Przejdź do menu Przejdź do treści

Zasady udostępniania informacji i przetwarzania danych osobowych

W świetle art. 4 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Ochrona osób fizycznych w zakresie przetwarzania danych osobowych jest niczym innym jak usankcjonowaną prawnie ochroną prawa do prywatności osób fizycznych i jednym z praw podstawowych wyrażonym w art. 8 ust. 1 Karty praw podstawowych UE oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej.

Jak podkreśla T. Banyś, w celu właściwej ochrony danych osobowych osób fizycznych, przepisy prawa powinny realizować pięć podstawowych funkcji. Pierwsza z nich, ochronna, ma na celu ochronę słusznych interesów osób fizycznych w związku z przetwarzaniem danych osobowych. Funkcja kontrolna przejawia się w monitorowaniu oraz weryfikacji przez powołane do tego celu organy administracji rządowej zakresu przetwarzania danych osobowych (m.in. sposobu, zakresu i podmiotów przetwarzających dane osobowe) oraz reagowania na ewentualne naruszenia w tym względzie. Funkcja regulująca to ustanawianie odpowiednich praw i minimalnych standardów przetwarzania danych mających na celu zapewnienie im odpowiedniej ochrony prawnej. Następne dwie funkcje są ściśle powiązane ze sobą i są to funkcje edukacyjna i prewencyjna. Celem pierwszej z nich jest popularyzacja idei ochrony danych osobowych oraz zakresu i sposobu ich właściwego przetwarzania. Natomiast druga ma na celu kształtowanie pozytywnych zachowań wobec przestrzegania przepisów prawa.

Poszanowanie prawa do prywatności, w tym do ochrony danych osobowych, ma swoje odzwierciedlenie zarówno w przepisach prawa międzynarodowego, jak i krajowego. Rezolucja 45/95 Zgromadzenia Ogólnego ONZ zawiera zalecenia w zakresie skomputeryzowanych plików danych osobowych. W pierwszej części rezolucji opisano zasady, jakie powinny być zawarte w prawie krajowym w celu ochrony danych osobowych. Są to:

  • zasada zgodnego z prawem i sprawiedliwego przetwarzania danych;
  • zasada dokładności/precyzyjności gromadzenia;
  • zasada celowości i czasu przetwarzania (cel powinien być jasno określony i prawnie uzasadniony, a okres przetwarzania danych powinien pozostawać w ścisłej relacji do celu przetwarzania);
  • zasada dostępu osoby zainteresowanej do danych jej dotyczących;
  • zasada niedyskryminacji (dotyczy gromadzenia danych wrażliwych, które mogłyby być powodem dyskryminowania);
  • zasada bezpieczeństwa (wymaga stosowania odpowiednich środków ochrony danych przed zagrożeniami naturalnymi i niezgodnym z prawem dostępem do danych);
  • zasada bezpieczeństwa.

W rezolucji zalecono, by prawo krajowe było zgodne z tymi zasadami oraz przewidywało kary za ich naruszenie. Właściwe przestrzeganie zasad powinien zagwarantować niezależny krajowy organ nadzorczy. Druga części rezolucji obejmuje zasady przechowywania danych przez rządowe organizacje międzynarodowe.

Regulacje odnoszące się do ochrony przetwarzania danych osobowych zawierają Traktat o Unii Europejskiej, Traktat o funkcjonowaniu Unii Europejskiej, Karta praw podstawowych Unii Europejskiej, Konwencja nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych wraz z protokołem dodatkowym oraz Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO.

Traktat o Unii Europejskiej w art. 16 stanowi, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. W Traktacie o funkcjonowaniu Unii Europejskiej stwierdzono, że

Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów.

Również w Karcie praw podstawowych Unii Europejskiej, w art. 8 stwierdzono, że każdy ma prawo do ochrony danych osobowych, które go dotyczą, oraz że dane te muszą być przetwarzane rzetelnie, w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej prawnie podstawie. Każdy ma prawo dostępu do swoich danych i ich ewentualnego sprostowania. Przestrzeganie tych zasad podlega kontroli niezależnego organu.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie w sprawie ochrony danych) weszło w życie 25 maja 2018 r. Przepisy obowiązują w stosunku do każdego podmiotu przetwarzającego dane osobowe, a ich wprowadzenie ma na celu ujednolicenie przepisów prawa w zakresie przetwarzania i przepływu danych osobowych we wszystkich krajach UE. Rozporządzenie o Ochronie Danych Osobowych (RODO) poza zmianami organizacyjnymi, m.in. takimi jak obowiązek powołania w określonych przypadkach Inspektora Danych Osobowych przez podmioty przetwarzające te dane, wprowadza wiele innych zasad mających na celu podwyższenie poziomu ochrony danych osobowych, w tym transparentność procedur ich przetwarzania, zasad przekazywania do krajów trzecich, dostępność oraz możliwość aktualizacji, możliwość przenoszenia danych osobowych oraz jedno z najważniejszych, tj. prawo do bycia zapomnianym. Ponadto zostały w nim określone zasady i zakres przetwarzania danych osobowych, w tym szczególnych kategorii danych osobowych. Wprowadzono wiele obowiązków, jakim musi podołać podmiot przetwarzający dane osobowe osób, których te dane dotyczą, oraz organów kontroli i nadzoru. Zdefiniowano także podstawowe terminy oraz pojęcia z zakresu ochrony danych osobowych osób fizycznych.

Zasady prawa ochrony danych wynikające bezpośrednio z zapisów art. 5 są ze sobą wzajemnie powiązane i żadna z nich w procesie przetwarzania nie może zostać pominięta. Zasada legalności ma charakter nadrzędny wobec innych zasad. Precyzuje, że każde przetwarzanie musi być realizowane zgodnie z prawem. Zasada rzetelności oznacza obowiązek rzetelnego przetwarzania danych osobowych z uwzględnieniem interesów osób, których te dane dotyczą. Motyw 60 RODO jednoznacznie określa, iż

zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych.

Zasada przejrzystości polega na tym, by osoba, której dane są przetwarzane, była o tym poinformowana, a wszelkie informacje związane z tym procesem były łatwo dostępne i przedłożone językiem zrozumiałym dla odbiorcy. Zasada minimalizacji danych osobowych to zasada, według której należy przetwarzać tylko taką ilość danych, jaka jest niezbędna do realizacji określonych celów. Zasada prawidłowości określa, że tylko prawidłowe i aktualne dane osobowe powinny być przetwarzane, a wszystkie inne niezwłocznie usunięte. Zasada integralności wynika z zapisów art. 5 ust. 1 lit. f rozporządzenia 2016/679 i poufności, i – podobnie jak wyżej wymieniona – ma charakter dyrektywny. Nakłada na podmiot przetwarzający dane osobowe obowiązek zapewnienia takich środków technicznych i organizacyjnych, by w pełni zapewnić ochronę przetwarzanych danych przed utratą, zniszczeniem bądź uszkodzeniem. Poufność oznacza zachowanie tajemnicy i ograniczenie dostępu do przetwarzanych danych osobowych osobom i instytucjom nieuprawnionym. Zachowanie poufności obliguje również osoby przetwarzające dane do zachowania tajemnicy w zakresie wykonywanych zadań. Zasada ograniczenia celu przetwarzania danych narzuca obowiązek takiego przetwarzania danych, jakie jest zgodne z pierwotnym celem, jasno i wyraźnie określonym i przedstawionym osobie, której te dane dotyczą. Każda zmiana celu przetwarzania musi być poprzedzona poinformowaniem właściciela danych osobowych o takiej operacji przez administratora danych, z wyjątkami określonymi w rozporządzeniu. Zasada ograniczenia przechowywania nakłada obowiązek na administratora określenia ram czasowych przetwarzania i przechowywania danych osobowych. Czas ten powinien być skorelowany z celem ich przetwarzania. Dodatkowym czynnikiem mającym wpływ na czas przechowywania mogą być przepisy prawa dotyczące np. stosunku pracy lub archiwizacji dokumentów. Zasada rozliczalności określa odpowiedzialność administratora przetwarzanych danych osobowych w zakresie możliwości wykazania, że podjął wszelkie możliwe i zadeklarowane środki organizacyjne i fizyczne w celu zapewnienia ich ochrony w ciągu całego procesu ich przetwarzania. Nowe podejście do ochrony danych osobowych obejmuje również zasadę uwzględniania ochrony danych w fazie projektowania oraz zasadę domyślnej ochrony danych. Pierwsza oznacza, że ochrona prywatności musi być wbudowana w każdy nowy projekt jako część składowa. Druga stanowi o konieczności zagwarantowania jak najdalej posuniętych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu czy platformy internetowej.

Prawo do ochrony danych osobowych uznawane jest za prawo autonomiczne i powinno być zagwarantowane w przepisach prawa międzynarodowego i krajowego. W polskim prawodawstwie prawa te są zagwarantowane już na poziomie ustawy zasadniczej. Zgodnie z art. 51 i 47 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., każdy ma zapewnioną autonomię informacyjną i każdy ma prawo do ochrony prawnej życia prywatnego. Ustawą dotyczącą ochrony danych osobowych jest Ustawa z dnia 10 maja 2018 r., która jest uzupełnieniem prawodawstwa europejskiego w obszarze objętym autonomią proceduralną państwa. Zawiera ona przepisy dotyczące organów i procedur kontroli przetwarzania danych osobowych, prowadzenia postępowań w przypadku naruszeń oraz nakładania kar w sytuacji ich wystąpienia. Ponadto przepisy obszaru ochrony danych osobowych zostały zawarte ustawach i rozporządzeniach szczegółowych, m.in. w Kodeksie pracy, Prawie telekomunikacyjnym, Ustawie o sądach powszechnych oraz w 160 innych ustawach i rozporządzeniach, które swoim obszarem obejmują również przetwarzanie danych osobowych.

Klaudia Cenda-Miedzińska

T.A.J. Banyś, Funkcje prawa ochrony danych osobowych, [w:] T.A.J. Banyś, E. Bielak-Jomaa, M. Kuba, J. Łuczak, Prawo ochrony danych osobowych, Difin, Warszawa 2016; Generalny Inspektor Ochrony Danych Osobowych, Gotowi na RODO – Broszura RODO wersja 18.35; Praktyczny Przewodnik po Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (RODO). Jak dostosować funkcjonujący w firmie model bezpieczeństwa i ochrony danych osobowych do wymogów nowych przepisów?, https://www2.deloitte.com/content/dam/Deloitte/pl/Documents/Newsletters/rodo/pl_przewodnik_po_ochronie_danych_osobowych_RODO_v5.pdf [dostęp: 16.05.2019]; Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. U. UE 2016 L 119/1; Traktat o Unii Europejskiej (wersja skonsolidowana), Dz. U. UE 2012 C 326/13; Traktat o funkcjonowaniu Unii Europejskiej (wersja skonsolidowana), Dz. U. UE 2012 C 326/47; UN General Assembly, Resolution 45/95: Guidelines for the regulation of computerized personal data files, 14 December 1990, A/RES/45/95; Urząd Ochrony Danych Osobowych, Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców, UODO, Warszawa 2018; Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz. U. 2018 poz. 1000, 1669, Dz. U. 2019 poz. 730.