Czym są dane osobowe.doc

Czym są dane osobowe?

Zgodnie z art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 ustawy). Stosownie do ust. 3 powołanego przepisu, informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań. Danymi osobowymi będą zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. Daną osobową będzie taka informacja, która pozwala na ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Poza zakresem przedmiotowej definicji znajdzie się zatem taka informacja, na podstawie której identyfikacja osoby wymagać będzie nieracjonalnych, nieproporcjonalnie dużych nakładów kosztów, czasu lub działań.

W świetle powyższej definicji należy przyjąć, że danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby. Przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast numer PESEL, który zgodnie z art. 31a ust. 1 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (t. j. Dz. U. z 2001 r. Nr 87, poz. 960 ze zm.) jest 11-cyfrowym, stałym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery - liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego. Można więc stwierdzić, że numer PESEL ex definitione stanowi daną osobową, a jej przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych.

Ustawodawca formułując art. 6 ustawy o ochronie danych osobowych posłużył się klauzulą generalną. Tym samym nie określił zamkniętego katalogu informacji stanowiących dane osobowe. Dlatego też przy rozstrzyganiu czy określona informacja lub informacje stanowią dane osobowe, w większości przypadków, nieuniknione jest dokonanie zindywidualizowanej oceny, przy uwzględnieniu konkretnych okoliczności oraz rodzaju środków czy metod potrzebnych w określonej sytuacji do identyfikacji osoby.

Na czym polega obowiązek informacyjny spoczywający na administratorze danych?

Obowiązek informacyjny jest jednym z podstawowych obowiązków, jakie ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) nakłada na administratorów danych.

Na gruncie powołanej ustawy rozróżnić należy dwie grupy przepisów regulujących ten obowiązek w zależności od tego, z jakiego źródła dane są pozyskiwane. Jedna grupa odnosi się do bezpośredniego zbierania danych od osoby, której one dotyczą (art. 24 ustawy), druga zaś dotyczy sytuacji, gdy dane zbierane są z innych źródeł - pośrednich (art. 25 ustawy).

Zgodnie z art. 24 ust. 1 ustawy o ochronie danych osobowych, w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
prawie dostępu do treści swoich danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Z literalnego brzmienia cytowanego przepisu wynika, że obowiązek informacyjny, o którym przepis ten stanowi, winien być wykonany w momencie zbierania danych (np. w chwili podpisywania umowy lub wypełniania ankiety).

Obowiązek ten, stosownie do brzmienia ust. 2 cytowanego wyżej przepisu, jest wyłączony, gdy:

przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, osoba, której dane dotyczą, posiada już informacje, o których mowa w ust. 1.

Na mocy art. 25 ustawy, w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, źródle danych, prawie dostępu do treści swoich danych oraz ich poprawiania, o prawie wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację oraz wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi; uprawnienia te przysługują wyłącznie w sytuacji, gdy administrator przetwarza dane na podstawie art. 23 ust. 1 pkt 4 i 5 ustawy, a więc, gdy przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego oraz, gdy jest niezbędne do wypełnienia usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której one dotyczą.

W przypadku zbierania danych nie od osoby, której one dotyczą, administrator jest obowiązany udzielić powyższych informacji bezpośrednio po utrwaleniu zebranych danych, a więc po zapisaniu danych w sposób umożliwiający ich dalsze przetwarzanie.

Przesłanki zwolnienia z przedmiotowego obowiązku enumeratywnie wymienione zostały w art. 25 ust. 2 ustawy. Obowiązek, o którym mowa w art. 24 i 25 ustawy, odnosi się do zbierania danych od dnia jej wejścia w życie, tj. od dnia 30 kwietnia 1998 r. Winien on być realizowany na etapie zbierania (gromadzenia) danych. Oznacza to, iż obowiązek informacyjny nie musi być realizowany wobec osób, których dane zostały zebrane przed dniem wejścia w życie ustawy, a po tym dniu są wyłącznie przechowywane. Natomiast w sytuacji, gdy administrator danych zebrał je przed dniem wejścia w życie ustawy, a po tej dacie dane te uzupełniał, uaktualniał, poszerzał ich zakres, wówczas obowiązany jest dopełnić ciążącego na nim obowiązku informacyjnego.

Czy informacje o podmiotach prowadzących działalność gospodarczą podlegają ochronie wynikającej z przepisów ustawy o ochronie danych osobowych?

Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Zakresem przedmiotowym ustawy o ochronie danych osobowych objęte są więc wyłącznie dane dotyczące osób fizycznych. Jej przepisów nie stosuje się natomiast do przetwarzania informacji o innych podmiotach, w szczególności o osobach prawnych, jednostkach organizacyjnych nieposiadających osobowości prawnej oraz podmiotach prowadzących działalność gospodarczą w oparciu o przepisy ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (DZ. U. Nr 173, poz. 1807) w takim zakresie, w jakim dane te identyfikują podmiot w obrocie gospodarczym i ściśle wiążą się z prowadzoną przez niego działalnością gospodarczą.

Powyższe stanowisko prezentowane przez Generalnego Inspektora Ochrony Danych Osobowych podzielił również Naczelny Sąd Administracyjny, który w uzasadnieniu wyroku z dnia 28 listopada 2002 r. (sygn. akt II SA 3389/01) stwierdził, że ochrona danych osobowych „nie odnosi się do danych indywidualnych dających się powiązać z podmiotem gospodarczym albo inną osobą prawną lub jednostką organizacyjną niemającą osobowości prawnej, mimo, że dane te tworzą wspólnie z danymi osobowymi jedną kategorię danych jednostkowych.”

Kluczowe jednak znaczenie dla rozwiązania przedstawionego problemu miała nowelizacja ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178, ze zm.), na mocy której dodano art. 7a, wyłączający spod ochrony wynikającej z ustawy o ochronie danych osobowych, dane zawarte w ewidencji działalności gospodarczej. Przepis ten wyraźnie rozstrzygnął kwestię budzącą wcześniejsze wątpliwości.

W dniu 21 sierpnia 2004 r. weszły w życie przepisy ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. Nr 173, poz. 1807), które nie zawierają uregulowania analogicznego do art. 7 a ust. 2 ustawy Prawo działalności gospodarczej.

Należy podkreślić jednak, że zgodnie z art. 66 pkt 2 ustawy z dnia 2 lipca 2004 r. Przepisy wprowadzające ustawę o swobodzie działalności gospodarczej (Dz. U. Nr 173, poz. 1808), art. 7 a ust. 2 ustawy Prawo działalności gospodarczej zachował moc obowiązującą do dnia 31 grudnia 2006 r. A więc, pomimo, że w samej treści nowej ustawy o swobodzie działalności gospodarczej nie ma mowy o wyłączeniu danych zawartych w ewidencji działalności gospodarczej z reżimu ochrony ustanowionego w ustawie o ochronie danych osobowych, przepis ustawy Prawo działalności gospodarczej, regulujący to zagadnienie, pozostając nadal w mocy, stanowi integralną część prawa o swobodzie działalności gospodarczej. Trzeba także podkreślić, że w myśl art. 24 ust. 1 i 2 ustawy o swobodzie działalności gospodarczej, ewidencja działalności gospodarczej jest jawna i każdy ma prawo dostępu zarówno do zgromadzonych w niej danych, jak też do przeglądania akt ewidencyjnych przedsiębiorcy.

Czy podmiot, któremu na podstawie art. 31 ustawy powierzono przetwarzanie danych staje się ich administratorem?

Podmiot przetwarzający dane na podstawie umowy powierzenia zawartej z administratorem danych, w rozumieniu przepisów ustawy o ochronie danych osobowych, nie staje się ich administratorem.

Instytucja powierzenia przetwarzania danych określona w art. 31 ustawy ma bardzo istotne znaczenie praktyczne. Zezwala ona administratorowi danych na skorzystanie w określonym zakresie z wiedzy posiadanej przez specjalistyczne podmioty.

Do powierzenia danych przez ich administratora nie jest wymagana zgoda osoby, której dane dotyczą. Ustawa wymaga natomiast, aby umowa łącząca zleceniodawcę i zleceniobiorcę zawarta była na piśmie oraz wyraźnie określała zakres i cel przetwarzania danych.

Z faktem, że podmiot, któremu powierzono dane nie staje się ich administratorem związane są określone skutki. Nie spoczywają na nim obowiązki, którymi ustawodawca obciążył administratora danych, m.in. obowiązek rejestracji. Podmiot będący odbiorcą danych jest jednak zobowiązany do podjęcia środków, o których mowa w art. 36 – 39 ustawy zabezpieczających przetwarzane dane oraz spełnienia wymagań określonych w aktach wykonawczych do ustawy o ochronie danych osobowych. Zastosowanie tych środków musi nastąpić przed przystąpieniem do przetwarzania danych, tj. np. przed ich uzyskaniem. W zakresie przestrzegania wymienionych przepisów podmiot ponosi odpowiedzialność jak administrator danych. Ponadto podmiot, któremu przetwarzanie danych powierzono ponosi odpowiedzialność za naruszenie ustawy w zakresie działań niezgodnych z umową zawartą z administratorem danych.

Kolejny obowiązek ciążący na podmiocie, któremu przetwarzanie danych powierzono, dotyczy tych zleceniobiorców, których siedziba znajduje się w państwie trzecim. Taki podmiot jest zobowiązany do wyznaczenia swojego przedstawiciela w Rzeczypospolitej Polskiej (art. 31 a ustawy). Generalny Inspektor Ochrony Danych Osobowych jest uprawniony do kontroli zgodności przetwarzania danych przez podmiot, któremu przetwarzanie danych powierzono. Kontrola ta prowadzona jest na zasadach określonych w art. 14 – 19 ustawy o ochronie danych osobowych (art. 31 ust. 5 ustawy).

Czy pracodawca ma prawo publikować na swoich stronach internetowych takie dane osobowe pracowników jak ich imiona i nazwiska, stanowiska, dokładne miejsce pracy (nr pokoju, telefon, adres e-mail) bez zgody tych osób?

Takie informacje o pracowniku, jak jego imię i nazwisko, służbowy adres e-mail, czy też służbowy numer telefonu są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Z uwagi na to dane te mogą być wykorzystywane przez pracodawcę – także bez zgody osoby, której one dotyczą.

Pogląd ten podzielił w swoim orzecznictwie również Sąd Najwyższy (wyrok z dnia 19 listopada 2003 r. o sygn. I PK 590/02) stwierdzając, że „najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi – z kontrahentami, klientami (...). Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika.(...) Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne”.

Nie ma więc przeszkód w umieszczeniu na stronach internetowych pracodawcy informacji o pracownikach, jeśli dane te nie dotyczą prywatnej sfery jego życia.

Czy założyciel portalu internetowego musi zgłosić do rejestracji Generalnemu Inspektorowi bazę danych zawierającą informacje o osobach reprezentujących firmę (nazwiska osób 'kontaktowych'), która zarejestrowała się w portalu? Czy dopuszczalne jest rozsyłanie drogą elektroniczną do innych firm, które mogłyby być zainteresowane korzystaniem z tego portalu, informacji o jego utworzeniu?

Zgodnie z art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), administrator danych obowiązany jest zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 tej ustawy.

Podstawą zwolnienia administratora danych z obowiązku rejestracji zbioru danych osób "kontaktowych" jest art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych. Przesłanka ta ma zastosowanie wobec zbiorów danych "przetwarzanych w zakresie drobnych bieżących spraw życia codziennego".

Zbiór danych osób kontaktowych służy usprawnieniu, przyspieszeniu działalności administratora. Zbiór ten ma zatem charakter pomocniczy, a co za tym idzie dane w nim zawarte traktować należy jako przetwarzane w zakresie drobnych, bieżących spraw życia codziennego.

Zwolnienie administratora danych z obowiązku zgłoszenia zbioru danych do rejestracji nie zwalnia go z szeregu innych obowiązków wynikających z przepisów o ochronie danych osobowych. Administrator danych zobowiązany jest m.in. spełnić jedną z przesłanek legalizujących przetwarzanie danych wskazanych w art. 23 ust. 1 tej ustawy oraz dopełnić obowiązku informacyjnego.

Odnośnie możliwości rozsyłania, drogą elektroniczną, informacji o założeniu portalu do innych firm, czyli informacji o charakterze handlowym, kwestię tę regulują przepisy ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204, ze zm.), a nie ustawa o ochronie danych osobowych.

Art. 10 ust. 1 tej ustawy zakazuje przesyłania niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Zgodnie z ust. 2 tego przepisu, informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji. Zgoda na przesyłanie informacji handlowej nie może być domniemana z oświadczenia woli o innej treści i może być w każdym czasie odwołana (art. 4 ustawy o świadczeniu usług drogą elektroniczną). W myśl art. 24 tej ustawy przesyłanie niezamówionej informacji handlowej podlega karze grzywny, a ściganie tego wykroczenia następuje na wniosek pokrzywdzonego. Działanie takie stanowi również czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. Nr 47, poz. 211 ze zm.).

Czy, ze względu na fakt, że w zbiorze danych pracowników znajdują się, poza danymi osobowymi pracowników, również informacje dotyczące członków ich rodzin (małżonków i dzieci), pracodawca ma obowiązek zgłoszenia do rejestracji GIODO zbioru danych osób u niego zatrudnionych?

Zgodnie z art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), administrator danych obowiązany jest zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Zgłoszenie zbioru danych do rejestracji stanowi zatem regułę. Z obowiązku rejestracji zwolnieni są jednak niektórzy administratorzy danych wymienionych w art. 43 ust. 1 powołanej ustawy.

Na mocy art. 43 ust. 1 pkt 4 ustawy z obowiązku zgłoszenia zbioru danych do rejestracji zwolnieni zostali m. in. administratorzy danych przetwarzanych w związku z zatrudnieniem u nich.

Dane osobowe członków rodzin pracownika należą w istocie do danych pracownika. Ich przetwarzanie związane jest z zatrudnieniem pracownika i wynika z konieczności wywiązywania się przez pracodawców z obowiązków, jakie względem pracowników ciążą na nich na mocy przepisu prawa pracy (np. urlopy na opiekę nad dzieckiem, świadczenia finansowe z zakładowego funduszu świadczeń socjalnych). Przetwarzanie danych członków rodzin pracowników nie jest zatem celem samym w sobie, lecz dane te są ściśle związane z danymi pracownika.

Pracodawcy zwolnieni są więc z obowiązku rejestrowania zbioru danych zawierającego dane osobowe członków rodzin osób u nich zatrudnionych. Należy wspomnieć, że zwolnienie z obowiązku zgłoszenia zbioru danych do rejestracji nie oznacza automatycznie zwolnienia ich administratora z konieczności przestrzegania przepisów o ochronie danych osobowych i dopełnienia innych, określonych w nich obowiązków.