiast przewidziana kontrola zewnętrzna mediów .
W wyniku nowelizacji niemieckiej ustawy o ochronie danych osobowych, która weszła w życie dnia 23 maja 2001 r., zmieniony został przepis odnoszący się do przetwarzania danych osobowych przez media (§ 41 Bundesdatenschutzgesetz - BDSG ). Zgodnie z nowym brzmieniem tego przepisu kraje związkowe powinny w swoim ustawodawstwie uregulować, że do gromadzenia, przetwarzania i wykorzystywania danych osobowych przez prasę wyłącznie dla celów prasowo-redakcyjnych albo literackich zastosowanie będą miały odpowiednie przepisy dotyczące obowiązku zachowania tajemnicy danych (§ 5 BDSG), technicznych i organizacyjnych środków zabezpieczenia danych (§ 9 BDSG) oraz opracowywania "reguł postępowania wspierających realizację regulacji dotyczących ochrony danych osobowych" (§ 38a BDSG), a także przepisy dotyczące odpowiedzialności (§ 7 BDSG).
Jako przykład nieco odmiennej implementacji norm zawartych w art. 9 dyrektywy 95/46/WE można wskazać przepisy holenderskiej ustawy o ochronie danych osobowych z dnia 6 lipca 2000 r. (Wet bescherming persoonsgegevens). Artykuł 3 ustawy zawiera ogólne wyłączenie jej stosowania w odniesieniu do przetwarzania danych do celów prasowych, artystycznych i literackich, określając jednocześnie wyjątki w tym zakresie. Ustawa zwalnia podmioty przetwarzające dane z obowiązku informowania osób, których dane dotyczą, obowiązku zgłoszenia zbioru danych, a także wyłącza stosowanie przepisów dotyczących wstępnej kontroli przetwarzania oraz uprawnień osób zainteresowanych. Jednak przy przetwarzaniu danych dla wskazanych powyżej celów zgodnie z holenderską ustawą zastosowanie mają przepisy dotyczące podstawowych zasad przetwarzania i ochrony danych, ogólnych kryteriów dopuszczalności przetwarzania danych (z wyjątkiem zakazu przetwarzania danych sensytywnych), opracowywania kodeksów postępowania oraz przepisy dotyczące odpowiedzialności .
4.Prawo polskie
5. Spróbujmy obecnie rozpatrzyć analizowany problem w świetle prawa polskiego. Najogólniejszą podstawę dopuszczalności przetwarzania danych osobowych przez prasę wywodzić można z norm konstytucyjnych. Mamy tu na myśli przede wszystkim prawo do wolności prasy określone w art. 14 Konstytucji RP, dotyczącym wolności prasy, (i chronione w zakresie określonym w art. 77 i 79 Konstytucji RP) oraz art. 54 Konstytucji RP, dotyczącym wolności pozyskiwania i rozpowszechniania informacji. Zasadne wydaje się przy tym przyjęcie założenia, że "wolność wypowiedzi i prawo do rzetelnego informowania" obejmują swoim zakresem uprawnienie do przetwarzania danych osobowych. Interpretacja taka nie jest pozbawiona racji, skoro np. Międzynarodowy Pakt Praw Obywatelskich i Politycznych wyraźnie stanowi (w art. 19 ust. 2), że prawo do swobodnego wyrażania opinii (co jest przecież odpowiednikiem prawa do "wolności wypowiedzi") obejmuje swobodę poszukiwania, otrzymywania i rozpowszechniania wszelkich informacji .
6. Kolejnym aktem normatywnym, który wprawdzie nie zawiera zbyt wielu szczegółowych przepisów dotyczących przetwarzania i ochrony danych osobowych, ale niewątpliwie ma w tym zakresie zasadnicze znaczenie, jest ustawa z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24 z późn. zm.). Ustawa niezwykle szeroko definiuje pojęcie prasy jako "publikacje periodyczne, które nie tworzą zamkniętej, jednorodnej całości, ukazujące się nie rzadziej niż raz do roku, opatrzone stałym tytułem albo nazwą, numerem bieżącym i datą, a w szczególności: dzienniki i czasopisma, serwisy agencyjne, stałe przekazy teleksowe, biuletyny, programy radiowe i telewizyjne oraz kroniki filmowe; prasą są także wszelkie istniejące i powstające w wyniku postępu technicznego środki masowego przekazywania, w tym także rozgłośnie oraz tele- i radiowęzły zakładowe, upowszechniające publikacje periodyczne za pomocą druku, wizji, fonii lub innej techniki rozpowszechniania; prasa obejmuje również zespoły ludzi i poszczególne osoby zajmujące się działalnością dziennikarską" (art. 7 ust. 2 pkt 1 pr. pras.). W tym pojęciu mieszczą się więc nie tylko prasa w potocznym tego słowa znaczeniu, ale także inne środki masowego przekazu, jak np. radio i telewizja. Prawo prasowe reguluje prasową działalność wydawniczą i dziennikarską. Dziennikarzem jest osoba zajmująca się redagowaniem, tworzeniem lub przygotowywaniem materiałów prasowych, pozostająca w stosunku pracy z redakcją albo zajmująca się taką działalnością na rzecz i z upoważnienia redakcji, natomiast materiałem prasowym jest każdy opublikowany lub przekazany do opublikowania w prasie tekst albo obraz o charakterze informacyjnym, publicystycznym, dokumentalnym lub innym, niezależnie od środków przekazu, rodzaju, formy, przeznaczenia czy autorstwa (art. 7 ust. 2 pr. pras.).
Artykuł 1 pr. pras. stanowi o tym, że prasa korzysta z wolności wypowiedzi i urzeczywistnia prawo obywateli do ich rzetelnego informowania, jawności życia publicznego oraz kontroli i krytyki społecznej. Do pełnej realizacji tych celów konieczne jest często przetwarzanie różnego rodzaju informacji, w tym także danych osobowych. Przepisy prawa prasowego nakładają na prasę obowiązek prawdziwego przedstawiania omawianych zjawisk, działania zgodnie z etyką zawodową i zasadami współżycia społecznego oraz w granicach określonych przepisami prawa. Dziennikarze są obowiązani zachować szczególną staranność i rzetelność przy zbieraniu i wykorzystaniu materiałów prasowych, zwłaszcza sprawdzić zgodność z prawdą uzyskanych wiadomości lub podać ich źródło, a także chronić dobra osobiste oraz interesy działających w dobrej wierze informatorów i innych osób, które okazują dziennikarzom zaufanie.
Istotne z punktu widzenia ochrony danych osobowych postanowienia zawiera przepis art. 14 pr. pras. Zgodnie z nim publikowanie lub rozpowszechnianie w inny sposób informacji utrwalonych za pomocą zapisów fonicznych i wizualnych wymaga zgody osób udzielających informacji; dziennikarz nie może odmówić osobie udzielającej informacji autoryzacji dosłownie cytowanej wypowiedzi, o ile nie była ona uprzednio publikowana, a osoba udzielająca informacji może z ważnych powodów społecznych lub osobistych zastrzec termin i zakres jej opublikowania. Ponadto dziennikarz nie może opublikować informacji, jeżeli osoba jej udzielająca zastrzegła to ze względu na tajemnicę zawodową.
Zgodnie z art. 14 ust. 6 pr. pras. nie wolno bez zgody osoby zainteresowanej publikować informacji oraz danych dotyczących prywatnej sfery życia, chyba że wiąże się to bezpośrednio z działalnością publiczną danej osoby. Wskazany tu przepis należy uznać za najważniejszy, gdy chodzi o ochronę danych osobowych przez prasę.
Doniosłe znaczenie w zakresie przetwarzania i ochrony danych osobowych ma także instytucja prasowej tajemnicy dziennikarskiej. Zgodnie z art. 15 pr. pras. dziennikarz ma obowiązek zachowania w tajemnicy: danych umożliwiających identyfikację autora materiału prasowego, listu do redakcji lub innego materiału o tym charakterze, jak również innych osób udzielających informacji opublikowanych albo przekazanych do opublikowania, jeżeli osoby te zastrzegły nieujawnianie powyższych danych, a także wszelkich informacji, których ujawnienie mogłoby naruszać chronione prawem interesy osób trzecich. Obowiązek zachowania tajemnicy dotyczy również innych niż dziennikarze osób zatrudnionych w redakcjach i wydawnictwach. Wyjątkowo dziennikarz jest zwolniony z zachowania tajemnicy zawodowej, w wypadku gdy informacja, materiał prasowy, list do redakcji lub inny materiał o tym charakterze dotyczy przestępstwa określonego w art. 254 kodeksu karnego (prawo prasowe odsyła tu do art. 254 ustawy z dnia 19 kwietnia 1969 r. - Kodeks karny, Dz. U. Nr 13, poz. 94 z późn. zm., odnoszącego się do niezawiadomienia o popełnieniu zbrodni określonych w art. 122-124, 126-128 i 148 k.k. z 1969 r. - zdrady ojczyzny, szpiegostwa, aktu terrorystycznego, dywersji, sabotażu oraz zabójstwa) albo gdy autor lub osoba przekazująca taki materiał wyłącznie do wiadomości dziennikarza wyrazi zgodę na ujawnienie jej nazwiska lub tego materiału (art. 16 ust. 1 pr. pras.).
Szczególna regulacja dotycząca przetwarzania danych osobowych zawarta w prawie prasowym odnosi się do przetwarzania danych uczestników postępowania sądowego lub przygotowawczego. Artykuł 13 ust. 2 pr. pras. zakazuje publikowania w prasie danych osobowych i wizerunku osób, przeciwko którym toczy się postępowanie przygotowawcze lub sądowe, jak również danych osobowych i wizerunku świadków, pokrzywdzonych i poszkodowanych, chyba że osoby te wyrażą na to zgodę. Jednak właściwy prokurator lub sąd może zezwolić na ujawnienie danych osobowych i wizerunku osób, przeciwko którym toczy się postępowanie, ze względu na ważny interes społeczny. W wyroku z dnia 18 lipca 2011 r., K 25/09, OTK-A 2011, nr 6, poz. 57, Trybunał Konstytucyjny orzekł o niezgodności z Konstytucją przepisu art. 13 ust. 3 w zakresie, w jakim przepis ten nie przewidywał zażalenia do sądu na wydane przez prokuratora zezwolenie na ujawnienie danych osobowych i wizerunku osób, przeciwko którym toczy się postępowanie przygotowawcze. Ustawą z dnia 19 sierpnia 2011 r. o zmianie ustawy - Prawo prasowe (Dz. U. Nr 205, poz. 1204) dodano do ustawy - Prawo prasowe art. 13 ust. 4 przewidujący możliwość takiego zażalenia.
Do czerwca 2012 r. w rozdziale 5 pr. pras. przewidziane były instytucje sprostowania i odpowiedzi. Zgodnie z art. 31 pr. pras. na wniosek zainteresowanej osoby fizycznej, prawnej lub innej jednostki organizacyjnej redaktor naczelny redakcji właściwego dziennika lub czasopisma był obowiązany opublikować bezpłatnie: rzeczowe i odnoszące się do faktów sprostowanie wiadomości nieprawdziwej lub nieścisłej, a także rzeczową odpowiedź na stwierdzenie zagrażające dobrom osobistym. Wskazane instytucje stanowić miały swoistą gwarancję obrony praw podmiotów, których publikacje prasowe dotyczą. Jednak art. 31 pr. pras. został uznany przez Trybunał Konstytucyjny za niezgodny z Konstytucją RP i utracił moc z dniem 14 czerwca 2012 r. Na mocy nowelizacji dokonanej ustawą z dnia 14 września 2012 r. o zmianie ustawy - Prawo prasowe (Dz. U. poz. 1136) dodano do prawa prasowego m.in. przepis art. 31a, odnoszący się do sprostowania, natomiast ustawodawca zrezygnował z regulacji dotyczącej odpowiedzi. Zgodnie z nowym przepisem art. 31a ust. 1 pr. pras. na wniosek zainteresowanej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej niebędącej osobą prawną redaktor naczelny właściwego dziennika lub czasopisma jest obowiązany opublikować bezpłatnie rzeczowe i odnoszące się do faktów sprostowanie nieścisłej lub nieprawdziwej wiadomości zawartej w materiale prasowym. W pozostałych przepisach dodanych do prawa prasowego doprecyzowano regulacje odnoszące się do sprostowania.
Zgodnie z przepisem art. 3a pr. pras. w zakresie prawa dostępu prasy do informacji publicznej (w tym również do stanowiących informacje publiczne danych osobowych) stosuje się przepisy ustawy o dostępie do informacji publicznej.
7. Ustawa o ochronie danych osobowych w pierwotnym brzmieniu nie uwzględniała kwestii zderzenia wolności mediów z ochroną danych osobowych. Ten stan rzeczy sprawiał, że istniała konieczność odpowiedniej interpretacji przepisów ustawy, dokonywania takiej wykładni, jaka pozwalałaby łagodzić konflikty występujące na omawianej płaszczyźnie. Niewątpliwie jednak taka sytuacja była uciążliwa, gdyż poddanie działalności dziennikarskiej ogólnym wymogom określonym w ustawie o ochronie danych osobowych bez uwzględnienia specyfiki sektorowej prowadziło do wielu utrudnień, a niekiedy nawet uniemożliwiało swobodne jej wykonywanie. Ponadto obowiązująca w tym zakresie polska regulacja prawna nie odpowiadała wymogom określonym w dyrektywie 95/46/WE.
8. Dokonana dnia 22 stycznia 2004 r. nowelizacja zasadniczo zmieniła stan prawny w omawianym zakresie. Do ustawy o ochronie danych osobowych dodany został art. 3a ust. 2, zgodnie z którym ustawy, z wyjątkiem przepisów art. 14-19 i 36 ust. 1, nie stosuje się do prasowej działalności dziennikarskiej w rozumieniu ustawy - Prawo prasowe oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą. W ten sposób media zostały zwolnione z większości obowiązków wynikających z ustawy o ochronie danych osobowych. Jest to niewątpliwie krok w dobrym kierunku, choć redakcja wspomnianego przepisu może budzić uzasadnione wątpliwości.
Wyłączenie, o którym mowa w art. 3a ust. 2 u.o.d.o., nie obejmuje przepisów dotyczących kontroli sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych (art. 14-19 u.o.d.o.) oraz obowiązku zabezpieczenia i ochrony danych (art. 36 ust. 1 u.o.d.o.). Oznacza to, że podmiot przetwarzający dane osobowe do celów prasowej działalności dziennikarskiej (a także do działalności literackiej i artystycznej) powinien zastosować środki techniczne i organizacyjne zapewniające ochronę tych danych odpowiednią do zagrożeń oraz kategorii danych (szczególną ochroną powinny zostać objęte dane sensytywne). Zabezpieczenie to powinno w szczególności chronić dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osoby nieuprawnione, przetwarzaniem niezgodnym z prawem, a także zmianą, utratą, uszkodzeniem lub zniszczeniem. Spełnienie wymogu zabezpieczenia danych może być przedmiotem kontroli dokonywanej przez Generalnego Inspektora, jego zastępcę lub inspektorów Biura GIODO.
9. W obowiązującym stanie prawnym podmioty przetwarzające dane osobowe w prasowej działalności dziennikarskiej nie podlegają licznym obowiązkom przewidzianym w ustawie o ochronie danych osobowych. Podmioty te nie muszą już opierać swojej działalności w omawianym zakresie na odpowiedniej podstawie dopuszczalności przetwarzania danych osobowych określonej w art. 23 ust. 1 oraz art. 27 ust. 2 u.o.d.o., a właściwą podstawą prawną ich działania są przepisy prawa prasowego. Media w związku z działalnością dziennikarską nie mają także obowiązków informacyjnych, o których mowa w ustawie o ochronie danych osobowych (ani tzw. czynnego obowiązku informacyjnego określonego w art. 24 i 25 u.o.d.o., ani biernego obowiązku informowania uregulowanego w art. 33 u.o.d.o.). W odniesieniu do zbiorów danych osobowych służących wyłącznie prasowej działalności dziennikarskiej nie ma również obowiązku zgłaszania takich zbiorów do rejestracji.
Wprawdzie przepis art. 3a ust. 2 u.o.d.o. wyłącza w zakresie prasowej działalności dziennikarskiej również stosowanie art. 26 u.o.d.o., niemniej w prawie prasowym wskazać można kilka przepisów odpowiadających zasadom ogólnym, zgodnie z którymi powinny być przetwarzane dane osobowe. Można uznać, że odpowiednikiem ogólnego obowiązku dołożenia przy przetwarzaniu danych osobowych szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (art. 26 ust. 1 u.o.d.o.), są w prawie prasowym wspominane już wcześniej przepisy:
art. 12 ust. 1 pr. pras. nakładający na dziennikarzy m.in. obowiązek zachowania szczególnej staranności i rzetelności przy zbieraniu i wykorzystaniu materiałów prasowych oraz ochrony dóbr osobistych, a także interesów działających w dobrej wierze informatorów i innych osób, które okazują mu zaufanie;
art. 14 ust. 1 pr. pras. nakazujący dziennikarzom uzyskanie zgody na publikowanie lub rozpowszechnianie w inny sposób informacji utrwalonych za pomocą zapisów fonicznych i wizualnych;
art. 14 ust. 5 pr. pras. zakazujący publikowania informacji, które osoba ich udzielająca zastrzegła ze względu na tajemnicę zawodową;
art. 14 ust. 6 pr. pras. zakazujący publikowania informacji oraz danych dotyczących prywatnej sfery życia bez zgody osoby zainteresowanej, chyba że wiąże się to bezpośrednio z działalnością publiczną danej osoby.
Wymienione przepisy odnoszą się wprawdzie w większości do różnych informacji wykorzystywanych w działalności dziennikarskiej, niemniej mają także zastosowanie, gdy chodzi o przetwarzanie danych osobowych.
Nie sposób w tym kontekście nie wspomnieć także przepisów art. 15 i 16 pr. pras., w których uregulowane zostały kwestie tajemnicy dziennikarskiej. Ze względu na podstawowy cel działalności prasowej obowiązek ten jednak będzie miał w zakresie ochrony danych osobowych ograniczone znaczenie.
10. Kontrowersje mogą się pojawić, gdy chodzi o uprawnienia osób, których dane są poddawane przetwarzaniu. Nie ulega wątpliwości, że wskutek wyłączenia zawartego w art. 3a ust. 2 u.o.d.o. nie mają zastosowania przepisy art. 32-35 u.o.d.o. odnoszące się do praw osoby, której dane dotyczą. Chodzi tu o prawo do uzyskania informacji oraz prawo do korygowania danych. Powstaje wątpliwość, czy w tym zakresie można powoływać się na ogólne uprawnienia do korygowania danych wynikające z przepisu art. 51 ust. 4 Konstytucji RP. Gdyby przyjąć, że z uprawnień tych można skorzystać wobec wszystkich podmiotów przetwarzających dane osobowe, należałoby uznać, że również osoby, których dane przetwarzane są w związku z prasową działalnością dziennikarską, mają prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Jeżeli natomiast przyjmiemy, że uprawnienia z art. 51 ust. 4 Konstytucji RP przysługują wyłącznie w odniesieniu do danych zawartych w urzędowych dokumentach i zbiorach danych, to należałoby uznać, że w omawianym przypadku uprawnienia te nie przysługują. Warto jednak zwrócić uwagę na to, że prawo prasowe przewiduje odmienny sposób realizacji uprawnień, które ze swej istoty bliskie są uprawnieniu do korygowania danych. Chodzi tu mianowicie o sygnalizowaną już powyżej instytucję sprostowania (uregulowaną w art. 31a-33 pr. pras.). Wydaje się, że jest to typowy instrument, dzięki któremu osoba, której dane są przetwarzane przez media, może realizować ogólne uprawnienie do korygowania danych na swój temat, uwzględniające specyfikę działalności prasowej.
11. Poza wyłączeniem z art. 3a ust. 2 u.o.d.o. pozostaje działalność mediów niebędąca działalnością dziennikarską. Oznacza to, że do takiej działalności przepisy ustawy o ochronie danych osobowych będą miały pełne zastosowanie. Jako przykład wskazać tu można działalność wydawniczą oraz działalność marketingową. Redakcje prasowe bądź wydawnictwa prowadząc zbiory danych swoich klientów (np. prenumeratorów), mają nadal obowiązek zgłoszenia takich zbiorów do rejestracji oraz wypełniania, w zakresie przetwarzania tych danych, innych obowiązków przewidzianych przepisami ustawy o ochronie danych osobowych.
12. Redakcja art. 3a ust. 2 in fine u.o.d.o. budzi poważne zastrzeżenia. Ze sformułowania zawartego w końcowej części omawianego przepisu wynika, że jeżeli "wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą", wyłączenie, o którym mowa w tym przepisie, nie znajduje zastosowania. Przy literalnej wykładni tego przepisu można byłoby dojść do paradoksalnego wniosku, że w sytuacji gdy przetwarzanie danych naruszałoby w sposób istotny prawa osób, których dane dotyczą, należałoby zgłosić zbiór zawierający takie dane do rejestracji i spełnić inne obowiązki wynikające z ustawy. Paradoks polega na tym, że w analizowanym przypadku nie byłoby możliwe spełnienie wymogów ustawowych, gdyż ustawa nakłada na administratora obowiązek dołożenia szczególnej staranności w celu ochrony osób, których dane dotyczą. Istota problemu tkwi w tym, że dane nie powinny być przetwarzane w sposób, który istotnie narusza prawa osób, a nie w tym, by do przetwarzania danych w taki sposób stosować ustawę. Należałoby więc dokonać zmiany końcowej części przepisu art. 3a ust. 2 u.o.d.o., tak aby usunąć występującą tam nieścisłość.
13. Warto rozważyć także potrzebę opracowania odpowiednich kodeksów etycznych dotyczących przetwarzania danych osobowych przez media oraz ustanowienia - zgodnie z powoływaną dyrektywą 95/46/WE - wymogu stosownego trybu uprzedniego opiniowania takich kodeksów przez GIODO.
14. Na temat przetwarzania i ochrony danych przez media por. także komentarz do art. 3a ust. 2.
VI.Przetwarzanie i ochrona danych osobowych w sieciach komputerowych
1.Uwagi ogólne
1. Postęp techniczny stwarzał i nadal stwarza nowe wyzwania dla skutecznej ochrony prywatności i danych osobowych . Podobnie jak kiedyś z powodu komputerów , obecnie dzieje się to głównie za sprawą rozległych sieci informatycznych. Mogłoby się wprawdzie w pierwszej chwili wydawać, że zgodnie z ogólną zasadą, według której "co jest zakazane poza sieciami, jest niedozwolone także w sieciach komputerowych" , nie powstaje tu specyficzna problematyka prawna, jednak ocena taka nie byłaby prawidłowa. Dowodem mogą być inicjatywy legislacyjne (które dalej bardziej szczegółowo charakteryzujemy) wywołane koniecznością dopasowania generalnych przepisów dotyczących danych osobowych do właściwości sieci komputerowych. Łatwo można jednak wykazać, że niektóre specyficzne właściwości sieci komputerowych niejako z natury rzeczy wywołują nieznane wcześniej zagrożenia dla dóbr osobistych, skłaniając do poszukiwań, także prawnych, środków zaradczych.
Nie jest też odkrywcze stwierdzenie, że przypadki naruszania dóbr osobistych, w tym prywatności człowieka, nasilają się wraz z gwałtownym rozwojem środków masowego komunikowania. Nowe formy publicznego udostępniania wypowiedzi oraz rozmaitych materiałów stwarzają poważne trudności w sferze ochrony przed rozpowszechnianiem stwierdzeń nieprawdziwych, zniesławiających lub w inny sposób naruszających dobra osobiste. Zarzuty tego rodzaju kierowane są obecnie przede wszystkim pod adresem Internetu . Cały obszerny problem ochrony danych osobowych, który już od lat 70. w wielu krajach zaczął być ujmowany w prawne ramy, nabrał zupełnie nowego wymiaru w kontekście tego rodzaju medium oraz oferowanych przezeń obecnie form elektronicznego zbierania, przetwarzania i udostępniania, a także przesyłania za granicę danych.
W literaturze prawniczej dyskutuje się nad tym, jak zapewnić ochronę i kontrolę wykorzystania danych osobowych przy nowoczesnych możliwościach przepływu informacji . Podnosi się np., że dotychczasowe krajowe ustawodawstwa w sprawie ochrony danych nie mogą już być efektywnie zastosowane na globalnych autostradach informacyjnych wobec zdecentralizowanego i spontanicznego (żeby nie powiedzieć - anarchicznego) Internetu . Niebezpieczeństwo, na jakie zwraca się uwagę, polega też na możliwości ujawniania poufnych danych, które są automatycznie przetwarzane, oraz możliwości fałszowania czy zmieniania przekazywanych danych. Problemem jednak, który wysuwa się na pierwszy plan, są nowe zagrożenia w sferze prywatności jednostki. Badania prowadzone w USA i Europie dowodzą, że użytkownicy Internetu coraz bardziej są zaniepokojeni tym, że ich zachowanie w sieci może być nadzorowane zarówno dla osiągnięcia pewnych celów handlowych, jak i z innych pobudek. Im dalej w życie społeczne wkraczają sieci komputerowe, tym bardziej rośnie skala tego niebezpieczeństwa . Obawy te są uzasadnione. Chodzi bowiem o niebezpieczeństwo, jakie wprowadzają takie elementy struktury sieci komputerowych, jak: systemy wyszukiwawcze , programy umożliwiające mierzenie korzystania przez użytkowników z określonych adresów , tzw. cookies .
2. Odrębne zagrożenia powstają ze względu na handel elektroniczny . Nie przysparza dziś poważnych trudności, przy równocześnie relatywnie niskich kosztach, ustalenie, kto i kiedy oraz jakie "wywoływał" informacje , z kim prowadzona była korespondencja elektroniczna, kto uczestniczył w określonych forach dyskusyjnych, jakie prezentował tam poglądy itd. W ten sam sposób można się zorientować, jakie wypowiedzi na publicznym forum Internetu składała dana osoba. Możliwe jest (nawet bez naruszenia tajemnicy korespondencji) śledzenie poczty elektronicznej i zbieranie informacji o adresatach listów przesyłanych za pośrednictwem sieci.
Należy jednak uwzględnić i to, że istnieją lub są obecnie rozwijane technologie, które w sieciach komputerowych mogą relatywnie skutecznie zapewnić ochronę danych osobowych. Chodzi tu m.in. o stosowanie kryptografii dla zapewnienia anonimowości i prywatności, przyjęcie systemów przeciwdziałających identyfikowaniu klientów w handlu elektronicznym czy też stosowanie systemów filtrujących uniemożliwiających dowolne śledzenie aktywności jednostek w sieci komputerowej .
Oprócz wdrożenia odpowiednich rozwiązań technicznych dla ochrony prywatności w sieci konieczne są wysiłki w celu zwiększenia świadomości użytkowników co do zagrożeń występujących w Internecie , a także opracowanie stosownych regulacji prawnych uwzględniających specyfikę przetwarzania i ochrony danych w środowisku sieciowym.
2.Niemiecka ustawa o ochronie danych osobowych przy teleusługach
3. Analizując problematykę przetwarzania i ochrony danych osobowych w sieciach komputerowych, nie można pominąć pierwszej szczegółowej regulacji prawnej o zasięgu ogólnokrajowym, jaką jest niemiecka ustawa z dnia 22 czerwca 1997 r. o ochronie danych przy teleusługach (Gesetz über den Datenschutz bei Telediensten, Teledienstedatenschutzgesetz - TDDSG) . Ustawa reguluje stosunki między usługodawcą a użytkownikiem usług w sieci, natomiast poza regulacją ustawową pozostaje gromadzenie, przetwarzanie i wykorzystywanie danych osobowych do celów wyłącznie zawodowych lub służbowych albo wyłącznie do kierowania procesami pracy lub handlowymi w obrębie przedsiębiorstwa, koncernu czy instytucji publicznej. W wyniku nowelizacji ustawy o teleusługach (Teledienstegesetz - TDG) dokonano w 2001 r. wyraźnego rozgraniczenia pojęć: teleusług (Telediensten) i telekomunikacji (Telekommunikation). Dzięki temu wyraźniejsza stała się także różnica między uregulowaniem ochrony danych osobowych występującym w TDDSG a regulacjami zawartymi w rozporządzeniu o ochronie danych w telekomunikacji (Telekommunikations-Datenschutzverordnung vom 18. Dezember 2000, BGBl. I 2000 S. 1740 - TDSV) . Chodzi w szczególności o relacje między "danymi związanymi z użytkowaniem sieci informatycznych" (Nutzungsdaten), o których mowa w TDDSG , a "danymi związanymi z połączeniami telekomunikacyjnymi" (Verbindungsdaten) określonymi w TDSV.
Ustawa o ochronie danych przy teleusługach zawiera szczególne postanowienia dotyczące m.in. zasad przetwarzania danych, zobowiązań dostawcy usług w sieciach, swobody umów ze względu na zbieranie danych oraz dopuszczalnych granic wykorzystywania zarówno danych osobowych, jak i danych odnoszących się do korzystania przez daną osobę z usług. Dostawcy usług powinni umożliwić użytkownikom w zakresie, w jakim jest to usprawiedliwione i od strony technicznej możliwe, realizowanie i opłacanie teleusług anonimowo lub pod pseudonimem; o opcji tej użytkownik powinien być poinformowany. Na specjalną uwagę zasługują przy tym regulacje zakazujące uzależniania umów z dostawcami usług w sieciach od zgody osoby (usługobiorcy) na wykorzystanie jej danych osobowych do innych celów, o ile nie jest możliwe uzyskanie takiej usługi w inny sposób przez użytkownika (§ 3 ust. 4 TDDSG). Z kolei stosownie do § 5 TDDSG dane osobowe mogą być zbierane, przetwarzane i wykorzystywane jedynie w granicach niezbędnych do zawarcia umowy w sprawie usług dostawcy oraz do ustalenia lub zmodyfikowania warunków tej umowy. Wykorzystanie tych danych do reklamy, porad, badań rynkowych lub dotyczących zapotrzebowania na usługi sieciowe wymaga wyraźnej zgody zainteresowanego.
Jeżeli chodzi natomiast o dane dotyczące korzystania z usług sieciowych przez użytkownika, to ustawodawca niemiecki zezwala na ich wykorzystanie wyłącznie w zakresie umożliwiającym realizację usług albo koniecznym do ustalenia należnej opłaty z tego tytułu. Powyższe dane nie mogą być udostępniane osobom trzecim, w tym innym dostawcom (usługodawcom). W przypadku zapewniania usług świadczonych przez innych dostawców można tym ostatnim przekazywać wyłącznie odpowiednie dane niezbędne do dokonywania rozliczeń (obciążeń) oraz - przy zachowaniu anonimowości - do badań rynkowych.
Ustawa o ochronie danych przy teleusługach dopuszcza składanie na określonych warunkach oświadczeń drogą elektroniczną, w tym o wyrażeniu zgody na przetwarzanie danych osobowych (§ 4 ust. 2 TDDSG). Na życzenie zainteresowanego usługodawca może również elektronicznie przekazać mu informację o zebranych danych, które go dotyczą.
Ustawa o ochronie danych przy teleusługach przewiduje także (§ 9) odpowiedzialność dostawcy usług za naruszenie przepisów polegające na: uzależnianiu świadczenia usługi od wyrażenia zgody na przetwarzanie danych; niedopełnieniu obowiązku informowania użytkownika oraz obowiązku zabezpieczenia danych; pozyskiwaniu, przetwarzaniu i wykorzystywaniu danych w sposób sprzeczny z ustawą, a także łączeniu profilu sporządzonego pod pseudonimem z danymi użytkownika posługującego się tym pseudonimem. Czyny takie zagrożone są grzywną do wysokości 50 tys. euro.
Omawiana ustawa w pierwotnym brzmieniu nakazywała usługodawcom przy dobieraniu i konfigurowaniu sprzętu technicznego kierować się tym, aby dane osobowe były zbierane, wykorzystywane lub przetwarzane w możliwie najmniejszym zakresie. Reguła oszczędności w zbieraniu danych została uogólniona i łącznie z innymi podstawowymi zasadami wyrażonymi w TDDSG (co do unikania przetwarzania danych oraz anonimizacji i posługiwania się pseudonimem) została włączona do federalnej ustawy o ochronie danych osobowych (BDSG) jako nadrzędna, powszechna zasada ochrony danych .
3.Handel elektroniczny
4. Odrębnie należy wskazać na ograniczenia swobodnego kształtowania handlu elektronicznego związane z ochroną danych osobowych. Wyrażany jest pogląd, że jest to obecnie bodajże najważniejsze zagadnienie Internetu . Dotykamy w tym miejscu niewątpliwie jednego z najbardziej kontrowersyjnych zagadnień w obrębie analiz, propozycji i realizowanych już przedsięwzięć związanych z zawieraniem umów przez sieci komputerowe. Trudno zaprzeczyć, że możliwość monitorowania transakcji dokonywanych przez użytkowników sieci i uzyskiwanie na tej drodze wiadomości o operacjach finansowych, o zachowaniach i decyzjach handlowych, o zwyczajach konsumpcyjnych itp. stwarza poważne zagrożenie dla prywatności i ochrony danych osobowych . Skłania również do pewnej rezerwy wobec uczestniczenia w tego rodzaju obrocie prawnym. W rezultacie jednym z istotniejszych aspektów, a może i hamulców upowszechnienia handlu elektronicznego stał się problem zabezpieczenia prywatności, tajemnicy handlowej i tajemnicy bankowej. Dostrzegli to już producenci sprzętu komputerowego i programów, jak również dostarczyciele usług w Internecie ; ten aspekt zdaje się też brać pod uwagę dyrektywa 2002/58/WE, która przyczynia się do ochrony danych w sieciach, choć nie stanowi expressis verbis o Internecie .
Problem dotyczy nie tylko możliwości gromadzenia wielkiej liczby informacji dotyczących zachowywania się użytkowników w sieci, lecz - jak sygnalizowaliśmy już wcześniej - także równoległego istnienia programów umożliwiających zainteresowanemu w miarę proste poszukiwanie w sieci i zestawianie danych dotyczących określonej jednostki. Jedna z amerykańskich gazet w ramach eksperymentu zgromadziła o losowo wybranej osobie następujące informacje: jej adres, telefon, miejsce urodzenia, studiów i pracy, zainteresowania (teatr amatorski, ulubiony rodzaj piwa, restauracji, preferencje co do sposobu spędzania wakacji, poglądy na wybrane problemy wyrażone w grupach dyskusyjnych) . Zestawianie wszelkich tego rodzaju wiadomości pozwala na rekonstruowanie, jak to się określa, profilów osobowościowych.
Za pomocą specjalnych programów (tzw. packet sniffer) mogą być wyszukiwane przepływające w sieci dane określonego rodzaju, np. wybierane według słów kluczowych lub danych o karcie kredytowej. Tak uzyskane informacje mogą być wykorzystane do dalszych ingerencji lub nawet przestępstw gospodarczych. Jednak potrzebę kontrolowania płatności dokonywanych za pomocą kart przez sieci komputerowe usprawiedliwia dziś okoliczność, że właśnie sieci te dały szansę łatwego prania brudnych pieniędzy. Jeśli chce się zatem walczyć z przestępczością komputerową, trzeba - jak chcą niektórzy - zgodzić się na monitorowanie przepływu danych.
5. Jak wskazano w opinii nr 1/2000 przygotowanej dla Data Protection Working Party w sprawie niektórych aspektów ochrony danych osobowych w handlu elektronicznym , prowadzenie kampanii reklamowej lub korespondencji handlowej wymaga zgromadzenia rozbudowanej i stosownej listy adresów e-mailowych potencjalnych klientów. Z perspektywy ochrony danych osobowych powstaje tu przede wszystkim problem zbierania i korzystania z adresów internetowych bez zgody zainteresowanego. Odrębnym zagadnieniem jest otrzymywanie znacznej liczby niechcianej (niezamawianej) korespondencji (zjawisko to określane jest jako spamming). Ochrona danych osobowych jest przy tym często lekceważona - jak wynika z cytowanej opinii - ze względu na atrakcyjność tego rodzaju kampanii reklamowej m.in. ze względu na niski koszt jej prowadzenia, a także - dodajmy - możliwość łatwego adresowania jej do wyselekcjonowanego kręgu zainteresowanych konsumentów.
W cytowanej opinii sformułowane zostały podstawowe zasady zbierania i wykorzystywania adresów internetowych, które - w naszym przekonaniu - można uznać za aktualne i zasługujące na przeniesienie na grunt prawa polskiego. Po pierwsze, całość rozwiązań oparta jest na (jakby oczywistym, choć przecież nierozstrzygniętym wprost przez polską ustawę) założeniu, że adres internetowy, jeśli dotyczy osoby fizycznej, stanowi dane osobowe w rozumieniu dyrektywy 95/46/WE. Takie też stanowisko przyjęliśmy w komentarzu do polskiej ustawy . Po drugie, przy omawianym przetwarzaniu danych należy w pełni stosować wszystkie postanowienia wymienionej dyrektywy, łącznie z ustanowionymi ogólnymi zasadami przetwarzania danych. Po trzecie, w przypadku gdy adresy internetowe są zbierane bezpośrednio od osób, których dotyczą, osoby te muszą być informowane o tym fakcie najpóźniej w chwili zbierania adresów. Uznano także, że zainteresowany powinien mieć możność sprzeciwienia się (w czasie zbierania adresów lub później) przetwarzaniu jego danych zarówno przez pierwotnie zbierającego, jak i przez tych, którym on te adresy przekazał. W opinii wskazano, że w niektórych ustawodawstwach przekazanie adresów (danych osobowych) pomiędzy przedsiębiorcami wymaga zgody zainteresowanej osoby, nawet gdy cel przetwarzania nie ulega zmianie. Taką wykładnię zaproponowaliśmy także na gruncie prawa polskiego, choć - dodajmy - można ją uznać za dyskusyjną. Po czwarte, wskazuje się, że wówczas, gdy adresy są zbierane ze źródła powszechnie dostępnego, jakim jest "publiczna przestrzeń Internetu", wykorzystywanie ich do wysyłania poczty elektronicznej jest sprzeczne z ustawodawstwem unijnym z trzech niezależnych względów:
działanie takie nie stanowi przetwarzania w sposób rzetelny - uczciwy (fair - art. 6 ust. 1 lit. a dyrektywy 95/46/WE);
wykorzystanie adresu zostaje dokonane w innym celu niż ten, dla którego zainteresowany go upublicznił (por. art. 6 ust. 1 lit. b dyrektywy 95/46/WE);
przetwarzanie dokonywane dla spełnienia uzasadnionych interesów administratora nie spełnia wymogu wyważenia interesów, o którym stanowi art. 7 lit. f dyrektywy 95/46/WE.
6. Waga ochrony danych osobowych w kontekście handlu elektronicznego uwidoczniła się dobitnie w związku z kontrowersją między rządem USA a Komisją Wspólnot Europejskich w sprawie braku dostatecznego poziomu ochrony danych osobowych w USA, będącego przeszkodą - w świetle dyrektywy 95/46/WE - do transferu danych osobowych z terenu Unii do USA . Przypomnijmy, że z art. 25 tej dyrektywy wynika, że każdy podmiot spoza Unii, który zamierza uzyskać dane osobowe od osób poddanych wspólnotowemu porządkowi prawnemu, powinien uprzednio zapewnić poziom ochrony dla tego rodzaju danych równoważny z tym, jaki jest przyjęty w dyrektywie. Brak dostatecznej ochrony w tym zakresie w USA może oznaczać faktyczne odmówienie przedsiębiorstwom amerykańskim dostępu do rynku europejskiego przez handel elektroniczny. Ponadto zakwestionowane mogą zostać transakcje, które są realizowane w krajach Unii, ale przez serwery zlokalizowane w USA. Wyrażano nawet obawy, że ograniczenie to może dotyczyć transmisji poczty elektronicznej .
Zauważmy, że (zwłaszcza z punktu widzenia USA, głównego uczestnika i organizatora handlu elektronicznego) dyrektywa stworzyła nową dodatkową barierę dla swobodnego handlu. Podkreśla się przy tym, że tego rodzaju regulacja sprawia, że - oparte na dyrektywie 95/46/WE - ustawy o ochronie danych osobowych uzyskują de facto efekt ekstraterytorialny . W tym kontekście zrozumiały jest wniosek ze strony Wspólnot Europejskich, aby rozpatrzyć w ramach WTO zagadnienie ochrony danych osobowych w handlu elektronicznym . Ze strony krajów pochodzących spoza Unii Europejskiej podnoszony jest bowiem w szczególności ten zarzut, że dyrektywa 95/46/WE w istocie prowadzi do dyskryminacji w zakresie handlu towarami i usługami z krajami nienależącymi do Unii. Konieczne jest zatem wypracowanie wyraźnych zasad w tym zakresie na gruncie WTO, gdyż brak efektywnych, obiektywnych i transparentnych zasad co do ochrony danych osobowych - jak się podkreśla - może zasadniczo ograniczyć rozwój handlu elektronicznego. Wskazuje się również, że wypracowanie tego rodzaju zasad zapewni odpowiedni poziom zaufania między państwami członkami WTO - wystarczający do usunięcia możliwości blokowania lub zakłócania handlu ze względu na niedostateczną ochronę danych osobowych.
W związku z powyższym pojawiła się interesująca opinia, według której tak jak uprzednio idea wolnego handlu doprowadziła do stworzenia WTO, tak obecnie handel elektroniczny będzie impulsem dla międzynarodowych organizacji do harmonizacji m.in. ochrony prywatności . Rozstrzygnięcie omawianego problemu nastąpi w świetle art. XIV GATS (General Agreement on Trade in Services), który - z jednej strony - upoważnia kraje członkowskie do przyjęcia środków koniecznych do zapewnienia ochrony prywatności jednostek w związku z przetwarzaniem danych osobowych oraz ochroną tajemnicy rachunków i zapisów ich dotyczących, z drugiej strony wymaga jednak, by tego rodzaju regulacja nie stanowiła zamaskowanej restrykcji w handlu usługami oraz aby nie była stosowana w sposób dyskryminujący.
Rozwiązaniu opisanego wyżej konfliktu, a równocześnie usunięciu zastrzeżeń co do wprowadzania w Europie rozwiązań o skutkach de facto eksterytorialnych służyć ma uzgodniony przez amerykański Departament Handlu i Komisję Europejską dokument Safe Harbor Privacy Principles , określany dalej skrótowo jako "Zasady". Zasady zostały skonkretyzowane w kolejnym dokumencie określanym jako Frequently Asked Questions (FAQ), któremu towarzyszy memorandum wyjaśniające stosowanie (wdrażanie) Zasad. Dnia 26 lipca 2000 r. Komisja Europejska wydała decyzję stwierdzającą, że przestrzeganie Zasad oznacza adekwatną (odpowiednią, co nie znaczy "taką samą") ochronę danych osobowych w rozumieniu dyrektywy, a co za tym idzie dane takie mogą być swobodnie przekazywane ze wszystkich krajów Unii Europejskiej do tych przedsiębiorstw w USA, które "przystąpią do Zasad" (przez złożenie w Departamencie Handlu tzw. Self Certification Letters, odnawianego co najmniej raz do roku) .
Mówiąc o Zasadach, trzeba podkreślić, że po pierwsze, odnoszą się one wyłącznie do podmiotów amerykańskich ze względu na import danych osobowych z krajów Unii Europejskiej. Po drugie, Zasady są wykorzystywane jedynie do stwierdzania istnienia adekwatnej ochrony danych osobowych na terenie USA ze względu na wymogi dyrektywy 95/46/WE; ustanawiają one w tej mierze swoiste domniemanie co do wspomnianej adekwatności. Po trzecie, podporządkowanie Zasadom przez poszczególne zainteresowane podmioty w USA ma wyłącznie dobrowolny charakter. Po czwarte, związanie Zasadami nie dotyczy manualnych systemów przetwarzania danych osobowych.
Poza zawierającymi szczegółowe wyjaśnienia FAQ, dokument Departamentu Handlu podaje syntetyczny opis podstawowych kryteriów Zasad co do przetwarzania danych. Ujmując to hasłowo , można stwierdzić, że chodzi o:
notice - informowanie osoby, której danej dotyczą, o celu zbierania i gromadzenia danych, łącznie z wymogiem informowania o wykorzystywaniu danych do celów uprzednio nieprzewidywanych, o kategoriach podmiotów, do których dane będą przekazywane, oraz o przewidzianych możliwościach wyboru przez zainteresowanego opcji co do gromadzenia i przekazywania danych ; powinny zostać podane też adresy, pod które kierować trzeba pytania i zażalenia;
choice - co jest związane z tym, że kryteria przyjmują jako zasadę model opt-out, według którego przy przetwarzaniu danych nie jest konieczne pozytywne zezwolenie, lecz danie możliwości odmówienia zgody na gromadzenie i eksploatowanie danych, jeśli nie odpowiada ono pierwotnemu celowi lub aprobowanym założeniom co do ich przekazywania osobom trzecim; tylko w odniesieniu do udostępniania osobom trzecim danych wrażliwych stosowany ma być model opt-in wymagający pozytywnej deklaracji ;
onward transfer - przestrzeganie warunku, że dalsze przekazanie danych może nastąpić jedynie do osoby trzeciej stosującej reguły określone w pkt a i b; przekazywanie zakłada ponadto, że osoba trzecia bądź sama jest adresatem dyrektywy, bądź się Zasadom podporządkowuje, bądź zawarte zostanie z nią pisemne porozumienie z jasnym oznaczeniem przeznaczenia danych; dalsze przekazywanie musi zostać wstrzymane dopiero wtedy, gdy jednostka przekazująca poweźmie wiadomość o naruszeniach, jakich dopuszcza się odbiorca danych;
acces - umożliwienie zainteresowanemu dostępu do własnych danych łącznie z możliwością ich weryfikacji lub usunięcia danych nieprawdziwych, chyba że koszty dostępu są nieproporcjonalne w relacji do ryzyka naruszenia prywatności zainteresowanego; dostęp może jednak być uzależniony od uiszczenia zwykłych opłat z tym związanych (np. przy komercyjnych bankach danych);
security - stosowanie niezbędnych środków zabezpieczających przed utratą danych, ich nadużywaniem, zmienianiem czy nieuprawnionym dostępem;
data integrity - zapewnienie, że dane osobowe będą stosowne do celów, dla których są wykorzystywane, a administrator danych powinien podjąć stosowne kroki w celu zapewnienia rzetelności wykorzystywania danych oraz poprawności, kompletności i aktualności danych;
enforcement - wprowadzenie w życie wskazanych powyżej Zasad; powinny zostać zagwarantowane odpowiednie mechanizmy pozwalające na dochodzenie praw osobie, której dane dotyczą, w sytuacji naruszenia Zasad mechanizmy weryfikacji przestrzegania Zasad przez podmioty, które zadeklarowały przyjęcie Safe Harbor Principles, a także zobowiązanie do podjęcia odpowiednich środków w sytuacji naruszenia Zasad, powinny być określone odpowiednie sankcje .
Wypada na zakończenie zaznaczyć, że osiągnięcie opisanego kompromisu między UE a USA ma duże znaczenie praktyczne także w obrocie z innymi krajami trzecimi. Przypomnijmy, że według art. 26 ust. 2 dyrektywy 95/46/WE kraje Unii mogą zezwalać na przesyłanie danych do innych krajów, jeśli odpowiedzialny za przetwarzanie da wystarczające gwarancje co do poszanowania sfery prywatności, podstawowych praw i wolności oraz wykonywania związanych z tymi prawami uprawnień. W przypadku tych krajów docelowych, w których nie jest zapewniony odpowiedni poziom ochrony, wspomniane gwarancje mogą być zawarte w porozumieniach umownych wiążących eksportera i importera danych. Komisja wyjaśniła, że oparcie się w takich umowach o ochronie danych na kryteriach materialnych wyrażonych w Zasadach jest w pełni wystarczające .
4.Przejrzystość systemu
7. Jedną z podstawowych zasad przyjmowanych dla legalności przetwarzania danych osobowych jest przejrzystość, czyli transparentność takiego systemu. Najogólniej ujmując, chodzi o to, aby system przetwarzania danych osobowych był zbudowany oraz działał w sposób zrozumiały dla przeciętnej (w znaczeniu: bez specjalistycznego wykształcenia informatycznego) osoby, a także aby umożliwiał jej dostęp do własnych danych i pozwalał w razie konieczności na ich poprawianie.
W tym kontekście szczególne znaczenie ma uprzednie zawiadomienie zainteresowanej osoby przez dostawcę usługi (service provider) o pośrednim lub bezpośrednim zbieraniu o niej danych ; nie chodzi tu tylko o informacje o samym fakcie, lecz także o celu zbierania, możliwości odmowy (związanej lub niezwiązanej z konieczną rezygnacją z danej postaci korzystania z sieci ) oraz o osobie zbierającej informacje lub osobie, dla której są one zbierane. W niektórych systemach prawnych (np. francuskim) pojawia się wymóg wskazania ryzyka, jakie powstanie po stronie osoby w związku z udostępnianiem swoich danych osobowych w sieci komputerowej.
5.Prawo do anonimowości
8. Strumień danych przekazywany przy wszelkiego rodzaju transakcjach w sieciach komputerowych stanowi zagrożenie dla prywatności tylko wtedy, gdy odnosi się do oznaczanej osoby . Zagwarantowanie anonimowości umożliwi zatem partycypowanie w korzyściach, jakie przynosi Internet, bez obawy, że każdy ruch w sieci będzie odnotowany, a zapisana na ten temat informacja zostanie wykorzystana do celów nieakceptowanych przez jednostkę.
Rekomendacja 3 (97) przyjmuje założenie, że pozostawienie jednostce decyzji w sprawie zachowania anonimowości ma zasadnicze znaczenie dla zabezpieczenia jej prywatności w systemie on-line, w stopniu istniejącym obecnie off-line, choć wskazuje też, że nie w każdych okolicznościach rozwiązanie to jest uzasadnione. Niezbędne jest zatem wzięcie pod uwagę z jednej strony takich fundamentalnych zasad jak prawo do prywatności i prawo swobody wyrażania opinii, z drugiej zaś strony uwzględnienie interesów publicznych, dotyczących zwłaszcza zwalczania przestępczości. W tym kontekście restrykcje prawne dotyczące anonimowości lub technicznych środków w tym zakresie powinny mieć charakter proporcjonalny oraz być ograniczone do zakresu pozwalającego respektować interesy powszechnie chronione w społeczeństwie demokratycznym. W omawianym dokumencie wskazano, że należy zainteresowanym umożliwić zachowanie anonimowości przy: przesyłaniu e-maili, pasywnym przeglądaniu zawartości sieci oraz nabywaniu większości towarów i usług w Internecie. Podkreślono poza tym, że jest wprawdzie niezbędna pewna kontrola w odniesieniu do dostawców zawartości (content providers) w Internecie (np. w odniesieniu do tzw. newsgroup), ale w wielu przypadkach wymóg identyfikowania się każdej zainteresowanej osoby trzeba by uznać za zbyt daleko idący i niepraktyczny.
Realizacji postulatu minimalizacji ujawnianych i zbieranych danych osobowych w transakcjach w sieciach komputerowych służy m.in. anonimowy system płatności związany ze stosowaniem swoistych elektronicznych portmonetek, a także podpis cyfrowy, który - zaznaczmy - wbrew swojej nazwie może być wykorzystywany także do wskazania takich atrybutów kontrahenta, ważnych w konkretnej sytuacji przy zawarciu umowy, jak wiek, miejsce zamieszkania (kraj), obywatelstwo, wpis do rejestru uprawniającego do nabywania określonych usług, członkostwo w określonym klubie .
6.Problemy kryptografii
9. Jednym z bardziej kontrowersyjnych problemów związanych z posługiwaniem się sieciami komputerowymi, a zwłaszcza Internetem, jest dopuszczalność stosowania metod kryptograficznych, w tym przekształcania komunikatów powszechnie zrozumiałych w komunikaty szyfrowane (kodowane), czytelne tylko dla odbiorcy dysponującego odpowiednim kluczem (kluczem deszyfrującym).
Rozliczne i zrozumiałe są uzasadnienia stosowania kryptografii w sieciach komputerowych. Chodzi o zapewnienie przede wszystkim prawa do prywatności, prawa do tajemnicy korespondencji (m.in. w zakresie posługiwania się pocztą elektroniczną). Trudno zaprzeczyć zasadności wykorzystania kryptografii w tych wszystkich przypadkach, gdy przy przekazywaniu danych pojawia się potrzeba dochowania tajemnicy finansowej lub handlowej. Nie chodzi zresztą o samą tylko kwestię poufności. Kryptografia ma też ustrzec przed praktykami określanymi jako spoofing, polegającymi na przechwytywaniu wiadomości przepływającej przez Internet, zmienianiu jej treści i puszczaniu w dalszą drogę do adresata. Innym niebezpiecznym procederem jest anulowanie poczty czy wymazywanie korespondencji kierowanej do grup dyskusyjnych. Metody kryptograficzne pozwalają też na identyfikację nadawcy i odbiorcy przekazywanych danych oraz zapobiegają zaprzeczeniu nadania lub odbioru. Zagadnienie kryptografii ma także duże znaczenie dla ochrony interesów konsumenta ze względu na konieczność zapewnienia poufności w handlu elektronicznym .
Należy dodać, że obywatelskie akcje na rzecz swobody kodowania treści przekazywanych przez Internet zyskały sprzymierzeńca w przemyśle komputerowym zainteresowanym zyskami ze sprzedaży programów kodujących. Bez obawy popełnienia większego błędu można stwierdzić, że niedopuszczenie do kodowania materiałów rozpowszechnianych w Internecie spowodowałoby, że jego wykorzystanie uległoby istotnemu ograniczeniu, a ponadto sieć ta stałaby się jeszcze bardziej dogodnym środkiem naruszania prawa i zasługujących na poszanowanie wartości. Niepewność co do nienaruszalności i poufności przekazywanych numerów kont bankowych, numerów identyfikacyjnych, elektronicznych pieniędzy może odebrać Internetowi całą jego komercyjną wartość. Pojawia się też opinia, że debata nad kryptografią to debata o być albo nie być Internetu .
Ze względu na to wszystko formułowane są często stanowcze postulaty domagające się wolności kodowania komunikatów w Internecie. Znalazły one swój wyraz m.in. w opracowanych w ramach OECD Guidelines for Cryptography Policy , a także w dokumencie Unii Europejskiej - Towards a European Framework for Digital Signatures and Encryption . Znajdujemy tam rozbudowaną argumentację zarówno przeciwko konieczności uzyskiwania zezwolenia na kodowanie informacji, jak i przeciwko ustanowieniu powszechnego obowiązkowego dostępu organizacji rządowych do klucza szyfrującego. Sugeruje się raczej wprowadzenie ustawowego dostępu do klucza szyfrującego jedynie dla tych sytuacji, w których jest to absolutnie konieczne, np. ze względu na bezpieczeństwo państwa. Dodajmy tu, że przeciwnicy swobodnego "podsłuchiwania" korespondencji elektronicznej, nawet jeśli zgadzają się na pewne ograniczenia jej tajemnicy, to jednak chcą, aby zapewnione zostały swobodne dokonywanie wyboru metody kodowania i niezakłócone jej stosowanie oraz utrzymywanie w tajemnicy klucza, tj. faktu zastosowania kodu, użytej metody oraz sposobu dekodowania. Uważają oni, nie bez racji, że ograniczenie prawa do tajemnicy powinno mieć swą podstawę jedynie w konkretnym postanowieniu sędziego, wydawanym według kryteriów podobnych do tych, jakie stosuje się przy decyzjach o przeszukaniu mieszkania.
Ogólnie rzecz ujmując, przeważa podejście dopuszczające, choć nie w pełni dowolne i nie we wszystkich przypadkach, stosowanie metod kryptograficznych. Wiele krajów jest obecnie na etapie wypracowania bądź ogólnych zasad , bądź już konkretnych rozstrzygnięć prawnych w tym zakresie. Równocześnie jednak podnoszone są z równym zaangażowaniem argumenty na rzecz zakazu kodowania przesyłanych informacji lub zakazu stosowania tzw. mocnego kodowania; proponowane jest także uzależnienie kodowania od uzyskania odpowiedniego zezwolenia. Ten punkt widzenia, za którym opowiadają się aktywnie policje i tajne służby państwowe (w USA zwłaszcza: Federalne Biuro Śledcze, Departament Sprawiedliwości i Agencja Bezpieczeństwa Narodowego), wspierany jest przykładami, które niosą ze sobą poważne zagrożenia dla bezpieczeństwa i porządku publicznego. Dotyczą one prowadzenia w sieciach agitacji przez skrajne organizacje polityczne działalności terrorystycznej, prowadzenia nielegalnych transakcji finansowych, rozpowszechniania pornografii itd. Ograniczenia w zakresie kodowania dyktowane są walką z organizacjami i grupami przestępczymi, które w przeciwnym razie mogłyby uzyskać efektywną, wolną od podsłuchu i niepoddającą się kontroli ze strony państwa międzynarodową sieć porozumiewania się.
Możliwość narażenia bezpieczeństwa narodowego stała się głównym motywem wprowadzenia, również w USA, pewnych środków zaradczych. Proponowane są tam dwa typy ograniczeń. Po pierwsze, chodzi o zakaz eksportu programów szyfrujących, w których do kodowania wykorzystuje się klucz dłuższy niż 40 bitów (tymczasem gdy stosowane jest tzw. mocne szyfrowanie, w praktyce niemożliwe do odkodowania, wykorzystywany jest klucz 128-bitowy). Po drugie, chodzi o ustawowy nakaz ujawnienia odpowiednim organom państwowym w określonych sytuacjach klucza szyfrującego (key escrow) lub równoważnych informacji (key recovery). Wolno byłoby kodować wiadomości tylko wówczas, gdy w odpowiednim urzędzie rządowym zostałby zdeponowany klucz dekodujący; w efekcie służby ochrony państwa miałyby w istocie możliwość rozszyfrowania każdego komunikatu. Krytycy tego rozwiązania porównują je do zobowiązania stosowania w drzwiach do mieszkań tylko określonej serii numerowanych zamków, przy produkcji których zawsze automatycznie drugi klucz dostarczany jest odpowiedniej władzy. W odpowiedzi na skargi, że wskutek tych przedsięwzięć amerykański przemysł komputerowy ponosi na rynkach międzynarodowych, w stosunku do krajów niewprowadzających wspomnianych ograniczeń eksportowych, istotne straty, przedstawiona została tzw. inicjatywa Clipper Chip. Pozwalała ona na instalowanie w urządzeniach procesorów kodujących, równocześnie jednak stwarzając władzom państwowym szerokie możliwości podsłuchu i deszyfrowania transmisji .
W USA promowane było ostatnio szczególnie drugie spośród wymienionych wyżej rozwiązań - związane z wprowadzeniem i rozpowszechnieniem tzw. key recovery; w istocie umożliwia ono niekontrolowany i niepozostawiający śladów dostęp do przekazywanej informacji. Jak pisze G. Browning, w ramach tego pomysłu programiści mieliby być zobowiązani do przekazania identyfikatorów zapisu programu kodowania osobom upoważnionym przez rząd federalny do ich przechowywania. W przypadku gdyby któraś z agencji ochrony prawa potrzebowała identyfikatora do odkodowania danych, musiałaby uzyskać odpowiedni nakaz sądowy zmuszający do jego wydania . Nawiązanie do takiego ograniczenia, w części (przewrotnie) uzasadnianego niebezpieczeństwem i kłopotami po stronie korzystających z sieci w przypadku zagubienia klucza, znajdujemy w rządowym raporcie A Framework for Global Electronic Commerce . W tym kontekście interesujące jest orzeczenie Sądu Federalnego z San Francisco z dnia 26 sierpnia 1997 r., w którym uznano, że ograniczenia eksportowe dotyczące techniki kryptograficznej, narzucone przez Departament Handlu, są sprzeczne z Konstytucją Stanów Zjednoczonych Ameryki, gdyż naruszają pierwszą do niej poprawkę (statuującą zasadę wolności słowa). Podnosi się także, że tego typu ograniczenia są sprzeczne z wolnością prasy i swobodą wypowiedzi akademickiej .
W projekcie angielskiego Electronic Communications Bill z dnia 23 czerwca 1999 r. zawarte są rozbudowane postanowienia dotyczące legalności kodowania materiałów rozpowszechnianych w Internecie, towarzyszy im jednak zobowiązanie do ujawnienia klucza szyfrującego w oznaczonych sytuacjach, związanych z uprawnieniem osoby żądającej klucza m.in. do dokonania przeszukania, zajęcia lub podsłuchu.
7.Kodeksy etyczne
10. Ze względu na opóźnienia w tworzeniu ustaw dotyczących danych osobowych oraz ich adaptację w wielu krajach dla środowiska sieci komputerowych tworzone są, niekiedy dla określonych gałęzi przemysłu, tzw. samoregulacje, tj. swoiste kodeksy etyczne skierowane na ochronę prywatności. Definiowane są one jako zasady postępowania opracowane i egzekwowane przez podmioty, które są równocześnie adresatem norm w nich zawartych . Nie znaczy to jednak, że zawsze organy publiczne są pozbawione jakiejkolwiek roli związanej z funkcjonowaniem kodeksów etycznych, niekiedy podlegają one nawet oficjalnemu zatwierdzaniu i uzyskują wówczas moc prawną (tak np. w Irlandii i Nowej Zelandii). Najczęściej jednak rola organów publicznych ogranicza się do promowania tworzenia kodeksów etycznych dla tej sfery działalności i ewentualnej współpracy przy ustalaniu ich treści.
Z reguły omawiane kodeksy zawierają wymogi: uczciwego zbierania danych osobowych (wiążącego się zwłaszcza z uprzednim informowaniem jednostki o zbieraniu informacji jej dotyczących), ograniczania zakresu ich wykorzystywania, zgodności danych z rzeczywistością; opowiadają się też za możliwością zakwestionowania przez jednostkę przekazania swoich danych w ramach transakcji sprzedaży bazy danych. Odrębna część tych kodeksów dotyczy wymogu wyraźnego ich prezentowania konsumentom. Chodzi tu m.in. o wskazanie, jakie informacje są zbierane, przedstawienie katalogu opcji, jakie ma konsument (użytkownik) w odniesieniu do zbierania i wykorzystywania jego danych, materiały dotyczące bezpieczeństwa danych. Kodeksy takie zawierają również z reguły odpowiedni system rozpatrywania skarg konsumentów. Przykładem jest tu DMA’s Personal Information Protection Guidelines , ISA’s Online Operators’ Data Collection Principles , OPA’s Guidelines for Online Privacy Polices .
Swoistym uzupełnieniem powyższych kodeksów etycznych jest inicjatywa World Wide Web Consortium (W3W), organizacji zrzeszającej 250 podmiotów, która z końcem 1998 r. zgłosiła projekt Platform for Privacy Preferences Project (P3P). Istota tego rozwiązania polega na uprzednim uwidocznieniu użytkownikowi, w sposób przejrzysty i dla niego zrozumiały, praktyk w zakresie zabezpieczenia prywatności danej jednostki działającej w ramach stron WWW. Chodzi tu zwłaszcza o uwidocznienie takich kwestii, jak: rodzaj zbieranych danych, możliwość ich wtórnego wykorzystywania, zasady udostępniania osobom trzecim. Na podstawie takich informacji użytkownik może w trybie automatycznym - według uprzednio zdefiniowanych preferencji - przyjąć lub odrzucić "podłączenie się" w trakcie serfowania po sieci do określonego miejsca w Internecie udostępniającego zasoby lub usługę (site) .
Należy tu wspomnieć także o zaleceniach dla ochrony jednostek w związku ze zbieraniem i przetwarzaniem danych osobowych w sieciach komputerowych z 1999 r., opracowanych w ramach Rady Europy . Zawierają one podstawowe reguły, których powinni przestrzegać dostawcy zawartości i dostawcy usług w sieciach komputerowych, oraz uwidoczniają niebezpieczeństwa, jakie dla ochrony prawa do prywatności stwarza Internet, a także sposoby ich ograniczania. Zalecenia zostały podzielone na dwie podstawowe części (odnoszącą się do użytkowników i dostawców usług) i z założenia są przeznaczone do zastosowania przy tworzeniu kodeksów etycznych adresowanych do podmiotów korzystających z sieci.
8.Dochodzenie naruszeń ochrony danych osobowych
11. Zastanawiając się nad zasadami ochrony naruszeń prawa do danych osobowych, należy w pierwszej kolejności wskazać na możliwości dostępne przed dokonaniem czynu bezprawnego. Chodzi tu przede wszystkim o coraz powszechniejszy standard polegający na wydaniu zapewnienia, że określone postępowanie jest zgodne z przyjętymi zasadami (w tym także z kodeksami etycznymi). Takie swoiste działania audytingowe są współcześnie prowadzone m.in. przez niezależne organizacje typu non profit , stowarzyszenia gwarantujące istnienie odpowiednich standardów . Niekiedy warunkiem członkostwa w określonym stowarzyszeniu branżowym jest spełnienie wymogów dotyczących zapewnienia należytej ochrony prywatności w sieci komputerowej .
Wobec naruszenia prawa do ochrony danych osobowych ochrona może być zrealizowana już na poziomie relacji pomiędzy uprawnionym a naruszającym. Skuteczne mogą być także środki przewidziane w statutach organizacji i stowarzyszeń działających w tej sferze. Chodzi tu o możliwość zastosowania następujących środków prawnych: publikacja nazwy naruszającego na specjalnej powszechnie dostępnej liście, odebranie certyfikatu potwierdzającego przestrzeganie ustalonych zasad ochrony prywatności, wykluczenie z danej organizacji . W przypadku istnienia umowy pomiędzy naruszającym a daną organizacją istnieje także możliwość dochodzenia odpowiednich roszczeń na podstawie takiej umowy. Zasadnicze znaczenie dla ochrony danych osobowych ma oczywiście ochrona administracyjna, a także - choć w istocie w węższym zakresie - cywilna i karna.
Ciekawą podstawę ochrony, specyficzną dla przetwarzania danych osobowych w sieciach komputerowych, stanowi odpowiedzialność kontraktowa. Można się bowiem dopatrywać istnienia pomiędzy użytkownikiem końcowym a właścicielem strony WWW umowy zawartej w trybie on-line także w odniesieniu do zasad przetwarzania danych. Dotyczy to sytuacji, gdy właściciel strony WWW zamieszcza na niej własne reguły przetwarzania danych, a użytkownik bądź wyraża zgodę na ich stosowanie (za pomocą akceptującego znaku) do danej umowy, bądź godzi się na ich wykorzystanie, zawierając inną umowę z tym samym podmiotem. W tym ostatnim przypadku można twierdzić, że zasady przetwarzania danych przez właściciela strony stanowią accidentalia negotii umowy .
9.Zagadnienia jurysdykcji
12. Ponadkrajowy charakter sieci komputerowych przesądza o szczególnym znaczeniu problematyki jurysdykcyjnej dla stosowania ustaw o ochronie danych osobowych ze względu na przetwarzanie danych w tym środowisku. Ogólnie rzecz ujmując, o stosowaniu ustawy danego kraju decyduje miejsce przechowywania danych osobowych; w niektórych ustawach krajowych przyjmuje się także właściwość miejsca, w którym zlokalizowane są serwery zbierające dane i obsługujące daną stronę WWW .
10.Poszanowanie praw autorskich a ochrona danych osobowych
13. Na zasygnalizowanie w tym opracowaniu zasługuje - naszym zdaniem - także swoisty styk ochrony danych osobowych z wykonywaniem praw autorskich. Otóż rozwój techniki cyfrowej stwarza wcześniej nieznane możliwości ochrony praw autorskich, jeżeli chodzi o eksploatowanie chronionych utworów w sieciach komputerowych. Najogólniej rzecz ujmując, w rachubę wchodzą tu z jednej strony środki techniczne (w tym programy komputerowe) przeznaczone do zabezpieczenia przed nieuprawnionym dostępem do utworu lub kopiowaniem go, z drugiej zaś strony - swoiste cyfrowe nalepki identyfikujące na utworach pozwalające na elektroniczne zarządzanie prawami autorskimi wtedy, gdy utwór jest rozpowszechniany w sieci .
Należy jednak zaznaczyć, że używanie tego rodzaju środków, a zwłaszcza systemu elektronicznego zarządzania prawami autorskimi, nie jest bez znaczenia dla kwestii ochrony danych osobowych. Chodzi bowiem o to, że system taki, określany często jako ECMS (electronic copyright management system), oparty jest na powiązaniu z każdym dziełem jednostkowego oznaczenia (zbliżonego charakterem do stosowanego na rynku księgarskim ISBN) . W odpowiednim banku danych mają być gromadzone tego rodzaju informacje oraz, co szczególnie interesujące dla omawianej tematyki, informacje dotyczące osób korzystających z dzieła, w tym uzyskujących licencję na określoną formę ich eksploatacji oraz tylko przeglądających dzieło (browsing) w celu podjęcia decyzji w tej sprawie. Można zasadnie bronić zdania, że tego rodzaju bank danych powinien oczywiście być poddany ogólnym regułom przewidzianym dla ochrony danych osobowych i posługiwania się ich zbiorami.
Pojawiający się konflikt pomiędzy ochroną prawa do prywatności a skuteczną ochroną i efektywnym sprawowaniem zarządu prawami autorskimi w środowisku sieci informatycznych dotyczy także możliwości monitorowania ewentualnego naruszania praw autorskich przez użytkowników sieci (bądź w celu obciążenia go opłatami licencyjnymi, bądź w celu wszczęcia procesu o naruszenie praw autorskich) oraz blokowania dostępu do utworów znajdujących się dotychczas w sferze użytku prywatnego .
Wydaje się, że ograniczenia w stosowaniu omawianych systemów elektronicznego zarządzania prawami autorskimi i metod ochrony tych praw powinny mieć swoją jedyną podstawę w imperatywnych, generalnych normach ustaw i konwencji międzynarodowych dotyczących ochrony danych osobowych. Oznacza to respektowanie takich m.in. standardów, jak: obowiązek uprzedniego poinformowania użytkownika sieci o zbieraniu danych osobowych go dotyczących, dopuszczenie w szerokim zakresie możliwości zachowania anonimowości lub działania pod pseudonimem przez osoby korzystające z utworów w sieci, ograniczenie zakresu wykorzystywania danych osobowych zgodnie z ogólnie przyjętymi regułami, zapewnienie zainteresowanemu możliwości dostępu do danych go dotyczących łącznie z możliwością ich poprawienia .
Dodajmy w tym miejscu, że US Digital Millenium Copyright Act z dnia 28 października 1998 r. jest chyba pierwszą na świecie ustawą z zakresu prawa autorskiego, która wprowadzając ochronę przed usuwaniem technicznych zabezpieczeń dzieła, z czym związana jest możliwość kontroli dostępu do niego, zwraca uwagę także na ochronę danych osobowych. Otóż sec. 1201(1) tej ustawy przewiduje dopuszczalność usuwania tego rodzaju zabezpieczeń w celu stwierdzenia przez zainteresowany podmiot, czy istnieją środki techniczne, takie jak cookies, które mogą zbierać lub ujawniać informacje o "działaniach w sieci" określonej osoby. Postępowanie takie jest dopuszczalne, o ile spełnione są dwa warunki: po pierwsze, osoba ta nie została uprzednio poinformowana w sposób odpowiedni o zbieraniu tego rodzaju informacji i możliwości niewyrażenia zgody na takie działanie; po drugie, usunięcie tych środków nie może spowodować utrudnień dla innych osób w dostępie do danego dzieła.
11.Postulaty w sprawie ochrony danych osobowych w sieciach komputerowych
14. W odniesieniu do ochrony danych osobowych w sieciach komputerowych, czy szerzej - teleinformatycznych, w literaturze najczęściej formułowane są następujące postulaty:
urządzenia internetowe, łącznie z programami, powinny (automatycznie) uprzednio (a zatem przed "przejęciem" danych) informować każdego użytkownika o wszystkich danych zbieranych o nim w trakcie korzystania z sieci, o sposobie oraz celu ich wykorzystywania, a także umożliwiać mu dostęp do nich w późniejszym czasie ;
informacje w sprawie zbierania danych, o których mowa w pkt 1, powinny być zawsze połączone z przyznaniem użytkownikowi prawa do decydowania o zakresie zbierania i wykorzystywania danych;
tylko w takim zakresie, w jakim z punktu widzenia funkcjonowania sieci lub danej usługi konieczne jest przetwarzanie określonych danych osobowych, odmowa zgody na ich pozyskiwanie ze strony użytkownika może być podstawą pozbawienia możliwości korzystania z sieci (usługi) w odpowiednim zakresie ;
należy dążyć do takiego opracowania urządzeń internetowych i standardów, by umożliwiały one automatyczne (po uprzednim jednorazowym określeniu preferencji użytkownika) dokonywanie wyborów w kwestii zbierania o nim danych;
dostawca usług w sieci powinien informować użytkownika końcowego o:
zagrożeniach dla ochrony prywatności związanych z korzystaniem z sieci,
technicznych środkach ograniczających niebezpieczeństwa związane z przechwytywaniem lub modyfikowaniem materiałów przesyłanych w sieci (np. kodowanie, podpis elektroniczny),
możliwości korzystania z Internetu anonimowo lub z wykorzystaniem pseudonimu ;
w przypadku gdy w związku z korzystaniem z danej strony WWW następuje jakiekolwiek przetwarzanie danych osobowych, strona ta powinna być tak zaprojektowana, aby w sposób wyraźny zawarte w niej było łatwo dostępne odesłanie do przyjętych zasad co do przetwarzania takich danych, łącznie z warunkami dostępu każdej jednostki do własnych danych osobowych i warunkami anonimowego korzystania ;
urzędy zajmujące się wydawaniem elektronicznych certyfikatów stosowanych do potwierdzenia tożsamości użytkowników, a zwłaszcza tzw. podpisu cyfrowego, powinny być ustawowo zobowiązane do uzyskiwania danych osobowych jedynie bezpośrednio od osób, których one dotyczą, i tylko w zakresie koniecznym do wydania i utrzymywania certyfikatu. Wykorzystywanie danych w szerszym zakresie może być dokonywanie jedynie na podstawie wyraźnej zgody zainteresowanego. Ponadto urzędy certyfikacyjne powinny być uprawnione do wydawania certyfikatów na pseudonim zamiast na nazwisko podpisującego .
Warto w tym miejscu przywołać Recommendation 2/2001 on certain minimum requirements for collecting personal data on-line in the European Union z dnia 17 maja 2001 r. , w której podano konkretne wymogi stosowania obowiązującej dyrektywy w Internecie. Zasady wyrażone w tej rekomendacji odnoszą się do:
określenia minimum koniecznych informacji, które musi dostarczyć osoba zbierająca dane osobowe z wykorzystaniem sieci komputerowej,
sposobu przekazania tych informacji zainteresowanemu podmiotowi,
realizacji w sieci innych zobowiązań określonych w dyrektywie oraz
zasad zbierania adresów internetowych w celu marketingu bezpośredniego oraz rozpowszechniania biuletynów informacyjnych do użytkowników sieci.
12.Polska ustawa o świadczeniu usług drogą elektroniczną
15. Uwagi ogólne. Dnia 18 lipca 2002 r. uchwalona została ustawa o świadczeniu usług drogą elektroniczną (tekst jedn.: Dz. U. z 2013 r. poz. 1422), która ma niewątpliwie istotne znaczenie dla problematyki ochrony danych osobowych w sieciach teleinformatycznych. Nie wdając się w dogłębną analizę całej ustawy , poniżej przedstawimy ogólną jej charakterystykę, natomiast nieco bardziej szczegółowo omówimy jedynie zawarte w niej przepisy odnoszące się do przetwarzania i ochrony danych osobowych .
Ustawa o świadczeniu usług drogą elektroniczną implementuje na grunt polskiego systemu prawnego przepisy dyrektywy 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (Dz. Urz. WE L 178 z 17.07.2000, s. 1; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 25, s. 399) , wkracza także w obszar regulacji dyrektywy 2002/58/WE . W zakresie problematyki ochrony danych osobowych omawiana ustawa wzorowana była na niemieckiej ustawie o ochronie danych przy teleusługach (TDDSG).
Ustawa tworzy zasadnicze ramy prawne dla elektronicznego obrotu handlowego (z wykorzystaniem Internetu lub innych nowych usług informacyjnych i komunikacyjnych) . Jednak nie obejmuje ona przepisów odnoszących się do problematyki zawierania umów drogą elektroniczną. Odpowiednie przepisy w tym zakresie zostały dodane do kodeksu cywilnego w wyniku nowelizacji dokonanej ustawą z dnia 14 lutego 2003 r. o zmianie ustawy - Kodeks cywilny oraz niektórych innych ustaw (Dz. U. Nr 49, poz. 408) .
Podstawowym pojęciem, jakim posługuje się ustawa, jest "świadczenie usług drogą elektroniczną", które nawiązuje w swojej istocie do występującego w dyrektywie o handlu elektronicznym pojęcia usługi społeczeństwa informacyjnego . Świadczeniem usług drogą elektroniczną, w myśl przepisu art. 2 pkt 4 u.ś.u.d.e. po nowelizacji , jest wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), przez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (tekst jedn.: Dz. U. z 2014 r. poz. 243 z późn. zm.). W pierwotnym tekście ustawy definicja ta zbyt wąsko ujmowała kwestię wykonywania usług, sprowadzając ją jedynie do "wysyłania i odbierania danych", co w rezultacie mogło prowadzić do nieuzasadnionego ograniczenia zakresu stosowania przepisów ustawy, na co zwracaliśmy uwagę w poprzednim wydaniu niniejszego komentarza . W preambule do dyrektywy 2000/31/WE wyjaśniono, że chodzi tu o szeroki zakres działań gospodarczych, które mają miejsce on-line (tj. w trybie bezpośredniego dostępu do sieci); w szczególności działania te mogą polegać na sprzedaży towarów on-line, obejmują także usługi, które nie są wynagradzane przez otrzymujące je podmioty, np. usługi oferujące informację (dość często płaci za nie podmiot trzeci, np. zlecający reklamę), usługi dostarczania narzędzi pozwalających wyszukiwać, uzyskiwać dostęp i pobierać dane, usługi polegające na transmisji informacji przez sieci i na zapewnianiu dostępu do sieci lub przechowywaniu informacji dostarczanych przez otrzymujących usługi. Poza zakresem regulacji pozostają m.in.: działalność polegająca na dostarczaniu towarów (nawet jeżeli stanowi realizację umowy zawartej on-line) lub świadczeniu usług off-line, stosunki umowne między pracownikiem a pracodawcą oraz działania, które ze swej natury nie mogą być dokonane na odległość i za pomocą środków elektronicznych (np. statutowe kontrole rachunkowości przedsiębiorstwa, poradnictwo medyczne wymagające fizycznego badania pacjenta itp.) .
Ustawy, zgodnie z art. 3 u.ś.u.d.e., nie stosuje się do: rozpowszechniania i rozprowadzania programów radiowych i telewizyjnych oraz związanych z nimi przekazów tekstowych (z wyłączeniem programów rozpowszechnianych wyłącznie w systemie teleinformatycznym); używania poczty elektronicznej lub innego równorzędnego środka komunikacji elektronicznej między osobami fizycznymi w celach osobistych niezwiązanych z prowadzoną przez te osoby, chociażby ubocznie, działalnością zarobkową lub wykonywanym przez nie zawodem; świadczenia przez przedsiębiorcę telekomunikacyjnego usług telekomunikacyjnych, z wyłączeniem art. 12-15 u.ś.u.d.e. (zastosowanie więc mają przepisy dotyczące ograniczenia odpowiedzialności związanej ze świadczeniem usługi tzw. prostego przekazu danych, usługi automatycznego krótkotrwałego przechowywania danych w celu przyspieszenia dostępu do tych danych oraz usługi udostępniania zasobów systemu teleinformatycznego w celu przechowywania danych); a także świadczenia usług drogą elektroniczną, jeżeli odbywa się ono w ramach struktury organizacyjnej usługodawcy, przy czym usługa świadczona drogą elektroniczną służy wyłącznie do kierowania pracą lub procesami gospodarczymi tego podmiotu.
Wyłączenie stosowania przepisów omawianej ustawy w odniesieniu do operatorów telekomunikacyjnych poddane zostało krytyce w literaturze przedmiotu z uwagi na to, że pozostawiało poza zakresem regulacji istotną część problematyki będącej przedmiotem dyrektywy 2002/58/WE. Sytuacja ta uległa zmianie wskutek uchwalenia ustawy - Prawo telekomunikacyjne zawierającej szczegółowe przepisy odnoszące się do ochrony danych osobowych, implementujące wspomnianą dyrektywę .
Dokonana w 2008 r. nowelizacja omawianej ustawy wprowadziła zasadę państwa pochodzenia (art. 3a ust. 1 u.ś.u.d.e.), zgodnie z którą świadczenie usług drogą elektroniczną podlega prawu państwa członkowskiego Unii Europejskiej oraz Europejskiego Porozumienia o Wolnym Handlu (EFTA) - strony umowy o Europejskim Obszarze Gospodarczym, na którego terytorium usługodawca ma miejsce zamieszkania lub siedzibę. W ustawie przewidziano jednak wiele wyjątków od tej zasady (art. 3a ust. 2 i 3 u.ś.u.d.e.).
W ustawie zdefiniowano kilka podstawowych pojęć. Wśród nich znalazły się m.in. definicje kategorii podmiotów, do których odnosi się omawiana regulacja prawna. I tak, usługodawcą w rozumieniu ustawy jest osoba fizyczna, osoba prawna albo jednostka organizacyjna niemająca osobowości prawnej, która prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową, świadczy usługi drogą elektroniczną. Usługodawcą może być zarówno podmiot, który decyduje o treści udostępnianych usług (content provider), jak i podmiot, który jedynie pośredniczy w dostępie do treści takich usług (intermediary service provider). Ustawa nie wymaga od usługodawcy uzyskania zezwolenia ani koncesji na prowadzenie działalności w omawianym zakresie, co nie narusza jednak obowiązków wynikających z innych przepisów . Natomiast za usługobiorcę ustawa uznaje osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieającą osobowości prawnej, która korzysta z usługi świadczonej drogą elektroniczną.
16. Obowiązki usługodawców. Ustawa nakłada na podmioty świadczące usługi drogą elektroniczną wiele obowiązków. Znaczna ich część to obowiązki o charakterze informacyjnym. Powodem wprowadzenia tych obowiązków była potrzeba zapewnienia transparentności świadczenia usług będących przedmiotem omawianej regulacji prawnej. Wynika ona stąd, że w środowisku globalnej sieci komputerowej, w okolicznościach działania wielu podmiotów w sposób anonimowy, szczególnego znaczenia nabiera możliwość zidentyfikowania usługodawcy i dokonania jego oceny, co może pozwolić zminimalizować ryzyko związane z korzystaniem z usług. Zgodnie z przepisami ustawy usługodawca powinien podać informacje podstawowe, które pozwolą na jego identyfikację (adresy elektroniczne, imię, nazwisko, miejsce zamieszkania i adres albo nazwę lub firmę, siedzibę i adres). Informacje te powinny być podane w sposób wyraźny, jednoznaczny i bezpośrednio dostępny w systemie teleinformatycznym, którym posługuje się usługobiorca (np. na stronie WWW). Jeżeli usługodawcą jest przedsiębiorca, ma on także obowiązek podać informacje dotyczące właściwego zezwolenia i organu zezwalającego, jeżeli takie zezwolenie jest wymagane na podstawie odrębnych przepisów, natomiast gdy usługodawcą jest osoba fizyczna, której prawo do wykonywania zawodu jest uzależnione od spełnienia określonych w odrębnych ustawach wymagań, powinna ona podać również informacje dodatkowe, dotyczące: pełnomocnika (jeśli został ustanowiony); samorządu zawodowego, do którego osoba ta należy; tytułu zawodowego; numeru w odpowiednim rejestrze publicznym oraz właściwych zasad etyki zawodowej i sposobu uzyskania do nich dostępu (art. 5 u.ś.u.d.e.). Ponadto ustawa nakłada na usługodawców obowiązek zapewnienia usługobiorcy dostępu do aktualnych informacji natury technicznej (art. 6 u.ś.u.d.e.), mianowicie: informacji o szczególnych zagrożeniach, jakie wiążą się z korzystaniem z usługi świadczonej drogą elektroniczną (np. o wirusach, o niebezpieczeństwie zapoznania się z treścią informacji przesyłanych bez korzystania z odpowiednich zabezpieczeń itp.), oraz informacji o funkcji i celu oprogramowania lub danych niebędących składnikiem treści usługi, wprowadzanych przez usługodawcę do systemu teleinformatycznego, którym posługuje się usługobiorca (np. o programach generujących tzw. pliki cookies). Wskazane powyżej obowiązki informacyjne mają zapewnić usługobiorcy nie tylko odpowiednią wiedzę dotyczącą usługodawcy (co może pomóc przy ocenie jego wiarygodności i ewentualnym dochodzeniu roszczeń), ale także świadomość zagrożeń (co powinno skłonić użytkownika do ostrożności i rozwagi przy korzystaniu z usług świadczonych drogą elektroniczną).
Kolejnym obowiązkiem, jaki na usługodawców nakłada ustawa o świadczeniu usług drogą elektroniczną w art. 7, jest wymóg zapewnienia odpowiedniego działania systemu teleinformatycznego. Dotyczy to w szczególności nieodpłatnego umożliwienia usługobiorcy korzystania z usług w taki sposób, aby do treści przekazu będącego przedmiotem usługi nie miały dostępu osoby nieuprawnione, a także zapewnienia jednoznacznej identyfikacji stron oraz potwierdzenia złożenia oświadczeń woli i ich treści. W przypadku gdy właściwości usługi tego wymagają, na usługodawcy ciąży więc obowiązek zabezpieczenia treści przekazywanych informacji przy wykorzystaniu technik kryptograficznych (przesyłania danych w postaci zaszyfrowanej) oraz zastosowania odpowiednich metod weryfikacji tożsamości usługobiorcy. Omawiana regulacja prawna odsyła w tym zakresie do ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (tekst jedn.: Dz. U. z 2013 r. poz. 262 z późn. zm.), która określa m.in. kwestie związane z używaniem tzw. bezpiecznego podpisu elektronicznego. Oprócz tego usługodawca powinien zapewnić usługobiorcy możliwość zakończenia korzystania z usługi w każdej chwili, gdy tylko użytkownik uzna to za stosowne.
Usługodawca ma również obowiązek opracowania regulaminu świadczenia usług drogą elektroniczną, w którym powinny zostać określone co najmniej: rodzaje i zakres usług, szczegółowe warunki świadczenia usług (dotyczące m.in. wymagań technicznych niezbędnych do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca, oraz zakazu dostarczania przez usługobiorcę treści o charakterze bezprawnym), warunki zawierania i rozwiązywania umów, a także tryb postępowania reklamacyjnego. Treść regulaminu powinna być nieodpłatnie udostępniona usługobiorcy przed zawarciem umowy, jak również na każde żądanie usługobiorcy, w sposób, który umożliwia pozyskanie, odtwarzanie i utrwalanie treści regulaminu za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca. W praktyce oznacza to, że usługobiorca korzystający z usług świadczonych drogą elektroniczną, np. za pośrednictwem przeglądarki internetowej, powinien mieć możliwość skopiowania regulaminu na dysk swojego komputera oraz możliwość wydrukowania tekstu regulaminu. Jest to niezwykle istotne z uwagi na to, że stosownie do przepisu art. 8 u.ś.u.d.e. usługodawca ma obowiązek świadczyć usługi zgodnie z regulaminem, a usługobiorca nie jest związany tymi postanowieniami regulaminu, które nie zostały mu udostępnione we wskazany w ustawie sposób.
17. Przesyłanie informacji handlowych. W ustawie o świadczeniu usług drogą elektroniczną uregulowano także kwestie związane z przesyłaniem informacji handlowych za pomocą środków komunikacji elektronicznej. Artykuł 2 pkt 2 u.ś.u.d.e. zawiera definicję informacji handlowej, która obejmuje swoim zakresem informacje przeznaczone bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy albo osoby wykonującej zawód regulowany, z pewnymi jednak wyjątkami . Ustawa nakłada obowiązek wyraźnego wyodrębnienia takich informacji i oznaczenia ich w sposób niebudzący wątpliwości, że są to informacje handlowe. Informacja handlowa powinna zawierać m.in.: oznaczenie podmiotu, na którego zlecenie jest ona rozpowszechniana, oraz jego adresy elektroniczne, wyraźny opis form działalności promocyjnej, a także wszelkie informacje, które mogą mieć wpływ na określenie zakresu odpowiedzialności stron, w szczególności ostrzeżenia i zastrzeżenia . Poważnym problemem, z którym borykają się użytkownicy Internetu, jest otrzymywanie niezamówionych przesyłek (tzw. spam). Odbieranie i usuwanie tego rodzaju materiałów jest uciążliwe, czasochłonne, a niekiedy też kosztowne (gdy przesyłki tego rodzaju mają znaczny rozmiar, a użytkownik ponosi opłaty stosownie do ilości przesyłanych danych). W ustawie o świadczeniu usług drogą elektroniczną zawarto ogólny zakaz przesyłania niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny (np. adres e-mail). W ten sposób polski ustawodawca przyjął konstrukcję określaną jako opt-in, zgodnie z którą możliwość przesyłania informacji handlowych uzależniona jest od uzyskania uprzedniej zgody odbiorcy, w przeciwieństwie do konstrukcji opt-out, która zakłada dopuszczalność przesyłania niezamówionych materiałów, o ile odbiorca się temu nie sprzeciwi. Rozwiązanie przyjęte w ustawie o świadczeniu usług drogą elektroniczną odpowiadało regule zawartej w art. 6 ust. 3 ustawy z dnia 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny (tekst jedn.: Dz. U. z 2012 r. poz. 1225), w myśl której posłużenie się telefonem, wizjofonem, telefaksem, pocztą elektroniczną, automatycznym urządzeniem wywołującym lub innym środkiem komunikacji elektronicznej w celu złożenia propozycji zawarcia umowy może nastąpić wyłącznie za uprzednią zgodą konsumenta . Zgoda taka, zważywszy na przepis art. 4 u.ś.u.d.e., nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści oraz może być odwołana w każdym czasie, a obowiązek wykazania uzyskania zgody do celów dowodowych obciąża usługodawcę. Przesyłanie niezamówionej informacji handlowej uznane zostało za czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy o zwalczaniu nieuczciwej konkurencji. Ponadto art. 24 u.ś.u.d.e. uznaje złamanie zakazu przesyłania niezamówionych informacji handlowych za wykroczenie zagrożone karą grzywny oraz stanowi, że ściganie tego wykroczenia następuje na wniosek pokrzywdzonego.
18. Wyłączenie odpowiedzialności usługodawcy. Istotnym problemem związanym ze świadczeniem usług w Internecie jest kwestia odpowiedzialności za naruszenie prawa. Sprowadza się ona do odpowiedzi na pytanie, kto ponosi odpowiedzialność za treści udostępniane w sieci. Nie ulega wątpliwości, że usługodawca za informacje, które wprowadza do sieci i o których treści decyduje, odpowiada na zasadach ogólnych. Wątpliwości pojawiają się wówczas, gdy o treści wprowadzanych do sieci informacji decyduje inny podmiot. Ogólne zasady odpowiedzialności z uwagi na specyfikę świadczonych usług oraz bierny, wyłącznie techniczny charakter działań usługodawcy ulegają tu pewnym modyfikacjom. W ustawie o świadczeniu usług drogą elektroniczną przewidziane zostały trzy sytuacje wyłączenia odpowiedzialności usługodawcy z tytułu świadczenia usług drogą elektroniczną. Pierwsza z nich to tzw. prosty przekaz danych (mere conduit). Nie ponosi odpowiedzialności za przekazywane dane ten, kto dokonuje jedynie transmisji danych bez ingerencji w ich treść (nie usuwa ani nie modyfikuje danych), przy czym nie jest on inicjatorem przekazu danych, nie wybiera odbiorcy przekazu danych ani nie wybiera, ani nie modyfikuje informacji zawartych w przekazie. Dotyczy to także zapewnienia dostępu do sieci telekomunikacyjnej oraz automatycznego i krótkotrwałego przechowywania transmitowanych danych dokonywanego w celu realizacji transmisji. Druga z sytuacji ujętych w ustawie o świadczeniu usług drogą elektroniczną określana jest angielskim terminem caching. Odnosi się ona do wyłączenia odpowiedzialności za przechowywanie danych, gdy transmisja danych oraz ich automatyczne i krótkotrwałe pośrednie przechowywanie dokonywane jest w celu przyspieszenia ponownego dostępu do nich na żądanie innego podmiotu. Warunkiem wyłączenia odpowiedzialności jest to, aby podmiot świadczący takie usługi nie modyfikował danych, posługiwał się uznanymi i stosowanymi zwykle w tego rodzaju działalności technikami informatycznymi określającymi parametry techniczne dostępu do danych i ich aktualizowania (służą temu tzw. serwery proxy) oraz nie zakłócał posługiwania się technikami informatycznymi uznanymi i stosowanymi zwykle w tego rodzaju działalności w zakresie zbierania informacji o korzystaniu ze zgromadzonych danych (np. licznikami pobrań danej strony WWW). Podmiot świadczący usługi cachingu ma obowiązek niezwłocznego usunięcia danych albo uniemożliwienia dostępu do przechowywanych danych w przypadku, gdy uzyska wiadomość o tym, że dane zostały usunięte z początkowego źródła transmisji lub dostęp do nich został uniemożliwiony albo gdy sąd lub inny właściwy organ nakazał usunięcie danych lub uniemożliwienie dostępu do nich. Za działania polegające na usunięciu lub uniemożliwieniu dostępu do takich danych usługodawca nie ponosi odpowiedzialności. Trzecia sytuacja odnosi się do usług określanych jako tzw. hosting. Usługa ta polega na udostępnianiu zasobów systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę (np. udostępnienie na serwerze miejsca do umieszczenia strony WWW oraz zapewnienie innym użytkownikom dostępu do tej strony). Usługodawca, który nie wie o bezprawnym charakterze przechowywanych na jego serwerze danych lub związanej z nimi działalności, nie ponosi odpowiedzialności za ich przechowywanie. Usługodawca, który otrzymał urzędowe zawiadomienie lub uzyskał wiarygodną wiadomość o bezprawnym charakterze danych lub związanej z nimi działalności, powinien niezwłocznie uniemożliwić dostęp do tych danych. W przypadku uzyskania urzędowego zawiadomienia o bezprawnym charakterze dostarczonych przez usługobiorcę danych i uniemożliwienia dostępu do nich usługodawca nie ponosi odpowiedzialności względem usługobiorcy za powstałą w wyniku tego szkodę. W przypadku uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych i uniemożliwienia dostępu do nich wyłączenie odpowiedzialności usługodawcy ma miejsce wówczas, gdy niezwłocznie zawiadomi on usługobiorcę o zamiarze uniemożliwienia do nich dostępu. Wyłączenie odpowiedzialności nie będzie miało miejsca, jeżeli usługodawca przejął kontrolę nad usługobiorcą w rozumieniu przepisów ustawy z dnia 15 grudnia 2000 r. o ochronie konkurencji i konsumentów (tekst jedn.: Dz. U. z 2015 r. poz. 184).
Warto podkreślić, że ustawa o świadczeniu usług drogą elektroniczną nie nakłada na usługodawców ogólnego obowiązku sprawdzania przekazywanych, przechowywanych lub udostępnianych przez nich danych. Obowiązek taki byłby zresztą ze względów technicznych trudny do wykonania (jeżeli w ogóle możliwy), a co ważniejsze, oznaczałby naruszenie gwarantowanej w art. 49 Konstytucji RP wolności i tajemnicy komunikowania się.
19. Ochrona danych osobowych - zagadnienia ogólne. Problematyka ochrony danych osób korzystających z usług świadczonych drogą elektroniczną uregulowana została w rozdziale 4 u.ś.u.d.e. Omawiana ustawa stanowi lex specialis w stosunku do ustawy o ochronie danych osobowych. Normy zawarte w ustawie o świadczeniu usług drogą elektroniczną uwzględniają specyfikę sektorową tej dziedziny działalności, przez co stanowią dopełnienie i uszczegółowienie ogólnych przepisów zawartych w ustawie o ochronie danych osobowych. Z tego względu uzasadniony jest wniosek, że przepisy ustawy o świadczeniu usług drogą elektroniczną przewidują dalej idącą ochronę w rozumieniu art. 5 u.o.d.o., a więc wyłączają stosowanie odpowiednich przepisów ustawy o ochronie danych osobowych. Potwierdza to również przepis art. 16 ust. 1 u.ś.u.d.e., który do przetwarzania danych osobowych w związku ze świadczeniem usług drogą elektroniczną nakazuje stosować przepisy ustawy o ochronie danych osobowych, o ile przepisy rozdziału 4 u.ś.u.d.e. nie stanowią inaczej. Oznacza to, że ustawa o ochronie danych osobowych nie znajduje zastosowania do tych kwestii związanych z przetwarzaniem danych osobowych przez usługodawców, które zostały szczegółowo uregulowane w ustawie o świadczeniu usług drogą elektroniczną (chodzi tu przede wszystkim o przepisy dotyczące podstaw dopuszczalności oraz zakresu przetwarzania danych). Do zagadnień związanych z przetwarzaniem i ochroną danych osobowych, które nie zostały odmiennie uregulowane w ustawie o świadczeniu usług drogą elektroniczną (dotyczących m.in.: zakresu obowiązywania, definicji ustawowych pojęć, kontroli sprawowanej przez GIODO, ogólnych zasad przetwarzania danych, obowiązków administratorów, praw osób, których dane dotyczą, zabezpieczenia danych, przekazywania danych do państwa trzeciego oraz odpowiedzialności za niezgodne z prawem przetwarzanie danych), znajdują w pełni zastosowanie przepisy ustawy o ochronie danych osobowych .
20. Usługobiorca, usługodawca. Ochroną przewidzianą w ustawie o świadczeniu usług drogą elektroniczną objęte są dane osobowe usługobiorców. Mimo że art. 2 pkt 6 u.ś.u.d.e. obejmuje pojęciem usługobiorcy także osoby prawne i jednostki organizacyjne niemające osobowości prawnej, to jednak ochrona danych osobowych, jaką zapewnia omawiana ustawa, odnosi się wyłącznie do osób fizycznych, nie dotyczy innych podmiotów będących usługobiorcami. Wynika to z braku w ustawie o świadczeniu usług drogą elektroniczną odmiennej definicji danych osobowych, co z kolei prowadzi do konieczności stosowania definicji danych osobowych, którą zawiera art. 6 u.o.d.o. Potwierdza to również wyliczenie kategorii danych zawarte w art. 18 ust. 1 u.ś.u.d.e. Nieco inne rozwiązanie znajdujemy w prawie telekomunikacyjnym, które częściowo rozszerza zakres ochrony, obejmując nią także osoby prawne.
W związku ze świadczeniem usług drogą elektroniczną przetwarzane mogą być dane osobowe różnego rodzaju, wśród których szczególne znaczenie mają m.in. adresy poczty elektronicznej .
Analizując definicje zawarte w ustawie o ochronie danych osobowych w kontekście świadczenia usług drogą elektroniczną, warto rozważyć relację między pojęciami usługodawcy a administratora danych. Utożsamianie tych pojęć wydaje się zbytnim uproszczeniem. Niewątpliwie usługodawca, który decyduje o celu i zakresie przetwarzania danych (content provider), będzie administratorem danych w rozumieniu art. 7 pkt 4 u.o.d.o. Jednak usługodawców, którzy jedynie pośredniczą w świadczeniu usług (intermediary service providers), nie sposób uznać za administratorów danych z uwagi na to, że nie decydują oni o celu ani o zakresie przetwarzania danych. Zgodnie z przepisami zawartymi w rozdziale 3 u.ś.u.d.e. usługodawcy ci (w okolicznościach określonych w art. 12-14 u.ś.u.d.e.) nie ponoszą odpowiedzialności za przekazywanie, przechowywanie i udostępnianie danych (w tym także osobowych), o celu i zakresie przetwarzania których decydują inne podmioty (administratorzy tych danych).
21. Przetwarzanie danych. Wobec braku odmiennej regulacji w ustawie o świadczeniu usług drogą elektroniczną przez pojęcie przetwarzania danych, zgodnie z art. 7 pkt 2 u.o.d.o., należy rozumieć jakiekolwiek operacje dokonywane na danych osobowych, począwszy od ich zbierania, przez wykorzystywanie do różnych celów, a na usuwaniu skończywszy. Ustawa o świadczeniu usług drogą elektroniczną przyznaje ochronę danym osobowym niezależnie od tego, czy przetwarzanie danych dokonywane jest w zbiorze (art. 16 ust. 2 u.ś.u.d.e.). Wynika to z uwzględnienia specyfiki świadczenia usług drogą elektroniczną, które ma miejsce w systemach teleinformatycznych. Taka konstrukcja prawna odpowiada ogólnym założeniom dyrektywy 95/46/WE, zgodnie z którymi ochrona danych osobowych powinna obejmować przetwarzanie danych, które dokonywane jest w sposób zautomatyzowany, albo przetwarzanie danych w zbiorach . Postulat taki został uwzględniony również w ustawie o ochronie danych osobowych, która po zmianie dokonanej nowelą z dnia 22 stycznia 2004 r. zapewnia ochronę danych osobowych "w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych". Zatem do stosowania ustawy o świadczeniu usług drogą elektroniczną (podobnie jak do stosowania ustawy o ochronie danych osobowych w systemach informatycznych) nie jest konieczne istnienie zbioru danych osobowych, a więc spełnienie przesłanek, o których mowa w art. 7 pkt 1 u.o.d.o. Niemniej jednak jeżeli dane w związku ze świadczeniem usług drogą elektroniczną przetwarzane są w zbiorze, wówczas zastosowanie mają również ogólne przepisy ustawy o ochronie danych osobowych odnoszące się do zbiorów (np. przewidujące obowiązek zgłoszenia zbioru do rejestracji).
Gdy bierze się pod uwagę transgraniczny charakter sieci teleinformatycznych, nasuwa się wątpliwość, czy zamieszczenie danych osobowych na ogólnodostępnej stronie w Internecie jest specyficznym rodzajem ich przetwarzania, mianowicie przekazywaniem danych osobowych do państwa trzeciego, o czym mowa w przepisach rozdziału 7 u.o.d.o. Odpowiedź na tak postawione pytanie była przedmiotem rozstrzygnięcia Europejskiego Trybunału Sprawiedliwości, który na gruncie prawnym dyrektywy 95/46/WE stwierdził, że w tej sytuacji nie zachodzi przekazywanie danych osobowych, o którym mowa w art. 26 dyrektywy, do państwa trzeciego . Wniosek ten wydaje się aktualny również w odniesieniu do odpowiednich przepisów polskiej ustawy o ochronie danych osobowych.
22. Podstawy dopuszczalności przetwarzania danych osobowych. Ustawa o świadczeniu usług drogą elektroniczną określa cele i zakres przetwarzania danych osobowych usługobiorców przez usługodawców oraz wyznacza podstawy, na jakich opierać się może przetwarzanie takich danych. Oznacza to, że ogólne podstawy dopuszczalności przetwarzania danych osobowych, określone w art. 23 i 27 u.o.d.o., nie znajdują zastosowania w odniesieniu do przetwarzania danych osobowych w związku ze świadczeniem usług drogą elektroniczną, jako że kwestie te w sposób odmienny uregulowane zostały w omawianej ustawie. Wyraźne oznaczenie celów, w jakich dane mogą być przetwarzane, oraz ograniczenie zakresu ich przetwarzania sprawiają, że ustawa o świadczeniu usług drogą elektroniczną zapewnia dalej idący poziom ochrony danych, a przez to osób, których te dane dotyczą. Wzmocnieniu tej ochrony służyć ma także dopuszczenie możliwości przetwarzania danych osobowych oparte jedynie na ściśle określonych w ustawie podstawach (w tym niekiedy na zgodzie usługobiorcy). Przyjęcie możliwości stosowania w tym zakresie także ogólnych podstaw dopuszczalności przetwarzania danych przewidzianych w ustawie o ochronie danych osobowych prowadziłoby do znacznego poszerzenia zakresu i celów, w jakich dane mogłyby być przetwarzane, a przez to pozbawiłoby praktycznego znaczenia ograniczenia, jakie przewiduje ustawa o świadczeniu usług drogą elektroniczną. Ponadto niektóre podstawy, na jakich może się opierać przetwarzanie danych przez usługodawców, są tożsame z ogólnymi podstawami określonymi w art. 23 u.o.d.o., z czego można wyciągnąć wniosek, że gdyby w tym zakresie mogły być stosowane podstawy ogólne, ustawodawca nie wprowadzałby ich ponownie do omawianej ustawy.
Przepisy ustawy o świadczeniu usług drogą elektroniczną zawierają kilka szczegółowych podstaw dopuszczalności przetwarzania danych osobowych. Dopuszczalność przetwarzania danych albo może wynikać wprost z konkretnego przepisu (art. 18 ust. 1, 2, 5 i 6, art. 19 ust. 2 pkt 1 oraz art. 21 u.ś.u.d.e.), albo wymagana jest zgoda usługobiorcy (art. 19 ust. 2 pkt 2 u.ś.u.d.e.), a ponadto ustawa dopuszcza także przetwarzanie danych na podstawie odrębnych ustaw lub umowy (art. 19 ust. 2 pkt 4 u.ś.u.d.e.).
W odniesieniu do zgody usługobiorcy warto zwrócić uwagę na przepis art. 4 u.ś.u.d.e., który powtarza część definicji zgody zawartej w art. 7 pkt 5 u.o.d.o., zakazując domniemania czy też dorozumiewania wyrażenia zgody z oświadczenia woli o innej treści . Ustawa o świadczeniu usług drogą elektroniczną przewiduje explicite możliwość odwołania zgody przez usługobiorcę w każdym czasie. Takie rozwiązanie prawne pozwalało przy interpretacji omawianej ustawy uniknąć wątpliwości, jakie nasuwały się w tym zakresie na gruncie ustawy o ochronie danych osobowych. Wątpliwości te zostały jednak usunięte wskutek nowelizacji ustawy o ochronie danych osobowych dokonanej w 2010 r.; obecnie także art. 7 pkt 5 u.o.d.o. wyraźnie przewiduje możliwość odwołania zgody na przetwarzanie danych osobowych. Ponadto art. 4 ust. 2 u.ś.u.d.e. ciężarem udowodnienia faktu uzyskania zgody obarcza usługodawcę. Polska ustawa nie reguluje kwestii dotyczących wyrażenia zgody drogą elektroniczną , co zasadniczo nie oznacza jednak braku możliwości udzielenia zgody np. za pośrednictwem formularza zamieszczonego na stronie WWW. Ustawa nie przewiduje obowiązku utrwalenia oświadczenia o wyrażeniu zgody, a usługodawca może wykazywać fakt uzyskania zgody w dowolny sposób . Wydaje się jednak, że ze względów dowodowych utrwalanie oświadczenia w odpowiedni sposób, mimo braku wyraźnego przepisu nakładającego taki obowiązek, będzie praktyką dość powszechną.
Określone w ustawie podstawy odnoszą się do pewnych kategorii danych wyróżnionych ze względu na rodzaj przetwarzanych danych, cel, jakiemu służyć ma przetwarzanie, oraz zakres, w jakim przetwarzanie danych jest dopuszczalne. Analizując przepisy ustawy, wyróżnić należy dwie ogólne kategorie danych: dane stałe i dane eksploatacyjne. Ponadto można wskazać jeszcze jedną szczególną kategorię danych: dane rozliczeniowe. Oprócz tego, analizując przepisy ustawy, można wyodrębnić także specyficzne (niejako dodatkowe) zakresy przetwarzania danych: w celach marketingowych, badań rynkowych i preferencji usługobiorców oraz dla wyjaśnienia okoliczności niedozwolonego korzystania z usług. Poniżej omówimy poszczególne kategorie danych, uwzględniając określone ustawowo przesłanki i zakres dopuszczalności ich przetwarzania. Zwrócimy także uwagę na niektóre inne kwestie ściśle powiązane z problematyką przetwarzania i ochrony danych osobowych w związku ze świadczeniem usług drogą elektroniczną.
23. Dane stałe. Podstawową kategorię danych osobowych, jakie mogą być przetwarzane przez usługodawców w związku ze świadczeniem usług drogą elektroniczną, tworzą dane usługobiorcy, które są niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między usługodawcą a usługobiorcą. Z uwagi na to, że dane te są utrwalane i przechowywane przez usługodawcę przez czas, w którym świadczone są usługi (a niekiedy nawet dłużej), określane są zazwyczaj mianem danych stałych (trwałych) . Zgodnie z art. 18 ust. 1 u.ś.u.d.e. w zakresie danych stałych mieszczą się: nazwisko i imiona usługobiorcy; numer ewidencyjny PESEL lub - gdy ten numer nie został nadany - numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość; adres zameldowania na pobyt stały; adres do korespondencji, jeżeli jest inny niż adres zameldowania; dane służące do weryfikacji podpisu elektronicznego usługobiorcy oraz adresy elektroniczne usługobiorcy. Dane te pozwalają na identyfikację usługobiorcy i są konieczne do zawarcia oraz wykonania umowy. Zróżnicowany charakter usług, jakie mogą być świadczone drogą elektroniczną, a także to, że stale pojawiają się nowe możliwości w tym zakresie, sprawiają, że taki zasób danych może okazać się niewystarczający. Dlatego też wskazany powyżej katalog danych nie jest katalogiem zamkniętym; art. 18 ust. 2 u.ś.u.d.e. przewiduje możliwość rozszerzenia tego zakresu, gdy do realizacji umów lub dokonania innej czynności prawnej z usługobiorcą niezbędne jest przetwarzanie innych danych ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia. Może chodzić tu m.in. o dane dotyczące numeru telefonu, numeru rachunku bankowego, numeru karty płatniczej itp. Usługodawca powinien wyróżnić i oznaczyć te spośród danych dodatkowych, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną . Niepodanie tych danych przez usługobiorcę może skutkować odmową świadczenia mu usług przez usługodawcę.
24. Dane eksploatacyjne. Kolejną kategorią danych osobowych, których przetwarzanie reguluje omawiana ustawa, są tzw. dane eksploatacyjne, czyli dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną. Do danych eksploatacyjnych, zgodnie z przepisem art. 18 ust. 5 u.ś.u.d.e., należą: oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych stałych (np. unikatowy identyfikator użytkownika w systemie) ; oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca (np. numer telefonu, adres IP); informacje o rozpoczęciu, zakończeniu (dokładny czas) oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną, a także informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną (np. jakie strony WWW pobierał usługobiorca). Cechą charakterystyczną danych eksploatacyjnych jest to, że na ich podstawie możliwe są śledzenie i ocena aktywności usługobiorcy. Co więcej, usługobiorca często nie wie, że tego rodzaju dane na jego temat są przetwarzane. Stąd płynie źródło szczególnych zagrożeń dla prywatności usługobiorcy, a co za tym idzie, konieczna jest wzmożona ochrona tego rodzaju informacji.
Ogólną zasadą przyjętą na gruncie ustawy jest zakaz przetwarzania danych osobowych usługobiorcy po zakończeniu korzystania z usługi świadczonej drogą elektroniczną (art. 19 ust. 1 u.ś.u.d.e.). Od tego zakazu ustawa przewiduje jednak kilka wyjątków, które dotyczą: danych rozliczeniowych; danych przetwarzanych w celach reklamowych, badań rynku oraz zachowań i preferencji usługobiorców; danych niezbędnych do wyjaśnienia okoliczności niedozwolonego korzystania z usług, a także danych dopuszczonych do przetwarzania na podstawie odrębnych ustaw lub umowy.
25. Dane rozliczeniowe. Niewątpliwie podstawowym celem przetwarzania danych osobowych poza umożliwieniem świadczenia usług drogą elektroniczną jest zapewnienie możliwości dokonywania rozliczeń za świadczone usługi. Specyficznym rodzajem danych eksploatacyjnych są dane rozliczeniowe, czyli dane niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi. Zakres tych danych uzależniony jest od rodzaju świadczonych usług i może kształtować się bardzo różnie. W tej kategorii danych mieszczą się przede wszystkim dane potrzebne do obliczenia należności i wystawienia faktury za wykonane usługi.
Z problematyką dokonywania rozliczeń za świadczone usługi wiąże się kwestia zakresu szczegółowości informacji ujawnianych na rachunku. Szczegółowe informacje uwidoczniane na rachunku z jednej strony pozwalają usługobiorcy na sprawdzenie poprawności naliczonych opłat, a z drugiej strony mogą stanowić zagrożenie dla prywatności usługobiorcy przez ujawnienie osobom trzecim rodzaju i zakresu usług, z których usługobiorca korzystał. Przepisy ustawy mają służyć pogodzeniu tych konkurencyjnych względem siebie wartości. Zgodnie z art. 19 ust. 3 u.ś.u.d.e. rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba że zażądał on szczegółowych informacji w tym zakresie. W ten sposób nałożono na usługodawcę obowiązek sporządzania ogólnych rachunków (niezawierających szczegółowych informacji o sposobie korzystania przez usługobiorcę z usług), natomiast tzw. billing szczegółowy usługodawca ma obowiązek sporządzać jedynie na wyraźne żądanie usługobiorcy.
Analizowana ustawa nie reguluje kwestii przekazywania danych rozliczeniowych innym podmiotom, z którymi usługodawca zawarł umowę o pobieranie zapłaty za świadczone usługi . Powstaje w związku z tym problem, na jakiej podstawie podmioty te mogą przekazywać sobie wzajemnie informacje potrzebne do dokonywania rozliczeń. W obowiązującym stanie prawnym odpowiednią podstawą w tym zakresie wydaje się jedynie przepis art. 19 ust. 2 pkt 4 u.ś.u.d.e., zgodnie z którym usługodawca może przetwarzać dane, które zostały dopuszczone do przetwarzania na podstawie umowy. Wiąże się to więc z koniecznością wprowadzenia do umowy z usługobiorcą odpowiednich postanowień uprawniających usługodawcę do przekazywania innemu podmiotowi danych w celach rozliczeniowych.
W ustawie o świadczeniu usług drogą elektroniczną nie wskazano maksymalnego okresu, przez jaki dane mogą być przechowywane, poprzestając na ogólnym stwierdzeniu, że po zakończeniu korzystania z usługi usługodawca może przetwarzać dane niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi.
26. Marketing i badania rynku, tworzenie profilów. Kolejnym zakresem, w jakim dane usługobiorców mogą być przetwarzane, jest obszar związany z wykorzystywaniem danych w celach reklamowych, badań rynku oraz zachowań i preferencji usługobiorców. Ustawa dopuszcza przetwarzanie danych we wskazanych powyżej celach, jednak wymaga w tym zakresie wyraźnej zgody usługobiorcy (art. 19 ust. 2 pkt 2 u.ś.u.d.e.). Ponadto omawiana ustawa przewiduje możliwość rozszerzenia zakresu danych, mianowicie usługodawca może przetwarzać, za zgodą usługobiorcy, dla wskazanych powyżej celów także inne dane, które nie są niezbędne do świadczenia usługi drogą elektroniczną (art. 18 ust. 4 u.ś.u.d.e.). W odniesieniu do badań rynku oraz zachowań i preferencji usługobiorców ustawa stanowi, że wyniki tych badań mają być przeznaczone na potrzeby polepszenia jakości usług świadczonych przez usługodawcę.
Istotnym problemem, ściśle związanym z przetwarzaniem danych osobowych, jest kwestia zestawiania danych i tworzenia profilów użytkowników. Działania takie niosą ze sobą szczególne zagrożenia dla prywatności użytkowników, które potęguje niezwykła łatwość dokonywania tego rodzaju czynności w środowisku sieci teleinformatycznych (z uwagi na cyfrową postać danych, możliwość ich kopiowania, analizowania itp.). Jednak zestawianie i analiza danych mogą być wykorzystywane w celu poprawy jakości świadczonych usług oraz uwzględnienia preferencji usługobiorców. Z tych względów ustawa wprowadza rozwiązanie kompromisowe: pozwala pod pewnymi warunkami sporządzać profile, ale zasadniczo nakazuje ich anonimizację. Artykuł 19 ust. 4 u.ś.u.d.e. dopuszcza jedynie zestawianie danych przetwarzanych za zgodą usługodawcy dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców (danych, które nie są niezbędne do świadczenia usługi) i danych eksploatacyjnych dotyczących korzystania przez usługobiorcę z różnych usług świadczonych drogą elektroniczną, pod warunkiem usunięcia wszelkich oznaczeń identyfikujących usługobiorcę lub zakończenie sieci telekomunikacyjnej albo system teleinformatyczny, z którego korzystał (tzw. anonimizacja danych), chyba że usługobiorca wyraził uprzednio zgodę na nieusuwanie tych oznaczeń. Warto podkreślić, że nawet wówczas, gdy usługobiorca wyraził zgodę na to, aby dane nie zostały zanonimizowane, usługodawca nie może w celach marketingowych zestawiać danych eksploatacyjnych z danymi stałymi, wskazanymi w art. 18 ust. 1 i 2 u.ś.u.d.e. (tj. danymi, które są niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania umowy oraz dokonania innej czynności prawnej usługodawcy z usługobiorcą). Ponadto przepis art. 19 ust. 5 u.ś.u.d.e. zakazuje usługodawcy zestawiania danych osobowych usługobiorcy z przybranym przez niego pseudonimem.
27. Niedozwolone korzystanie. Przetwarzanie danych osobowych dotyczących aktywności usługobiorców niezbędne jest także do realizacji szczególnego celu - wykrywania i zwalczania nadużyć polegających na korzystaniu z usług w sposób sprzeczny z regulaminem świadczonych usług bądź z przepisami prawa (tzw. niedozwolone korzystanie). Ustawa o świadczeniu usług drogą elektroniczną (art. 21) uprawnia usługodawcę do przetwarzania danych usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, w przypadku gdy usługodawca uzyska wiadomość o niedozwolonym korzystaniu przez usługobiorcę z usługi. W tej sytuacji usługodawca ma obowiązek utrwalenia dla celów dowodowych faktu uzyskania oraz treści tych wiadomości, natomiast nie ma obowiązku powiadomienia usługobiorcy o tym, że gromadzi dane na jego temat w związku z niedozwolonym korzystaniem, gdyż mogłoby to znacznie utrudnić, a niekiedy nawet uniemożliwić udowodnienie niedozwolonego korzystania z usług. Usługodawca może poinformować o tym usługobiorcę, gdy uzna to za stosowne. Usługodawca może również (ale nie musi) powiadomić usługobiorcę o jego nieuprawnionych działaniach z żądaniem ich niezwłocznego zaprzestania.
W zakresie wykrywania przestępstw, jak również w innych przypadkach określonych przez prawo, na usługodawcę nałożony został obowiązek współdziałania z odpowiednimi organami. Zgodnie z art. 18 ust. 6 u.ś.u.d.e. usługodawca "udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań". Sformułowanie tego przepisu może budzić wątpliwości interpretacyjne , choć jasny wydaje się cel wprowadzonego w ten sposób obowiązku.
28. Przetwarzanie danych na podstawie odrębnych ustaw lub umowy. Ustawa o świadczeniu usług drogą elektroniczną przewiduje także możliwość przetwarzania danych osobowych usługobiorcy po zakończeniu korzystania przez niego z usługi, w przypadku gdy jest to dopuszczone na podstawie odrębnej ustawy lub umowy. Przykładem przepisów ustawowych, które nakazują dłuższe przetwarzanie (przechowywanie) danych, są przepisy o rachunkowości. Nakazują one przechowywanie danych dotyczących rozliczeń (zawartych w odpowiednich dokumentach) przez określony czas po zakończeniu korzystania z usługi, a nawet po dokonaniu rozliczenia za usługi. Jeśli chodzi o dopuszczalność przetwarzania danych osobowych na podstawie umowy, to należy przyjąć, że postanowienia umowy między usługodawcą a usługobiorcą (w tym również klauzule odnoszące się do przetwarzania danych) nie powinny wykraczać poza granice wyznaczone celami, które określa ustawa. Ograniczenie takie wynika z art. 17 u.ś.u.d.e. i ma służyć zapewnieniu skutecznej ochrony danych osobowych użytkownika, która mogłaby zostać znacznie osłabiona przez dopuszczenie przetwarzania danych w innych, niewskazanych w przepisach ustawy celach.
29. Dodatkowe obowiązki informacyjne usługodawcy. Oprócz ogólnych obowiązków informacyjnych (obejmujących informacje identyfikujące usługodawcę, informacje o zagrożeniach, oprogramowaniu, regulaminie oraz odnoszących się do informacji handlowych) ustawa nakłada na usługodawcę, który przetwarza dane osobowe w związku ze świadczeniem usług drogą elektroniczną, dodatkowe obowiązki informacyjne w zakresie ochrony danych osobowych . Obejmują one aktualne informacje o: możliwości korzystania z usługi świadczonej drogą elektroniczną anonimowo lub z wykorzystaniem pseudonimu; udostępnianych przez usługodawcę środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione danych osobowych przesyłanych drogą elektroniczną; podmiocie, któremu usługodawca powierza przetwarzanie danych osobowych, ich zakresie i zamierzonym terminie przekazania, jeżeli usługodawca zawarł z tym podmiotem umowę o powierzenie przetwarzania danych. Usługodawca nie ma obowiązku przekazywania (przesyłania) tych informacji każdemu usługobiorcy, ale jedynie jest obowiązany zapewnić usługobiorcy dostęp do nich, przy czym informacje te powinny być dla usługobiorcy stale i łatwo dostępne za pomocą systemu teleinformatycznego, którym się posługuje (np. zamieszczone na stronach WWW usługodawcy).
30. Odmowa świadczenia usług. Dostęp anonimowy i pseudonimowy. Stosunkowo częstą praktyką podmiotów oferujących usługi w Internecie jest uzależnianie świadczenia tych usług od podania przez usługobiorcę danych osobowych, a często również od wyrażenia zgody na przetwarzanie danych w celach marketingowych. Ustawa zawiera rozwiązania prawne, które z założenia mają służyć zapobieganiu "wymuszania" podawania danych osobowych i udzielania zgody na ich przetwarzanie. Zgodnie z przepisem art. 22 ust. 1 u.ś.u.d.e. odmowa świadczenia usługi drogą elektroniczną z powodu nieudostępnienia przez usługobiorcę danych stałych jest dopuszczalna tylko wtedy, gdy przetwarzanie tych danych jest niezbędne ze względu na sposób funkcjonowania systemu teleinformatycznego zapewniającego świadczenie usługi drogą elektroniczną lub właściwość usługi albo wynika z odrębnych ustaw. Jednak wobec braku sankcji za naruszenie tego przepisu jego skuteczność może być podawana w wątpliwość.
Biorąc pod uwagę to, że przetwarzanie danych stanowi zagrożenie dla prywatności usługobiorców tylko wtedy, gdy dane te można powiązać z konkretną osobą, ustawa zachęca usługodawców do zapewnienia usługobiorcom dostępu do usług świadczonych drogą elektroniczną oraz uiszczania opłat za te usługi w sposób anonimowy lub przy użyciu pseudonimu. Ustawa nie nakłada jednak na usługodawców bezwzględnego obowiązku zapewnienia takiego dostępu do usług w każdym przypadku, ale jedynie wówczas, gdy jest to technicznie możliwe oraz zwyczajowo przyjęte. Typowym przykładem korzystania z usług dostępnych (w większości) anonimowo jest przeglądanie ogólnodostępnych stron WWW, natomiast usługobiorcy korzystają z pseudonimów, m.in. uczestnicząc w dyskusjach w ramach usługi grup dyskusyjnych (news).
Na zakończenie należy jeszcze raz podkreślić, że w zakresie nieuregulowanym odmiennie w ustawie o świadczeniu usług drogą elektroniczną w odniesieniu do przetwarzania i ochrony danych osobowych zastosowanie mają odpowiednie przepisy ustawy o ochronie danych osobowych.
VII.Szczególne przepisy o ochronie danych osobowych w telekomunikacji
1.Uwagi wstępne
1. Dyrektywa 95/46/WE przewiduje możliwość wydania sektorowych regulacji uwzględniających specyfikę przetwarzania i ochrony danych w różnych dziedzinach. W sektorze telekomunikacyjnym tego rodzaju szczególną regulacją była dyrektywa 97/66/WE. Dyrektywa ta dotyczyła przetwarzania danych osobowych w ramach publicznych usług telekomunikacyjnych, w szczególności przy wykorzystaniu sieci cyfrowych z integracją usług (ISDN) i publicznych cyfrowych sieci telefonii komórkowej. Dyrektywa telekomunikacyjna wydana została niejako w odpowiedzi na wprowadzenie technologii cyfrowej do publicznych sieci telekomunikacyjnych, co pociągnęło za sobą powstanie nowych zagrożeń dla ochrony danych osobowych i prywatności związanych z tą technologią. Chodzi tu przede wszystkim o zwiększenie ryzyka naruszenia tych dóbr w związku z automatycznym przetwarzaniem i magazynowaniem danych dotyczących abonentów i użytkowników .
Gwałtowny rozwój technologii cyfrowej oraz tendencja do zacierania się granic pomiędzy telekomunikacją, mediami a informatyką sprawiły, że konieczne stały się zmiany regulacji prawnych odnoszących się do sektora telekomunikacyjnego. W 2002 r. wydany został tzw. nowy pakiet regulacji dla sieci i usług komunikacji elektronicznej, w skład którego wchodzi dyrektywa 2002/58/WE . Dyrektywa ta zastąpiła dyrektywę 97/66/WE. Jak wyjaśniono w preambule nowej dyrektywy, nie ma ona wprowadzać zasadniczych zmian w istocie obowiązującej dotąd regulacji, ale raczej uaktualnić i przystosować istniejące postanowienia do obecnego (i przyszłego) rozwoju usług i technologii komunikacji elektronicznej. Podstawowym celem wprowadzonych zmian ma być stworzenie neutralnych technologicznie zasad, które nie narzucają ani też nie dyskryminują używania określonej technologii, ale zapewniają, że ta sama usługa regulowana jest w równorzędny sposób niezależnie od środków, za pomocą których jest dostarczana. Konsekwencją przyjęcia takiego założenia ma być uzyskanie przez abonentów i użytkowników tego samego poziomu ochrony, niezależnego od używanej technologii .
Zakres obowiązywania dyrektywy o prywatności i komunikacji elektronicznej jest szerszy niż dyrektywy telekomunikacyjnej z uwagi na zastąpienie dotychczasowego pojęcia usług telekomunikacyjnych bardziej pojemnym określeniem "usługi komunikacji elektronicznej" .
Pozwala to na objęcie zakresem regulacji oprócz tradycyjnych usług telekomunikacyjnych także m.in. przekazów w sieciach teleinformatycznych (w tym w Internecie). Podstawowe znaczenie dla omawianej regulacji ma pojęcie komunikatu (communication) , zdefiniowane w art. 2 lit. d dyrektywy 2002/58/WE, które oznacza jakąkolwiek informację wymienianą lub transmitowaną pomiędzy ograniczoną liczbą stron za pomocą publicznie dostępnych usług komunikacji elektronicznej. Pojęcie to nie obejmuje informacji przekazywanej jako część usługi rozpowszechniania przez sieć komunikacji elektronicznej, z wyjątkiem przypadku, gdy informacja może odnosić się do możliwego do zidentyfikowania abonenta lub użytkownika otrzymującego informację (np. przy usługach wideo na żądanie video-on-demand) . W zakresie komunikatu mieści się zarówno tradycyjne połączenie (wywołanie) telefoniczne (call), jak i wiadomość przesyłana pocztą elektroniczną (e-mail).
Dyrektywa 2002/58/WE, podobnie jak dyrektywa telekomunikacyjna, przewiduje możliwość objęcia ochroną także osób prawnych z uwagi na ich uzasadnione interesy.
Dnia 25 listopada 2009 r. przyjęta została dyrektywa Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r. zmieniająca dyrektywę 2002/22/WE w sprawie usługi powszechnej i związanych z sieciami i usługami łączności elektronicznej praw użytkowników, dyrektywę 2002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej oraz rozporządzenie (WE) nr 2006/2004 w sprawie współpracy między organami krajowymi odpowiedzialnymi za egzekwowanie przepisów prawa w zakresie ochrony konsumentów (Dz. Urz. UE L 337 z 18.12.2009, s. 11), na mocy której dokonano zmian niektórych przepisów omawianej tu dyrektywy 2002/58/WE. Zmiany te zostaną wskazane poniżej, warto tu jedynie zasygnalizować, że państwa członkowskie miały czas do dnia 25 maja 2011 r. na dokonanie implementacji nowych przepisów do prawa wewnętrznego.
2.Zapewnienie bezpieczeństwa i poufności
2. Podstawowe zobowiązanie dostawcy usług polega na zapewnieniu odpowiedniego bezpieczeństwa przy korzystaniu z sieci telekomunikacyjnej (art. 4 dyrektywy 2002/58/WE). W rekomendacji 2 (99) podkreślono, że chodzi tu o wykorzystanie najbardziej zaawansowanych technik, gwarantujących zachowanie bezpieczeństwa komunikacji i ochrony prywatności. Sama dyrektywa jest w tej mierze jednak mniej kategoryczna, przewidując, że przy podejmowaniu decyzji w sprawie "instalacji" zabezpieczenia należy brać pod uwagę stan techniki, koszty realizacji zabezpieczenia, a także to, by poziom zabezpieczenia był stosowny do ryzyka naruszenia bezpieczeństwa przekazu.
Nowością, jaką do dyrektywy 2002/58/WE wprowadza dyrektywa 2009/136/WE, jest położenie nacisku na problematykę bezpieczeństwa przetwarzania danych osobowych, na co wskazuje nowy tytuł art. 4 dyrektywy 2002/58/WE "Bezpieczeństwo przetwarzania". Do wspomnianego przepisu dodano wymogi minimalne - środki bezpieczeństwa muszą (bez uszczerbku dla wymogów określonych dyrektywą 95/46/WE) co najmniej:
zapewniać, aby do danych osobowych mógł mieć dostęp wyłącznie uprawniony personel w dozwolonych prawem celach;
chronić przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem oraz
zapewnić wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.
Ponadto na dostawców nałożony został obowiązek powiadamiania właściwych organów krajowych o przypadkach naruszenia danych osobowych (art. 4 ust. 3 dyrektywy 2002/58/WE). Pojęcie naruszenia danych osobowych zostało zdefiniowane w art. 2 lit. i dyrektywy 2002/58/WE i oznacza "naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych w związku ze świadczeniem publicznie dostępnych usług łączności elektronicznej we Wspólnocie". Nałożony na dostawców obowiązek powiadamiania obejmuje także abonentów lub osoby fizyczne, jeżeli naruszenie danych osobowych może wywrzeć niekorzystny wpływ na ich dane osobowe lub prywatność. Powiadomienie takie nie jest wymagane, jeżeli dostawca zgodnie z wymogami właściwego organu wykazał, że wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały zastosowane do danych, których dotyczyło naruszenie bezpieczeństwa. Tego rodzaju technologiczne środki ochrony muszą sprawiać, że dane stają się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich. Jednak jeżeli dostawca nie powiadomił jeszcze abonenta lub osoby fizycznej o naruszeniu danych osobowych, właściwy organ krajowy - po rozważeniu możliwych niekorzystnych skutków tego naruszenia - może wymagać, aby dostawca to uczynił.
Powiadomienie skierowane do abonenta lub osoby fizycznej powinno zawierać co najmniej opis charakteru naruszenia danych osobowych oraz dane punktów kontaktowych, w których można uzyskać więcej wiadomości, a także informacje o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków tego naruszenia danych osobowych. Powiadomienie właściwego organu krajowego powinno zawierać ponadto opis konsekwencji naruszenia danych osobowych i opis proponowanych lub podjętych przez dostawcę środków mających zaradzić naruszeniu.
Właściwe organy krajowe mogą przyjąć wytyczne i w razie konieczności wydać instrukcje dotyczące okoliczności, w których dostawcy zobowiązani są do powiadamiania o naruszeniu danych osobowych, a także dotyczące formy takiego powiadomienia oraz sposobu, w jaki ma być ono dokonywane. Organy krajowe powinny mieć również możliwość kontrolowania, czy dostawcy spełniają swoje obowiązki związane z powiadamianiem, oraz nakładania odpowiednich kar w przypadku niewykonywania tych obowiązków.
Dostawcy powinni prowadzić rejestr naruszeń ochrony danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań naprawczych; rejestr ten powinien być wystarczający, aby umożliwić właściwemu organowi krajowemu sprawdzenie zgodności z przepisami. Rejestr ma zawierać wyłącznie informacje niezbędne do realizacji tego celu.
W dyrektywie 2002/58/WE zastrzeżono także możliwość, aby Komisja Europejska, po konsultacji z Europejską Agencją ds. Bezpieczeństwa Sieci i Informacji (ENISA), Grupą Roboczą ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych powołaną na mocy art. 29 dyrektywy 95/46/WE oraz Europejskim Inspektorem Ochrony Danych, przyjęła techniczne środki wykonawcze dotyczące okoliczności, formy i trybu informowania i powiadamiania. Tego rodzaju środki miałyby służyć zapewnieniu spójności we wdrażaniu omawianych rozwiązań we wszystkich państwach członkowskich.
Dostawca usług powinien podjąć stosowne kroki w celu uniemożliwienia (lub co najmniej znacznego utrudnienia) prowadzenia podsłuchu przez osoby nieupoważnione. W przypadku istnienia szczególnego niebezpieczeństwa naruszenia poufności przekazu, pomimo podjętych zabezpieczeń, dostawca powinien poinformować o tym swoich klientów łącznie z ewentualnym wskazaniem sposobu i kosztów dodatkowych odpowiednich zabezpieczeń. Równocześnie dyrektywa zawiera wymóg wprowadzenia regulacji prawnych w sprawie zakazu podsłuchu, nagrywania, przechowywania lub innych postaci przejmowania lub śledzenia komunikowania się z wyłączeniem przypadków wyraźnie określonych przez prawo . Zaznaczmy, że wprowadzenie tych zakazów nie dotyczy samych użytkowników systemów telekomunikacyjnych, toteż mogą oni nagrywać własne przekazy. Ponadto postanowienie art. 5 dyrektywy 2002/58/WE nie narusza jakichkolwiek prawnie dozwolonych nagrań przekazów realizowanych do celów dowodowych w związku z zawieraniem transakcji lub z dokonywaniem innych czynności handlowych.
Szczególne znaczenie praktyczne ma możliwość legalnego podsłuchiwania rozmów telefonicznych w związku z prowadzeniem śledztw w sprawach karnych, a także z ochroną interesów bezpieczeństwa narodowego . Granice dla wprowadzenia w tym zakresie stosowanych upoważnień wyznaczają nie tylko normy wspólnotowe, lecz także postanowienia EKPC, a zwłaszcza jej art. 8 ust. 2 .
W świetle powoływanej już rekomendacji 2 (99) ustawodawstwa krajowe, wprowadzając regulacje w sprawie podsłuchu, powinny m.in. wyraźnie wskazywać i wprowadzać:
organy upoważnione do zezwalania na podsłuch telekomunikacyjny, łącznie z podstawami prawnymi do ich działania,
cel dokonywania podsłuchu, umożliwiający wyważenie chronionych interesów,
zakaz ustanawiania "generalnego podsłuchu",
wyraźne określenie okoliczności i warunków realizowania podsłuchu,
środki bezpieczeństwa przewidziane dla przetwarzania danych osobowych uzyskanych z podsłuchu oraz czas przechowywania tak uzyskanych danych,
gwarancje bezpieczeństwa dla danych osób pośrednio narażonych przez podsłuch lub których przekazy zostały przypadkowo uzyskane,
obowiązek informacji zainteresowanego o podsłuchu w najwcześniejszym momencie oznaczanym z uwzględnieniem celów śledztwa,
zasady sprzeciwu zainteresowanego przeciwko podsłuchowi,
nadzór niezależnego organu nad realizacją podsłuchu,
wymóg publikacji regularnych statystycznych danych o zakresie prowadzonego podsłuchu,
zasady i warunki udostępniania danych stronom trzecim w ramach dwustronnych i wielostronnych porozumień.
3.Ochrona danych osobowych użytkownika
3. Dane dotyczące ruchu. Rozbudowane postanowienia dyrektywy 2002/58/WE dotyczą danych osobowych związanych z korzystaniem z usług komunikacji elektronicznej. Oprócz obowiązku zapewnienia poufności treści przekazu art. 5 dyrektywy 2002/58/WE nakłada na państwa członkowskie obowiązek zagwarantowania poufności związanych z przekazem danych dotyczących ruchu (traffic data), przez które dyrektywa rozumie wszelkie dane przetwarzane w celu przesyłania przekazu w sieciach komunikacji elektronicznej lub ustalenia należności z tego tytułu. Dane dotyczące ruchu, określane również mianem danych transmisyjnych , mogą - jak wyjaśniono w preambule dyrektywy - zawierać m.in. dane o wyborze drogi (routing), położeniu terminalu użytkownika, informacji o sieci, czasie rozpoczęcia i zakończenia połączenia oraz formatu, w jakim przekaz jest dokonywany. Przez powiązanie tych danych z konkretną osobą możliwe staje się uzyskanie informacji o sposobie i zakresie korzystania przez tę osobę z usług. Pociąga to za sobą istotne zagrożenia dla prywatności użytkowników.
W tym zakresie przyjęta została ogólna zasada przewidująca obowiązek usunięcia takich danych lub poddania ich anonimizacji, z chwilą gdy nie są już potrzebne do transmisji przekazu. Od tej zasady przewidziano kilka wyjątków dotyczących: przetwarzania danych w celach rozliczeniowych, świadczenia usług o wartości dodanej, przetwarzania danych w celach marketingowych oraz wykrywania oszustw, a także w związku z prowadzeniem postępowań przez uprawnione organy . Wykorzystywanie danych w celach marketingowych jest uzależnione od zgody użytkownika.
Dyrektywa 2002/58/WE (art. 5 ust. 3) reguluje także kwestię zapisywania i dostępu do informacji przechowywanych w terminalu użytkownika (np. pliki cookies). Wykorzystywanie tego rodzaju technologii jest dozwolone, pod warunkiem że użytkownik zostanie o tym poinformowany i będzie miał możliwość wyrażenia sprzeciwu. Dokonana w 2009 r. nowelizacja zmienia dotychczasową regułę w tym zakresie i dopuszcza takie działania, pod warunkiem że abonent lub użytkownik wyraził na to zgodę. Odstępstwo od tej reguły przewidziano jedynie dla technicznego przechowywania danych bądź dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej lub gdy jest to niezbędne do świadczenia usługi wyraźnie zażądanej przez abonenta lub użytkownika.
4. Sporządzanie rachunków. Dane dotyczące ruchu mogą być przetwarzane w zakresie niezbędnym do naliczania opłat za usługi, zweryfikowania płatności oraz realizacji rozliczeń między operatorami. Szczególne znaczenie dla ochrony danych osobowych ma regulacja odnosząca się do sporządzania rachunków za zrealizowane usługi. Zauważa się, że rachunki, w których wyszczególnione zostały dokładne informacje o usługach, umożliwiają uzyskanie informacji o kręgu znajomych abonenta i częstotliwości kontaktów z nimi. Tego rodzaju rachunki ułatwiają jednak kontrolę prawidłowości naliczania opłat. Ze względu na te okoliczności przyznano abonentowi (art. 7 dyrektywy 2002/58/WE) prawo do otrzymywania rachunków, w których nie byłyby wyszczególnione usługi, z których korzystał (rachunków uproszczonych).
Dyrektywa 2002/58/WE sugeruje przy tym wprowadzenie do ustawodawstw krajowych takich mechanizmów prawnych, jakie gwarantowałyby ochronę prywatności abonentów i innych osób korzystających z usług przy zachowaniu wyszczególnienia realizowanych usług na rachunkach . Postuluje się ponadto rozwinięcie anonimowego lub ściśle prywatnego dostępu do publicznych usług komunikacji elektronicznej przy wykorzystaniu kart kredytowych. Szczególną postacią zabezpieczenia poufności jest wymóg wprowadzania anonimowych uprzednio opłaconych kart telefonicznych (typu pre-paid) .
Ze względu na różnorodność usług komunikacji elektronicznej i wielość sposobów dokonywania płatności za te usługi do wystawienia rachunków potrzebne mogą być różne informacje, a ich zakres nie jest jednolity. Biorąc to pod uwagę, w dyrektywie 2002/58/WE zrezygnowano ze wskazania rodzajów danych, które mogą być przetwarzane w celu wystawienia rachunku .
Okres przechowywania danych osobowych koniecznych do określenia płatności nie powinien być dłuższy niż niezbędny do umożliwienia abonentowi kontroli prawidłowości rachunku; w powoływanej rekomendacji 3 (99) wskazuje się, że w kilku krajach Unii uznano, że stosowny termin nie powinien przekraczać 3 miesięcy .
Poza tym dyrektywa 2002/58/WE nakazuje, aby przetwarzanie danych osobowych w celu realizowania połączeń i wystawiania rachunków było dokonywane przez osobę działającą na podstawie upoważnienia dostawcy usług bądź przez własnego pracownika usługodawcy ; przetwarzanie to powinno być ograniczone do czynności koniecznych do tego rodzaju działalności.
5. Uwidacznianie numerów. W interesie konsumenta nałożono na dostawcę usług - jeśli chodzi o systemy informujące adresata o numerze osoby telefonującej do niej albo o systemy uwidaczniające numer, z którym uzyskano połączenie - obowiązek generalnego, bezpłatnego zablokowania wyświetlania tego rodzaju informacji na życzenie osoby zainteresowanej utrzymaniem w tajemnicy danych jej dotyczących . Temu podstawowemu obowiązkowi towarzyszy ponadto obowiązek:
uprzedniego informowania abonentów o istnieniu systemów identyfikacyjnych w danej sieci i związanych z tym opcjach w zakresie ochrony prywatności;
stworzenia możliwości bezpłatnego zablokowania identyfikacji własnego numeru w przypadku oznaczonej "jednostkowej" rozmowy;
stworzenia możliwości bezpłatnego zablokowania identyfikacji własnego numeru względem rozmów z osobą, która zablokowała identyfikację swojego numeru.
Przepis art. 10 dyrektywy 2002/58/WE zawiera regulację odnoszącą się do ograniczenia wskazanych wyżej praw. Ograniczenie powinno mieć podstawę w transparentnej regulacji prawnej zezwalającej świadczącym usługi telekomunikacyjne na:
czasowe rejestrowanie i udostępnianie numerów "przychodzących" telefonów na żądanie abonenta ze względu na nękające go (dokuczliwe lub złośliwe) telefony od nieznanych osób,
wyłączenie anonimizacji w odniesieniu do oznaczonych numerów takich służb publicznych, jak straż pożarna, pogotowie itd. w celu umożliwienia oddzwonienia do zgłaszającego.
Dodatkowym uprawnieniem, jakie powinno być przyznane abonentom, jest prawo do zablokowania automatycznie przekazywanych wywołań skierowanych przez osoby trzecie do urządzenia końcowego tego abonenta.
6. Dane o lokalizacji. Dyrektywa 2002/58/WE wyróżnia także szczególną kategorię danych dotyczących ruchu - tzw. dane o lokalizacji (location data). W tym pojęciu mieszczą się dane przetwarzane w sieci komunikacji elektronicznej wskazujące pozycję geograficzną urządzenia końcowego użytkownika (długość i szerokość geograficzną, wysokość n.p.m., kierunek przemieszczania się, stopień dokładności informacji itp.). Dotyczy to przede wszystkim informacji o lokalizacji telefonów komórkowych, a przez to także użytkowników, którzy z tych telefonów korzystają. Artykuł 9 dyrektywy 2002/58/WE pozwala na przetwarzanie danych o lokalizacji niebędących danymi o ruchu (a więc danych, które są niejako dodatkowe, nie są potrzebne do przesyłania przekazu ani naliczania opłat) albo w formie anonimowej, albo za zgodą użytkownika w formie pozwalającej na jego identyfikację. Przetwarzanie tych danych ma służyć realizacji tzw. usług o wartości dodanej (np. usług polegających na wskazaniu drogi, dostarczaniu informacji o ruchu drogowym, prognozy pogody, informacji turystycznej itp.). Przed udzieleniem zgody użytkownik powinien zostać poinformowany o zakresie i celu przetwarzania danych, a po udzieleniu zgody powinien mieć zapewnioną możliwość jej cofnięcia w każdym czasie, w prosty sposób i bezpłatnie.
7. Spisy abonentów. Przedmiotem regulacji zawartej w dyrektywie 2002/58/WE są także spisy abonentów. Przed włączeniem danych do spisu abonenci powinni zostać poinformowani o celu spisu i możliwościach wykorzystania danych zawartych w spisie. Spisy mogą przybierać tradycyjną postać książek telefonicznych, ale mogą być także sporządzane w formie elektronicznej (np. bazy danych na płycie CD-ROM) oraz udostępniane przez Internet czy też w formie usługi informacji telefonicznej. Dyrektywa 2002/58/WE ustanawia tu wymóg pozostawienia abonentom decyzji co do tego, czy ich dane osobowe mają być włączone do publicznie dostępnych spisów, a jeśli tak, to w jakim zakresie. Oznacza to, że abonent powinien móc zdecydować zarówno o nieumieszczaniu jego danych w spisie (tzw. zastrzeżenie danych), jak i o rozszerzeniu zakresu danych zawartych w spisie. Ponadto abonenci powinni mieć zapewnioną możliwość poprawienia, a nawet żądania usunięcia danych na swój temat. Za korzystanie z uprawnień związanych z zastrzeżeniem oraz weryfikacją danych nie powinny być pobierane opłaty (art. 12 ust. 2 in fine 2002/58/WE). Państwa członkowskie mogą określić minimum danych pozwalających na identyfikację abonenta.
8. Marketing bezpośredni. Odrębne postanowienia dyrektywy 2002/58/WE dotyczą obowiązku uzyskania uprzedniej zgody abonenta na połączenia z nadaniami realizowanymi bez udziału człowieka, w postaci faksów lub informacji głosowych mających służyć marketingowi bezpośredniemu (art. 13). Ustawodawstwa krajowe powinny natomiast wprowadzić zakaz "wykonywania osobiście" przekazów w celach marketingu bezpośredniego, jeżeli nie towarzyszy temu "równoległa" zgoda abonenta albo jeśli chodzi o abonenta, który nie życzy sobie tego rodzaju połączeń. Dyrektywa 2002/58/WE pozostawia w tym zakresie państwom członkowskim możliwość wyboru pomiędzy wariantami opt-in i opt-out. Nowelizacja dyrektywy 2002/58/WE dokonana dyrektywą 2009/136/WE dodaje w tym zakresie wymóg, aby obie te opcje były dla abonentów lub użytkowników bezpłatne.
W literaturze prawniczej kwestionuje się wprowadzanie różnych regulacji co do ochrony prywatności w zależności od tego, czy "połączenia marketingowe" realizowane są automatycznie, czy też z udziałem człowieka. Przypuszcza się, że jest to swoiste odbicie szczególnej regulacji przyjętej w dyrektywie o ochronie danych osobowych w odniesieniu do automatycznych decyzji podejmowanych przy wykorzystaniu danych osobowych .
Odnotujmy tutaj poza tym, że podobna regulacja zawarta była w dyrektywie w sprawie sprzedaży na odległość , która w odniesieniu do przekazu telefonicznego zawierała wymóg wyraźnego zidentyfikowania sprzedawcy i celu rozmowy na początku połączenia. Ponadto art. 13 ust. 1 2002/58/WE przewiduje, że w przypadku automatycznego systemu połączeń bez udziału człowieka (automatic calling machine) lub faksu konieczne jest uprzednie uzyskanie zgody konsumenta .
Gdy chodzi o wykorzystywanie adresów poczty elektronicznej w celach marketingowych, dyrektywa 2002/58/WE dopuszcza takie działania z wykorzystaniem adresów "kontaktowych swoich klientów", pod warunkiem że działania te odnoszą się do marketingu własnych, podobnych produktów lub usług, a osoby, których dane te dotyczą, uzyskały możliwość bezpłatnie i w prosty sposób wyrażenia sprzeciwu za każdym razem, gdy przekazy takie są wysyłane. Dyrektywa 2002/58/WE stanowczo zakazuje wysyłania poczty elektronicznej w celach marketingowych w sposób nieujawniający tożsamości nadawcy albo niezawierającej ważnego adresu, pod który odbiorcy mogą wysłać żądanie, aby tego rodzaju przekazy zostały przerwane.
4.Sprzęt
9. Przepis art. 14 dyrektywy 2002/58/WE ma zabezpieczać przed nieuzasadnioną ochroną rynku wewnętrznego krajów członkowskich pod pretekstem realizacji wymogów dyrektywy. Chodzi o ograniczenie jednostronnego narzucania konieczności stosowania określonego sprzętu technicznego telekomunikacyjnego w celu spełnienia standardów określonych w dyrektywie. Dyrektywa przewiduje w tym zakresie obowiązek informowania Komisji przez kraje członkowskie o stwierdzeniu, że do realizacji dyrektywy konieczne jest stosowanie tylko określonego sprzętu. Ponadto Komisja, gdy będzie to uzasadnione, opracuje wspólne europejskie (techniczne) standardy konieczne do implementacji rozwiązań przyjętych w dyrektywie.
5.Retencja danych
10. Od dłuższego już czasu wiele kontrowersji budzi kwestia zatrzymywania (gromadzenia i archiwizowania) przez usługodawców danych o ruchu w sieciach telekomunikacyjnych w celu zapobiegania, dochodzenia, wykrywania i ścigania przestępstw, określana skrótowo jako tzw. retencja danych. Dyskusje na ten temat nasiliły się wskutek zamachów terrorystycznych. Zwolennicy retencji uważają, że jest ona "koniecznym warunkiem bezpieczeństwa publicznego w erze społeczeństwa informacyjnego i globalnego zagrożenia terroryzmem", natomiast przeciwnicy wskazują, że zatrzymywanie danych "stanowi głęboką ingerencję w sferę praw i wolności obywatelskich, która narusza utrwalone w Europie standardy ochrony praw człowieka", a ponadto jest to "kosztowne i nieefektywne narzędzie, którego wprowadzenie może przyczynić się nie tyle do podniesienia poziomu bezpieczeństwa obywateli, co poziomu cen usług telekomunikacyjnych" .
Dnia 15 marca 2006 r. wydana została dyrektywa 2006/24/WE, w której nałożono na państwa członkowskie obowiązek wprowadzenia do ustawodawstwa wewnętrznego rozwiązań zapewniających zatrzymywanie danych przez dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznej sieci łączności w trakcie świadczenia usług. W art. 5 dyrektywy 2006/24/WE określone zostały kategorie danych, które mają być gromadzone. Wyszczególnione tam rodzaje danych podzielone zostały na następujące grupy:
dane niezbędne do ustalenia źródła połączenia,
dane niezbędne do ustalenia odbiorcy połączenia,
dane niezbędne do określenia daty, godziny i czasu trwania połączenia,
dane niezbędne do określenia rodzaju połączenia,
dane niezbędne do określenia narzędzia komunikacji lub tego, co może służyć za narzędzie komunikacji, a także
dane niezbędne do identyfikacji lokalizacji urządzenia komunikacji ruchomej.
W dyrektywie podkreślono, że nie można zatrzymywać danych, które ujawniają treść przekazu (komunikatu). W art. 6 dyrektywy 2006/24/WE określony został czas, na który dane mają być zatrzymywane; nie powinien być on krótszy niż 6 miesięcy i dłuższy niż 2 lata od daty połączenia. W dyrektywie 2006/24/WE określono także wymogi dotyczące zabezpieczenia zatrzymywanych danych. Konsekwencją przyjęcia dyrektywy 2006/24/WE była zmiana dyrektywy 2002/58/WE, do której dodano art. 15 ust. 1a w celu zharmonizowania obu dyrektyw.
Aby zapewnić możliwość sprawowania kontroli nad retencją danych, do dyrektywy 2002/58/WE w 2009 r. dodano nowy przepis art. 15 ust. 1b, na mocy którego dostawcy usług powinni ustanowić wewnętrzne procedury odpowiedzi na wnioski o dostęp do danych osobowych użytkownika według krajowych przepisów, a na żądanie właściwego organu krajowego dostawcy powinni przedstawić informacje o procedurach, liczbie otrzymanych wniosków, ich uzasadnieniu prawnym oraz udzielonej przez nich odpowiedzi.
Jak już wspomnieliśmy, Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 8 kwietnia 2014 r. stwierdził nieważność dyrektywy 2006/24/WE ze względu na naruszenie zasady proporcjonalności w odniesieniu do ochrony życia prywatnego i rodzinnego oraz ochrony danych osobowych.
6.Sankcje i egzekwowanie
11. Dyrektywa 2009/136/WE wprowadziła obowiązek ustanowienia przez państwa członkowskie przepisów przewidujących kary (w tym sankcje karne) za naruszenie przepisów stanowiących implementację dyrektywy 2002/58/WE. Dyrektywa zawiera wymogi odnoszące się do sankcji: powinny być one skuteczne, proporcjonalne i odstraszające oraz mogą być stosowane w odniesieniu do okresu, w którym występowało naruszenie, nawet w przypadku gdy naruszenie to następnie naprawiono. Ponadto na mocy przepisów dyrektywy 2002/58/WE nałożono na państwa członkowskie obowiązek powiadomienia Komisji o przyjętych w tym zakresie przepisach. Właściwe organy krajowe powinny mieć także - w świetle wymogów przewidzianych w dyrektywie 2002/58/WE - uprawnienia i środki pozwalające na prowadzenie stosownego postępowania, a także uprawnienia do nakazania zaprzestania naruszeń (art. 15a dyrektywy 2002/58/WE).
7.Polskie prawo telekomunikacyjne
12. Ustawa - Prawo telekomunikacyjne. Problematyka ochrony danych osobowych jest również przedmiotem regulacji ustawy - Prawo telekomunikacyjne, która zastąpiła ustawę o takim samym tytule z dnia 21 lipca 2000 r. (Dz. U. Nr 73, poz. 852 z późn. zm.). Przepisy nowej ustawy stanowią implementację pakietu unijnych dyrektyw odnoszących się do komunikacji elektronicznej, wśród których znajduje się również wskazywana już powyżej dyrektywa 2002/58/WE. Znajduje ona odzwierciedlenie w przepisach działu VII pr. tel. zatytułowanego "Tajemnica telekomunikacyjna i ochrona danych użytkowników końcowych" . Wspomniana dyrektywa została także implementowana do prawa polskiego przepisami ustawy o świadczeniu usług drogą elektroniczną, jednak zgodnie z art. 3 pkt 3 u.ś.u.d.e. w pierwotnym brzmieniu ustawa ta nie miała zastosowania do świadczenia przez operatora usług telekomunikacyjnych polegających na przekazywaniu danych lub sygnałów między zakończeniami sieci telekomunikacyjnej, gdy ten, kto transmituje dane, nie jest inicjatorem transmisji, nie wybiera odbiorcy danych ani nie usuwa albo nie modyfikuje danych będących przedmiotem transmisji. Formuła tego wyłączenia odpowiada zakresowi działalności telekomunikacyjnej w rozumieniu prawa telekomunikacyjnego, co - jak trafnie wskazuje się w literaturze przedmiotu - sprawia, że pomimo wspólnego źródła nie powinien występować tu zbieg przepisów tych dwóch ustaw, a przepisy ustawy - Prawo telekomunikacyjne usunęły negatywne skutki wyłączenia zawartego w art. 3 pkt 3 u.ś.u.d.e. Jednak przepisy ustawy - Prawo telekomunikacyjne nie przewidują norm określających zasady wyłączenia odpowiedzialności z tytułu świadczenia typowych usług sieciowych, które często świadczą przedsiębiorcy telekomunikacyjni, dlatego też, jak już wcześniej wspominaliśmy, w 2008 r. dokonano nowelizacji ustawy o świadczeniu usług drogą elektroniczną, zmieniając m.in. przepis dotyczący wyłączenia jej stosowania. W obecnym brzmieniu art. 3 pkt 3 u.ś.u.d.e. stanowi, że "przepisów ustawy nie stosuje się do [...] świadczenia przez przedsiębiorcę telekomunikacyjnego usług telekomunikacyjnych, z wyłączeniem art. 12-15". Oznacza to, że przedsiębiorcy telekomunikacyjni mogą korzystać z wyłączeń odpowiedzialności z tytułu prostego przekazu danych, cachingu i hostingu, a ponadto nie ciąży na nich obowiązek sprawdzania przekazywanych, przechowywanych lub udostępnianych w ramach wskazanych powyżej usług danych.
Gdy chodzi o relacje pomiędzy ustawą - Prawo telekomunikacyjne a ustawą o ochronie danych osobowych, to stwierdzić można, że niektóre przepisy ustawy - Prawo telekomunikacyjne przewidują dalej idącą ochronę danych niż przepisy ustawy o ochronie danych osobowych, a więc zgodnie z art. 5 u.o.d.o. wyłączają stosowanie części przepisów ustawy o ochronie danych osobowych . Jednak w niektórych kwestiach szczegółowych ocena w tym zakresie jest niezwykle trudna i z pewnością można stwierdzić jedynie, że ochrona ta jest inaczej ukształtowana.
13. Pojęcie i zakres tajemnicy telekomunikacyjnej. Pojęciem tajemnicy telekomunikacyjnej (tajemnica komunikowania się w sieciach telekomunikacyjnych), zgodnie z przepisem art. 159 ust. 1 pr. tel., objęte zostały:
dane dotyczące użytkownika;
treść indywidualnych komunikatów;
dane transmisyjne, które oznaczają dane przetwarzane do celów przekazywania komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za usługi telekomunikacyjne, w tym dane lokalizacyjne, które oznaczają wszelkie dane przetwarzane w sieci telekomunikacyjnej lub w ramach usług telekomunikacyjnych wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych;
dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające poza dane niezbędne do transmisji komunikatu lub wystawienia rachunku;
dane o próbach uzyskania połączenia między zakończeniami sieci, w tym dane o nieudanych próbach połączeń, oznaczających połączenia między telekomunikacyjnymi urządzeniami końcowymi lub zakończeniami sieci, które zostały zestawione i nie zostały odebrane przez użytkownika końcowego, lub nastąpiło przerwanie zestawianych połączeń.
Powyższe wyliczenie wskazuje na bardzo szeroki zakres tajemnicy telekomunikacyjnej, w ramach którego mieści się nie tylko treść przekazu ("treść indywidualnych komunikatów"), ale także wiele danych odnoszących się do faktu i okoliczności procesu komunikacji, mających w znacznej mierze także charakter danych osobowych z uwagi na to, że odnoszą się do konkretnych osób fizycznych. Tajemnicą objęte zostały dane dotyczące użytkownika, a więc dane podmiotu, który korzysta z publicznie dostępnej usługi telekomunikacyjnej albo żąda świadczenia takiej usługi. Chodzi tu zarówno o dane abonentów (podmiotów, które zawarły umowę o świadczenie usług telekomunikacyjnych) , jak i o dane podmiotów niebędących jeszcze abonentami zgromadzone w trakcie czynności zmierzających do zawarcia umowy, a nawet o dane dotyczące użytkowników końcowych nieubiegających się o status abonenta (podmiotów korzystających z publicznie dostępnych usług telekomunikacyjnych lub żądających świadczenia takich usług). Tajemnica telekomunikacyjna rozciąga się także na dane dotyczące podmiotów innych niż osoby fizyczne, a więc informacje, które nie stanowią danych osobowych w rozumieniu ustawy o ochronie danych osobowych, stąd słuszny jest pogląd, że ochrona wynikająca z przepisów prawa telekomunikacyjnego jest szersza niż ta, która wynika z ustawy o ochronie danych osobowych . Zarówno dane transmisyjne, jak i dane o lokalizacji czy też dane o próbach uzyskania połączenia mogą stanowić dane osobowe, jeśli występują w kontekście pozwalającym odnieść je do konkretnej osoby fizycznej .
Ustawa - Prawo telekomunikacyjne wprowadza ogólny zakaz zapoznawania się, utrwalania, przechowywania, przekazywania albo innego wykorzystywania treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu. Od tego zakazu przewidziane zostały jednak następujące wyjątki:
gdy będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania;
gdy nastąpi za zgodą nadawcy lub odbiorcy, których dane te dotyczą;
gdy dokonanie tych czynności jest niezbędne w celu rejestrowania komunikatów i związanych z nimi danych transmisyjnych, stosowanego w zgodnej z prawem praktyce handlowej dla zapewnienia dowodów transakcji handlowej lub celów łączności w działalności handlowej;
gdy będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi.
Wskazany powyżej zakaz nie dotyczy także komunikatów i danych ze swojej istoty jawnych, z przeznaczenia publicznych lub ujawnionych postanowieniem sądu wydanym w postępowaniu karnym, postanowieniem prokuratora lub na podstawie odrębnych przepisów.
Podmiot uczestniczący w wykonywaniu działalności telekomunikacyjnej w sieciach publicznych oraz podmioty z nim współpracujące są obowiązane do zachowania tajemnicy telekomunikacyjnej. Na podmioty prowadzące działalność telekomunikacyjną przewidziano przy tym nałożenie obowiązku zachowania należytej staranności w zakresie uzasadnionym względami technicznymi i ekonomicznymi przy zabezpieczaniu urządzeń telekomunikacyjnych, sieci telekomunikacyjnych oraz zbiorów danych przed ujawnieniem tajemnicy telekomunikacyjnej. Przepisy ustawy - Prawo telekomunikacyjne nie wyłączają jednak w tym zakresie stosowania ustawy o ochronie danych osobowych. Na administratorze danych ciąży więc ogólny obowiązek zabezpieczenia danych zgodnie z przepisami rozdziału 5 ustawy (art. 36-39 u.o.d.o.) i rozporządzeń wykonawczych do ustawy. Na wspomniany ogólny obowiązek zabezpieczenia danych składa się wiele obowiązków o charakterze szczególnym, w tym m.in. obowiązek prowadzenia dokumentacji, sprawowania nadzoru (powiązany z możliwością wyznaczenia administratora bezpieczeństwa informacji), obowiązek nadawania upoważnień do przetwarzania danych, prowadzenia ewidencji osób upoważnionych oraz zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone i komu są przekazywane. Niektóre ze wskazanych tu obowiązków podlegają jednak pewnym ograniczeniom wynikającym z przepisów prawa telekomunikacyjnego.
14. Przetwarzanie danych osobowych. Treści lub dane objęte tajemnicą telekomunikacyjną mogą być przetwarzane (tj. zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane) tylko wówczas, gdy czynności te dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne tylko na podstawie przepisów ustawowych. Takie sformułowanie zawarte w art. 161 ust. 1 pr. tel. oznacza, że podstawą, na jakiej może się opierać przetwarzanie danych osobowych w celach związanych ze świadczeniem usług telekomunikacyjnych, są wyłącznie przepisy prawa telekomunikacyjnego, natomiast przetwarzanie danych osobowych w innych celach może znaleźć oparcie także w przepisach innych ustaw, w tym także ustawy o ochronie danych osobowych.
W ustawie - Prawo telekomunikacyjne określony został zakres danych dotyczących użytkownika będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych. Chodzi tu o tzw. dane trwałe, gromadzone w związku z zawieraniem umowy o świadczenie usług telekomunikacyjnych. Zgodnie z art. 161 ust. 2 pr. tel. zakresem tym zostały objęte następujące kategorie danych:
nazwisko i imiona;
imiona rodziców;
miejsce i data urodzenia;
adres miejsca zamieszkania i adres korespondencyjny, jeżeli jest on inny niż adres miejsca zamieszkania;
numer ewidencyjny PESEL - w przypadku obywatela Rzeczypospolitej Polskiej;
nazwa, seria i numer dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego ani Konfederacji Szwajcarskiej - numer paszportu lub karty pobytu;
dane zawarte w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych.
Podstawą uprawniającą do przetwarzania tego rodzaju danych jest przywołany tu przepis ustawy - Prawo telekomunikacyjne; w tym zakresie nie jest potrzebna zgoda osoby, której te dane dotyczą. Oprócz wskazanych powyżej danych dostawca publicznie dostępnych usług telekomunikacyjnych może za zgodą użytkownika będącego osobą fizyczną przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych. Określenie "w szczególności" oznacza, że za zgodą użytkownika zakres ten może być poszerzony także o inne kategorie danych, przy czym powinny one mieć związek ze świadczoną usługą.
Dostawca usług nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych od udzielenia informacji innych niż wskazane w art. 161 ust. 2 pr. tel. Ustawa - Prawo telekomunikacyjne w art. 57 daje dostawcy usług prawo do żądania od użytkownika końcowego dostarczenia dokumentów potwierdzających możliwość wykonania zobowiązania wobec dostawcy oraz uprawnienie do dokonywania oceny wiarygodności płatniczej użytkownika końcowego na podstawie danych będących w posiadaniu dostawcy usług lub udostępnionych przez biuro informacji gospodarczej w trybie określonym w ustawie o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, przy czym dostawca usług ma obowiązek powiadomić o tym użytkownika.
Abonenci, którzy nie są stroną zawartej na piśmie umowy o świadczenie usług, nie mają zasadniczo obowiązku podawania swoich danych. Jednak aby mogli oni w pełni korzystać z przyznanych im na mocy pr. tel. uprawnień, powinni podać swoje imię, nazwisko, numer ewidencyjny PESEL, a w przypadku osoby niemającej numeru PESEL - nazwę i numer dokumentu stwierdzającego tożsamość oraz adres korespondencyjny. Na żądanie abonenta, który udostępnił swoje dane, dostawca usług telekomunikacyjnych ma obowiązek dostarczyć treść każdej proponowanej zmiany warunków umowy drogą elektroniczną na wskazany przez abonenta adres poczty elektronicznej lub za pomocą podobnego środka porozumiewania się na odległość (art. 60a ust. 1a i 1b pr. tel.).
Gdy chodzi o czas przetwarzania danych, to przepisy ustawy - Prawo telekomunikacyjne określiły generalną regułę, zgodnie z którą dane użytkowników końcowych (dane trwałe) mogą być przetwarzane w okresie obowiązywania umowy, a po jej zakończeniu w okresie dochodzenia roszczeń lub wykonywania innych zadań przewidzianych w ustawie lub przepisach odrębnych. Nieco inaczej ukształtowane zostały okresy przetwarzania innych danych.
Ustawa - Prawo telekomunikacyjne zawiera szczególne przepisy odnoszące się do przetwarzania danych transmisyjnych oraz danych o lokalizacji. Dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany do poinformowania abonenta, z którym zawiera umowę o świadczenie usług telekomunikacyjnych, a także pozostałych użytkowników końcowych, o zakresie i celu przetwarzania danych transmisyjnych oraz innych danych ich dotyczących, a także o możliwościach wpływu na zakres tego przetwarzania. Przetwarzanie danych transmisyjnych, niezbędnych do naliczania opłat abonenta i opłat z tytułu rozliczeń operatorskich jest dozwolone po uprzednim poinformowaniu abonenta lub użytkownika końcowego o rodzaju danych transmisyjnych, które będą przetwarzane przez dostawcę publicznie dostępnych usług telekomunikacyjnych, oraz o okresie tego przetwarzania. Do przetwarzania danych transmisyjnych uprawnione są podmioty działające z upoważnienia operatorów publicznych sieci telekomunikacyjnych i dostawców publicznie dostępnych usług telekomunikacyjnych, zajmujące się naliczaniem opłat, zarządzaniem ruchem w sieciach telekomunikacyjnych, obsługą klienta, systemem wykrywania nadużyć finansowych, marketingiem usług telekomunikacyjnych lub świadczeniem usług o wartości wzbogaconej. Podmioty te mogą przetwarzać dane transmisyjne wyłącznie do celów niezbędnych przy wykonywaniu tych działań.
Dalej idące wymogi ustawa - Prawo telekomunikacyjne przewiduje w odniesieniu do przetwarzania danych o lokalizacji (tzn. danych lokalizacyjnych, które nie są niezbędne do transmisji komunikatu lub wystawienia rachunku). Dane te mogą być przetwarzane wyłącznie do celów niezbędnych do świadczenia usług o wartości wzbogaconej. Żeby móc wykorzystać takie dane, dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany uzyskać zgodę abonenta lub użytkownika końcowego albo dokonać anonimizacji tych danych, przy czym zgoda może być wycofana okresowo lub w związku z konkretnym połączeniem. Zgoda, w świetle art. 174 pr. tel., nie może być domniemana ani dorozumiana, może być wyrażona drogą elektroniczną i wycofana w każdym czasie, w sposób prosty i wolny od opłat. Ponadto dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany poinformować abonenta lub użytkownika końcowego przed uzyskaniem jego zgody o rodzaju danych o lokalizacji, które będą przetwarzane, o celach i okresie ich przetwarzania oraz o tym, czy dane zostaną przekazane innemu podmiotowi do celów świadczenia usługi tworzącej wartość wzbogaconą. Do przetwarzania danych o lokalizacji uprawnione są podmioty działające z upoważnienia operatora publicznej sieci telekomunikacyjnej, podmioty działające z upoważnienia dostawcy publicznie dostępnych usług telekomunikacyjnych oraz podmioty świadczące usługę o wartości wzbogaconej.
Dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany do rejestracji danych o wykonanych usługach telekomunikacyjnych w zakresie umożliwiającym ustalenie należności za wykonanie tych usług oraz rozpatrzenie reklamacji (dane do celów rozliczeniowych). Dane te mają być przechowywane co najmniej przez 12 miesięcy, a w przypadku wniesienia reklamacji - przez okres niezbędny do rozstrzygnięcia sporu. W literaturze podkreśla się, że 12-miesięczny okres wskazany w art. 168 ust. 2 pr. tel. to minimalny okres przechowywania informacji, który może być przedłużony, nie bardziej jednak niż do czasu przedawnienia roszczeń .
Gdy chodzi o przetwarzanie danych dla celów marketingu usług telekomunikacyjnych lub świadczenia usług o wartości wzbogaconej, ustawa - Prawo telekomunikacyjne nakłada na dostawcę publicznie dostępnych usług telekomunikacyjnych obowiązek poinformowania abonenta lub użytkownika końcowego o rodzaju danych transmisyjnych, które będą przetwarzane, oraz o okresie tego przetwarzania, przy czym na tego rodzaju przetwarzanie danych ustawa - Prawo telekomunikacyjne wymaga zgody abonenta lub użytkownika końcowego. Do dnia 24 grudnia 2014 r. przepisy ustawy - Prawo telekomunikacyjne wymagały uprzedniej zgody w przypadku wykorzystywania automatycznych systemów wywołujących dla celów marketingu bezpośredniego. Na mocy nowelizacji dokonanej ustawą o prawach konsumenta zmieniony został art. 172 pr. tel. W obecnym stanie prawnym zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Takie brzmienie przepisu oznacza, że każda postać marketingu za pośrednictwem telekomunikacyjnych urządzeń końcowych (przede wszystkim aparatów telefonicznych) wymaga uzyskania uprzedniej zgody.
Istotny wyjątek dotyczący wyraźnej zgody abonenta wprowadzono do przepisu art. 173 pr. tel. wskutek nowelizacji dokonanej przepisami ustawy z dnia 16 listopada 2012 r. o zmianie ustawy - Prawo telekomunikacyjne oraz niektórych innych ustaw (Dz. U. z 2012 r. poz. 1445 z późn. zm.). Ustawodawca dopuścił możliwość, aby abonent lub użytkownik końcowy wyraził zgodę na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym (tzw. cookies) za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi .
Oprócz obowiązków wynikających z ustawy - Prawo telekomunikacyjne, a związanych z przetwarzaniem danych, przedsiębiorcy telekomunikacyjni powinni spełniać także wymogi, jakie nakłada na administratorów danych ustawa o ochronie danych osobowych. Chodzi tu przede wszystkim o obowiązki informacyjne, obowiązki w zakresie szczególnej staranności, obowiązki związane z zabezpieczeniem danych osobowych, powierzeniem przetwarzania takich danych, zgłoszeniem zbiorów danych do rejestracji, jak również dotyczące przekazywania danych do państwa trzeciego .
15. Spisy abonentów i informacja o numerach abonentów. W przepisach ustawy - Prawo telekomunikacyjne uregulowano również kwestie udostępniania danych o abonentach. Regulacje dotyczące udostępniania spisów abonentów oraz świadczenia usług informacji o numerach telefonicznych abonentów stanowią przepisy szczególne i wyłączają w tym zakresie stosowanie przepisów ustawy o ochronie danych osobowych . Przepis art. 66 pr. tel. nakłada na dostawców powszechnie dostępnych usług telekomunikacyjnych w sieci stacjonarnej obowiązek udostępniania swoim abonentom aktualnego spisu swoich abonentów z obszaru strefy numeracyjnej, w której znajduje się zakończenie sieci abonenta, nie rzadziej niż raz na 2 lata, a także obowiązek świadczenia usługi informacji o numerach telefonicznych abonentów. W literaturze wskazuje się, że obowiązki te ograniczone są jedynie do abonentów, nie obejmują natomiast innych użytkowników , a ponadto zwraca się uwagę, że obowiązek wydawania spisów abonentów nałożony został jedynie na dostawców publicznie dostępnych usług telefonicznych w sieci stacjonarnej, natomiast nie ciąży na przedsiębiorcach telekomunikacyjnych świadczących usługi w sieci ruchomej . Nie oznacza to jednak, że ci przedsiębiorcy nie mogą publikować spisów swoich abonentów, nie mają jedynie takiego obowiązku. Ustawa - Prawo telekomunikacyjne reguluje także kwestie ogólnokrajowego spisu abonentów oraz ogólnokrajowej informacji o numerach telefonicznych, nakładając obowiązek świadczenia tych usług na przedsiębiorcę wyznaczonego (por. art. 103 pr. tel.). W omawianej ustawie zostały uregulowane także zagadnienia odnoszące się do przekazywania danych pomiędzy przedsiębiorcami telekomunikacyjnymi w celu umożliwienia sporządzania spisów abonentów różnych dostawców usług oraz informacji o numerach tych abonentów (art. 67 pr. tel.).
Gdy chodzi o zakres danych o abonentach będących osobami fizycznymi, prawo telekomunikacyjne określa kategorie danych osobowych, do których - co do zasady - ograniczone powinny być informacje o abonencie. Zgodnie z art. 169 ust. 1 pr. tel. dane osobowe posiadane przez przedsiębiorcę telekomunikacyjnego zawarte w publicznie dostępnym spisie abonentów, wydawanym w formie książkowej lub elektronicznej, a także udostępniane za pośrednictwem służb informacyjnych przedsiębiorcy telekomunikacyjnego powinny być ograniczone do:
numeru abonenta lub znaku identyfikującego abonenta;
nazwiska i imion abonenta;
nazwy miejscowości oraz ulicy w miejscu zamieszkania, przy której znajduje się zakończenie sieci, udostępnione abonentowi - w przypadku stacjonarnej publicznej sieci telekomunikacyjnej albo nazwy miejscowości oraz ulicy w miejscu zamieszkania - w przypadku ruchomej publicznej sieci telekomunikacyjnej.
Abonenci przed umieszczeniem ich danych w spisie są informowani nieodpłatnie o celu spisu lub telefonicznej informacji o numerach, w których ich dane osobowe mogą się znajdować, a także o możliwości wykorzystywania spisu za pomocą funkcji wyszukiwania dostępnych w jego elektronicznej formie. Zamieszczenie w spisie danych identyfikujących abonenta będącego osobą fizyczną może nastąpić wyłącznie po uprzednim wyrażeniu przez niego zgody na dokonanie tych czynności. Także rozszerzenie zakresu danych wymaga zgody abonenta. Obecny stan prawny w tym zakresie różni się w sposób istotny od regulacji przewidzianej w ustawie - Prawo telekomunikacyjne z 2000 r. Nowa ustawa - Prawo telekomunikacyjne nie przewiduje już zamieszczania danych w spisie abonentów niejako automatycznie z możliwością zastrzeżenia danych (tzw. zastrzeżenia numeru), ale uzależnia zamieszczenie danych w spisie od uprzedniej zgody, która może być w każdym czasie odwołana.
Wymóg zgody na udostępnianie danych odnosi się jedynie do osób fizycznych, natomiast udostępnianie w spisie lub za pośrednictwem służb informacyjnych danych identyfikujących abonentów innych niż osoby fizyczne nie wymaga zgody, nie może jednak naruszać słusznych interesów tych podmiotów. W praktyce problemy pojawiają się, gdy chodzi o osoby fizyczne będące przedsiębiorcami; powstaje pytanie, czy osoby te powinny być pytane o zgodę, czy też dane na ich temat powinny być traktowane jako dane przedsiębiorcy, a zatem zgoda nie byłaby tu potrzebna. Wykładnia językowa przemawia za pierwszą ze wskazanych tu interpretacji, natomiast wykładnia celowościowa zdaje się świadczyć na korzyść drugiej.
Wątpliwości budzi również to, czy zgoda obejmuje wyłącznie zamieszczenie danych w spisie, czy też odnosi się także do udostępniania tych danych w ramach usługi informacji o numerach telefonicznych. W doktrynie zdania na ten temat są podzielone: P. Litwiński i P. Barta uznają, że "obowiązek legitymowania się zgodą abonenta nie dotyczy ujawniania jego danych w ramach usługi biura numerów" , natomiast S. Piątek prezentuje stanowisko odmienne, zgodnie z którym wprawdzie przepis art. 169 ust. 3 pr. tel. "mówi wyraźnie tylko o zgodzie na zamieszczenie danych w spisie danych, ale przepis ten odnosi się również do umieszczania danych abonenta w bazie danych, którą przedsiębiorca posługuje się przy wykonywaniu informacji o numerach" . Wydaje nam się, że za opowiedzeniem się na rzecz drugiej ze wskazanych powyżej interpretacji przemawiają negatywne skutki, do których prowadziłoby zaaprobowanie pierwszej (ścisłej wykładni literalnej), tzn. faktyczne pozbawienie abonenta możliwości decydowania o tym, czy jego numer telefonu będzie udostępniany.
Kolejną kontrowersyjną kwestią z tego zakresu jest zakres danych udostępnianych "za pośrednictwem służb informacyjnych przedsiębiorcy telekomunikacyjnego". Problem sprowadza się do odpowiedzi na pytanie, czy w ramach tzw. usługi biura numerów mogą być udostępniane oprócz numeru telefonu także inne dane wskazane w art. 169 pr. tel. Chodzi więc o tzw. wyszukiwanie zwrotne, gdy na podstawie numeru telefonu ustala się dane abonenta. Z uwagi na istotę usługi informacji o numerach telefonicznych należy opowiedzieć się przeciwko takiej możliwości, choć prima facie przepis art. 169 pr. tel. zdawałby się dopuszczać taką możliwość. Omawiana usługa, określona bardziej precyzyjnie w art. 66 ust. 2 pr. tel. jako "informacja o numerach telefonicznych", ma pozwolić jedynie na ustalenie numeru telefonu abonenta, nie służy natomiast ustalaniu innych danych .
Szczególne obowiązki ciążą również na przedsiębiorcach telekomunikacyjnych w zakresie zabezpieczenia danych. Przedsiębiorca telekomunikacyjny jest obowiązany zabezpieczyć spisy wydawane w formie elektronicznej w sposób uniemożliwiający wykorzystanie zawartych w nich danych niezgodnie z przeznaczeniem, a także informować abonenta o przekazaniu jego danych innym przedsiębiorcom w celu publikacji spisu lub świadczenia usługi informacji o numerach telefonicznych.
Przedsiębiorca telekomunikacyjny jest uprawniony do udzielania informacji o numerach abonentów lub powierzenia tej czynności innemu podmiotowi z zachowaniem wszystkich warunków i ograniczeń przewidzianych w przepisach ustawy - Prawo telekomunikacyjne. W tym drugim przypadku mamy do czynienia z powierzeniem przetwarzania danych osobowych, a więc kwestii uregulowanych w przepisie art. 31 u.o.d.o.
16. Uwidacznianie numerów. Identyfikacja abonenta wywołującego i wywoływanego. Szczegółowe rozwiązania zawarte w ustawie - Prawo telekomunikacyjne odnoszą się także do identyfikacji uczestników procesu komunikacji (art. 171 pr. tel.). Operator publicznej sieci telekomunikacyjnej, w której świadczone są publicznie dostępne usługi telefoniczne, powinien zapewnić użytkownikom możliwość prezentacji identyfikacji zakończenia sieci, z którego inicjowane jest połączenie, przed dokonaniem tego połączenia. Dostawca publicznie dostępnych usług telefonicznych świadczonych w publicznej sieci telekomunikacyjnej umożliwiającej prezentację identyfikacji linii wywołującej jest obowiązany zapewnić, za pomocą prostych środków: użytkownikowi wywołującemu - możliwość wyeliminowania prezentacji identyfikacji linii wywołującej u użytkownika wywoływanego podczas wywołania i połączenia, a abonentowi wywołującemu - ponadto w sposób trwały u operatora. Abonentowi wywoływanemu powinna być zapewniona możliwość eliminacji dla połączeń przychodzących prezentacji identyfikacji linii wywołującej, o ile będzie to technicznie możliwe, a jeżeli taka prezentacja jest dostępna przed rozpoczęciem połączenia przychodzącego - także możliwość blokady połączeń przychodzących od abonenta lub użytkownika końcowego stosującego eliminację prezentacji identyfikacji linii wywołującej.
Dostawca publicznie dostępnych usług telefonicznych świadczonych w publicznej sieci telekomunikacyjnej zapewniającej prezentację identyfikacji zakończenia sieci, do której zostało przekierowane połączenie (linii wywoływanej), jest obowiązany zapewnić abonentowi wywoływanemu możliwość eliminacji, za pomocą prostych środków, prezentacji identyfikacji linii wywoływanej u użytkownika końcowego wywołującego. Chodzi o to, aby abonent mógł nie ujawniać informacji o tym, że przekierował połączenie na inny numer. Dostawca publicznie dostępnych usług telefonicznych świadczonych w publicznej sieci telekomunikacyjnej zapewniającej automatyczne przekazywanie wywołań jest obowiązany zapewnić abonentowi możliwość zablokowania, za pomocą prostych środków, automatycznego przekazywania przez osobę trzecią wywołań do urządzenia końcowego tego abonenta. To uprawnienie służy ochronie abonentów przed uciążliwościami, na jakie mogliby być oni narażeni wskutek przekierowania połączeń na ich numery dokonanych przez innych użytkowników.
Dostawca publicznie dostępnych usług telefonicznych świadczonych w publicznej sieci telekomunikacyjnej jest obowiązany do poinformowania abonentów, że wykorzystywana przez niego sieć zapewnia prezentację identyfikacji linii wywołującej lub wywoływanej, a także o możliwościach zablokowania prezentacji. Z tytułu korzystania przez abonenta z możliwości eliminacji lub blokowania nie pobiera się opłat.
Ustawa - Prawo telekomunikacyjne przewiduje jednak wyjątkowe sytuacje, w których eliminacja prezentacji identyfikacji linii wywołującej może być anulowana:
na żądanie służb ustawowo powołanych do niesienia pomocy, a także uprawnionych podmiotów właściwych w sprawach obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, w zakresie i na warunkach określonych w odrębnych przepisach;
przez dostawcę usług zapewniającego przyłączenie do publicznej sieci telekomunikacyjnej, w której świadczone są publicznie dostępne usługi telefoniczne lub operatora, do którego sieci został przyłączony abonent będący stroną umowy z dostawcą usług zapewniającym przyłączenie do publicznej sieci telekomunikacyjnej, w której świadczone są publicznie dostępne usługi telefoniczne, na wniosek abonenta, jeżeli wnioskujący uprawdopodobni, że do jego telekomunikacyjnego urządzenia końcowego są kierowane połączenia uciążliwe lub zawierające groźby, w celu identyfikacji numerów użytkowników końcowych wywołujących tego abonenta.
Przedsiębiorcy telekomunikacyjni są obowiązani do zapewnienia służbom ustawowo powołanym do niesienia pomocy dostępu do identyfikacji linii wywołującej oraz danych dotyczących lokalizacji bez uprzedniej zgody zainteresowanych abonentów lub użytkowników końcowych, jeżeli jest to konieczne do umożliwienia tym służbom wykonywania ich zadań w możliwie najbardziej efektywny sposób. Dane identyfikujące użytkowników wywołujących, w przypadku anulowania eliminacji prezentacji identyfikacji linii wywołującej, są rejestrowane przez przedsiębiorcę na żądanie właściwych służb lub abonenta. Takie dane pozostają w dyspozycji przedsiębiorcy telekomunikacyjnego, który udostępnia je na podstawie przepisu art. 180d pr. tel.
Użytkownik końcowy ponoszący koszty połączeń przychodzących nie może otrzymywać danych umożliwiających pełną identyfikację numeru wywołującego.
Prezes Urzędu Komunikacji Elektronicznej na uzasadniony wniosek operatora może, w drodze decyzji, ustalić okres przejściowy na wprowadzenie usługi blokady połączeń przychodzących od abonenta lub użytkownika stosującego eliminację prezentacji identyfikacji linii wywołującej .
17. Retencja danych. Jak już wyżej wspomnieliśmy, problem "zatrzymywania danych o ruchu w sieci" na potrzeby wykrywania i zwalczania przestępstw wzbudza wiele kontrowersji. Problematyki tej nie pomija również ustawa - Prawo telekomunikacyjne, przy czym przepisy odnoszące się do tej kwestii były przedmiotem kilku nowelizacji ustawy. Zgodnie z obecnym stanem prawnym (art. 180a pr. tel.) operator publicznej sieci telekomunikacyjnej oraz dostawca publicznie dostępnych usług telekomunikacyjnych są obowiązani na własny koszt:
zatrzymywać i przechowywać dane, o których mowa w art. 180c, generowane w sieci telekomunikacyjnej lub przez nich przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez 12 miesięcy (pierwotnie były to 24 miesiące), licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi;
udostępniać zgromadzone dane uprawnionym podmiotom, a także sądowi i prokuratorowi, na zasadach i w trybie określonych w przepisach odrębnych;
chronić zgromadzone dane przed przypadkowym lub bezprawnym zniszczeniem, utratą lub zmianą, nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem.
Zatrzymywane i przechowywane dane to nie tylko dane dotyczące połączeń zrealizowanych, ale także dane dotyczące nieudanych prób połączenia, przy czym zgodnie z art. 180c pr. tel. zakres gromadzonych danych obejmuje dane niezbędne do: ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego (zarówno inicjującego połączenie, jak i tego, do którego połączenie jest kierowane) oraz określenia daty i godziny połączenia oraz czasu jego trwania, rodzaju połączenia, lokalizacji telekomunikacyjnego urządzenia końcowego. Szczegółowy wykaz danych oraz kategorie podmiotów, na których ciąży obowiązek retencji danych, został określony w rozporządzeniu wykonawczym . W rozporządzeniu określono m.in., jakie dane powinny być gromadzone przez operatorów w stacjonarnych publicznych sieciach telekomunikacyjnych, w sieciach ruchomych (telefonia komórkowa), a także przez dostawców publicznie dostępnych usług dostępu do Internetu, poczty elektronicznej i telefonii internetowej.
Ponadto na przedsiębiorców telekomunikacyjnych został nałożony obowiązek informowania Prezesa Urzędu Komunikacji Elektronicznej o udostępnianiu danych zgromadzonych w ramach realizacji obowiązku retencyjnego (art. 180g pr. tel.).
Jak już wcześniej sygnalizowaliśmy, w wyroku z dnia 15 marca 2006 r. dyrektywa retencyjna 2006/24/WE została przez Trybunał Sprawiedliwości Unii Europejskiej uznana za nieważną, ze względu na naruszenie zasady proporcjonalności przy ograniczeniu dotyczącym ochrony prywatności i ochrony danych osobowych . Jednak stwierdzenie nieważności dyrektywy nie pociąga za sobą bezpośredniego skutku w postaci nieważności przepisów, które stanowią implementację rozwiązań zawartych w dyrektywie. Zasadna wydaje się jednak potrzeba dokonania oceny rozwiązań zawartych w art. 180a-180g pr. tel. w świetle wskazanego powyżej orzeczenia i dokonanie stosownych zmian. Przepisy dotyczące retencji to nie tylko wskazane powyżej regulacje zawarte w ustawie - Prawo telekomunikacyjne, ale także przepisy innych ustaw odnoszące się do udostępniania danych retencyjnych podmiotom uprawnionym. Kwestie te były przedmiotem oceny Trybunału Konstytucyjnego, który w wyroku z dnia 30 lipca 2014 r. uznał niezgodność z Konstytucją RP niektórych przepisów odnoszących się do Policji, Straży Granicznej, ABW, SKW, CBA i innych podmiotów wskazanych w orzeczeniu, m.in. dlatego, że przepisy te nie przewidują niezależnej kontroli udostępniania danych retencyjnych oraz nie przewidują zniszczenia danych niemających znaczenia dla prowadzonego postępowania, i orzekł o utracie mocy obowiązującej tych przepisów z upływem 18 miesięcy od dnia ogłoszenia wyroku w Dzienniku Ustaw. Pociąga to za sobą konieczność dokonania zmiany przepisów uznanych za niezgodne z Konstytucją RP w terminie do 7 lutego 2016 r. Od kilku miesięcy trwają prace legislacyjne mające na celu dokonanie zmian w wyniku wskazanego powyżej orzeczenia TK. W komunikacie na temat prac legislacyjnych wskazano, że projekt będzie także uwzględniał nowelizację pr. tel. w zakresie retencji danych, w związku z orzeczeniem TSUE stwierdzającym nieważność dyrektywy retencyjnej.
18. Nowym mechanizmem prawnym związanym z ochroną danych osobowych w telekomunikacji jest wprowadzony na mocy nowelizacji w art. 174a-174d pr. tel. mechanizm zawiadamiania Generalnego Inspektora Ochrony Danych Osobowych o naruszeniach danych osobowych. Wprowadzenie tego rozwiązania stanowi implementację przepisów dyrektywy 2002/58/WE . Konstrukcja prawna zawiadamiania o naruszeniach polega na nałożeniu na administratora danych, u którego wystąpiło naruszenie zasad ochrony danych, obowiązku poinformowania o tym GIODO oraz osób, których dane dotyczą. Celem zawiadamiania ma być zmobilizowanie administratora danych do podjęcia stosownych działań zmierzających do zapobieżenia (bądź ograniczenia) negatywnych konsekwencji naruszenia i zapobieganie tego rodzaju zdarzeniom w przyszłości, a także umożliwienie Generalnemu inspektorowi reagowania, gdy brak należytej reakcji ze strony administratora danych. Również dla osób, których dane dotyczą, informacja o naruszeniu może być ważna, ponieważ może pozwolić na obronę przed skutkami naruszenia.
Przez pojęcie naruszenia danych osobowych art. 174a ust. 2 pr. tel. rozumie przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych. W przepisie art. 174a ust. 1 pr. tel. na dostawców publicznie dostępnych usług telekomunikacyjnych został nałożony obowiązek niezwłocznego (nie później niż w terminie 3 dni od stwierdzenia naruszenia) zawiadomienia Generalnego Inspektora o naruszeniu danych osobowych, a w przypadku, gdy naruszenie może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną - zgodnie z art. 174a ust. 3 pr. tel. - obowiązek zawiadomienia obejmuje także takie osoby. W art. 174a ust. 4 pr. tel. określono, że naruszenie, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, oznacza naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej. Przepis art. 174a ust. 7 pr. tel. określa istotne elementy treści zawiadomienia. Z obowiązku zawiadomienia zwolniony jest - zgodnie z art. 174a ust. 5 pr. tel. - podmiot, który wdrożył przewidziane przepisami o ochronie danych osobowych odpowiednie techniczne i organizacyjne środki ochrony, uniemożliwiające odczytanie danych przez osoby nieuprawnione oraz, zastosował je do danych, których ochrona została naruszona. Ponadto przepis art. 174d pr. tel. nakłada na dostawców powszechnie dostępnych usług telekomunikacyjnych obowiązek prowadzenia rejestru naruszeń danych osobowych .
VIII.Odpowiedzialność cywilna z tytułu bezprawnego przetwarzania danych osobowych
1. Obowiązująca ustawa o ochronie danych osobowych nie zawiera żadnych przepisów dotyczących odpowiedzialności cywilnej z tytułu naruszenia praw czy zasad postępowania przez nią przewidzianych. Ochrona w tej mierze skoncentrowana została na szczególnej odpowiedzialności karnej (art. 49 i n.) .
Na gruncie prawa polskiego nie wprowadzono rozwiązań takich, jakie są w Niemczech, w myśl których bezprawne (tj. dokonywane poza warunkami ustalonymi ustawą) przetwarzanie danych osobowych (zbieranie, wykorzystywanie, udostępnianie itd.), o ile doprowadziło do powstania szkody po stronie osoby, której dane dotyczą, stanowi podstawę odpowiedzialności odszkodowawczej niezależnej od winy. Odpowiedzialność jest tu oparta na zasadzie ryzyka. Zainteresowany udowadnia jedynie bezprawność działania oraz fakt powstania szkody. Takie podejście jest refleksem uznania wysokiej społecznej szkodliwości i niebezpieczeństw bezprawnego przetwarzania danych, równych tym, z którymi mamy do czynienia przy prowadzeniu samochodu czy pociągu . Rozwiązanie to rozciąga się tylko na automatyczne przetwarzanie danych. Roszczenie odszkodowawcze może dotyczyć także szkód niematerialnych, jeżeli naruszenie dóbr osobistych zainteresowanego było ciężkie. Górna granica odpowiedzialności odszkodowawczej niezależnej od zawinienia ustalona została na 130 tys. euro. Wyrównania szkody przewyższającej tę kwotę można dochodzić na zasadach ogólnych.
Podobne reguły dotyczą w BDSG także odszkodowania od instytucji prywatnych. W tych przypadkach poszkodowany nie musi udowadniać, że szkoda jest następstwem okoliczności, za które odpowiada pozwany (administrator danych). To tę jednostkę (administratora) obciąża ciężar dowodu przeciwnego.
Gdy do gromadzenia danych w bazie uprawnionych jest kilka jednostek, a powstaje wątpliwość, która z nich jest odpowiedzialna, przyjmuje się, że wszystkie odpowiadają solidarnie. Ma to uwolnić poszkodowanego od obowiązku prowadzenia uciążliwego postępowania dowodowego.
Pominięcie w polskiej ustawie problematyki cywilnoprawnej ochrony nie oznacza bynajmniej, że wobec naruszenia postanowień tej ustawy tego rodzaju ochrona nie może wejść w rachubę. Należy tu uwzględnić zarówno system cywilnoprawnej ochrony dóbr osobistych, jak i odpowiedzialność z tytułu czynów niedozwolonych.
Z wcześniejszych wywodów wynika wyraźnie, że z naruszenie postanowień komentowanej ustawy może równolegle stanowić naruszenie objętych ochroną dóbr osobistych (zwłaszcza prywatności). Należy wyraźnie wskazać, że chodzi tu o ochronę, której przesłanki są w całości i wyłącznie określane na podstawie przepisów kodeksu cywilnego. Do naruszenia dobra osobistego prowadzi z reguły przetwarzanie danych wrażliwych (por. art. 27), ale niejednokrotnie także innych danych osobowych, które zaliczyć można do kategorii informacji związanych ze sferą życia prywatnego (np. wiadomości dotyczących życia rodzinnego i towarzyskiego). Nie budzi poza tym wątpliwości, że przetwarzanie danych nieprawdziwych (w tym nieaktualnych), a zwłaszcza ich udostępnienie lub inne ujawnianie, w wielu przypadkach może również prowadzić do naruszenia dóbr osobistych.
W naszym przekonaniu, któremu daliśmy już wyraz wcześniej , można na gruncie prawa polskiego bronić poglądu, że w wielu przypadkach przetwarzanie informacji (także tych uznawanych za "neutralne") o określonej osobie, w szczególności gdy nie jest ona zaangażowana w życie publiczne, stanowi wkroczenie w chronioną sferę jej dóbr osobistych. Centralnym zagadnieniem staje się wówczas kwestia przypisania działaniom naruszyciela (z reguły - administratora danych) cech bezprawności. Przypomnijmy w tym miejscu, że kodeks cywilny w tej materii przyjmuje "domniemanie bezprawności", wyrażające się w tym, że to nie powód wykazuje jej istnienie, lecz pozwany musi udowodnić, że zachodzą przesłanki uchylające znamię bezprawności. W omawianym zakresie przesłanką taką będzie najczęściej zgoda naruszonego lub działanie w ramach porządku prawnego . Tak więc administrator danych będzie mógł się uchylić od odpowiedzialności za naruszenie dóbr osobistych, jeśli wykaże, że prowadzone przez niego przetwarzanie danych było w pełni zgodne z postanowieniami komentowanej ustawy.
Można by nawet posunąć się dalej i rekonstruować na gruncie art. 23 k.c. generalne prawa osobiste do decydowania o przetwarzaniu danych osobowych, wykazując, że tego rodzaju działanie z reguły, według kryteriów obiektywnych (a więc opartych na poglądach przyjętych i akceptowanych obecnie w społeczeństwie), prowadzi do zakłócenia stanu spokoju psychicznego człowieka , ponieważ świadomość, że bez wiedzy zainteresowanego są zbierane, wzajemnie kojarzone, a następnie wykorzystywane różne dotyczące go informacje (dzięki czemu możliwe staje się wysuwanie wniosków co do jego preferencji osobistych, zwyczajów, zainteresowań, a także podejmowanie w jego sprawach decyzji), z reguły nie jest dla psychiki obojętna i wywoływać może przekonanie o nieograniczonej, niewidocznej, ciągłej swoistej obserwacji. Pogląd ten nie znajduje podstawy w polskim orzecznictwie i jest dyskusyjny; jego obronie sprzyja okoliczność, że przedmiot ochrony na gruncie art. 23 k.c. został przedstawiony tylko generalnie, a wyliczenie poszczególnych dóbr osobistych ma charakter przykładowy.
Wobec bezprawnego naruszenia dóbr osobistych naruszonemu przysługują roszczenia określone w art. 24 k.c. (o zaniechanie działań naruszających oraz o dopełnienie czynności potrzebnych do usunięcia skutków naruszenia). Ponadto, stosownie do art. 448 k.c., sąd może przyznać osobie, której dobro zostało naruszone, odpowiednią sumę z tytułu zadośćuczynienia pieniężnego za doznaną krzywdę lub na jej żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez nią cel społeczny.
W naszym przekonaniu nie można jednak akceptować wykładni, że każde sprzeczne z ustawą o ochronie danych osobowych przetwarzanie danych zawsze stanowi naruszenie dóbr osobistych z art. 23 i 24 k.c. W orzeczeniu opisanym w "Rzeczpospolitej" z dnia 15 listopada 2000 r. Sąd Okręgowy w Łodzi uznał, że bank X dopuścił się naruszenia dóbr osobistych przez przysłanie życzeń urodzinowych niedoszłym klientom, mimo że uprzednio wyraźnie żądali oni zaprzestania przetwarzania ich danych osobowych. Orzekając zadośćuczynienie w wysokości 20 tys. zł, sąd uznał, że naruszonym dobrem jest prawo do prywatności. Wydaje się, że w niniejszej sprawie trudno przyjąć zasadność nie tylko przyznania zadośćuczynienia, ale także stwierdzenia, że doszło do naruszenia dóbr osobistych.
Jeżeli w rezultacie przetwarzania danych osobowych z naruszeniem przepisów ustawy osoba, której dane dotyczą, poniesie szkodę, to istnieje możliwość ochrony jej interesów majątkowych na podstawie przepisów kodeksu cywilnego o czynach niedozwolonych (art. 415 i n. k.c.). Pokrzywdzony, dochodząc odszkodowania, powinien wykazać związek przyczynowy pomiędzy naruszeniem postanowień ustawy a powstaniem szkody oraz winę naruszającego (najczęściej - administratora danych osobowych). Ponadto istnieje możliwość wystąpienia z roszczeniami zapobiegawczymi, o których stanowi art. 439 k.c.
1.
Deklaracja ustawodawcy zawarta w art. 1 u.o.d.o. traktowana jest niekiedy jako refleks ogólnej zasady autonomii informacyjnej człowieka. Znajduje w nim swój wyraz idea powszechności ochrony danych osobowych. Prawo do takiej ochrony przysługuje bowiem każdemu.
Nasuwa się spostrzeżenie, że tak ujęte prawo stanowi swego rodzaju emanację ogólnego prawa gwarantowanego Konstytucją RP (art. 47), w myśl którego: "Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym". Spostrzeżenie to oparte jest na założeniu, że dane osobowe są niejako częścią życia prywatnego lub rodzinnego, względnie że posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję "decydowania o swoim życiu osobistym".
Podobny nieco punkt widzenia zdaje się prezentować Trybunał Konstytucyjny w jednym ze swoich orzeczeń (zob. orzeczenie TK z dnia 24 czerwca 1997 r., K 21/96, OTK 1997, nr 2, poz. 23), chociaż trzeba...
Pełna treść dostępna po zalogowaniu do LEX