Ochrona danych osobowych w systemie prawa polskiego (1)
Ochrona danych osobowych w systemie prawa polskiego Konstytucja Ustawa o ochronie danych osobowych
Konstytucja Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (art. 51 ust.1), Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (art. 51 ust.2), . Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych; ograniczenie tego prawa może określić ustawa (art. 51 ust. 3), Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą (art. 51 ust. 4).
Ograniczenie praw obywatelskich może nastąpić w drodze ustawy. Konstytucja Polski system prawny przyjmuje zasadę czyli uznaje prawo obywateli do samodzielnego decydowania o ujawnianiu dotyczących go informacji. Zasada ta odnosi się do wszelkich tego rodzaju informacji i nie została zawężona do informacji szczególnego charakteru albo dotyczących szczególnych kwestii. Przyjęta w Konstytucji zasada jest wyrazem prawa do nieujawniania informacji na swój temat. Ograniczenie praw obywatelskich może nastąpić w drodze ustawy.
Prawo do ochrony może być ograniczone jedynie przez sąd. Konstytucja Prawo decydowania o ujawnianiu własnych danych osobowych przysługuje „każdemu" bez względu na wiek, stan psychiczny oraz zdolności do czynności prawnych. Prawo do ochrony może być ograniczone jedynie przez sąd. Prawu do „samostanowienia” o ujawnianiu informacji na swój temat towarzyszy prawo do sprawowania swoistej kontroli nad takimi informacjami.
Konstytucja Urzeczywistnieniem prawa kontroli jest gwarantowana w art. 51 ust. 4 Konstytucji możność weryfikowania (prostowania) albo usuwania danych osobowych. Możność weryfikowania (prostowania) albo usuwania danych osobowych dotyczy to informacji nieprawdziwych lub niepełnych. Usunięcia informacji można domagać się także wówczas (niezależnie od tego, czy są one prawdziwe oraz pełne), jeśli zostały one zebrane w sposób sprzeczny z ustawą. Konstytucja nie stanowi wprost o prawie do sprostowania czy usunięcia, ale o „prawie do żądania" sprostowania i usunięcia.
Konstytucja Główną zasadę przetwarzania danych osobowych w pełnym tego słowa znaczeniu zawarto w art. 51 ust. 2 Konstytucji, w którym postanowiono, że „Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.” Uzupełnieniem tej regulacji jest zawarty w art. 51 ust. 5 zapis, iż „Zasady i tryb gromadzenia i udostępniania informacji określa ustawa". Można uznać, że jest nią ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Ustawa o ochronie danych osobowych W toku prac nad ustawą z 1997 r. brano pod uwagę i kierowano się w znacznej mierze rozwiązaniami, jakie przyjęła dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Jako nowsza i bardziej szczegółowa miała większy i bardziej bezpośredni wpływ na kształt ustawy niż Konwencja Rady Europy z 1981 r. o ochronie jednostek w związku z automatycznym przetwarzaniem danych osobowych.
Ustawa o ochronie danych osobowych Omawianej ustawie starano się nadać kompleksowy charakter, i to w kilku obszarach: ochrona interesów indywidualnych tych, których dotyczą przetwarzane dane, kwestia wolności informacji, kwestia udostępniania danych osobowych, interes osób trzecich (instytucji, obywateli) związany z dostępem i wykorzystywaniem informacji.
Ustawa o ochronie danych osobowych Ważną rolę w zakresie ochrony danych i interesów stron zabezpieczających dane swoje i dane przetwarzane przyznano w ustawie administratorom danych. Nałożono na nich: rozległe obowiązki informacyjne w stosunku do tych, których dotyczą zbierane i przetwarzane dane osobowe (art. 24-25, art. 32-33, art. 54 u.o.d.o.), obowiązek dbania o legalność i rzetelność przetwarzania danych osobowych (art. 26, art. 49-50 u.o.d.o.), obowiązek dbania o zachowanie danych osobowych w poufności (art. 37-39, art. 51 u.o.d.o.), obowiązek zabezpieczenia zbiorów danych osobowych (art. 36 i n., art. 52 u.o.d.o.), obowiązek rejestracji zbioru (art. 40 i n., art. 53 u.o.d.o.).
Ustawa o ochronie danych osobowych Kompleksowy charakter ustawy polega też na tym, iż zakresem swego działania obejmuje: wszelkie postacie przetwarzania danych, zarówno „tradycyjne°, manualne, jak i zautomatyzowane, czemu towarzyszy bardzo szerokie ujęcie pojęć „przetwarzanie" i „dane osobowe”, przetwarzanie danych zarówno w sektorze publicznym, jak i prywatnym.
Ustawa o ochronie danych osobowych Ustawa przyjęła model rejestracyjny jeśli chodzi o prowadzenie przetwarzania danych osobowych. Nie jest ono zależne od uzyskania uprzedniego zezwolenia ze strony władzy, a jedynie na administratora danych nałożony został obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Przy czym wiele zbiorów zostało zwolnionych z rejestracji. Ostatnia nowelizacja ustawy wprowadziła jednak istotne zmiany w zakresie możności rozpoczęcia przetwarzania danych sensytywnych; przetwarzanie takich danych jest dopuszczalne dopiero po zarejestrowaniu zbioru, a nie — jak to było przed nowelizacją — z chwilą zgłoszenia zbioru do rejestracji.
Ustawa o ochronie danych osobowych Ustawa nie przewiduje przy tym expressis verbis instytucji rzecznika ochrony danych w przedsiębiorstwach, tak jak o tym stanowi na przykład ustawa niemiecka. Jednak na mocy nowelizacji ustawy o ochronie danych osobowych dokonanej 22 stycznia 2004 r. wprowadzono przepis nakładający na administratora danych obowiązek wyznaczenia administratora bezpieczeństwa informacji, którego zadaniem jest nadzorowanie przestrzegania zasad ochrony danych.
Ustawa o ochronie danych osobowych Ustawa opiera się zasadniczo na regule ujednoliconego standardu w zakresie przetwarzania i ochrony danych osobowych. Pozą przejęciem powszechnie stosowanego rozróżnienia na „dane zwykłe" i „dane wrażliwe (sensytywne)" oraz wprowadzeniem dla tej ostatniej kategorii szczególnych ograniczeń, gdy chodzi o dopuszczalność przetwarzania, pozostałe dane, niezależnie od ich treści i charakteru, traktowane są jeśli nie identycznie, to w sposób bardzo zbliżony. Ustawodawca nie wprowadza też radykalnego zróżnicowania w uregulowaniu ze względu na to, czy przetwarzanie danych jest realizowane w sektorze publicznym czy prywatnym; Różnice w zakresie zbierania, udostępniania czy przechowywania rozmaitych kategorii danych występują na gruncie przepisów szczegółowych, znajdujących się poza ustawą o ochronie danych osobowych
Ustawa o ochronie danych osobowych Do kategorii „danych wrażliwych", o których mowa była w pierwotnym brzmieniu art. 27 u.o.d.o. (danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym), włączone zostały, w wyniku nowelizacji dokonanej w 2001 r., dane dotyczące: skazań, orzeczeń o ukaraniu, mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Ustawa o ochronie danych osobowych Ustawa wprowadza szczególne przywileje w odniesieniu do przetwarzania danych osobowych w celach naukowych. Stosownie do znowelizowanego przepisu art. 27 ust. 2 pkt 9 dozwolone jest przetwarzanie danych wrażliwych, gdy jest to niezbędne do prowadzenia badań naukowych, z tym jednak zastrzeżeniem, aby w przypadku publikacji wyników badań naukowych nie była możliwa identyfikacja osób, których dane zostały przetworzone. Administrator zwolniony jest z obowiązku przekazywania „z urzędu” określonych informacji osobom, których dotyczą dane, wówczas gdy dane nie są bezpośrednio od tych osób zbierane (art. 25), Administrator zwolniony jest z obowiązku udzielania na życzenie wspomnianych osób informacji o przetwarzaniu ich danych, gdyby pociągało to za sobą nakłady niewspółmierne z zamierzonym celem, a zachowane zostałyby równocześnie warunki powodujące, iż przetwarzanie nie naruszałoby praw lub wolności osób, których dane dotyczą (art. 32 ust. 4 u.o.d.o).
Ustawa o ochronie danych osobowych W celach badań naukowych mogą być przetwarzane dane osobowe zebrane w innym celu (nienaukowym), pod warunkiem że przetwarzanie to nie będzie naruszać praw i wolności osoby, której dane dotyczą, oraz że zostaną zachowane przepisy art. 23 i 25 ustawy (art. 26 ust. 3 u.o.d.o.). zbiory danych osobowych przetwarzanych dla celów naukowych nie są zwolnione z wymogu rejestracji
Ustawa o ochronie danych osobowych Inaczej traktowane są dane osobowe niezbędne do badania opinii publicznej. Administrator przetwarzający takie dane korzysta w świetle ustawy z jednego tylko przywileju (wyrażonego w art. 25 ust. 2 pkt 3 u.o.d.o.), a mianowicie w przypadku zbierania danych osobowych nie od osób, których one dotyczą, administrator danych nie musi przekazywać tym osobom (bezpośrednio po utrwaleniu zebranych danych) takich informacji: które by go identyfikowały, które podawałyby cel i zakres zbierania danych, odbiorców lub kategorie odbiorców danych, które wskazywałyby na źródło danych, które wskazywałyby na prawo wglądu do swoich danych oraz ich poprawiania, a także na uprawnienia wynikające z art. 32 ust.1 pkt 7 i 8 u.o.d.o.