Strona głównaNajpopularniejsze
Jeśli chcesz złożyć skargę Elektroniczna skrzynka podawcza Rejestracja krok po kroku Porady i wskazówki
Serwisy GIODO
Internetowy serwis edukacyjny GIODO
Rejestracja zbiorów i ogólnokrajowy rejestr w Internecie
Najpopularniejsze

Vademecum ochrony danych osobowych

Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak-
Wprowadził informację: Rafał Grodzki2006-03-27 13:03:21

Konwencja 108

Najstarszym aktem prawnym o zasięgu międzynarodowym, kompleksowo regulującym zagadnienia związane z ochroną danych osobowych jest Konwencja Rady Europy Nr 108 z dnia 28 stycznia 1981 r. o Ochronie Osób w Związku z Automatycznym Przetwarzaniem Danych Osobowych.

Konwencja ta nałożyła na kraje członkowskie zobowiązanie stworzenia ustawodawstwa w zakresie ochrony danych osobowych, wskazując jednocześnie, w jakim kierunku ustawodawstwo to ma zmierzać.

Celem Konwencji jest zapewnienie, na obszarze państw członkowskich, każdemu - niezależnie od obywatelstwa i zamieszkania - ochrony jego praw i wolności, a w szczególności prawa do poszanowania sfery osobistej, w związku z automatycznym przetwarzaniem danych osobowych. Konwencja określiła minimalny zakres tych praw i skorelowanych z nimi obowiązków. Konwencja weszła w życie 1 października 1985 r.

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady

Początkowo, Unia Europejska nie dostrzegała konieczności uregulowania ochrony danych osobowych w krajowych, szczegółowych aktach prawnych. Komisja Europejska postulowała jedynie, aby państwa członkowskie ratyfikowały Konwencję Rady Europy 108 do 1982 r.

Z czasem jednak rozbieżności w ustawodawstwach państw Unii spowodowały konieczność ich ujednolicenia. Zasadniczym zadaniem, jaki taka regulacja miała spełnić było zapewnienie minimalnego, a zarazem jednolitego dla państw członkowskich poziomu ochrony danym osobowym gromadzonym w zbiorach oraz zapewnienie swobodnego przepływu danych osobowych pomiędzy krajami członkowskimi. Zrealizowanie tego drugiego zadania jest koniecznym warunkiem zapewnienia, w dalszej kolejności, swobodnego przepływu towarów, usług i osób pomiędzy krajami Wspólnoty, co każdorazowo łączy się z koniecznością przekazania danych osobowych.

W 1990 r. rozpoczęto prace nad stosowną dyrektywą. Efektem tych prac było wydanie Dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych. Termin na jej implementację do porządków prawnych państw członkowskich wyznaczono na 23 października 1998 r.

Dyrektywa przyjęła bardzo szerokie rozumienie pojęcia danych osobowych oraz przetwarzania danych. Danymi osobowymi określiła wszystkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przetwarzaniem zaś określiła wszystkie – wymieniając je – operacje dokonywane na danych osobowych. Wprowadziła katalog minimalnych praw służących osobom, których dane są zbierane. Ich naruszenie miałoby skutkować możliwością dochodzenia tych praw na drodze sądowej. Dopuszczalność przetwarzania danych została uzależniona od woli (zgody) osoby, której dotyczą dane osobowe. Przewidziano jednak zamknięty katalog sytuacji, gdy jest to możliwe, bez takiej zgody. Dyrektywa wyodrębnia grupę danych osobowych tzw: "sensytywnych";. W przypadku ich przetwarzania wymagana jest zgoda wyrażona na piśmie. Odrębnie potraktowano też dane dotyczące "skazań kryminalnych";, które mogą być przetwarzane jedynie przez podmioty publiczne. Sprecyzowano, kiedy możliwe jest odstępstwo od zasady zakazu przetwarzania takich danych. Jednocześnie, zgodnie z Dyrektywą, dane mogą być wykorzystywane wyłącznie zgodnie z celem, dla którego zostały zgromadzone. Dyrektywa wprowadziła obowiązek informowania osoby o zasadach przetwarzania jej danych, przed ich zgromadzeniem. Może ona sprzeciwić się przetwarzaniu swoich danych, jeśli tylko posiada w tym uzasadniony cel. Każda osoba, której dane już znalazły się w zbiorze ma prawo dowiedzieć się o zasady ich przetwarzania, począwszy od możliwości ustalenia informacji o administratorze, skończywszy na ustaleniu treści tych danych. Dyrektywa wprowadziła też prawo kontroli danych osobowych przez osobę, której one dotyczą, w tym prawo wniesienia sprzeciwu przeciwko przetwarzaniu danych. Osobie, która poniosła szkodę wynikającą z przetwarzania danych niezgodnie z Dyrektywą przysługuje, zgodnie z Dyrektywa, odszkodowanie. Jedną z najważniejszych, wprowadzonych Dyrektywą, regulacji jest kwestia przekazywania danych osobowych do krajów trzecich (jest to możliwe wtedy, gdy kraj docelowy zapewnia odpowiedni poziom ochrony).

Ponadto, Dyrektywa przewidziała powołanie Krajowych Organów Nadzorczych. Ich zadaniem jest monitorowanie przestrzegania Dyrektywy. Także, na podstawie art. 29 Dyrektywy, powołana została Grupa Robocza ds. Ochrony Danych. W jej skład wchodzą przedstawiciele Krajowych Organów Nadzorczych oraz przedstawiciel Komisji Europejskiej Wspólnoty Gospodarczej. Jej celem jest przyczynianie się do jednolitego stosowania Dyrektywy w krajach członkowskich, opiniowanie istniejącego poziomu ochrony danych w różnych krajach oraz opiniowanie unijnych aktów normatywnych z zakresu ochrony prywatności, na potrzeby Komisji UE. Dyrektywa przewidziała też powołanie Komitetu Doradczego, złożonego z przedstawicieli krajów członkowskich. Jego zadaniem jest projektowanie i opiniowanie nowych aktów normatywnych z zakresu uregulowanego Dyrektywą.

Inne akty o charakterze międzynarodowym

Zagadnienie ochrony danych osobowych pojawia się także w wielu innych, ale nie tak kompleksowych jak wymienione, aktach o randze międzynarodowej.

Konstytucja Rzeczypospolitej Polskiej

Pierwsze gwarancje ochrony danym osobowym zapewniła w Polsce nowa Konstytucja z 1997r. Jej art. 47 zagwarantował obywatelom prawo do prywatności, a art. 51 – każdej osobie - prawo do ochrony dotyczących jej informacji.

Jednakże z międzynarodowych zobowiązań Polski, związanych z akcesją do Unii Europejskiej, wynikła konieczność zapewnienia ochrony danym osobowych takiej, jaką na swoim terytorium, zapewniały państwa Unii. Wszystkie ustawy europejskie wzorowane były lub dostosowano do Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.

Ustawa o ochronie danych osobowych

Zasady ochrony danych ustanowione Dyrektywą 95/46/EC wprowadzone zostały do polskiego porządku prawnego ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Ustawa o ochronie danych osobowych wprowadziła szczegółowe normy służące ochronie danych osobowych w Polsce, a do dnia 1 maja 2004 r., czyli wstąpienia Polski do Unii Europejskiej, przeniosła do polskiego porządku prawnego wszystkie zasady określone w Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady. Przepisy ustawy obowiązują od dnia 30 kwietnia 1998r.

Wprowadzenie przepisów dotyczących ochrony danych osobowych do polskiego systemu prawnego, pozwoliło na podpisanie przez Polskę w kwietniu 1999 r. i ratyfikowanie w maju 2002 r. Konwencji Nr 108 Rady Europy. Działania te stanowiły przejaw postępującej demokratyzacji życia publicznego w Polsce i troski o ochronę prywatności każdego jej obywatela.

Ustawa o ochronie danych osobowych określiła prawne ramy obrotu danymi osobowymi, a także zasady, jakie należy stosować przy przetwarzaniu danych osobowych, sprecyzowała też prawa i obowiązki organów, instytucji i osób prowadzących zbiory danych osobowych oraz prawa osób, których dane dotyczą, w taki sposób, aby zagwarantować maksymalną ochronę praw i wolności każdej osobie fizycznej oraz poszanowania jej życia prywatnego.

Ustawa o ochronie danych osobowych, realizując wymagania stawiane przez Wspólnotę, skonkretyzowała konstytucyjnie zagwarantowane prawo do decydowania o tym komu, w jakim zakresie i w jakim celu przekazujemy nasze dane osobowe, dając ustawowe gwarancje przestrzegania tego prawa, poprzez wyposażenie osób, których dane dotyczą w środki służące realizacji tego prawa, a odpowiednie organy i służby w środki prawne, gwarantujące jego przestrzeganie. Podstawowym jej założeniem jest przyznanie każdej jednostce prawa do ochrony dotyczących jej danych.

Ustawa określa zasady, jakie należy stosować przy przetwarzaniu danych osobowych, precyzuje prawa i obowiązki organów, instytucji i osób prowadzących zbiory danych osobowych oraz prawa osób, których dane dotyczą, w taki sposób, aby zagwarantować maksymalną ochronę praw i wolności każdej osobie fizycznej oraz poszanowania jej życia prywatnego. Wśród obowiązków dysponentów danych osobowych znajduje się ich zabezpieczenie przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem, czyli takie zorganizowanie postępowania z danymi osobowymi i użycie takich środków technicznych, aby zapewniły one ochronę odpowiednią do zagrożeń i kategorii wykorzystywanych danych. Obowiązki odnośnie zabezpieczenia danych określone są w rozdziale 5 ustawy oraz rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Ustawa w sposób bardzo precyzyjny określa zasady udostępniania danych. Udostępnianie danych osobowych (poza tymi, które objęte zostały szczególną ochroną), w celu włączenia do zbioru, jest możliwe po spełnieniu jednego z warunków określonych w art. 23 ust. 1 ustawy. Jednym, ale nie jedynym, z tych warunków jest zgoda osoby. Dane można wykorzystywać także, gdy jest to niezbędne dla zrealizowania uprawnienia, bądź spełnienia obowiązku wynikającego z przepisu prawa, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną, dla dobra publicznego, i też wtedy, gdy jest to konieczne do realizacji prawnie usprawiedliwionego celu administratora danych. Istotne jest przy tym, że wystarczające jest spełnienie jednego z powyższych warunków, by dane można było udostępnić. Jeśli zaś o udostępnienie danych występuje pojedyncza osoba -tę sytuację ustawa określa jako "udostępnienie danych w celu innym niż włączenie do zbioru" -zastosowanie znajduje art. 29 ustawy, zgodnie z którym zachodzi w takim przypadku konieczność złożenia pisemnego, umotywowanego wniosku. W uzasadnieniu osoba lub podmiot zwracający się o dane musi wskazać przepis prawa, który upoważnia ją do posiadania tych danych, lub wykazać potrzebę ich posiadania, przy czym udostępnienie danych nie może w takim przypadku naruszać praw i wolności osób, których one dotyczą. W sposób szczególny w ustawie potraktowane zostały dane ujawniające pochodzenie rasowe i etniczne, poglądy polityczne, przekonania religijne i filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualny, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Ich przetwarzanie jest zabronione chyba, że zachodzi jedna z sytuacji wymienionych w art. 27 ust. 2 ustawy. Gdy o dane występuje pojedyncza osoba - czyli w celu innym niż włączenie do zbioru - można je udostępnić jedynie wtedy, gdy podmiot zwracający się o nie jest do tego upoważniony przez przepisy prawa. Jeśli takich przepisów nie ma, nie jest możliwe udostępnienie danych szczególnie chronionych, chociażby osoba zwracająca się o nie jak najbardziej uwiarygodniała potrzebę ich posiadania. Od 1 maja 2004 r., czyli od wejścia Polski do Unii Europejskiej, przekazywanie danych pomiędzy Polską a krajami należącymi do Unii Europejskiej podlega takim zasadom jak na terytorium Polski, natomiast zasady przekazywania danych poza terytorium Europejskiego Obszaru Gospodarczego uregulowane są w rozdziale 7 ustawy o ochronie danych osobowych, zgodnie z którym przekazanie może nastąpić, gdy państwo trzecie gwarantuje na swoim terytorium ochronę danych osobowych przynajmniej taką, jaka obowiązuje na terytorium Rzeczypospolitej Polskiej, ale też w innych szczególnych sytuacjach wymienionych w ust. 2 i 3 art. 47 ustawy o ochronie danych osobowych. Jeśli żadna z tych szczególnych sytuacji nie ma miejsca, do państwa trzeciego dane można przekazać również po uzyskaniu zgody Generalnego Inspektora, ale wtedy administrator musi zapewnić zabezpieczenie ochrony prywatności, praw i wolności osób, których dane dotyczą.

Generalny Inspektor Ochrony Danych Osobowych

Dyrektywa 95/46/WE przewidziała powołanie Krajowych Organów Nadzorczych, których zadaniem byłoby monitorowanie jej przestrzegania.

Polska ustawa o ochronie danych osobowych wprowadziła instytucję Generalnego Inspektora Ochrony Danych Osobowych, jako właściwego w sprawach ochrony danych osobowych.

Nowelizacja ustawy

W dniu 1 maja 2004 r., z chwilą uzyskania przez Polskę członkostwa w Unii Europejskiej, weszły w życie przepisy ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285). Ustawa ta wprowadziła liczne zmiany w przepisach ustawy o ochronie danych osobowych. Jej uchwalenie miało na celu pełne wdrożenie do polskiego porządku prawnego postanowień Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Znowelizowane przepisy uwzględniły jednocześnie uwagi Komisji Europejskiej dotyczące poprawności wdrożenia do polskiego systemu prawnego, ustawą o ochronie danych osobowych, Dyrektywy 95/46/WE.

Celem nowelizacji była przede wszystkim konieczność dostosowania przepisów ustawy do wymogów stawianych przez Wspólnotę, związanych z akcesją do Unii Europejskiej.

Zmianie – dokonanej w wyniku wejścia w życie tych przepisów - uległy dotychczasowe regulacje odnośnie zakresu przedmiotowego ustawy o ochronie danych. Ochroną objęte zostały informacje przetwarzane w systemach informatycznych nawet wtedy, gdy znajdują się one poza zbiorem danych. Natomiast zmiana zakresu podmiotowego ustawy miała zasadnicze znaczenie z punktu widzenia zasady jednolitej ochrony danych osobowych w ramach wspólnego rynku europejskiego, którą statuuje art. 4 ust. 1 Dyrektywy. Zgodnie z tą zasadą: w sprawach z zakresu ochrony danych osobowych właściwe jest prawo kraju, w którym administrator przetwarza dane w związku z prowadzoną działalnością. Dokonana zmiana spowodowała, iż podmioty należące do Europejskiego Obszaru Gospodarczego są obowiązane stosować przepisy polskiej ustawy o ochronie danych osobowych jedynie wtedy, gdy podejmują na terytorium Rzeczypospolitej Polskiej działalność, której nadają ramy prawne, przewidziane w prawie polskim.

Stosowanie ustawy wyłączono wobec podmiotów, które mają siedzibę lub miejsce zamieszkania w państwie trzecim i przetwarzają dane przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej, ale tylko do przekazywania danych. Zawężono stosowanie ustawy do prasowej działalności dziennikarskiej oraz do działalności literackiej lub artystycznej, z wyjątkiem sytuacji, gdy wolność wyrażania poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której informacje te dotyczą.

Zmianie uległy definicje zawarte w ustawie. Przede wszystkim rozszerzeniu uległ zakres pojęcia "administratora danych";. Wprowadzono definicję "odbiorcy danych";, jednocześnie wyłączając z jego zakresu określone podmioty, co ma zasadnicze znaczenie w kontekście realizacji, przez osobę, której dane dotyczą, prawa kontroli przetwarzania danych. Wprowadzono również pojęcie "państwa trzeciego";, którym określono kraj nie należący do Europejskiego Obszaru Gospodarczego. Spowodowało to, w kontekście pozostałych przepisów ustawy, że transfer danych na terytorium Europejskiego Obszaru Gospodarczego, tj. krajów Unii Europejskiej oraz krajów nie będących jej członkami, ale należących do tego obszaru, np. Norwegii, Islandii, Lichtensteinu, potraktowano jak przekazywanie danych w obrębie państwa polskiego. Nowe przepisy wprowadziły obowiązek wyznaczenia przez administratora danych mającego siedzibę albo miejsce zamieszkania w państwie trzecim przedstawiciela na terytorium Rzeczypospolitej Polskiej. Swobodny przepływ danych w ramach Europejskiego Obszaru Gospodarczego jest koniecznym wymogiem członkostwa Polski w strukturach Unii.

Definitywnej zmianie poddano przepisy dotyczące transgranicznego przepływu danych. Zmiana przepisów w tym zakresie jest konsekwencją swobodnego przepływu danych do państw należących do Europejskiego Obszaru Gospodarczego. Zmianie uległ przepis normujący wyrażanie zgody przez Generalnego Inspektora na przekazanie danych do państwa trzeciego. W obecnym brzmieniu warunkiem koniecznym do uzyskania takiej zgody jest zapewnienie przez administratora odpowiedniego zabezpieczenia w zakresie ochrony prywatności, praw i wolności osoby, której dane dotyczą.

W wyniku nowelizacji, zmodyfikowano brzmienie przepisów ustanawiających przesłanki legalizujące przetwarzanie danych osobowych. Zmieniono również zasady wykonywania obowiązku informacyjnego. W miejsce udzielanej wcześniej informacji o prawie wglądu do danych, administratorzy zostali zobowiązani do informowania o prawie dostępu do danych osobowych. Uchylone zostały przepisy dotyczące zwolnienia z wykonywania obowiązku informacyjnego, w przypadku administratorów danych ogólnie dostępnych lub gromadzonych w celu jednorazowego wykorzystania, a także, gdy dane przetwarzane są na podstawie przepisów prawa.

Jeśli chodzi o prawa osób, których dane dotyczą rozszerzono ich uprawnienia poprzez przyznanie im prawa do uzyskania informacji o przesłankach podejmowania rozstrzygnięć automatycznych. Kompleksowej zmianie uległy również przepisy ustawy dotyczące zabezpieczenia danych. Również rozporządzenie wykonawcze do ustawy regulujące kwestie związane z zabezpieczeniem danych przetwarzanych w systemach informatycznych zostało uchylone, a w jego miejsce wprowadzono nowe przepisy. Wprowadzone zmiany pozostawiły administratorom znaczną swobodę w doborze środków służących zabezpieczeniu przetwarzanych danych. Zasadnicze zmiany wprowadzono też w rozdziale poświęconym rejestracji zbiorów danych. Rozszerzeniu uległ zakres informacji zawartych we wniosku zgłoszenia danych do rejestracji, poprzez wprowadzenie informacji o przedstawicielu administratora danych oraz podania opisu kategorii osób, których dane dotyczą. Wprowadzona została instytucja wstępnej kontroli przetwarzania danych poddanych szczególnej ochronie. Ich przetwarzanie, w myśl znowelizowanych przepisów, można rozpocząć dopiero po zarejestrowaniu zbioru, a nie tak jak uprzednio - po zgłoszeniu zbioru danych do rejestracji.

W wyniku wprowadzenia powyższych zmian przepisy ustawy o ochronie danych osobowych zostały w pełni dostosowane do prawa europejskiego.

Przyczyną znowelizowania w 2004 r. części przepisów ustawy o ochronie danych osobowych były trudności z ich praktycznym stosowaniem w dotychczasowym brzmieniu.

Do tej grupy zaliczyć należy przede wszystkim przepisy określające kompetencje kontrolne i decyzyjne Generalnego Inspektora. W wyniku zmian rozszerzono zakres uprawnień inspektorów GIODO, uprawniono GIODO do wydawania decyzji administracyjnych nakazujących przywrócenie stanu zgodnego z prawem nie tylko, jak to było poprzednio, wobec administratorów danych, ale również wobec innych podmiotów przetwarzających dane. Kontroli tego organu poddano podmioty, którym administratorzy danych powierzyli przetwarzanie danych. Generalnemu Inspektorowi przyznano natomiast dodatkowe kompetencje władcze uprawniające do wydawania decyzji o wykreśleniu zbioru danych z prowadzonego przez ten organ rejestru.

Zmodyfikowano też przepisy normujące kwestie związane z rejestracją zbiorów danych osobowych. Ograniczono zakres informacji dostępnych w jawnym rejestrze prowadzonym przez Generalnego Inspektora, zmieniono zakres podmiotów, którym wydawane jest zaświadczenie o zarejestrowaniu zbioru. Tylko w przypadku administratorów danych wykorzystujących dane objęte szczególną ochroną wydawane jest ono z urzędu, natychmiast po zarejestrowaniu zbioru. W przypadku administratorów innych danych, takie zaświadczenie wydawane jest na ich wniosek. Również sposób dokonywania aktualizacji danych zawartych w zgłoszeniu został zmieniony. Do aktualizacji zgłoszenia należy obecnie stosować ten sam tryb, który obowiązuje przy rejestracji zbioru.

Nowelizacja ustawy o ochronie danych osobowych wprowadziła też prawną możliwość powołania Zastępcy Generalnego Inspektora Ochrony Danych Osobowych.

W wyniku uchylenia, z dniem wejścia w życie przepisów ustawy o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagradzaniu osób zajmujących kierownicze stanowiska państwowe, przestały też obowiązywać akty prawne wykonawcze do ustawy.

W znowelizowanych przepisach zostały zawarte nowe delegacje dla Ministra Spraw Wewnętrznych i Administracji do wydania stosownych przepisów wykonawczych. W ich konsekwencji, wydane zostały trzy nowe rozporządzenia:

  • z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. Nr 94, poz. 923),
  • z dnia 29 kwietnia 2004 r. w sprawi dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024),
  • z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 100, poz. 1025).

TS v1109.