Ochrona danych osobowych – zagadnienia ogólne

Zagadnienie ochrony danych osobowych warte jest omówienia z kilku przyczyn. Po pierwsze problematyka ta, w mniejszym lub większym stopniu, dotyczy wszystkich. Stykamy się z nią w pracy, jak i w życiu prywatnym, gdzie zasypywani jesteśmy ulotkami reklamowymi. Nasze dane są towarem, czasem bardzo lukratywnym. Po wtóre, abyśmy mogli w pełni korzystać z przysługujących nam praw powinniśmy je znać. Po trzecie w końcu, wokół tematu narosło dużo niedomówień, co samo w sobie skłania by podjąć ten temat. Na wstępie trzeba zaznaczyć, że ustawa o ochronie danych osobowych, (zwana dalej ustawą), oraz przepisy wykonawcze do niej nie należą do zbyt precyzyjnych. Ogólnikowość użytych sformułowań, które często mają charakter jedynie deklaracji, sprawia ogromnie dużo problemów interpretacyjnych. W istocie ochrona danych opiera się na balansowaniu pomiędzy prawem do prywatności a prawem do informacji. Trzeba zapewnić odpowiednią równowagę między ochroną interesu rożnych jednostek, których dane dotyczą (prawo do prywatności) a swobodą przepływu tych danych (prawo do informacji). 1

Wiele grup zawodowych po raz pierwszy bliżej zetknęło się z ustawą „przy okazji” zagadnienia rejestracji zbiorów danych osobowych. Jednak rejestracja jest tylko jednym z elementów ochrony danych i to wcale nie najważniejszym. Po pierwsze dlatego, że w stosunku do wielu podmiotów ustawa zastosowała przywilej zwolnienia z rejestracji, po wtóre zaś dlatego, że sama rejestracja jest jedynie czynnością administracyjną nie rzutującą w większym stopniu na faktyczna ochronę zastosowaną przez administratora. Dla wyjaśnienia – nigdzie nie zgłasza się do rejestracji konkretnych danych osobowych, a jedynie informację o ich zabezpieczeniu i zakresie w jakim są przetwarzane. Z drugiej jednak strony trzeba pamiętać o pozytywnych stronach rejestracji. Przede wszystkim mam tu na myśli rolę edukacyjną (wypełnienie zgłoszenia wymaga zapoznania się z ustawą) oraz kontrolną (zgłoszenie jest pierwszą weryfikacją zasad ochrony). Brak obowiązku rejestracji może mylić niektórych administratorów utożsamiających ochronę danych jedynie z tym obowiązkiem. Aby tego uniknąć potrzebna jest większa świadomość prawna.

Dane osobowe czyli co?

  Wróćmy jednak do początku naszych rozważań, a więc czym jest ochrona danych osobowych oraz przede wszystkim co uważamy za dane osobowe? Rozstrzygnięcie tej ostatniej kwestii, mającej zasadnicze znaczenie dla naszych dalszych rozważań (zakres przedmiotowy ustawy), nie jest zadaniem prostym. Na temat trzeba spojrzeć w szerszej perspektywie. Ochrona danych nie jest bowiem zawieszona w „prawnej próżni”. Przepisy traktujące o ochronie danych znajdujemy w kilkudziesięciu ustawach należących do prawa materialnego oraz Kodeksie postępowania administracyjnego, według którego prowadzi się sprawy związane z ochroną danych, o ile przepisy ustawy nie stanowią inaczej. W pierwszym rzędzie wymienić należy ustawę o ochronie informacji niejawnych oraz o dostępie do informacji publicznej. Obie te ustawy, wraz z ustawą o ochronie danych osobowych, wyznaczają standardy postępowania z informacją. Nie można też zapominać o innym niezmiernie istotnym akcie prawnym jakim jest ustawa o świadczeniu usług drogą elektroniczną. Kodeks karny także zawiera cały rozdział mówiący o ochronie informacji. Przełomu w tym zakresie dokonała jednak inna ustawa, mianowicie Konstytucja, która w art. 51 ust. 1 wyraźnie stwierdza, że nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawnienia informacji jego dotyczących. Stosownie do art. 51 ust.5 Konstytucji wspomniane prawo do samostanowienia oraz kontroli informacji znaleźć ma urzeczywistnienie w ustawie. Ustawą tą jest ustawa o ochronie danych osobowych, która zdefiniowała przedmiot ochrony oraz „skanalizowała przepływ informacji”, który do tej pory czasem pozostawał poza regulacją prawną. Pierwsze regulacje zagadnienia pojawiły się w Konwencji Rady Europy z dnia 28 stycznia 1981 r.2  Jest to jak się zaznacza najstarszy instrument międzynarodowej ochrony danych.3  Drugim nie mniej istotnym aktem jest Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 Października 1995 r. (95/46/EC).  4 Zarówno Konwencja jak i Dyrektywa odegrały ogromną rolę przy tworzeniu polskiej ustawy, były wzorcem z którego skwapliwie skorzystaliśmy także przy jej nowelizacjach ustawy.
Krajem, który pierwszy w sposób kompleksowy określił prawne ramy dopuszczalności przetwarzania danych były Niemcy, gdzie w roku 1970 uchwalono pierwszą ustawę landową w Hesji. Siedem lat później weszła w życie niemiecka ustawa federalna.

Zamysłem ustawodawcy było nadanie ochronie danych osobowych charakteru „profilaktycznego”. Wyszedł on z założenia, że dotychczasowa cywilnoprawna ochrona prywatności jako dobra osobistego nie była wystarczająca. Możliwa była dopiero po stwierdzeniu, że istnieje jej konkretne zagrożenie. Ochrona sądowa okazywała się nieraz spóźniona dla przeciwdziałania naruszeniom. Pojawiła się potrzeba zapobiegania, niedopuszczania do powstawania choćby zagrożeń prywatności, a nie tylko sankcji w razie jej naruszenia.5  Wspomniany profilaktyczny charakter widoczny jest w całym szeregu rozwiązań przyjętych w ustawie m.in. działaniem ustawy objęto bardzo szeroki zakres informacji ( określanych jako dane osobowe), przetwarzanych w każdej postaci i na każdym etapie (także zbierania). Informacja stała się bardzo poszukiwanym towarem a postęp technologiczny sprzyja jej wymianie, szczególną rolę odgrywa tu Internet.

I tak przechodząc do definicji zawartej w art. 6 ustawy:

  1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
  3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Przyjrzyjmy się bliżej tej definicji. Ustawa mówi wyraźnie o osobach fizycznych, wyłączając z kręgu swoich zainteresowań osoby prawne. Ustawa nie dotyczy także osób fizycznych prowadzących działalność gospodarczą. Przypisanie konkretnej informacji przymiotu danej osobowej (możliwości indywidualizacji osoby) oznacza, że każda następna informacja odnosząca się do tej zindywidualizowanej osoby stanowi daną osobową. Posiadając dane pracownika, musimy mieć świadomość, że ustawa chroni coś więcej niż imię i nazwisko. Chroni każdą informację dotyczącą tej osoby, a więc również wszelkiego rodzaju numery ewidencyjne, informacje o stanie zdrowia, poglądach politycznych, przynależności partyjnej, ale również inne informacje, którym na pierwszy rzut oka nie przypisalibyśmy znamion danych osobowych np. przysłowiowy numer kołnierzyka. Pamiętajmy jednak, że warunkiem sine qua non jest indywidualizacja tej osoby, możliwość jej wskazania choćby w sposób pośredni. O problemach związanych z rozumieniem definicji danych osobowych świadczą liczne przykłady zarówno z naszej praktyki (do niedawna uważano, że numer PESEL nie stanowi danych osobowych) jak i innych krajów, mających znacznie dłuższą praktykę. Dane o stanie zdrowia należą do tzw. sensytywnych i podlegają szczególnej ochronie. Jeżeli więc mamy do czynienia z informacjami które mogą identyfikować jakąś osobę nawet w sposób pośredni, powinniśmy z dużą dozą prawdopodobieństwa przyjąć, że są to dane osobowe.

Administrować (być administratorem danych) znaczy podejmować samodzielne decyzje co do celów i środków użytych do przetwarzania danych. Administratorem są podmioty wymienione w ustawie a nie osoby kierujące danym podmiotem ani tym bardziej pracownicy. Funkcji tej, jak i odpowiedzialności z tego tytułu, nie da się przenieść na inne osoby, pomimo tego, że ustawa dopuszcza powierzenie przetwarzania danych (przetwarzaniem jest jakakolwiek operacja na danych, a więc tzw. powierzeniem będzie także archiwizacja danych czy hosting). Tym samym w świetle ustawy dopuszczalne jest korzystanie z pomocy podmiotów zewnętrznych. Regulację taką znajdujemy w art. 31 ustawy, określającym tą czynność jako powierzenie przetwarzania. Trzeba jednak pamiętać, że administrator, aby odpowiednio zabezpieczyć swoje interesy powinien sporządzić umowę powierzenia, w której zawarte będą wszystkie istotne elementy dotyczące powierzenia, w szczególności: zasady odpowiedzialności podmiotu, któremu przekazano dane, zakres przekazywanych danych oraz ramy czasowe takiej umowy. Powierzenie przetwarzania, w przeciwieństwie do udostępnienia (np. przekazania danych do ZUS, który staje się administratorem) nie powoduje zmiany osoby administratora.

Zasady przetwarzania

Ustawę stosuje się zarówno do zbiorów przetwarzanych w systemach informatycznych jak i manualnych a więc wszelkiego rodzaju kartotek, wykazów, spisów. Ustawa zawiera również regulacje przewidujące ograniczenia jak i wyłączenia jej stosowania. Zacznijmy od tych pierwszych. Największe znaczenie mają przepisy traktujące o tzw. zbiorach technicznych.6  Administrator może na bazie posiadanych zbiorów generować nowe, oraz wykonywać inne operacje, pod warunkiem jednak, że zabezpieczy je prawidłowo a zbiorom tym nie nada charakteru trwałego. Po ich wykorzystaniu zbiory te muszą być usunięte (włączone do administrowanego zbioru głównego) lub poddane anonimizacji. Z ciekawą sytuacją mamy do czynienia podczas przetwarzania danych, które nie odbywa się w zbiorach.7 Jednostkowa informacja jest wtedy chroniona, choć jej przetwarzanie jest w dużym stopniu odformalizowane. Ustawa zawiera trzy pryncypialne zasady odnoszące się do przetwarzania danych: przetwarzanie powinno być bezpieczne, adekwatne i zgodne z celem. 8

Ustawa oraz przepisy wykonawcze wypełniają jedynie te zasady treścią.

  1. Zasada bezpiecznego przetwarzania – składa się na nią szereg rozwiązań techniczno-organizacyjnych jak i prawnych (legalność przetwarzania).
  2. Adekwatność – przetwarzanie tylko tych informacji, które są niezbędne. Administrator posiadając uprawnienie do przetwarzania danych (art. 23 lub 27 ustawy, w zależności od rodzaju danych), nie może żądać danych zbędnych (np. o stanie zdrowia, gdy nie jest to wymagane).
  3. Cel przetwarzania – przeznaczenie pozyskanych informacji tylko do celu w jakim zostały zebrane, (np. dane pracowników nie mogą być udostępnione innemu podmiotowi, który chciałby wykorzystać je np. w celach marketingowych).

Zasady te skorelowane są z przepisami karnymi zawartymi w ustawie, które działania lub zaniechania kolidujące z nimi kwalifikują jako przestępstwa zagrożone nawet karą pozbawienia wolności do lat 3. Ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych.

Dane osobowe dzielimy na dwie kategorie, dane zwykłe oraz tzw. wrażliwe (sensytywne). Te ostatnie, których zamknięty katalog zawiera art. 27 ust. 1 podlegają szczególnej ochronie, co przejawia się również tym, że znajdują się pod wyjątkową „opieką” GIODO. Zasadą jest niedopuszczalność przetwarzania danych, z wyjątkiem sytuacji określonych w art. 23 oraz 27 ustawy. Ustawa bardzo wyraźnie reglamentuje przesłanki dopuszczalności przetwarzania. Do uprawnionego przetwarzania wystarczy wykazanie się jedną z nich, chociaż w praktyce najczęściej mamy do czynienia z ich kumulacją.

Ustawa reguluje również kwestie przekazywania danych do kraju trzeciego (poza Europejski Obszar Gospodarczy). Nie ulega wątpliwości, że zjawisko transgranicznego obrotu danymi bardzo się w ostatnim okresie upowszechniło i staje się dziś niemal nieodłącznym atrybutem handlu międzynarodowego. Jednak tutaj sytuacja administratora jest bardzo klarowna. Można by nawet zaryzykować stwierdzenie, że w porównaniu z rygorystycznymi zasadami jakimi obwarowano w ogóle uprawnienie do administrowania danymi, przekazanie danych za granicę jest bardzo liberalne. Transgraniczne przekazanie danych opierać się musi na jednej z przesłanek zawartych w art. 47. Pierwszą z nich jest istnienie ochrony danych w kraju docelowym przynajmniej na takim samym poziomie jak na terytorium Polski. Rozwiązanie takie sprzyja swobodzie przepływu osób, towarów, usług i kapitału, a więc zasadom które legły u podstaw europejskiej wspólnoty gospodarczej. Nie jest to jedyny sposób legalizacji, tytułem przykładu warto wymienić chociażby ochronę żywotnych interesów uprawnionego (np. w sprawach własności przemysłowej). W razie wątpliwości mamy także możliwość skorzystania z pisemnej zgody uprawnionego, co jednak jak podkreślam nie jest konieczne. Trzeba jednak pamiętać, że przekazywania za granicę nie można rozpatrywać w oderwaniu od podstawowych przesłanek przetwarzania. To art. 23 lub 27 ustawy stanowią pierwotne uprawnienie do przetwarzania danych a dopiero na to nakłada się przetwarzanie transgraniczne. Z przekazywaniem danych za granice może się wiązać wydanie zgody przez organ administracji publicznej jakim jest GIODO. Ma to miejsce wtedy, gdy istnieje konieczność przekazania transgranicznego, a nie mamy podstaw by skorzystać z którejkolwiek przesłanki wskazanej w art. 47 ustawy. Jest to jedyne miejsce w ustawie gdzie odnajdujemy delegację do wydawania przez GIODO zgody. GIODO nie posiada uprawnień do określania standardów lub certyfikowania urządzeń. Może natomiast wydawać opinie i sugestie zawarte w zaleceniach czy decyzjach, które nawet jeśli nie są wiążące dla danego podmiotu, powinny być brane pod uwagę. GIODO jest bowiem organem kontrolnym.

Bezpieczeństwo

Przetwarzanie „bezpieczne” to nie tylko przetwarzanie uprawnione (bezpieczeństwo formalne), ale również przetwarzanie odbywające się przy odpowiednim zabezpieczeniu fizycznym i informatycznym. Standardy zabezpieczeń (bardziej może wytyczne, gdyż wiele rozwiązań pozostawiono do uznania administratora) określa ustawa oraz rozporządzenie. Całość splata się w system rozwiązań znanych pod pojęciem „polityki bezpieczeństwa”. Polityka bezpieczeństwa to zabezpieczenie wszystkich informacji będących w dyspozycji osoby uprawnionej (informacji niejawnych oraz innych tajemnic ustawowo chronionych). Ochrona danych osobowych jest tylko jednym z elementów tego systemu. O tym jak ważne jest bezpieczeństwo informacji nie trzeba nikogo przekonywać. Ochrona danych osobowych polega poza wyznaczeniem granic dopuszczalności przetwarzania także na określeniu, jakie wymagania odnoszące się do kadr, pomieszczeń, sprzętu i oprogramowania powinny być spełnione, aby uznano je za należycie spełnione. 9

Administrator danych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem.10 Pod tak sformułowanym przepisem kryje się wiele konkretnych obowiązków nałożonych na administratora sprecyzowanych zarówno w ustawie jak i w rozporządzeniu.

Nawet tak pobieżne omówienie kwestii związanych z zabezpieczeniem uświadamia nam jak wysoką poprzeczkę w stosunku do administratorów danych ustanowił ustawodawca. Uniwersalność przyjętych rozwiązań, bez większego zróżnicowania na kategorie danych, ich ilość oraz przede wszystkim charakter działalności administratora oznacza, że wszyscy określeni przez ustawę jako administratorzy danych muszą w zasadzie dokonać analogicznych zabezpieczeń. Zapowiadana nowelizacja w tym zakresie także niewiele zmienia.

Autor: Justyna Matuszak


  1. A. Bierć. Ochrona prawna danych osobowych w sferze działalności gospodarczej w Polsce – aspekty cywilnoprawne. W: Ochrona danych osobowych. Red. M. Wyrzykowski, ISP Warszawa 1999,
  2. Konwencja Nr 108 Rady Europy z dnia 28 stycznia 1981r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych.
  3. J. Barta, Fajgielski, R. Markiewicz, Ochrona danych osobowych, Wydanie 4,
  4. Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Rady z dnia 24 listopada 1995 r. o ochronie osób w związku z przetwarzaniem danych osobowych oraz swobodnym obiegu tychże danych.
  5. M.Safian. Ochrona danych osobowych – granice autonomii informacyjnej. W: Ochrona danych osobowych. Red. M. Wyrzykowski, ISP Warszawa 1999.
  6. Stosownie do art. 2 ust. 3 Ustawy o ochronie (…) W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
  7. Stosownie do art. 7 ust. 1 Ustawy o ochronie (…) zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
  8. Stosownie do art. 26 ust. 1 Ustawy o ochronie (…). Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:
    1) przetwarzane zgodnie z prawem,
    2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu
    przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,
    3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
    przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (…).
  9. G. Szapor, Publicznoprawna ochrona danych osobowych. Przegląd Ustawodawstwa Gospodarczego Nr 12/1999, s.6.
  10. Art. 36 ustawy o ochronie …
About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.