Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych

(tekst jednolity Dz.U. z 2002 r. nr 101, poz. 926 oraz zmiany: Dz.U. z 2002 r. nr 153, poz. 1271, z 2004 r. nr 25, poz. 219 i nr 33, poz. 285, z 2006 r. nr 104, poz. 708 i 711, z 2007 r. nr 165, poz. 1170 i nr 176, poz. 1238, z 2010 r. nr 41, poz. 233, nr 182, poz. 1228, nr 229, poz. 1497, z 2011 r. nr 230, poz. 1371)

Rozdział 1

Przepisy ogólne

wOchrona danych osobowych jest prawem gwarantowanym przez Konstytucję Rzeczpospolitej Polskiej. Artykuł 47 konstytucji gwarantuje prawo do prywatności jednostce, zaś art. 51 konstytucji zawiera katalog praw przysługujących osobie, mówiąc o tym, iż:

- nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby,

- władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym,

- każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych (ograniczenie tego prawa może określić ustawa),

- każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą,

- szczegółowe zasady i tryb gromadzenia oraz udostępniania informacji określa odrębna ustawa.

Konstytucja RP, jak również obowiązująca od 2004 r. polskiego prawodawcę dyrektywa 95/46/WE, budują podstawę dla ustawy o ochronie danych osobowych w jej obecnym brzmieniu. Dlatego też interpretując przepisy ustawy o ochronie danych osobowych z 1997 r (dalej jako "ustawa" albo "u.o.d.o."), należy wziąć pod uwagę zarówno brzmienie ustawy zasadniczej, jak również dyrektywy. Dlatego na tej podstawie należy wnioskować, iż prawo do ochrony danych osobowych obejmuje wszystkie osoby fizyczne, gdyż ochrona danych osobowych ma charakter praw osobistych. Tym samym ustawa znajduje zastosowanie do osób fizycznych, niezależnie od ich zdolności do czynności prawnych (art. 2 ust. 1 u.o.d.o.). Ustawa nie rozróżnia bowiem, czy dane osobowe dotyczą osoby fizycznej posiadającej zdolność do czynności prawnych czy też nie, tym samym chroni każdą osobę fizyczną. Ustawowo chronione dane osobowe mogą być wyrażone w różny sposób, przykładowo: słowem, dźwiękiem np. zbiory nagranych wypowiedzi, obrazem, np. zbiory zdjęć używane do identyfikacji sprawców przestępstw (więcej informacji w komentarzu do art. 6 i 7 ustawy poniżej).

Prawa osobiste odmiennie jednak od praw majątkowych nie podlegają dziedziczeniu, tym samym wygasają z chwilą śmierci (A. Krasuski, D. Skolimowska, "Dane osobowe w przedsiębiorstwie", s. 36 i następne).

Natomiast od 1 stycznia 2012 r. zmieniła się sytuacja prawna danych osoby prowadzącej działalność gospodarczą, w takim zakresie, w jakim są one jawne, czyli zarejestrowane w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). W wyniku uchylenia art. 7a ust. 2 ustawy z 19 listopada 1999 r. - Prawo działalności gospodarczej (Dz.U. z 1999 r. nr 101, poz. 1178 ze zm.), który wyłączał dane osobowe zawarte w ewidencji działalności gospodarczej spod przepisów o ochronie danych osobowych, ochronie przewidzianej w ustawie z 1997 r. podlegają obecnie dane osób fizycznych bez względu na to, czy osoby te prowadzą działalność gospodarczą, czy też nie. Potwierdza to stanowisko generalnego inspektora ochrony danych osobowych (GIODO) opublikowane na oficjalnej stronie internetowej 30 grudnia 2011 r. GIODO podkreśla, że "od 1 stycznia 2012 r. przepisy ustawy (...) dotyczą informacji identyfikujących przedsiębiorców w obrocie gospodarczym, o ile - dla konkretnego stanu faktycznego - będą stanowiły dane osobowe w rozumieniu art. 6 ustawy (...). Tym samym administratorzy danych osobowych dotyczących przedsiębiorców będą musieli wypełnić wszelkie obowiązki wynikające z ustawy o ochronie danych osobowych, w tym te dotyczące rejestracji zbiorów danych osobowych". Jednocześnie GIODO zaznacza, że od tych obowiązków jest wiele wyjątków przewidzianych w różnych przepisach, w tym także w ustawie z 1997 r.

Podkreślić należy również, iż ustawa będzie miała zastosowanie wobec osób fizycznych działających w imieniu osób prawnych, ich oddziałów, organów państwowych, sądów, prokuratury itp., o ile zakres informacji będzie podlegał pod dane określone w art. 6 tej ustawy. Tym samym osoby prawne, jednostki organizacyjne niemające osobowości prawnej oraz podmioty prowadzące działalność gospodarczą na podstawie ustawy z 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz.U. z 2004 r. nr 173, poz. 1807 ze zm.) nie podlegają ustawie z 1997 r. Nie ma też wątpliwości, że art. 1 ust. 1 u.o.d.o. obejmuje swoim zakresem nie tylko stosunki prawne jednostka - władza państwowa, ale również relacje prywatnoprawne. Artykuł 3 u.o.d.o. doprecyzowuje dokładnie organy, wobec których stosuje się przepisy ustawy.

wZ treści art. 2 ust. 1 u.o.d.o. jasno wynika, iż jej regulacje obejmują wyłącznie dane dotyczące osób fizycznych, przy czym za dane osobowe zgodnie z art. 6 ust. 1 u.o.d.o. uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Dlatego też prawo do ochrony danych osobowych obejmuje wszystkie osoby fizyczne, a nie zaś inne podmioty, w tym osoby prawne, jednostki organizacyjne niemające osobowości prawnej oraz podmioty prowadzące działalność gospodarczą na podstawie przepisów o swobodzie działalności gospodarczej. Ustawa nie różnicuje zakresu ochrony danych osobowych w zależności od posiadania przez osoby fizyczne pełnej bądź ograniczonej zdolności do czynności prawnych albo całkowitego jej braku (art. 2 ust. 1 u.o.d.o. w związku z art. 12-13 kodeksu cywilnego).

Pojęcia "przetwarzanie danych osobowych" oraz "zbiór danych", mogące budzić wątpliwości, zostały zdefiniowane przez prawodawcę w art. 7 ustawy zawierającym słowniczek pojęć stosowanych w ustawie.

Artykuł 2 ust. 2 u.o.d.o. rozstrzyga w sposób niebudzący wątpliwości, jaki jest zakres przedmiotowy ustawy. Stanowi mianowicie, iż stosuje się ją do przetwarzana danych osobowych w zbiorach tradycyjnych zgodnie z podpunktem 1, a w przypadku systemu informatycznego również do pojedynczych danych przetwarzanych poza zbiorem danych.

Ustawa nie obejmuje swoim zakresem prostego przetwarzania danych, wymaga, aby dane były uporządkowane przynajmniej według jednego kryterium (por. A. Drozd, "Ustawa o ochronie danych osobowych, komentarz. Wzory pism i przepisy", Warszawa 2008 r.). Tym samym ustawy nie stosuje się, gdy dane przetwarzane są w sposób nieuporządkowany, czyli w zestawach niemających żadnej struktury. Tym samym każde zestawienie danych osobowych musi być uporządkowane według jednego choćby kryterium, aby mogło zostać uznane za kartotekę, skorowidz, księgę lub inny wykaz.

Dla uznania określonego zestawu informacji za zbiór danych nie ma w zasadzie znaczenia, czy będzie on jednocześnie bazą danych w rozumieniu art. 2 ust. 1 pkt 1 ustawy z 27 lipca 2001 r. o ochronie baz danych (Dz.U. z 2001 r. nr 128, poz. 1402 ze zm.). Jej reżimem objęte są bowiem prawa własności intelektualnej, mające charakter prywatnoprawny, podczas gdy ustawa z 1997 r. oferuje ochronę o publicznoprawnym charakterze.

Ustawa z 1997 r. oferuje ochronę o charakterze publicznoprawnym, a nie prywatnym, dlatego też nie podlega ochronie tej ustawy prawo własności intelektualnej. Należy też podkreślić, iż jeśli dane osobowe są przetwarzane poza wymienionymi w art. 2 u.o.d.o. kategoriami zbiorów i tym samym nie podlegają ustawie, a co za tym idzie osoba fizyczna nie korzysta z ochrony, jaką daje ustawa, wówczas to osobie fizycznej może przysługiwać ochrona prawna na podstawie innych przepisów, np. art. 23, 24, i 448 kodeksu cywilnego o ochronie dóbr osobistych czy na podstawie art. 22¹ kodeksu pracy. Ten ostatni przepis chroni pracownika (jak również kandydata na pracownika) przed bezprawnym żądaniem danych osobowych przez pracodawcę.

Przy wykładni art. 2 ust. 3 pojawia się pytanie, czy cel (zadanie), któremu służyć ma dany zbiór danych, należy rozumieć kumulatywnie - poprzez zastosowanie spójnika "i", czy alternatywnie - poprzez zastosowanie spójnika "albo" pomiędzy cechami wymienionymi w tym przepisie. W praktyce GIODO przychyla się do zdania, iż wyliczone cechy należy rozumieć w sposób alternatywny, a nie zaś kumulatywny.

Trudności w praktycznym rozumieniu art. 2 ust. 3 u.o.d.o. powoduje doraźność przetwarzania danych osobowych w danym zbiorze, tj. kryterium czasu. Ten brak precyzji uzasadniają jak się wydaje obawy prawodawcy, że konstrukcja zbioru doraźnego może być nadużywana w tych sytuacjach, gdy określony zestaw danych powinno się traktować jako zbiór w rozumieniu art. 7 pkt 1 u.o.d.o., a co za tym idzie - stosować do niego i zgromadzonych w nim danych wszystkie przewidziane w niej rygory. GIODO podnosi, że czynnik czasu nie jest - z oczywistych powodów - ściśle ustawowo określony (tzn. trudno o wskazanie dokładnych, czasowych granic zbioru doraźnego). Zatem pojęcie doraźności musi być uzależnione od celu przetwarzania danych w zbiorze. Tym samym "przy dokonywaniu oceny, czy zbiór jest sporządzany doraźnie, należy uwzględnić nie tylko element czasu, lecz przede wszystkim cel tworzenia takiego zbioru. Jeśli dane osobowe przetwarzane w określonej postaci służą realizacji głównego celu przetwarzania danych osobowych w związku z typową działalnością prowadzoną przez administratora danych, to ta postać nie jest zbiorem doraźnym i nawet krótki okres przetwarzania nie zmienia tej oceny" (odpowiedź GIODO na zapytanie ministra spraw wewnętrznych i administracji z 29 marca 2007 r., sygn. DZKiSO-VI-1447-1-244/DP/07/KS). O tym, czy dany zbiór jest przetwarzany doraźnie, nie decyduje natomiast rodzaj przetwarzanych danych, tzn. nie ma wpływu, czy przetwarzane są tzw. wrażliwe dane osobowe. W danym konkretnym zbiorze postanowienia regulaminu czy umowy odnoszącej się do przetwarzania danych nie mogą wpływać na interpretację, czy dany zbiór jest zbiorem doraźnym w rozumieniu art. 2 ust. 3 u.o.d.o., czy też nie (por. Sprawozdanie GIODO za rok 2001, s. 256). Trzecie kryterium zakłada, aby dane sporządzane doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, były po ich wykorzystaniu niezwłocznie usuwane albo poddawane anonimizacji.

Przykładami zbiorów uznanych przez GIODO za sporządzone doraźnie są:

- dane, które zostały zebrane w wyniku umowy z firmą marketingową i zostały wykorzystane jednorazowo dla celów własnej akcji promocyjnej (zbiór danych sporządzany ze względów technicznych), a po wykorzystaniu niezwłocznie usunięte albo poddane anonimizacji (Sprawozdanie GIODO za rok 2000, s. 281, Sprawozdanie GIODO za rok 2002, s. 107),

- pracownia medycyny rodzinnej uniwersytetu, prowadząc badania satysfakcji klienta, przetwarza dane wyłącznie do wysyłki ankiet i listów przypominających, a po dokonaniu wysyłki nastąpiło usunięcie cech personalizujących (Sprawozdanie GIODO za rok 2002, s. 113),

- przetwarzanie danych przez samodzielny publiczny zakład opieki zdrowotnej w związku z realizowanym programem badań przesiewowych w celu wczesnego rozpoznania raka szyjki macicy, a po zakończeniu i ostatecznym rozliczeniu z Ministerstwem Zdrowia wszystkie dane osobowe przetwarzane przez ZOZ na potrzeby tego programu zostają komisyjnie usunięte (Sprawozdanie GIODO za rok 2002, s. 107 ),

- zbieranie danych osobowych przez portiera. "Jeżeli przykładowo w portierni uczelni prowadzony jest zbiór ewidencyjny (wykaz, do którego wpisuje się osoby wchodzące na teren budynku), to z reguły będzie on zbiorem sporządzonym doraźnie, gdyż jest to cel towarzyszący działalności administratora danych (G. Raszkowski, "Wejścia przez komputer", "Rzeczpospolita" z 6 października 1999 r., A. Drozd, "Ustawa o ochronie danych osobowych, komentarz...".

- publikacje w prasie i książkach, zawierające dane osobowe w formie nieuporządkowanej, nie stanowią przetwarzania danych osobowych w zbiorze, a więc nie podlegają przepisom ustawy. Ustawa reguluje bowiem zasady przetwarzania danych w zbiorach. Istnienie zbioru jest obojętne jedynie w przypadku przetwarzania danych w systemie informatycznym. Pozyskiwanie danych w celu ich publikacji w prasie i książkach podlega natomiast ustawie, jeśli następuje ze zbioru danych osobowych. W takim przypadku ustawę stosuje podmiot udostępniający dane (administrator) (http://www.giodo.gov.pl/320/id art/978/j/pl/ .

Przetwarzanie w zbiorach sporządzanych doraźnie nie powinno być mylone z przetwarzaniem danych osobowych w drobnych bieżących sprawach życia codziennego w rozumieniu art. 43 ust. 1 pkt 11 u.o.d.o. Ustawa wyraźnie rozróżnia te dwie kategorie normatywne. Jeżeli administrator danych przetwarza w zbiorze dane w zakresie drobnych bieżących sprawach życia codziennego i stanowi to główny cel jego działalności, to będzie on zwolniony z obowiązku rejestracji zgodnie z art. 43 ust. 1 pkt 11 u.o.d.o., lecz nie będzie to zbiór sporządzony doraźnie (A. Drozd, "Ustawa o ochronie danych osobowych. Komentarz...").

Zbiorami danych w rozumieniu art. 2 ust. 3 u.o.d.o. nie są zbiory tworzone przez osoby fizyczne, które przetwarzają dane wyłącznie w celach osobistych i domowych. Ustawy nie stosuje się do przetwarzania danych w takich celach (art. 3a ust. 1 pkt 1 u.o.d.o.).

w W ustawie starano się precyzyjnie określić podmioty przetwarzające dane osobowe, które są obowiązane do respektowania jej przepisów. Wobec braku wyłączeń ustawę stosuje się wobec wszystkich organów państwowych, zarówno centralnych, jak np. Sejm, Senat, Prezydent RP, organy administracji rządowej, NIK, ZUS itp., jak i lokalnych tzn. organów samorządu terytorialnego, np. wójt, burmistrz, prezydent miasta - a także państwowych i komunalnych jednostek organizacyjnych, jak np. prywatne zakłady oczyszczania, miejskie zakłady komunikacji.

W rozumieniu art. 3 u.o.d.o. podmiotami prywatnymi są: podmioty niepublicznie realizujące zadania publiczne, np. prywatne zakłady opieki zdrowotnej, prywatne szkoły itd.; osoby fizyczne bez względu na np. ich narodowość, obywatelstwo, zdolność do czynności prawnych, wiek itp.; osoby prawne np. stowarzyszenia, spółdzielnie, fundacje i jednostki organizacyjne niebędące osobami prawnymi, np. niemające osobowości prawnej spółki prawa handlowego.

Artykuł 3 ust. 2 jednoznacznie określa zastosowanie ustawy wobec wymienionych w nich podmiotów, które powinny spełniać łącznie dwie przesłanki: mieć siedzibę lub miejsce zamieszkania w państwie trzecim bądź na terytorium Rzeczpospolitej Polskiej (pojęcia te określają szczegółowo art. odpowiednio art. 25, 33¹ oraz 41 kodeksu cywilnego), a także przetwarzać dane osobowe przy wykorzystaniu środków technicznych znajdujących się na polskim terytorium.

Co do zasady, dane mogą być przekazywane jedynie odbiorcom z państw trzecich (spoza Europejskiego Obszaru Gospodarczego) zapewniających odpowiedni poziom ochrony danych osobowych. Bardzo często są to kraje, w odniesieniu do których Komisja Europejska wydała specjalne decyzje stwierdzające, że zapewniają one odpowiedni poziom ochrony danych. Szczegółowe zasady przekazywania danych osobowych do państw trzecich reguluje rozdział 7 ustawy i tam zostaną one dokładnie omówione.

w Za cele domowe uważa się w doktrynie nie tylko cele osoby przetwarzającej dane, ale cele jego wspólnoty domowej (z uwagi na brzmienie dyrektywy 95/46/WE, która w angielskiej wersji językowej posługuje się pojęciem household activities). W związku z tym o przetwarzaniu danych osobowych w celu osobistym i domowym nie można mówić, jeżeli dokonywane jest w związku z działalnością zarobkową i zawodową.

Niekiedy przetwarzanie danych w związku z działalnością zarobkową również może być objęte zakresem stosowania art. 3a ust. 1 pkt 1 u.o.d.o., jako przetwarzanie w celach osobistych, pod warunkiem jednak, że działalność zarobkowa nie będzie jednocześnie gospodarczą. Za przykład niech posłuży tu przetwarzanie danych w związku uczestniczeniem w aukcjach elektronicznych (A. Drozd, "Ustawa o ochronie danych osobowych. Komentarz...").

Wyłączenie przewidziane w art. 3a ust. 2 u.o.d.o. nie ma bezwzględnego charakteru. Nie dotyczy ono bowiem sytuacji, kiedy prawo do wolności wypowiedzi istotnie narusza prawa i wolności osoby, której dane dotyczą. Podstawa takiego twierdzenia znajduje się bezpośrednio w dyrektywie 95/46/WE, podkreślającej, że w sprawie ochrony osób fizycznych w zakresie przetwarzania danych przewiduje kilka istotnych wyłączeń. Po pierwsze, gdy jest to potrzebne dla zachowania równowagi pomiędzy podstawowymi prawami człowieka i swobodą informacji. Artykuł 9 dyrektywy przewiduje wyjątki i wyłączenia w zakresie przetwarzania danych. Wskazano w nim, że państwa członkowskie mogą ustanowić wyjątki stosowania przepisów o ochronie danych przetwarzanych w celach dziennikarskich lub w celu wypowiedzi artystycznej lub literackiej.

Należy zaznaczyć, iż m.in. w związku z art. 3a ust. 2 u.o.d.o. węższy zakres ochrony prywatności przysługuje politykom i osobom pełniącym funkcje publiczne. Natomiast osoby powszechnie znane, jeśli nie wykonują funkcji urzędowych, powinny być traktowane tak samo, jak osoby prywatne (http://www.giodo.gov.pl/394/id art/2043/j/pl/ . Przy czym kategoria osób pełniących funkcje publiczne nie obejmuje funkcji, stanowisk i zawodów niemających żadnego związku z władztwem publicznym (imperium) ani z gospodarowaniem mieniem komunalnym lub majątkiem Skarbu Państwa (dominium). Cechą wyróżniającą kategorię osób pełniących funkcje publiczne jest rzeczywiste wykonywanie władztwa publicznego bądź gospodarowanie mieniem komunalnym lub Skarbu Państwa.

Art. 3a ustawy wyłącza w praktyce spod rygoru ustawy czynności związane z dokonywaniem operacji na książkach adresowych w programach pocztowych na osobistych komputerach albo w telefonach komórkowych. Gdyby nie istniało to wyłączenie, każda operacja na danych osobowych dokonywana w celach osobistych, taka jak przesyłanie wizytówek za pośrednictwem telefonu komórkowego albo adresu e-mail za pośrednictwem komputera, wiązałaby się z koniecznością wypełnienia obowiązków nałożonych ustawą o ochronie danych osobowych (P. Barta, P. Litwiński, "Ustawa o ochronie danych osobowych. Komentarz", Warszawa 2009, s. 70 i następne).

wRzeczpospolita Polska jest stroną kilku umów międzynarodowych, które - oprócz innych zagadnień - regulują też kwestie ochrony danych osobowych. Należą do nich m.in.:

- konwencja nr 108 Rady Europy o Ochronie Osób w Związku z Automatycznym Przetwarzaniem Danych Osobowych (Dz.U. z 2003 r. nr 3, poz. 25 ze zm.),

- Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności (Dz.U. z 1993 r. nr 61, poz. 284 ze zm.), zwłaszcza jej art. 8 i 10,

- Umowa między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu przez przewoźników lotniczych danych dotyczących przelotu pasażera (PNR) do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) sporządzona w Brukseli 23 lipca 2007 r. oraz w Waszyngtonie 26 lipca 2007 r (Dz. Urz. UE L 204 z 4 sierpnia 2007 r., s. 18),

- umowy bilateralne (np. umowa między Rzecząpospolitą Polską a Republiką Federalną Niemiec o wzajemnej pomocy podczas katastrof i klęsk żywiołowych lub innych poważnych wypadków, sporządzona w Warszawie dnia 10 kwietnia 1997 r., Dz.U. z 1999 r. nr 22, poz. 201).

Gdy ratyfikowana umowa międzynarodowa stanowi, że nie stosuje się ustawy o ochronie danych osobowych, lecz regulacje umowy, to zgodnie z art. 91 Konstytucji RP normy umowne mają pierwszeństwo przed ustawowymi.

Na podstawie niedawno szeroko dyskutowanego aktu prawa międzynarodowego ACTA (Anti-Counterfeiting Trade Agreement) można stwierdzić, jaka jest ogólna tendencja GIODO w sprawie aktów i umów międzynarodowych, których Polska jest lub będzie stroną, a które mogłyby mieć wpływ na stosowanie ustawy o ochronie danych osobowych w Polsce. W szczególności tych, które nie są ani dyrektywami, ani rozporządzeniami. Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych, 25 stycznia 2012 r. w wywiadzie dla portalu wyborcza.biz podkreślił odnośnie do jak dotychczas nieratyfikowanego przez Polskę ACTA, "że normy konwencji ACTA jako wystarczająco precyzyjne wprowadzą nowe obowiązki spoczywające na podmiotach publicznych i - przede wszystkim - prywatnych. GIODO przewiduje również, że niektóre istniejące w Polsce podmioty - w szczególności organizacje zbiorowego zarządzania prawami autorskimi - będą domniemywały wprost z treści konwencji ACTA posiadanie nowych uprawnień do przetwarzania danych osobowych." Ponadto podkreślił, że ACTA "nie zawiera żadnych przepisów możliwych do stosowania bezpośrednio w prawie polskim. W szczególności takich, które umożliwiałyby stworzenie alternatywnej sieci wymiany informacji i danych osób, które są podejrzane o naruszanie praw autorskich lub są w szerokim kręgu takiego podejrzenia, np. jako potencjalni świadkowie."

wDo przepisów chroniących te same dane, ale przewidujących większą ochronę niż u.o.d.o., należy zaliczyć między innymi:

- art. 11 ust. 1 ustawy z 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (t.j. Dz.U. z 2006 r. nr 139, poz. 993 ze zm.),

- art. 92 par.1 pkt 4 ustawy - Prawo o notariacie (t.j. Dz.U. z 2008 r. nr 189, poz. 1158),

- art. 161 ust. 1 i 2 ustawy - Prawo telekomunikacyjne (Dz.U. z 2004 r. nr 171, poz. 1800 ze zm.),

- art. 17, 18 i 19 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. nr 144, poz. 1204 ze zm.),

- art. 8 ust. 2 ustawy z 6 lipca 2001 r. o usługach detektywistycznych (Dz.U. z 2002 r. nr 12, poz. 110 ze zm.),

- art. 134 ustawy z 13 czerwca 2003 r. o cudzoziemcach (Dz.U. z 2006 r. nr 234 poz. 694),

- art. 9 ustawy z 13 czerwca 2003 r. o udzielaniu cudzoziemcom ochrony na terytorium Rzeczpospolitej Polskiej (Dz.U. z 2006 r. nr 234, poz. 695).

Przepisy szczególne, względem których stosuję się zasadę lex specialis derogat legi generali, przez co ustawa o ochronie danych osobowych nie znajduje zastosowania, to między innymi:

- art. 71 ustawy z 18 grudnia 1998r. o Instytucie Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu (Dz.U. z 2007 r. nr 63, poz 424 ze zm.),

- art. 151 ust. 3 ustawy oraz art. 169 ust. 9 z 27 lipca 2005 r. - Prawo o szkolnictwie wyższym (Dz.U. nr 164, poz. 1365 ze zm.),

- art. 15 ustawy z 3 marca 2000 r. o wynagrodzeniu osób kierujących niektórymi podmiotami prawnymi (Dz.U. nr 26, poz. 306 ze zm.),

- art. 1 w zw. z art. 6 i n. ustawy z 6 września 2001 r. o dostępie do informacji publicznej (Dz.U. nr 112, poz. 1198 ze zm.),

- art. 17 ust. 2 i 5 ustawy z 16 marca 2001 r. o Biurze Ochrony Rządu (Dz.U. z 2004 r. nr 163, poz. 1712 ze zm.),

- art. 20 ust. 3 ustawy z 6 kwietnia 1990 r. o Policji (Dz.U. z 2007 r. nr 43, poz. 277 ze zm.),

- ustawa z 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. Nr 182, poz. 1228).

Ponadto osobną kwestię stanowią przepisy ustanawiające tajemnicę zawodową czy też ustanawiające inne tajemnice prawnie chronione. Przez tajemnicę zawodową należy rozumieć informacje uzyskaną przez osobę z racji wykonywania określonego zawodu lub prowadzenia działalności czy sprawowania funkcji. Mowa szczególnie o takich grupach zawodowych, jak: adwokaci, radcowie prawni, notariusze, komornicy, lekarze czy też dziennikarze, których prawa i obowiązki regulują osobne ustawy, a znakomita ich część przewiduje dalej idącą ochronę danych osobowych niż ustawa z 1997 r. Zaznaczyć trzeba jednak, że niezależnie od poziomu ochrony danych osobowych są one przepisami szczególnymi wyłączającymi stosowanie regulacji ustawy z 1997 r.

Odrębne zagadnienie stanowi natomiast kwestia sprawowania kontroli przez GIODO względem podmiotów obowiązanych do zachowania tajemnicy. Co do zasady GIODO nie sprawuje kontroli nad wyżej wymienionymi grupami zawodowymi, w kwestii ochrony danych osobowych. Unormowania szczególne mogą jednak przyznać GIODO uprawnienia kontrolne względem administratorów danych przetwarzających dane osobowe objęte tajemnicą prawnie chronioną. Licznych przykładów dostarcza chociażby prawo bankowe, telekomunikacyjne i ubezpieczeniowe.

wNie można stworzyć zamkniętego katalogu informacji stanowiących dane osobowe, gdyż o kwalifikacji będzie decydować kontekst, w którym dokonuje się analizy danego przypadku (A. Krasuski, D. Skolimowska, "Dane osobowe w przedsiębiorstwie", Warszawa 2007). Pod pojęciem danych osobowych rozumie się zatem wszelkie znaki językowe, ale również inne okoliczności towarzyszące znakom językowym lub tylko informacje pozajęzykowe, na podstawie których identyfikuje się lub też można zidentyfikować osobę fizyczną. Przy czym te ostatnie mogą zostać zakwalifikowane do tzw. danych wrażliwych czy też sensytywnych w rozumieniu art. 27 u.o.d.o. (ich przetwarzanie jest niedopuszczalne lub dopuszczalne w szczególnych sytuacjach).

Stąd poniższy katalog stanowi jedynie przykład danych osobowych, tj. informacji w rozumieniu art. 6 u.o.d.o. Ochronie podlegają dane osoby żywej (np. decyzja GIODO z 31 marca 2006 r., sygn. GI-DEC-DS.- 111/06). Prawo do ochrony danych osobowych ma charakter praw osobistych, które odmiennie od praw majątkowych nie podlegają dziedziczeniu, tym samym wygasają z chwilą śmierci (A. Krasuski, D. Skolimowska, "Dane osobowe w przedsiębiorstwie").

Ponadto ochronie ustawowej, jako dane osobowe, podlegają informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej niezależnie od tego, czy są one prawdziwe, częściowo prawdziwe czy też nie odpowiadają w zupełności prawdzie. Zgodnie z art. 32 ust. 1 pkt 6 ustawy każda osoba posiada bowiem prawo żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne nieaktualne, nieprawdziwe.

Do danych osobowych w rozumieniu art. 6 ustawy zalicza się m.in.:

1. Imię i nazwisko

a) osoba fizyczna prowadzącą działalność gospodarczą.

Od 1 stycznia 2012 r. ochronie przewidzianej w ustawie podlegają obecnie dane osób fizycznych bez względu na to, czy osoby te prowadzą działalność gospodarczą, czy też nie - z wyjątkiem danych jawnych. W tym kontekście również ochronie ustawy może podlegać nazwa spółki cywilnej.

b) imię i nazwisko oraz stanowisko pracownika państwowego (z wyłączeniem służb specjalnych) lub samorządowego podlegają ochronie ustawy, lecz ich przetwarzanie nie wymaga zgody osoby zainteresowanej i jest legalne, jako niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego zgodnie z art. 23 ust. 1 pkt 4 u.o.d.o. (por. wyrok NSA z 24 czerwca 1999 r., sygn. II SA 686/99; postanowienie SN z 14 czerwca 2000 r., sygn. CKN 1119/00).

c) Imię i nazwisko oraz stanowiska pracownika w sektorze prywatnym.

Pojedyncze informacje o dużym stopniu ogólności, takie jak np. nazwisko, samo imię, zajmowane stanowisko czy wysokość wynagrodzenia nie podlegają ochronie ustawy. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby.

Ustawa znajdzie szczególnie zastosowanie w sytuacji, gdy mowa jest o przedsiębiorstwie zatrudniającym kilku pracowników, których dane tworzą zbiór danych. Wtedy pracownik może zostać zidentyfikowany co najmniej przez imię i nazwisko oraz miejsce zatrudnienia.

Ponadto na pracodawcach z zasady spoczywa obowiązek prawny przetwarzania określonych danych o obecnych, przeszłych i przyszłych pracownikach dla różnych celów, w tym podatkowych oraz podczas płatności składek na ubezpieczenie społeczne i zdrowotne nałożone na nich licznymi ustawami.

Warto również pamiętać, że zakres danych osobowych, jakie pracodawca może zbierać od pracowników i osób ubiegających się o pracę, reguluje kodeks pracy. Przykładowo pracodawca naruszający art. 22¹ k.p. poprzez zadawanie w trakcie rozmowy kwalifikacyjnej pytań bezprawnych (i o ile takie informacje uzyska, a następnie będzie je przetwarzał w sposób objęty zakresem ustawy) może ponosić odpowiedzialność przed sądem powszechnym m.in. za naruszenie dóbr osobistych kandydata do pracy. Natomiast w sytuacji zastosowania kwestionariuszy osobowych zawierających rzeczone pytania pracodawca może zostać pociągnięty do odpowiedzialności administracyjnej przez GIODO.

d) imię i nazwisko są danymi osobowymi używanymi powszechnie, zaś używane zgodnie z zasadami i regułami społecznymi nie będą stanowiły zagrożenia dla dóbr osobistych. W praktyce oznacza to, iż administrator danych przetwarzając jedynie imię i nazwisko danej osoby z łatwością będzie mógł wykazać jedną z przesłanek zgodnie z art. 23 u.o.d.o. uchylającą zakaz przetwarzania danych osobowych.

2. Pseudonimy, w szczególności jako identyfikatory w systemie informatycznym i teleinformatycznym (np. w internecie) są kwalifikowane jako dane osobowe, o ile ustalenie na ich podstawie tożsamości osoby fizycznej nie wymaga nadmiernych kosztów, czasu lub działań.

3. NIP, PESEL, numer i seria dowodu osobistego, paszportu.

Przykładem pojedynczej informacji stanowiącej dane osobowe jest natomiast numer PESEL, będący 11-cyfrowym, stałym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną. Jego sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery - liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego. Można więc stwierdzić, że numer PESEL z założenia zalicza się do danych osobowych, a jego przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych).

4. Adres e-mailowy, numer telefonu komórkowego.

Adres poczty elektronicznej będzie stanowił daną osobową, o ile nie będą zachodziły przesłanki zgodnie z art. 6 ust. 3 u.o.d.o. Adres poczty elektronicznej związany jest bowiem z usługą dostarczania/wysyłania wiadomości przy użyciu sieci telekomunikacyjnej. Podobnie jak numer telefonu komórkowego, adres poczty elektronicznej związany jest z infrastrukturą sieciową zarządzaną przez określonego operatora/dostawcę, u którego podczas tworzenia konta poczty elektronicznej rejestrowane są dane użytkownika. Istnieje zatem możliwość identyfikacji osoby będącej użytkownikiem danego adresu e-mailowego lub też telefonu komórkowego, podobnie jak na podstawie adresu IP użytkownika komputera. Elementarnym kryterium ułatwiającym uznanie adresu e-mail za daną osobową będzie w szczególności jego treść (np. zawierająca imię lub skrót imienia i nazwisko). Nie zawsze jednak adres ten prowadzi do identyfikacji osoby fizycznej. Adres poczty elektronicznej należy zatem traktować jako informację, która może być daną osobową, ale z uwzględnieniem wszelkich okoliczności występujących w konkretnym przypadku (ABC wybranych zagadnień z ustawy o ochronie danych osobowych, s. 26).

Przykład praktyczny: Adres e-mailowy: jan.wzorowy@xxxx.pl , o ile na jego podstawie danego adresu poczty elektronicznej (adresu e-mailowego) i domeny można wskazać, iż w danym środowisku istnieje tylko jeden Jan Wzorowy, zostanie uznany za daną osobową (Sprawozdanie GIODO za rok 2005, s. 253 - 254). Jeśli z konkretnego adresu poczty elektronicznej korzysta kilka osób (np. info@xxxx.pl ), to taki adres również może podlegać pod pojęcie danych osobowych w rozumieniu ustawy, o ile ich administrator na podstawie adresu e-mailowego będzie mógł dokonać identyfikacji osoby fizycznej (Sprawozdanie GIODO za 2000 rok, s. 12).

Numer telefonu komórkowego może zostać uznany za dane osobowe względem podmiotu będącego w stanie przyporządkować go do konkretnej osoby fizycznej, bez nadmiernych kosztów, czasu lub działań.

5. Dane biometryczne obejmujące biologiczne cechy poszczególnych osób, np. głos, źrenice, linie papilarne, cechy twarzy, geometria ręki (m.in. Sprawozdanie GIODO za 1999 r., s. 95 i inne).

6. Numer karty miejskiej. Trzeba mieć na uwadze, że na karcie miejskiej zawsze zapisany (zakodowany) jest jej numer nadawany przez system informatyczny, a pod nim kryją się informacje o jej właścicielu i historia użycia karty. Natomiast właściciel karty ma obowiązek uzupełnić ją swoim imieniem, nazwiskiem i numerem dokumentu tożsamości. Istnieją także karty imienne, które dodatkowo oprócz tych danych zawierają także zdjęcie posiadacza. Dlatego też numer karty miejskiej jest daną osobową w rozumieniu ustawy, ale tylko dla tych podmiotów mogących na jego podstawie ustalić tożsamość właściciela. Będą to np. pracownicy przewoźnika upoważnieni do przetwarzania informacji zawartych w systemie informatycznym związanym z funkcjonowaniem karty miejskiej. Natomiast dla zwykłej osoby, która miałaby dostęp do karty miejskiej z samym tylko jej numerem, ustalenie tożsamości jej właściciela wymaga jednak pewnego czasu i działań. Dlatego dla kogoś takiego sam numer karty miejskiej nie będzie stanowił danej osobowej (GIODO w odpowiedzi na pytania http://www.giodo.gov.pl .

7. Numer identyfikacyjny VIN. Sam numer VIN nie stanowi danej osobowej, na jego podstawie nie można bowiem zidentyfikować konkretnej osoby ani bezpośrednio, ani pośrednio bez nadmiernego kosztu, czasu i działań. Jednak dla administratora danych, jakim w tym przypadku jest minister właściwy do spraw administracji publicznej, mających dostęp do informacji zgromadzonych w centralnej ewidencji kierowców posiadanie samego numeru VIN stanowi informację, na podstawie której jest on w stanie, bez nadmiernego kosztu, czasu i działań, zidentyfikować konkretną osobę. Zatem dla niego numer VIN stanowi dane osobowe (GIODO w Pytania i odpowiedzi na http://www.giodo.gov.pl .

8. Adres IP komputera. W przypadku gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia (komputera), które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową.

Niemniej adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową (GIODO w Odpowiedzi na pytania http://www.giodo.gov.pl/319/id art/2258/j/pl/ .

Szczególną uwagę należy przywiązywać do zbiorów obejmujących adresy IP w sytuacji, gdy dochodzi do łączenia podmiotów mogących być administratorami danych osobowych. Może się bowiem okazać, że podmiot, dotychczas niebędący w stanie łączyć adresu IP z innymi danymi identyfikacyjnymi, uzyskuje taką możliwość po połączeniu podmiotów. W tej sytuacji adresy IP zbierane dotychczas jako dane niemieszczące się w pojęciu danych osobowych staną się nimi w związku z możliwością uzupełnienia ich o dane identyfikacyjne (GIODO w Odpowiedzi na pytania http://www.giodo.gov.pl/319/id art/2258/j/pl/ .

9. Wiek i płeć osób niepełnosprawnych, rodzaj i stopień ich niepełnosprawności oraz posiadanie lub brak pracy. W odpowiedzi na jedno z zadanych pytań prawnych GIODO stwierdził, iż nie podlega u.o.d.o. gromadzenie informacji wyłącznie o liczbie, wieku i płci osób niepełnosprawnych, rodzaju i stopnia ich niepełnosprawności, oraz posiadania lub braku pracy. Bez dodania do tych informacji imion i nazwisk, adresów lub innych danych identyfikujących poszczególne osoby, nie są one danymi osobowymi w rozumieniu u.o.d.o. Urząd miasta, gromadząc i opracowując takie informacje, nie narusza ustawy. GIODO zauważył, że nie każda informacja dotycząca osoby fizycznej wskazuje jednocześnie na jej tożsamość. Ustawa chroni jedynie informacje, które same w sobie pozwalają na identyfikację osoby fizycznej, a więc wyodrębnienie tej osoby z określonej grupy społecznej i wskazanie w sposób niebudzący wątpliwości, że chodzi właśnie o nią (Sprawozdanie GIODO za 2000 rok, s. 12).

Katalog danych osobowych tzw. szczególnie chronionych został zawarty w art. 27 ust. 1 u.o.d.o. Obejmuje on dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Zaliczenie konkretnej informacji do danych osobowych w rozumieniu ustawy nie oznacza automatycznie, iż podlega ona ochronie na podstawie przepisów kodeksu cywilnego, gdyż informacja osobowa co do zasady nie stanowi dobra osobistego, chyba że jest tożsama z definicją zawartą w art. 23 k.c.

Ustawa generalnie nie będzie miała zastosowania wobec osób prawnych (spółek prawa handlowego), jednostek organizacyjnych niemających osobowości prawnej (oddziałów), organów administracyjnych, sądów, prokuratury itd.

wDefinicje zawarte w art. 7 u.o.d.o. znajdują zastosowanie nie tylko w obrębie jej przepisów, ale również przy interpretacji innych aktów prawnych posługujących się równobrzmiącymi terminami, o ile przepisy odrębne nie nadają im odmiennego znaczenia. Przy czym ustawa nie jest kodeksem, stąd nie może być mowy o domniemaniu tego samego znaczenia przy tak samo brzmiących pojęciach w odrębnych aktach normatywnych, szczególnie takich jak kodeksy (A. Drozd, "Ustawa o ochronie danych osobowych. Komentarz...").

Zgodnie z art. 7 pkt 1 u.o.d.o. zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym (zgodnie z art. 6 oraz 23 u.o.d.o.), dostępny według określonych kryteriów, czyli m.in. zgodnie z zestawieniem wskazanym w art. 2 ust. 2 u.o.d.o., niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie. Dostępność dotyczy tu konkretnych danych osobowych, a nie innych informacji, które mogą w sposób pośredni uzyskać dostęp do szukanych danych.

Praktyczne przykłady zbiorów informacji, uznanych przez GIODO za zbiory danych w rozumieniu art. 7 pkt 1 u.o.d.o., to:

a) Dane osobowe gromadzone w formie akt, o ile spełniają wszystkie elementy zbioru wskazane w definicji ustawy, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe są zbiorem danych w rozumieniu ustawy.

b) Zestaw danych, składający się z aplikacji składanych przez potencjalnych i przyszłych pracowników w celach rekrutacji, o ile aplikacje są przechowywane w systemie informatycznym, przy czym kryterium dostępu do tych informacji jest np. numer referencyjny bądź nazwa stanowiska, na które dane osoba złożyła aplikację.

c) Informacje o kandydatach do pracy lub osób poszukujących pracy albo zgłaszających się do agencji zatrudnienia. Jeżeli zatem agencje zatrudnienia prowadzą zbiory danych niedotyczące osób u nich zatrudnionych, to muszą je zgłosić do rejestracji GIODO. Wyjątkiem są tu agencje pracy tymczasowej, które zatrudniają pracowników tymczasowych i w związku z tym podlegają wyłączeniu z obowiązku rejestracji na podstawie art. 43 ust. 1 pkt 4 u.o.d.o (GIODO, ABC wybranych zagadnień z ustawy o ochronie danych osobowych, s. 29).

d) Publikacje w prasie i książkach to z samej istoty miejsca, gdzie pojawiają się dane osobowe w rozumieniu ustawy. Jednak zasadnicze znaczenie ma tutaj fakt, czy mamy do czynienia z przetwarzaniem w zbiorze. Niewątpliwie zgodnie z definicją określoną w art. 7 pkt 1 u.o.d.o. za przetwarzanie w zbiorze uznać należy publikowanie nazwisk w każdej uporządkowanej formie, jak: list, nota biograficzna czy też opracowania encyklopedyczne lub leksykalne. Kryterium dostępu jest tu jasno zdefiniowane i uporządkowane strukturalnie, zazwyczaj w formie alfabetycznej, czasami z dodatkowymi kryteriami np. dziedzina, rok rodzaj wykształcenia (GIODO w Odpowiedzi na pytania http://www.giodo.gov.pl .

e) Zbiór danych np. zawierających adresy e-mailowe osób, które chcą otrzymywać newsletter danego serwisu internetowego. GIODO wskazuje, że biorąc pod uwagę cel, dla którego dane osobowe są gromadzone oraz jego przeznaczenie, stwierdzić należy, że nie zachodzą w tym przypadku przesłanki wskazane w art. 43 ust. 1 u.o.d.o., zwalniające z obowiązku zgłoszenia zbioru danych osobowych do rejestracji (GIODO w Odpowiedzi na pytania http://www.giodo.gov.pl .

f) Zbiór informacji - danych osobowych, stworzony na potrzeby przeprowadzenia konkursu na stronie internetowej. W świetle przepisów wyłączających dany zbiór z rejestracji należy stwierdzić, iż skoro zbiór danych tworzony na potrzeby przeprowadzenia konkursu na stronie internetowej nie stanowi szczególnej kategorii zbioru zwolnionego z rejestracji na podstawie art. 43 ust. 1 u.o.d.o., to będzie podlegał obowiązkowi zgłoszenia do rejestracji GIODO (GIODO w Odpowiedzi na pytania http://www.giodo.gov.pl .

g) Zbiorem danych w rozumieniu ustawy jest zestaw taśm magnetycznych, na których utrwalone zostały wizerunki i głosy pracowników oraz osób korzystających z usług kasyn gry, jeżeli kasety uporządkowano według daty wykonania nagrania (Sprawozdanie GIODO za rok 2003, s. 175).

Z drugiej strony GIODO uznał, że w przypadku, gdy organy samorządu terytorialnego za pomocą kamer monitorują główne ulice miasta, a monitorowanie ulic polegać miałoby na perspektywicznym zapisie obrazu przez kamery umieszczone na krańcach ulic, to szczegółowa analiza następować miałaby wyłącznie w przypadku popełnienia przestępstw lub wykroczeń. GIODO stwierdził, że w tym przypadku ustawa nie znajduje zastosowania. Zgodnie bowiem z art. 2 ust. 2 u.o.d.o. stosuje się ją wyłącznie do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych. W przedstawionej do analizy sytuacji stwierdzono natomiast, że film wideo nie ma charakteru zbioru danych osobowych w rozumieniu art. 7 pkt 1 u.o.d.o. (Sprawozdanie GIODO za rok 2000, s. 12).

h) Zbiór zawierający informacje niezbędne do przetwarzania danych osobowych osób prowadzących działalność gospodarczą nie tylko w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, lecz także na potrzeby realizacji innych elementów, np. umowy kupna-sprzedaży refundowanego towaru (GIODO w Odpowiedziach na pytania http://www.giodo.gov.pl/1520049/id art/3058/j/pl/ .

i) Zbiór danych osobowych osób, które wpłaciły 1% podatku na rzecz organizacji pożytku publicznego, a można konkretnie wskazać, o którą osobę fizyczną chodzi (GIODO w Odpowiedziach na pytania http://www.giodo.gov.pl/1520049/id art/3058/j/pl/ http://www.giodo.gov.pl/1520049/id art/2897/j/pl/

Pojęcie przetwarzania danych w rozumieniu art. 7 pkt 2 u.o.d.o. jest bardzo istotne dla przedsiębiorców, ponieważ potrzebują oni odpowiedniej podstawy prawnej dla każdej operacji przetwarzania danych. Katalog zawarty w art. 7 pkt 2 u.o.d.o. nie może być traktowany jako zamknięty, a jedynie jako przykładowy (A. Drozd, "Ustawa o ochronie danych osobowych. Komentarz...", A. Krasuski, D. Skolimowska, "Dane osobowe w przedsiębiorstwie..."). Z pomocą przy definiowaniu pojęcia przetwarzania danych może przyjść dyrektywa 95/46/WE budująca jedną z podstaw dla art. 7 pkt 2 u.o.d.o. W art. 2 lit. b pojęcie przetwarzania danych osobowych definiuje ona kazuistycznie jako jakąkolwiek operację lub zestaw operacji dokonywanych na danych osobowych za pomocą środków automatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikowanie, odzyskiwanie, konsultowanie, wykorzystanie, ujawnienie przez transmisję, rozpowszechnienie lub udostępnienie w inny sposób, układanie lub kompilowanie, zestawianie, usuwanie lub niszczenie danych. Z drugiej zaś strony GIODO staje na stanowisku rozbudowującym definicję przetwarzania danych i uznającym ustawowy zakres definicji przetwarzania danych osobowych, jedynie jako przykładowy i przez co rozszerza ją w swoich decyzjach lub też wyjaśnieniach. W ten sposób doszedł do wniosku m.in., że np. przetwarzanie może być prowadzone raz lub kilka razy, w sposób identyczny lub kompatybilny technologicznie oraz że pojedyncza (jednorazowa) operacja wykonana na danych, np. ich ujawnienie, jest traktowana jako ich przetwarzanie. Najczęściej wykonywane operacje uznawane za przetwarzanie danych to: fotografowanie, zapisywanie dźwięku lub obrazu oraz zapisywanie cech fizycznych umożliwiających identyfikację osoby (np. odcisków palców, próbek DNA i obrazu siatkówki). Przechowywanie danych również traktuje się jako ich przetwarzanie (GIODO, Poradnik dla przedsiębiorców, s.11). Stanowisko to potwierdza SN (postanowienie z 11 grudnia 2000 r., sygn. II KKN 438/00). W celu unaocznienia rozwoju definicji przetwarzania danych osobowych warto zacytować wyrok NSA z 13 lipca 2004 r., sygn. OSK 507/04, w którym sąd podkreślił, że nabycie bazy danych w drodze umowy cywilnoprawnej jest sposobem pozyskiwania danych, jest procesem ich zbierania i pozyskiwania, a zatem podlega pod pojęcie przetwarzania danych osobowych zgodnie z art. 7 pkt 2 u.o.d.o.

W razie wątpliwości przedsiębiorca może zgłosić się z zapytaniem do GIODO lub też przejrzeć orzecznictwo oraz dotychczasowe decyzje GIODO wydane na podstawie konkretnych zbiorów danych.

Ustawodawca zdecydował się skonkretyzować i uregulować definicje systemu informatycznego oraz danych w systemie informatycznym rozporządzeniem ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024), jak również w innych przepisach i rozporządzeniach dotyczących poszczególnych sektorów.

Ustawodawca definiując ostatni etap przetwarzania danych osobowych, jakim jest ich usuwanie, zgodnie z art. 7 pkt 3 u.o.d.o. zdefiniował je jako operację na danych osobowych mającą na celu ich zniszczenie lub modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Poprzez zniszczenie należy zrozumieć nie tylko zniszczenie informacji jako takich, ale również zniszczenie nośnika, na którym zostały one utrwalone. Konkretne dane są poddane modyfikacji, gdy ustalenie na podstawie zmodyfikowanych danych tożsamości osoby fizycznej wymagałoby nadmiernych kosztów, czasu lub działań w myśl art. 6 ust. 3 u.o.d.o.

Przez pojęcie administratora danych rozumie się organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 u.o.d.o., decydującą o celach i środkach przetwarzania danych osobowych. Tym samym statut administratora danych nie przysługuje podmiotom niewymienionym w art. 3. Dlatego osoba fizyczna albo jednostka organizacyjna niebędąca osobą prawną przetwarzająca dane jedynie w celach prywatnych i niezwiązanych z działalnością zarobkową, zawodową lub realizacją celów statutowych nie jest administratorem danych (por. wyrok NSA z 30 stycznia 2002 r., sygn. SA 1098/01).

Należy przyjąć również na podstawie art. 18 ustawy, że administratorem danych jest ten, kto może zostać zobowiązany zgodnie z prawem do przywrócenia stanu zgodnego z prawem w razie naruszenia przepisów o ochronie danych osobowych.

Dlatego powierzenie przetwarzania danych konkretnemu pracownikowi nie wpływa na uzyskanie przez niego statutu administratora danych, podobnie jak fakt, iż nie może on samodzielnie decydować o celach i środkach przetwarzania.

Administrator danych ponosi największą odpowiedzialność za przetwarzanie danych osobowych. Ponadto administrator danych osobowych skupia największy zakres uprawnień do przetwarzania danych osobowych od osoby fizycznej. Posiada również prawo przekazania części tego uprawnienia podmiotom trzecim, działając na podstawie tzw. umowy powierzenia.

Administratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest, co do zasady, przedsiębiorca. Administratorem takich danych jest w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna oraz spółka komandytowa. Tak więc administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze.

W przypadku podmiotu prowadzącego działalność gospodarczą jest on administratorem danych także wtedy, gdy wyznaczy pracownika odpowiedzialnego za przetwarzanie danych osobowych (GIODO, ABC wybranych zagadnień z ustawy o ochronie danych osobowych, s. 25).

Z drugiej zaś strony należy zaznaczyć, że administrator danych ponosi na podstawie art. 39 ustawy odpowiedzialność administracyjną za zachowanie osób u niego zatrudnionych, niezależnie od formy zatrudnienia, w tym również wolontariuszy (por. wyrok NSA z 4 kwietnia 2003 r., sygn. II SA 2935/03). Naruszenie przepisów o ochronie danych osobowych może narazić administratora danych na odpowiedzialność administracyjną przez GIODO, jak i karną, stosownie do przepisów karnych ustawy o ochronie danych osobowych (art. 49 - 54a).

Administrator, aby przetwarzać dane osobowe zgodnie z ustawą, musi:

- spełniać przynajmniej jeden warunek uprawniający go do wykonywania operacji na danych osobowych - w odniesieniu do danych zwykłych, jak np. imię, nazwisko czy adres zamieszkania, określono je w art. 23 ust. 1 pkt 1-5 ustawy, zaś w odniesieniu do danych szczególnie chronionych, takich jak np. dane o stanie zdrowia czy poglądach politycznych - w art. 27 ust. 2 pkt 1-10 ustawy. Spełnienie jednego z tych warunków stanowi o zgodnym z prawem przetwarzaniu danych osobowych, gdyż przesłanki te są równoprawne, a jednocześnie autonomiczne,

- dopełnić ustanowionego w art. 40 ustawy obowiązku zgłoszenia zbioru danych do rejestracji w GIODO - zgłoszenie zbioru danych do rejestracji jest regułą, od której wyjątki wymienione zostały w art. 43 ust. 1 pkt 1-11 u.o.d.o. Katalog tych wyjątków jest zamknięty i nie może być interpretowany rozszerzająco. Oceny tego, czy zbiór należy zgłosić do rejestracji, administrator danych dokonuje sam, przy czym zwolnienie zbioru danych z rejestracji jest możliwe tylko wówczas, gdy przesłanka uprawniająca do odstąpienia od rejestracji dotyczy wszystkich danych zawartych w zbiorze,

- stosować odpowiednie zabezpieczenia, o których stanowią przepisy rozdziału 5 ustawy oraz przepisów wykonawczych. Administrator jest bowiem zobowiązany zastosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę, a przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 u.o.d.o.),

- dopełnić obowiązku informacyjnego ustanowionego w art. 24 ust. 1 oraz art. 25 ust. 1 u.o.d.o., chyba że administrator danych jest z niego zwolniony. W razie zbierania danych bezpośrednio od osoby, której dotyczą (art. 24), administrator musi poinformować ją o swojej nazwie i adresie, celu zbierania, odbiorcach danych (także tych przewidywanych), prawie dostępu do danych i ich poprawiania, a także o dobrowolności albo obowiązku ich podania. Gdy obowiązek podania danych istnieje należy poinformować o jego podstawie prawnej. W przypadku otrzymania danych nie od osoby, której one dotyczą (art. 25), administrator - zaraz po utrwaleniu danych - musi poinformować osobę, której one dotyczą, o swojej nazwie i adresie, celu i zakresie zbierania danych, a zwłaszcza o ich odbiorcach, źródle, z którego dane pozyskał, prawie dostępu do danych i prawie ich poprawiania, a także o prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych,

- dokładać szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, poprzez zapewnienie, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (o czym stanowi art. 26 ust. 1 pkt 1 - 4 u.o.d.o.),

- respektować prawa osób, których dane dotyczą - prawa te wymienione są w rozdziale 4 u.o.d.o. i dotyczą kontroli procesu przetwarzania danych.

Z treści zgody na przetwarzanie danych osobowych powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Ponadto należy wziąć pod uwagę, iż zgoda w rozumieniu art. 7 pkt 5 ustawy zawiera określenie woli w rozumieniu art. 60 k.c., z zastrzeżeniem wyjątków przewidzianych w ustawie, wola osoby dokonującej czynności prawnej może być wyrażona również przez każde zachowanie się tej osoby. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi (GIODO, ABC wybranych zagadnień z ustawy o ochronie danych osobowych, s. 32). Stanowisko takie wyraził także Naczelny Sąd Administracyjny w wyroku z 4 kwietnia 2003 r. (sygn. akt II SA 2135/02). Stwierdził, iż "Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. Czynności takiej nie konwaliduje późniejsze poinformowanie o treści regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych".

Należy bezpośrednio poinformować osobę, której dane dotyczą, że przedsiębiorstwo zamierza przetwarzać dane osobowe jeszcze przed rozpoczęciem ich zbierania. Informacje muszą zostać udzielone indywidualnie i nie mogą mieć innej postaci, np. ogłoszenia czy noty zawartej w treści regulacji, jeśli osoba zainteresowana nie ma możliwości bezpośredniego zaznajomienia się z treścią takiej dokumentacji (por. wyrok NSA z 19 listopada 2001 r., sygn. II SA 2748/00). Przy czym nie istnieje określona forma, w jakiej należy powiadomić osobę, której dane dotyczą, o przetwarzaniu danych osobowych. Zaleca się jednak wykorzystanie drogi formalnej (np. formy pisemnej). Należy pamiętać, że w przypadku ewentualnego sporu dotyczącego wypełnienia obowiązku informacyjnego administrator zobowiązany będzie dostarczyć dowody, że obowiązek ten został spełniony i również uzyskał on zgodę.

Przedsiębiorca zbierający dane osobowe klienta w celu zawarcia lub wykonania umowy, zgody zainteresowanego w ogóle nie potrzebuje. Do zgodnego z prawem przetwarzania danych osobowych potrzebne jest bowiem spełnienie tylko jednego z pięciu warunków określonych w art. 23 ust. 1 u.o.d.o. Zatem, jeśli zgodnie z pkt 3 tego przepisu wykorzystywanie danych uzasadnia konieczność realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to konieczne do podjęcia koniecznych działań przed zawarciem takiej umowy, to dodatkowe żądanie zgody na przetwarzanie danych w celu realizacji umowy jest zbędne. Jeśli firma gromadzi dane swojego przyszłego klienta i ma zamiar wykorzystywać je jedynie do celu realizacji umowy, którą z nim zawiera, nie powinna zwracać się o zgodę na przetwarzanie danych. Natomiast, gdyby firma zamierzała wykorzystać dane swoich klientów w innym celu niż do realizacji lub wykonania umowy zawartej z klientem nie spełniając przy tym żadnego z warunków określonych w art. 23 ust. 1 pkt 2-5 ustawy, o taką zgodę powinna się zwrócić.

Z powyższego wynika, że podmiot, który przy okazji zawierania umowy zamierza również pozyskać zgodę na przetwarzanie danych osobowych kontrahenta, zobligowany jest do wyodrębnienia oświadczenia obejmującego zgodę na przetwarzanie danych osobowych, od oświadczenia wyrażającego chęć związania się postanowieniami umowy.

Nie można bowiem utożsamiać woli zawarcia umowy ze złożeniem oświadczenia woli, na podstawie którego osoba, której dane dotyczą, zgadza się na wykorzystywanie jej danych osobowych do innych celów. Zgoda nigdy nie może być domniemana (por. wyrok NSA z 19 listopada 2001 r., sygn. II SA 2748/00).

W celu zapewnienia możliwości kontrolowania danych osobowych przez osoby, których dane dotyczą, przedsiębiorca zobowiązany jest poinformować te osoby o znanych sobie odbiorcach danych (art. 7 pkt 6 ustawy), które przetwarza (GIODO, Poradnik dla przedsiębiorcy, s. 15). Przedstawiony katalog wyłączeń stanowi katalog zamknięty.

W art. 7 pkt 7 zostaje zdefiniowane pojęcie ,,państwa trzeciego". Nie jest to żaden kraj należący do Europejskiego Obszaru Gospodarczego, w tym kraj członkowski Unii Europejskiej. Tym samym przepływ danych do tych krajów będzie traktowany tak samo, jak transfer danych na terytorium Polski. Swobodny przepływ danych w ramach Unii Europejskiej jest koniecznym wymogiem członkostwa Polski w UE. Poza tym, po przystąpieniu Polski do UE, przejmując unijny dorobek prawny, staliśmy się członkiem Europejskiego Obszaru Gospodarczego (EOG). Niezbędne i zgodne z istotą postanowień dyrektywy jest zatem zapewnienie swobodnego przepływu danych również do krajów EOG niebędących członkami Unii (np. Norwegia, Islandia, Liechtenstein). Co do zasady, dane mogą być przekazywane jedynie odbiorcom z państw trzecich zapewniających odpowiedni poziom ochrony. Bardzo często są to kraje, w odniesieniu do których Komisja Europejska wydała specjalne decyzje stwierdzające, że zapewniają one odpowiedni poziom ochrony danych. Szczegółowe zasady przekazywania danych osobowych do państw trzecich reguluje rozdział 7 ustawy.

Rozdział 2

Organ ochrony danych osobowych

wPrzepisy rozdziału drugiego ustawy dotyczą jednoosobowego, centralnego organu administracji publicznej, określanego jako Generalny Inspektor Ochrony Danych Osobowych (GIODO). Generalny Inspektor jest powoływany uchwałą Sejmu za zgodą Senatu, przy czym oba te organy dokonują oceny kandydata i sprawdzają, czy ma on kwalifikacje wymienione w art. 8 i 10 ustawy. Senat przed podjęciem uchwały w sprawie wyrażenia zgody o powołaniu lub odwołaniu Generalnego Inspektora może wezwać kandydata na stanowisko do złożenia wyjaśnień i udzielenia odpowiedzi na pytania senatorów (por. uchwała Senatu Rzeczpospolitej Polskiej z 6 lipca 2006 r. w sprawie wyrażenia zgody na powołanie Generalnego Inspektora Ochrony Danych Osobowych, M.P. Nr 47, poz. 494). Uchwałę powołującą kandydata na stanowisko Generalnego Inspektora ogłasza się w Dzienniku Urzędowym "Monitor Polski".

wZłożenie ślubowania nie jest warunkiem ważności uchwały Sejmu o powołaniu konkretnej osoby na stanowisko GIODO. Odmowa złożenia ślubowania nie jest również równoznaczna ze zrzeczeniem się stanowiska i wywiera jedynie taki skutek, że GIODO nie może wykonywać swoich obowiązków i nie rozpoczyna się jego kadencja. Dodanie do roty ślubowania odwołania do Boga w żadnym wypadku nie podważa niezależności GIODO, a jedynie ma wymiar moralny i religijny dla danej osoby.

wKandydat na Generalnego Inspektora już w chwili podejmowania uchwały Sejmu o powołaniu go na stanowisko nie może uchybiać ustanowionym przez art. 10 ustawy postanowieniom. Należy również zaznaczyć, iż zawieszenie członkostwa w wymienionych organizacjach narusza ten zakaz.

Ponadto Generalnemu Inspektorowi zakazana jest działalność publiczna niedająca się pogodzić z godnością jego urzędu, jak nieuzasadnione formułowanie niepochlebnych opinii dotyczących innych instytucji publicznych, uczestniczeniem w akcjach, które mogą godzić w wartości konstytucyjne (por. Drozd, "Ustawa o ochronie danych osobowych. Komentarz...").

wImmunitet Generalnego Inspektora pokrywa jedynie odpowiedzialność karną, przy czym objęte są nią wszystkie przestępstwa bez względu na to, czy zostały popełnione w związku, czy bez związki z pełnieniem funkcji Generalnego Inspektora.

Generalny Inspektor może być zatrzymany lub aresztowany jedynie w razie ujęcia go na gorącym uczynku przestępstwa i o ile takie działanie jest niezbędne dla zapewnienia prawidłowego przebiegu postępowania. Marszałek Sejmu może nakazać natychmiastowe zwolnienie Generalnego Inspektora, jako organ państwowy niezwłocznie zawiadamiany o zatrzymaniu.

Generalny Inspektor nie ponosi odpowiedzialności konstytucyjnej przed Trybunałem Stanu.

wCo do zasady GIODO wyposażony został w kompetencje o charakterze władczym. Artykuł 12 u.o.d.o. w związku z użyciem słowa "w szczególności" wskazuje, że GIODO przysługują również inne kompetencje tj. wynikające z innych norm prawnych oraz wydanego na podstawie art. 39a ustawy rozporządzenia ministra spraw wewnętrznych i administracyjnych z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).

Generalnemu Inspektorowi również jako podmiotowi uprawnionemu przysługuje prawo uzyskania informacji objętych tajemnicą w zakresie niezbędnym do realizacji zadań ustawowych zgodnie z art. 12 i 14 u.o.d.o.

GIODO przeprowadza kontrole i ustala stan faktyczny przestrzegania przez podmioty przepisów ustawy oraz dokumentuje dokonane ustalenia. Tego typu kontrole są zazwyczaj przeprowadzane przez trzyosobowe zespoły, tj. dwóch pracowników departamentu inspekcji Biura GIODO oraz jednego informatyka z departamentu informatyki Biura GIODO. Dokonują oni czynności kontrolnych w siedzibie kontrolowanego podmiotu oraz w innym miejscu wskazanym jako obszar przetwarzania danych osobowych. Kontroli podlegają wymienione w art. 3 u.o.d.o., tj. podmioty zobowiązane do przetwarzania danych osobowych niezależnie, czy należą do sektora publicznego czy prywatnego. Inspektorzy legitymują się przed wejściem do siedziby podmiotu kontrolowanego legitymacją zgodną ze znowelizowanym w 2011 r. rozporządzeniem ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. z 2004 r. nr 94, poz. 923 ze zm.).

Generalny Inspektor ma ograniczone prawo kontroli wobec następujących podmiotów:

- administratorów danych dotyczących członków kościoła lub innego związku wyznaniowego o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby kościoła lub związku wyznaniowego,

- Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego - w odniesieniu do danych, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy tych podmiotów.

Wobec wymienionych podmiotów Generalny Inspektor lub upoważnieni przez niego pracownicy Biura GIODO (inspektorzy) posiadają zredukowane uprawnienia kontrolne. W szczególności nie mają prawa:

- wstępu do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz do pomieszczenia, w którym przetwarzane są dane poza zbiorem,

- przeprowadzania w pomieszczeniu kontrolowanego podmiotu niezbędnych badań lub innych czynności w celu oceny zgodności przetwarzania danych z ustawą,

- wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli,

- sporządzania kopii dokumentów i danych,

- przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,

- zlecania sporządzania ekspertyz i opinii,

- wydawania decyzji administracyjnych (w tym decyzji nakazujących przywrócenie stanu zgodnego z prawem),

- rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych,

- żądania wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień.

Wobec tych podmiotów GIODO może jedynie żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego.

Podczas kontroli przestrzegania przepisów o ochronie danych osobowych inspektor zwraca szczególną uwagę na następujące kwestie:

- legalność przetwarzania danych osobowych zgodnie z art. 23 u.o.d.o.,

- legalność przetwarzania danych szczególnie chronionych, na podstawie art. 27 ustawy,

- zakres i cel przetwarzania danych - kontrolowany podmiot jest obowiązany podać kategorie osób oraz kategorie przetwarzanych danych i ich zakres,

- merytoryczną poprawność danych i ich adekwatność do celu przetwarzania,

- obowiązek informacyjny,

- zgłoszenie zbioru do rejestracji, w myśl art. 43 u.o.d.o.,

- przekazywanie danych do państwa trzeciego w myśl art. 47 ustawy,

- powierzenie przetwarzania danych osobowych (art. 31 u.o.d.o.),

- zabezpieczenie danych.

Zgodnie z art. 12 ust. 2 u.o.d.o. GIODO wydaje decyzje administracyjne i rozpatruje skargi. Do tego typu postępowania zgodnie z art. 22 u.o.d.o. stosuje się przepisy kodeksu postępowania administracyjnego (k.p.a.), przy czym należy pamiętać o ograniczeniu, jakie nakłada na Generalnego Inspektora art. 43 u.o.d.o. Nie wolno wydawać mu decyzji administracyjnych wobec kościołów, związków wyznaniowych - w zakresie, w jakim przetwarzanie danych dotyczy osób należących do kościoła lub związku wyznaniowego na własne potrzeby. Ponadto GIODO nie przysługują kompetencje władcze w razie przetwarzania danych osobowych w zbiorach objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego oraz zbiorach operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności i są przetwarzane przez ABW, Agencje Wywiadu, Służby Kontrwywiadu Wojskowego, Policję itd.

Samą skargę do Generalnego Inspektora może złożyć każdy, nie tylko osoba, której dane bezpośrednio dotyczą. Przykładowo - skargę na udostępnianie danych osobowych, które nie są jawne przez administratora danych osobowych może złożyć spółka, gdy udzielane są informacje o osobach zasiadających w jej organach.

Do kompetencji GIODO na podstawie art. 12 ust. 5 ustawy należy również opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych. GIODO nie może jednak występować do Trybunału Konstytucyjnego z pytaniem prawnym albo z wnioskiem o zbadanie zgodności aktu normatywnego (projektu) z Konstytucją RP.

wGeneralny Inspektor Ochrony Danych Osobowych jest jednoosobowym, centralnym organem administracji publicznej, natomiast w związku z przystąpieniem Polski do Unii Europejskiej nastąpiła w 2004 r. konieczność udziału reprezentanta odpowiedniej rangi w strukturach unijnych (por. art. 12 ust. 6 ustawy).

Marszałek Sejmu - na wniosek GIODO powołuje i odwołuje jego zastępcę, przy czym osoba ta powinna spełniać wszystkie wymagania stawiane Generalnemu Inspektorowi zgodnie z art. 8 ustawy z wyjątkiem posiadania kierunkowego wykształcenia prawnego, tj. nie musi być prawnikiem, jak również nie obowiązują go ograniczenia zawarte w art. 10 ustawy. Podkreślić należy, iż nie oznacza to, że zastępca GIODO może prowadzić działalność publiczną niedającą się pogodzić z godnością jego stanowiska.

wBiuro Generalnego Inspektora Ochrony Danych Osobowych jest jednostką pomocniczą Generalnego Inspektora. Siedziba biura mieści się w Warszawie pod adresem 00-193 Warszawa, ul. Stawki 2.

Na podstawie par. 1 pkt 2 statutu Biura GIODO stanowiącego załącznik do rozporządzenia Prezydenta Rzeczpospolitej Polskiej z 10 października 2011 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. z 2011 r. nr 225, poz. 1350), Biuro zapewnia wykonanie zadań wynikających z kompetencji Generalnego Inspektora określonych w ustawie, a także w innych przepisach powszechnie obowiązującego prawa. Par. 13 statutu podkreśla, iż tryb pracy Biura, a także organizację wewnętrzną i szczegółowy zakres zadań statutowych jednostek organizacyjnych Biura określa Generalny Inspektor w drodze zarządzenia.

wJak wspomniano (por. uwagi do art. 12), kontrole są zazwyczaj przeprowadzane przez trzyosobowe zespoły, tj. dwóch pracowników departamentu inspekcji Biura GIODO oraz jednego informatyka z departamentu informatyki Biura GIODO. Należy zaznaczyć, że w zależności od rozmiaru kontroli liczba pracowników może ulec zmianie. Wszyscy inspektorzy GIODO, zgodnie z ustawą z 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. nr 182, poz. 1228), posiadają poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych stanowiących tajemnicę służbową, oznaczonych klauzulą "poufne".

Inspektor przeprowadzający kontrolę zobowiązany jest do:

- przedstawienia legitymacji służbowej,

- przedstawienia upoważnienia do kontroli udzielonego mu przez GIODO,

- zapoznania kontrolowanego z jego prawami i obowiązkami przed przystąpieniem do czynności kontroli,

- przestrzegania uprawnień, które przysługują kontrolowanemu podmiotowi.

Przed przystąpieniem do kontroli inspektorzy m.in.:

- zapoznają się ze wszelkimi materiałami będącymi w dyspozycji statutowych jednostek organizacyjnych Biura GIODO, głównie departamentu orzecznictwa, legislacji i skarg oraz departamentu rejestracji zbiorów danych osobowych;

- pozyskują informacje dostępne w internecie i innych mediach. Analizują również przepisy, na podstawie których działa dany podmiot, a także orzecznictwo w zakresie problemów stanowiących przedmiot kontroli;

- opracowują plan kontroli, który jest zatwierdzany przez GIODO lub jego zastępcę.

Plan taki zawiera m.in.: oznaczenia podmiotu kontrolowanego albo zbioru danych, miejsca, gdzie będzie miała miejsce kontrola, datę rozpoczęcia i przewidywany termin zakończenia kontroli.

Można wyróżnić kilka rodzajów kontroli:

- kontrola z urzędu - wykonywana z inicjatywy własnej Generalnego Inspektora. Stanowi ona konsekwencję obowiązku zrealizowania zadań kontrolnych nałożonych przez ustawę, w szczególności w toku postępowań rejestracyjnych prowadzonych przez departament rejestracji zbiorów danych osobowych oraz w toku rozpatrywania skarg dokonywanych przez departament legislacji, orzecznictwa i skarg;

- kontrola na wniosek - pozostaje również w sferze wykonywania zadań kontrolnych przez Generalnego Inspektora, natomiast inspiracja do podjęcia i prowadzenia określonej kontroli pochodzi z zewnątrz, od innego podmiotu (np. Najwyższej Izby Kontroli, Państwowej Inspekcji Pracy, prokuratury, związków zawodowych, pracodawców, osoby fizycznej);

- kontrola kompleksowa - dotyczy wszystkich zbiorów danych osobowych prowadzonych przez kontrolowanego administratora danych oraz obejmuje swoim zakresem wszystkie wymogi określone w przepisach o ochronie danych osobowych, mające zastosowanie w działalności danego podmiotu;

- kontrola częściowa - dotyczy zwykle poszczególnych zagadnień w procesie przetwarzania danych będących przedmiotem skargi, takich jak legalność pozyskiwania danych skarżącego, sposób dopełnienia obowiązku informacyjnego wobec skarżącego czy też problemów pojawiających się w toku postępowań rejestracyjnych, np. podstawy prawnej, zakresu danych, celu przetwarzania danych - czyli zgodności informacji podanych w zgłoszeniu zbioru ze stanem faktycznym. Przedmiotem kontroli może też być wyłącznie kwestia zabezpieczenia danych osobowych, dopełnienie obowiązku rejestracyjnego lub tym podobne;

- kontrola sektorowa (kompleksowa lub częściowa) - wskazana w rocznym harmonogramie kontroli, dotycząca wybranej kategorii podmiotów lub zagadnień.

Wprawdzie ustawa nie reguluje kwestii zapowiedzenia kontroli GIODO, niemniej inspektorzy ze względów praktycznych przyjęli, iż administrator danych poinformowany wcześniej o terminie kontroli przygotowuje się do niej (GIODO, ABC zasad przetwarzania i kontroli danych osobowych, s. 28). Zgodnie z art. 79 ust. ustawy o swobodzie działalności gospodarczej (Dz.U. z 2010 r. nr 220, poz. 1447 ze zm.) kontrolę wobec przedsiębiorców wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. GIODO może nie informować danego przedsiębiorcy o zamiarze kontroli, gdy okoliczności wskazują na to, iż kontrolowany podmiot mógł ukryć dowody, które świadczą o popełnieniu przestępstwa.

W szczególności podmiot kontrolowany otrzyma możliwość podjęcia działań organizacyjnych mających na celu usprawnienie i przyspieszenie przeprowadzonych czynności kontrolnych. W interesie przedsiębiorcy jest pełna współpraca z GIODO w ramach prowadzonej kontroli, gdyż ta może trwać w obrębie danego roku kalendarzowego nawet do 48 dni roboczych (zgodnie z art. 83 ust. 1 ustawy o swobodzie działalności gospodarczej).

Inspektorzy mają prawo wejścia do siedziby podmiotu kontrolowanego, nawet do mieszkania prywatnego, o ile mieści się w nim jednocześnie siedziba podmiotu kontrolowanego. Każdorazowo przed podjęciem czynności kontrolnych inspektorzy zgłaszają swoją obecność kontrolowanemu.

Inspektorzy mogą żądać złożenia pisemnych lub ustnych wyjaśnień w kwestiach objętych kontrolą zarówno od podmiotu kontrolowanego, jak również wszystkich osób wykonujących dla danego podmiotu czynności przetwarzania danych osobowych w rozumieniu ustawy. Każdorazowo inspektor sporządza protokół z przyjęcia ustnych wyjaśnień czy przesłuchania świadka, który powinien zawierać następujące informacje:

- zawiera oznaczenie organu kontroli i jego siedziby,

- wskazuje wykonującego tę czynność inspektora (imię, nazwisko, stanowisko służbowe, numer legitymacji służbowej i upoważnienia),

- wskazuje podstawę prawną uprawniającą do przesłuchania (art. 14 pkt 2 u.o.d.o.), pouczenie świadka o jego prawach i obowiązkach,

- wskazuje osoby przesłuchiwane/składające wyjaśnienia (imię, nazwisko, adres, miejsce pracy, stanowisko służbowe),

- datę sporządzenia protokołu,

- podpis osoby przesłuchiwanej,

- podpis inspektora przesłuchującego.

Inspektor na podstawie przyznanych mu uprawnień może żądać okazania wszelkich dokumentów i danych mających bezpośredni związek z przedmiotem kontroli oraz przedstawienia dokumentacji, której opracowanie jest obowiązkowe, takich jak:

- statut,

- pozwolenie na prowadzenie określonej działalności,

- regulamin organizacyjny,

- instrukcja kancelaryjna,

- wypis z Krajowego Rejestru Sądowego,

- umowy (np. umowa powierzenia),

- decyzje,

- postanowienia,

- zarządzenia,

- polityki bezpieczeństwa,

- instrukcje zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,

- ewidencję osób upoważnionych do przetwarzania danych,

- inne potrzebne dokumenty.

Inspektor ma także prawo sporządzania kopii wskazanych dokumentów, niezbędnych dla celów kontroli i gromadzenia ewentualnych dowodów w celu złożenia informacji o popełnieniu przestępstwa.

W czasie kontroli inspektor może dokonać oględzin urządzeń, elektronicznych nośników informacji zawierających dane osobowe oraz systemu informatycznego. Wykonując te czynności, inspektorzy biorą pod uwagę w szczególności lokalizację sprzętu oraz zastosowane środki zapewnienia poufności, integralności i rozliczalności danych (par. 2 pkt 7, 8 i 10 rozporządzenia), jak też zapewnienie funkcjonalności systemów informatycznych (por. GIODO, ABC zasad kontroli przetwarzania danych osobowych, s. 22).

Z oględzin inspektor sporządza protokół zawierający:

- oznaczenie organu kontroli i jego siedziby,

- oznaczenie przedmiotu oględzin (np. miejsca, pomieszczeń, dokumentów, urządzeń, nośników informacji, systemów informatycznych),

- podstawę prawną uprawniającą do przeprowadzenia oględzin (art. 14 pkt 4 u.o.d.o.),

- wskazanie wykonującego tę czynność inspektora (imię, nazwisko, stanowisko służbowe),

- wskazanie osób uczestniczących w oględzinach (imię, nazwisko, zajmowane stanowisko służbowe), datę i miejsce oględzin,

- szczegółowe ustalenia,

- sposób utrwalenia stanu w toku oględzin,

- podpisy inspektora oraz obecnych przy oględzinach.

GIODO może też zlecić sporządzenie ekspertyz i opinii, ale takie działania mają charakter wyjątkowy i są bardzo rzadkimi przypadkami (GIODO, ABC zasad kontroli przetwarzania danych osobowych, s. 22).

wKontrolowany przez GIODO podmiot ma obowiązek:

- umożliwić inspektorowi przeprowadzenie czynności kontrolnych, m.in. poprzez udostępnienie mu wejścia do miejsca przeprowadzania kontroli,

- udostępnić wszelkie żądane dokumenty i nośniki informacji związane z zakresem kontroli,

- na żądanie inspektora kontrolowany jest obowiązany wydać kopie wskazanych dokumentów oraz tzw. zrzuty (wydruki) z ekranu komputera,

- czynnie uczestniczyć w prowadzonej kontroli poprzez: udzielanie wyjaśnień, zapewnienie terminowego udzielanie informacji przez podległych pracowników i inne osoby uczestniczące w procesie przetwarzania danych,

- pozostawać do dyspozycji w czasie trwania kontroli - w celu zapewnienia sprawnego jej przebiegu.

wZałącznikami do protokołu kontroli są protokoły z poszczególnych czynności, tj. protokół przyjęcia ustnych wyjaśnień, protokół przesłuchania świadka, protokół oględzin oraz inne dowody związane z kontrolą.

Protokół kontroli jest sporządzany przez inspektorów w dwóch jednobrzmiących egzemplarzach, z których jeden doręcza się kontrolowanemu podmiotowi lub osobie przez niego upoważnionej. Drugi egzemplarz pozostaje w aktach kontroli. Kontrolowany ma prawo wnieść na piśmie umotywowane zastrzeżenia i uwagi - zarówno do treści, jak i do ustaleń zawartych w protokole. Inspektor jest obowiązany rozpatrzyć złożone zastrzeżenia i uwagi oraz ustosunkować się do nich. O sposobie rozpatrzenia tych kwestii kontrolowany podmiot informowany jest na piśmie.

Gdy kontrolowany podmiot odmówi podpisania protokołu, inspektor czyni o tym wzmiankę w protokole kontroli. Kontrolowany może w terminie 7 dni, od dnia przedstawienia protokołu, przedstawić GIODO swoje stanowisko na piśmie.

Na podstawie przeprowadzonej kontroli oraz przedstawionego stanowiska, GIODO:

- wydaje decyzję objętą zakresem art. 18 ustawy. Jeżeli kontrolowany podmiot kwestionuje skierowaną do niego decyzję, może zwrócić się do GIODO z wnioskiem o ponowne rozpatrzenie sprawy (art. 21 ust. 1 u.o.d.o.). Na decyzję Generalnego Inspektora wydaną w przedmiocie wniosku o ponowne rozpatrzenie sprawy przysługuje kontrolowanemu skarga do sądu administracyjnego (art. 21 ust. 2 u.o.d.o.). W pozostałym zakresie obowiązują przepisy kodeksu postępowania administracyjnego;

- wydaje decyzję o wszczęciu postępowania administracyjnego (art. 61 par. 4 k.p.a.);

- składa wniosek o wszczęcie postępowania dyscyplinarnego do kontrolowanego podmiotu wobec osób winnych dopuszczenia do uchybień;

- składa zawiadomienie o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw.

wGeneralny Inspektor może na podstawie ustaleń kontroli żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia uchybień. W praktyce GIODO kieruje do skontrolowanego podmiotu wniosek zawierający m.in. wskazanie osób, wobec których żądanie wszczęcia postępowanie jest adresowane. Przy czym równolegle prezentuje przedmioty zebrane w trakcie kontroli dowody świadczące o winie tych osób i żąda w oznaczonym terminie przedstawienia rozstrzygnięcia.

Równolegle do żądania wszczęcia postępowania dyscyplinarnego Generalny Inspektor jest zobowiązany do złożenia zawiadomienia o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw, jeżeli wyniki przeprowadzonej kontroli wskazują, że działanie lub zaniechanie kierownika kontrolowanej jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej wyczerpują znamiona przestępstwa określonego w art. 49-54a ustawy, przy czym Generalny Inspektor przekazuje zgromadzony w toku kontroli materiał dowodowy będący przedmiotem zawiadomienia.

wOd wydanej decyzji kontrolowanemu podmiotowi przysługuje prawo wniesienia wniosku o ponowne rozpatrzenie sprawy (art. 21 ust. 2 u.o.d.o.) w terminie 14 dni od dnia doręczenia decyzji, a następnie w przypadku utrzymania przez Generalnego Inspektora w mocy zaskarżonej decyzji, składana w terminie 30 dni skarga do Wojewódzkiego Sądu Administracyjnego w Warszawie. W związku z wprowadzeniem w 2004 r. w Polsce dwuinstancyjnego postępowania sądowoadministracyjnego, od wyroku wydanego w I instancji przysługuje skarga kasacyjna do Naczelnego Sądu Administracyjnego, w terminie 30 dni od dnia doręczenia stronom odpisu orzeczenia z uzasadnieniem. Przed upływem terminu do wniesienia odwołania decyzja nie ulega wykonaniu. Wniesienie odwołania w terminie wstrzymuje wykonanie decyzji. Decyzja podlega wykonaniu przed upływem terminu do wniesienia odwołania, gdy jest zgodna z żądaniem wszystkich stron. Sąd administracyjny także może wstrzymać wykonanie decyzji. W przypadku usunięcia uchybień w toku postępowania lub jeszcze przed jego wszczęciem, postępowanie podlega umorzeniu.

Należy zaznaczyć, że GIODO nie ma pełnej swobody w zakresie wyboru środków wymienionych w art. 18 ustawy, gdyż ciąży na nim obowiązek stosowania zasady proporcjonalności (adekwatności) środka zastosowanego wobec zagrożenia prywatności osób, których dane dotyczą (por. wyrok NSA z 21 marca 2000 r., sygn. V SA 2319/99, LEX 80646).

wJeżeli GIODO uzna, że zostały spełnione znamiona popełnienia przestępstwa określonego w ustawie, zobowiązany jest do złożenia zawiadomienia o tym organu powołanego do ścigania przestępstw oraz dołączenia dowodów dokumentujących podejrzenie. Po złożeniu zawiadomienia Generalnemu Inspektorowi przysługuje zażalenie na postanowienie o odmowie wszczęcia postępowania zgodnie z art. 306 par. 1 kodeksu postępowania karnego (k.p.k.).

wGeneralny Inspektor stoi na straży spójności wszystkich przepisów prawa z przepisami ustawy i jest organem uprawnionym do wnioskowania o zmianę prowadzonej praktyki przez inne organy państwowe oraz podmioty wymienione w art. 19a ust. 1 u.o.d.o. Może również występować z ograniczoną inicjatywą ustawową (wnioskami o podjęcie prac legislacyjnych, bo sam GIODO nie może złożyć do Sejmu RP własnego projektu ustawy).

wNa Generalnym Inspektorze ciąży obowiązek sporządzania i przedstawiania Sejmowi corocznego sprawozdania ze stanu przestrzegania przepisów o ochronie danych osobowych. W sprawozdaniach tych GIODO informuje m.in. o charakterystyce działalności GIODO, przedstawia też wnioski i planowane kierunki działań GIODO.

wPo przeprowadzonej kontroli Generalny Inspektor wydaje decyzję wobec kontrolowanego podmiotu zgodnie z art. 18 ustawy. Jeżeli kontrolowany podmiot kwestionuje skierowaną decyzję, może zwrócić się do GIODO z wnioskiem o ponowne rozpatrzenie sprawy (art. 21 ust. 1 u.o.d.o.). Na decyzję Generalnego Inspektora wydaną w przedmiocie wniosku o ponowne rozpatrzenie sprawy przysługuje kontrolowanemu skarga do sądu administracyjnego (art. 21 ust. 2 u.o.d.o.). W pozostałym zakresie obowiązują przepisy k.p.a.

wW sytuacjach nieuregulowanych odmiennie w ustawie zastosowanie będzie miał kodeks postępowania administracyjnego.

wNa podstawie niniejszego delegacji ustawowej wydano rozporządzenie ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. z 2004 r. nr 94, poz. 923). Rozporządzenie to rok temu znowelizowano (Dz.U. z 2011 r. nr 103, poz. 601).

Beata Witkowska

prawnik, partner zarządzający w kancelarii Witkowska Kancelaria Prawna

23 października zostanie opublikowana II część komentarze