Brak obowiązku rejestracji zbiorów danych osobowych na wybranych przykładach

Business archive in folders, 3d illustration

Jednym z podstawowych obowiązków, jakie nakłada na administratora danych ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 ze zm.), zwana dalej również „ustawą”, jest obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Co do zasady administrator, na podstawie art. 40 ustawy jest obowiązany zgłosić zbiór danych do rejestracji, chyba że zachodzi jedna z przesłanek określonych w art. 43 ust. 1 ustawy, zwalniających go z tego obowiązku.

Jednakże od sytuacji, w których administrator został zwolniony przez ustawodawcę z obowiązku zgłoszenia zbioru do rejestracji, odróżnić trzeba przypadki, w których obowiązek rejestracji nie powstaje, z uwagi na to, że ustawa o ochronie danych osobowych nie znajduje zastosowania.

Regulacje ustawy o ochronie danych osobowych obejmują wyłącznie dane dotyczące osób fizycznych. Wynika to z treści art. 2 ust. 1 ustawy, który stanowi, że „ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych”, a także z przyjętej przez ustawodawcę definicji danych osobowych, zawierającej się w art. 6 ust. 1 ustawy, zgodnie z którym za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Natomiast ze szczególną sytuacją mamy do czynienia w przypadku zbiorów danych dotyczących przedsiębiorców będących osobami fizycznymi. W rozumieniu przepisów ustawy o swobodzie działalności gospodarczej (Dz. U. z 2010 r. Nr 220, poz. 144 ze zm.) przedsiębiorcą może być między innymi osoba fizyczna, a także wspólnicy spółki cywilnej w zakresie wykonywanej przez nich działalności gospodarczej. Oznacza to, że zbiory danych dotyczące tego typu przedsiębiorców mogą zawierać dane osobowe i w związku z tym korzystać z ochrony na podstawie ustawy o ochronie danych osobowych. Jednakże art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej (Dz. U. 1999 r. Nr 101 poz. 1178 ze zm.), który zachowa moc obowiązującą do dnia 1 lipca 2011 r., stanowi, że ewidencja działalności gospodarczej jest jawna i dane w niej zawarte nie podlegają przepisom ustawy o ochronie danych osobowych. Warto zwrócić uwagę na orzeczenie Naczelnego Sądu Administracyjnego, który w uzasadnieniu swojego wyroku z dnia 15 marca 2010 r. (I OSK 756/2009) stwierdza, iż wyłączenie, o którym mowa w art. 7a ust. 2 ustawy Prawo działalności gospodarczej odnosi się tylko do danych o osobie prowadzącej działalność gospodarczą i aktualnie wpisanej do ewidencji działalności gospodarczej. Tylko wówczas można bowiem mówić o danych zawartych w ewidencji i dopuszczalności ich przetwarzania bez zgody zainteresowanego. Po wyrejestrowaniu działalności gospodarczej przedsiębiorca staje się obiektywnie osobą nieprowadzącą działalności gospodarczej. Jego dane osobowe z dniem wykreślenia działalności z ewidencji działalności gospodarczej podlegają zatem pełnej ochronie zagwarantowanej ustawą o ochronie danych osobowych. W związku z powyższym, jeżeli dane zawarte w zbiorze nie wykraczają poza zakres informacji, które znajdują się w ewidencji działalności gospodarczej oraz dotyczą osób aktualnie wpisanych do tej ewidencji, ustawa o ochronie danych osobowych nie ma zastosowania i obowiązek rejestracji zbioru nie powstaje. Natomiast, jeżeli administrator przetwarza w zbiorze również inne dane, niż te zawarte w ewidencji, albo dane dotyczą osób, które wyrejestrowały działalność gospodarczą, zbiór takich danych podlega ochronie na podstawie przepisów ustawy o ochronie danych osobowych, a administrator danych jest zobowiązany zgłosić go do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (chyba że zachodzi jedna z przesłanek określonych w art. 43 ust. 1).

Nadmienić należy, że dnia 1 lipca 2011 r. wchodzą w życie przepisy rozdziału 3 ustawy o swobodzie działalności gospodarczej, dotyczące Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), która zastąpi dotychczasową ewidencję działalności gospodarczej, prowadzoną odrębnie przez każdą gminę. Przepisy te nie wyłączają jednakże danych zawartych w CEIDG spod ochrony ustawy o ochronie danych osobowych, tak jak w przypadku danych zawartych w ewidencji działalności gospodarczej. Natomiast dane zawarte w CEIDG, poza numerem PESEL oraz adresem zamieszkania, o ile nie będzie taki sam jak miejsce wykonywania działalności gospodarczej, będą jawne i każdy będzie miał prawo dostępu do nich, co również będzie miało wpływ na obowiązek rejestracji zbiorów. Administratorzy takich zbiorów danych będą korzystali ze zwolnienia z obowiązku rejestracji, na podstawie art. 43 ust. 1 pkt 9 ustawy, jako administratorzy danych powszechnie dostępnych.

Inną kategorią zbiorów danych, które nie podlegają obowiązkowi rejestracji w związku z wyłączeniem stosowania ustawy są, zgodnie z treścią art. 2 ust. 3 ustawy, zbiory danych tworzone doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji. W stosunku do takich zbiorów znajdują zastosowanie wyłącznie przepisy Rozdziału 5 ustawy o ochronie, dotyczące zabezpieczenia danych osobowych. Ustawa o ochronie danych osobowych nie definiuje pojęcia „doraźność”. Wg słownika języka polskiego doraźne jest to, co dotyczy tylko danej chwili i określonych okoliczności (Słownik Języka Polskiego, red. M. Bańko, Warszawa 2007). Zdaniem GIODO przy ocenie, czy dany zbiór można uznać za doraźny „(…) konieczne jest odwołanie się do konkretnych okoliczności faktycznych towarzyszących przetwarzaniu danych przez konkretnego administratora, przetwarzającego je dla określonych, precyzyjnie wskazanych celów. Wykładni art. 2 ust. 3 nie można bowiem dokonywać w sposób abstrakcyjny, nie znając szczegółowo okoliczności przetwarzania danych w konkretnym przypadku. Nie ulega jednak wątpliwości, że istotną rolę w zakresie praktycznego rozumienia art. 2 ust. 3 odgrywa czynnik czasu, w ciągu którego są przetwarzane dane osobowe. Poza tym konieczne jest rozważenie celu (zadań), któremu służyć ma przetwarzanie danych w określonej strukturze. O ile pierwszy z tych czynników (czas) nie jest z oczywistych powodów ściśle, ustawowo określony (tzn. trudno o wskazanie ścisłych, czasowych granic zbioru doraźnego), o tyle pojęcie doraźności musi być uzależnione od celu przetwarzania danych w zbiorze. Jeżeli dane tworzące określoną strukturę służą realizacji zasadniczego, głównego celu przetwarzania, trudno uznać tę strukturę za zbiór doraźny. Nie zmienia tego okoliczność, że okres jej przetwarzania jest relatywnie krótki.” (Odpowiedzi na pytania, ww.giodo.gov.pl). Oto przykłady zbiorów, które GIODO uznał za zbiory sporządzone doraźnie:

– dane zostały zebrane w wyniku umowy z firmą marketingową i zostały wykorzystane jednorazowo dla celów własnej akcji promocyjnej (zbiór danych sporządzany ze względów technicznych), a po wykorzystaniu niezwłocznie usunięte albo poddane anonimizacji (Sprawozdanie GIODO za rok 2000, s. 281),

– wykorzystanie danych wyłącznie do wysyłki ankiet i listów przypominających, a po dokonaniu tego nastąpiło usunięcie cech personalizujących (Sprawozdanie GIODO za rok 2002, s. 113),

– przetwarzanie danych przez samodzielny publiczny zakład opieki zdrowotnej w związku z realizowanym programem badań przesiewowych w celu wczesnego rozpoznania raka szyjki macicy, a po zakończeniu i ostatecznym rozliczeniu z Ministerstwem Zdrowia wszystkie dane osobowe przetwarzane przez zoz na potrzeby tego programu zostają komisyjnie usunięte (Sprawozdanie GIODO za rok 2002, s. 107).

Przetwarzania danych w zbiorach sporządzanych doraźnie nie należy mylić z przetwarzaniem danych osobowych w drobnych bieżących sprawach życia codziennego. Ustawa wyraźnie rozróżnia te dwie kategorie normatywne. Jeżeli administrator danych przetwarza w zbiorze dane w zakresie drobnych bieżących sprawach życia codziennego i stanowi to główny cel jego działalności, to będzie on zwolniony z obowiązku rejestracji zgodnie z art. 43 ust. 1 pkt 11 ustawy, lecz nie będzie to zbiór sporządzony doraźnie (A. Drozd, Ustawa o ochronie danych osobowych Komentarz, Warszawa 2004, s. 21).

Zbiorów danych osobowych nie muszą zgłaszać do rejestracji również administratorzy danych będący osobami fizycznymi, którzy przetwarzają dane wyłącznie w celach osobistych i domowych, ponieważ ustawy nie stosuje się do przetwarzania danych w takich celach (art. 3a ust. 1 pkt 1 ustawy). Ustawa nie precyzuje na czym polegają cele osobiste i domowe. Przy dokonywaniu oceny czy dane przetwarzane są w celach osobistych albo domowych pomocna może okazać się treść art. 3 ust. 1 pkt 2 ustawy, zgodnie z którą ustawę stosuję się do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi tylko, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Jak można wyczytać w uzasadnieniu do wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 14 kwietnia 2010 roku (II SA/Wa 2130/09), sformułowanie „w związku z działalnością zarobkową lub zawodową” wskazuje, iż nie chodzi tu tylko o działalność gospodarczą w rozumieniu przepisów ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej. Ustawa o ochronie danych osobowych nie ogranicza bowiem zastosowania jej przepisów do osób fizycznych, które mają zarejestrowaną działalność gospodarczą, ale obejmuje swoim działaniem wszelkie przejawy aktywności związane z przetwarzaniem danych osobowych przez osobę fizyczną, które pozostają w związku z jej działalnością zarobkową lub zawodową. Przepisy ww. ustawy nie wymagają przy tym aby działalność zarobkowa była wykonywana w sposób ciągły i zorganizowany. Tym samym zakresem zastosowania ustawy będzie również objęta działalność zarobkowa o charakterze okresowym i sporadycznym. Pojęcie działalności zawodowej odnosi się natomiast do profesjonalnego wykonywania działalności opartej na posiadanych umiejętnościach lub wymaganych kwalifikacjach zawodowych. W ocenianej przez sąd sprawie chodziło o hodowlę psów rasowych, która nie musi być prowadzona w formie zarejestrowanej działalności gospodarczej ale może mieć cel zarobkowy, gdyż może wiązać się ze sprzedażą wyhodowanych psów rasowych, a zatem z odpłatnością.

W związku z tym, o przetwarzaniu danych osobowych w celu osobistym i domowym nie można mówić, jeżeli dokonywane jest w związku z działalnością zarobkowa i zawodową w powyższym znaczeniu.

Jednakże jak wskazuje się w literaturze niekiedy przetwarzanie danych w związku z działalnością zarobkową również może być objęte zakresem stosowania art. 3a ust. 1 pkt 1, jako przetwarzanie w celach osobistych, pod warunkiem jednak, że działalność zarobkowa nie będzie działalnością gospodarczą. Przykładem będzie tu przetwarzanie danych w związku uczestniczeniem w aukcjach elektronicznych (A. Drozd, Ustawa…, s. 26).

Za cele domowe uważa się w doktrynie nie tylko cele osoby przetwarzającej dane, ale cele jego wspólnoty domowej (z uwagi na brzmienie Dyrektywy 95/46/WE, która w angielskiej wersji językowej posługuje się pojęciem household activities).

Omawiany przepis ma niebagatelne znaczenie, ponieważ wyłącza spod rygoru ustawy czynności związane z dokonywaniem operacji na książkach adresowych w programach pocztowych na osobistych komputerach albo w telefonach komórkowych. Gdyby nie istniało to wyłączenie każda operacja na danych osobowych dokonywana w celach osobistych, taka jak przesyłanie wizytówek za pośrednictwem telefonu komórkowego albo adresu e-mail za pośrednictwem komputera, wiązałaby się z koniecznością wypełnienia obowiązków nałożonych ustawą o ochronie danych osobowych (P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2009, s. 70).

About Redakcja 297 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.