Wynikające Konstytucji RP prawo nas wszystkich do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym tworzy tzw. autonomię informacyjną, która przejawia się w prawie do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami znajdującymi się w posiadaniu innych podmiotów. Dlatego warto wiedzieć, czym dokładnie są dane osobowe, na czym polega prawo do ich ochrony oraz czym jest ich przetwarzanie.
Czym są dane osobowe?
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Informacji nie uważa się jednak za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Natomiast osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Do danych osobowych należeć więc będą takie informacje jak np. imię, nazwisko, adres zamieszkania itp.
Prawo do ochrony danych osobowych
Prawo do ochrony danych osobowych zostało wprost wyrażone już w przepisach Konstytucji. Pokłosiem konstytucyjnej regulacji jest art. 1 ustawy o ochronie danych osobowych, w świetle którego każdy ma prawo do ochrony dotyczących go danych osobowych. Ochrona danych osobowych, o jakiej mowa w ustawie, odnosi się już do etapu ich zbierania, a następnie fazy przechowywania i niszczenia, i to choćby nie znalazły się one ostatecznie w zbiorze danych osobowych.
Czym jest przetwarzanie danych osobowych?
Pod pojęciem „przetwarzania danych osobowych” należy rozumieć operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Kiedy przetwarzanie danych osobowych jest dopuszczalne?
Przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy:
- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (za prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej).
Zgoda na przetwarzanie danych wyrażona przez osobę, której dane dotyczą może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. W sytuacji, gdy uzyskanie zgody jest niemożliwe a przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.
Obowiązki administratora danych osobowych
Pojęciem administratora danych określa się organ, jednostkę organizacyjną, podmiot lub osobę fizyczną lub prawną, którzy przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, decydujące o celach i środkach przetwarzania danych osobowych. Podmiotem takim będzie np. bank czy spółdzielnia mieszkaniowa. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi także dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa wyżej. Obowiązkiem administratora danych jest również zgłoszenie zbioru danych do rejestracji Generalnemu Inspektorowi.
Administrator danych a administrujący danymi
Na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania tych danych natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych lub danymi w procesie ich przetwarzania (również, gdy czynności przetwarzania zostały mu - w drodze umowy zawartej na piśmie – powierzone). Także na administrującym danymi spoczywa obowiązek podjęcia przed rozpoczęciem przetwarzania danych środków zabezpieczających zbiór danych czy spełnienia innych wymagań ustawowych. W zakresie przestrzegania powyższych obowiązków administrujący danymi ponosi odpowiedzialność jak administrator danych.
Komplet dokumentów związanych z przetwarzaniem i ochroną danych osobowych - wzór dokumentu
Podstawa prawna:
Art. 1, art. 3, art. 6, art. 23, art. 31, art. 40, art. 51, ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2014 r., poz. 1182).
Art. 47, art. 51 Konstytucji RP.
Orzecznictwo:
Wyrok TK z dnia 26 czerwca 1997, K 21/96, OTK 1997, nr 2, poz. 23.
Postanowienie SN z dnia 11 grudnia 2000 r. II KKN 438/00, OSNKW 2001, Nr 3-4, poz. 33.