OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
ZAKRES OCHRONY DANYCH OSOBOWYCH
1. PRZETWARZANIE DANYCH OSOBOWYCH
USTAWA -art.7(2) przetwarzanie danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
WNIOSEK: każda operacja na danych oznacza ich przetworzenie
przetwarzaniem jest nawet przechowywanie danych wystarczy zatem sama potencjalna możliwość uczynienia czegoś z danymi
Wniosek: nie ważne jest jakie czynności podejmujemy w stosunku do danych, ale to czy znajdują się w naszym władztwie
Dwie CZYNNOŚCI "BRZEGOWE" to: zbieranie (gromadzenie) czynność początkowa - czyli wejście w posiadanie danych osobowych w dowolny sposób
usuwanie (niszczenie) czynność końcowa - czyli fizyczne zniszczenie lub taka ich modyfikacja, która uniemożliwia ustalenie tożsamości osoby której dotyczą
2. ZBIÓR DANYCH OSOBOWYCH
USTAWA art.7(1) zbiór danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie
„rozproszony lub podzielony funkcjonalnie” „rozproszony lub podzielony funkcjonalnie” ? jego elementy składowe znajdują się w różnych miejscach (np. w różnych segregatorach lub w różnych miejscach sieci)
KRYTERIUM DOSTĘPU ? – abyśmy mieli do czynienia ze zbiorem dane muszą być tak uporządkowane, by móc dotrzeć do poszukiwanej informacji bez konieczności przeglądania całego zbioru.
Musi istnieć cecha lub cechy umożliwiające wyszukiwanie konkretnych danych. Siłą rzeczy kryterium dostępu musi mieć charakter osobowy.
3. SYSTEM INFORMATYCZNY
System informatyczny - zgodnie z art. 7(2 System informatyczny - zgodnie z art.7(2.a) - to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
4. WYZNACZENIE ZAKRESU ZASTOSOWANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH
Punkt wyjścia: zakres zastosowania europejskiej dyrektywy: DYREKTYWA art.3.1. – jest stosowana do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych
JAK TO ROZUMIEĆ? dane osobowe będą podlegały ochronie przewidzianej w DYREKTYWIE w dwóch przypadkach:
- gdy są przetwarzane w sposób zautomatyzowany
- gdy stanowią część zbioru
Polska USTAWIA art.2.2 - Ustawę stosuje się do przetwarzania danych osobowych: 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.
UWAGA: Definicja powyższa werbalnie odbiega nieco od tych z aktów europejskich, ale powinna być interpretowana "proeuropejsko". DANE OSOBOWE BĘDĄ PODLEGAĆ OCHRONIE:
- gdy są przetwarzane w zbiorze danych (katalog z art. 2 - gdy są przetwarzane w zbiorze danych (katalog z art.2.2 trzeba traktować jako przykładowe wyliczenie takich zbiorów)
- gdy są przetwarzane w "systemach informatycznych" (to ostatnie określenie należy interpretować jako funkcjonalny odpowiednik używanego w dyrektywie pojęcia "przetwarzanie zautomatyzowane").
Zatem dane osobowe nie będą podlegać ustawowej ochronie jedynie w przypadku, gdy NIE BĘDĄC ELEMENTEM ZBIORU DANYCH, BĘDĄ PRZETWARZANE POZA SYSTEMEM INFORMATYCZNYM (W SPOSÓB NIEZAUTOMATYZOWANY)
chodzi przykładowo o dane osobowe zawarte w książkach i czasopismach, rozpowszechniane w radiu i telewizji, podawane w wystąpieniach czy na wykładach
Ale przetwarzanie danych w Internecie będzie podlegało ustawie INTERNET TO SYSTEM INFORMATYCZNY!
Uwaga: pierwszą czynnością przetwarzania jest zbieranie danych, a zatem ustawę zastosujemy także do zbierania danych, jeśli jest to czynione by włączyć je do zbioru danych lub wprowadzić do systemu informatycznego
5. WYJĄTKI
Ustawy nie stosuje się do: 1) Ustawy nie stosuje się do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.
3) prasowej działalności dziennikarskiej w rozumieniu ustawy Prawo prasowe oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą (z wyjątkiem przepisów o kontroli i zabezpieczeniu zbiorów danych)
4. do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, (z wyjątkiem przepisów o zabezpieczeniu zbiorów danych)
koniec