Mednis Arwid, Ustawa o ochronie danych osobowych. Komentarz

Niniejszy komentarz ma służyć przybliżeniu i wyjaśnieniu nowej, nie istniejącej wcześniej w Polsce regulacji prawnej. Na wstępie pragnę podzielić się kilkoma uwagami ogólnymi, które - mam nadzieję - ułatwią lekturę komentarza.

Prace nad ustawą o ochronie danych osobowych trwały ponad sześć lat. Początkowo główny motyw przygotowywania projektu ustawy stanowiła chęć dostosowania naszego ustawodawstwa do systemu prawnego państw Unii Europejskiej. W niektórych państwach Unii podobne ustawodawstwo funkcjonuje już od przełomu lat sześćdziesiątych i siedemdziesiątych . Opracowano wiele aktów prawnych z tej dziedziny o zasięgu międzynarodowym (będzie o nich mowa niżej). W Polsce zainteresowanie opinii publicznej i mediów tematyką ochrony danych osobowych było w początkowym okresie prac nad projektem niewielkie, z czasem jednak wzrosło, co pozwala przypuszczać, że ustawa okaże się aktem przydatnym.

Autorzy projektu, wobec braku polskich doświadczeń w tej dziedzinie, opierali się na aktach prawnych państw Europy Zachodniej (m.in. Francji, Niemiec i Szwajcarii) oraz na aktach międzynarodowych, w szczególności na Konwencji nr 108 Rady Europy z dnia 28 stycznia 1981 roku, dotyczącej ochrony osób w związku z automatycznym przetwarzaniem danych osobowych. Projekt uległ jednak znacznym zmianom wraz z uchwaleniem Dyrektywy Unii Europejskiej nr 95/46/CE z dnia 24 października 1995 roku, dotyczącej ochrony osób fizycznych ze względu na przetwarzanie danych o charakterze osobowym oraz swobodnego przepływu tych danych.

Wprawdzie ani Konwencja, ani Dyrektywa nie są aktami wiążącymi Polskę , niemniej jednak - z uwagi na to, że akty te stanowiły w dużej mierze inspirację dla autorów projektu ustawy, a niektóre jej postanowienia są sformułowane podobnie do przepisów Konwencji i Dyrektywy, w niniejszym komentarzu - Czytelnik znajdzie odniesienia do obu tych aktów oraz ich oficjalnych interpretacji .

Należy podkreślić, że niektóre postanowienia Dyrektywy są nowością również w państwach Unii Europejskiej . Przeniesienie ich do polskiego ustawodawstwa, jak również brak rodzimych doświadczeń w tej dziedzinie powoduje, że ustawa przejdzie na początku pewien „okres próbny”, po upływie którego będzie wymagała zmian. Nie ulega jednak wątpliwości, iż z punktu widzenia ochrony praw i wolności obywatelskich jest to akt prawny o ogromnym znaczeniu, mający na celu uregulowanie niejasnej, jak dotąd, sytuacji w zakresie wykorzystywania informacji osobowych.

We wstępie pracy zamieszczam krótki „przewodnik” po ustawie prezentujący z jednej strony obowiązki podmiotów wykorzystujących dane osobowe, z drugiej zaś - prawa osób, których dane dotyczą, z odniesieniami do konkretnych przepisów ustawy. Ma to na celu ułatwienie poruszania się po dość skomplikowanym akcie prawnym.

1. Obowiązki administratora danych

Ustawa przewiduje wiele obowiązków administratora danych, czyli podmiotu, który wykorzystuje dane osobowe.

Obowiązki te to przede wszystkim:

- legalność wykorzystywania danych (art. 23),

- obowiązek informacyjny, który należy spełnić w trakcie (art. 24) lub tuż po zgromadzeniu danych (art. 25),

- obowiązek informacyjny oraz inne wymagania, które należy spełnić na żądanie osoby, której dane dotyczą (art. 32),

- zabezpieczenie danych osobowych (art. 36-39 oraz rozporządzenie wykonawcze),

- rejestracja zbiorów danych osobowych (art. 40 i następne oraz rozporządzenie wykonawcze).

2. Prawa osób, których dane dotyczą

Każda osoba, której dane są wykorzystywane, ma (z wyjątkami przewidzianymi w ustawie) następujące prawa:

- kto i w jakim celu wykorzystuje dane osobowe,

- skąd te dane posiada,

- komu je udostępnia,

- jakie informacje są wykorzystywane;