Prawne aspekty przetwarzania danych osobowych przez kontrolę skarbową

Zagadnienia:
I. Podstawy prawne przetwarzania danych osobowych
II. Zakres obowiązywania ustawy
1. Zakres podmiotowy ustawy
2. Zakres przedmiotowy ustawy
III. Reguły kolizyjne
IV. Warunki dopuszczalności przetwarzania danych osobowych

I
PODSTAWY PRAWNE PRZETWARZANIA DANYCH OBOWYCH
Przetwarzanie danych osobowych, w skali międzynarodowej, określa :
– Konwencja nr 108 Rady Europy z dnia 28 stycznia 1981 roku o ochronie osób ze względu na automatyczne przetwarzanie danych o charakterze osobowym
– Dyrektywa nr 95/46/EC Parlamentu Europejskiego i Rady Wspólnot o ochronie osób w związku z przetwarzaniem danych osobowych oraz swobodnym obiegu tych danych.
Podstawowe regulacje w prawie krajowym, w zakresie ochrony danych osobowych, zawiera Konstytucja RP. W art. 47 deklaruje ona każdemu -prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym”. Ponadto art. 51 stwarza podstawy prawnego systemu ochrony danych osobowych gwarantując, że
nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby,
– władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym,
– każdy ma prawo dostępu do dotyczących go dokumentów i zbiorów danych, a ograniczenia tego prawa może określać tylko ustawa, każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą, zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Aby deklaracje i gwarancje konstytucyjne nie były pustymi hasłami, koniecznym było uregulowanie następujących kwestii:
1) określenie czytelnych reguł legalności i poprawności przetwarzania danych osobowych,
2) zapewnienie osobie kontroli nad przepływami danych poprzez tzw. obowiązek poinformowania,
3) zapewnienie osobie prawa do wiedzy o przetwarzaniu danych jej dotyczących, prawa do żądania poprawności zapisu tych danych oraz prawa do żądania zaprzestania przetwarzania,
4) wytyczanie zasad ochrony zbioru danych,
5) ustanowienie rejestru zbiorów danych osobowych prowadzonych w Polsce jako medium informacyjnego dla ogółu obywateli,
6) ustanowienie nowego organu – Generalnego Inspektora Ochrony Danych Osobowych do czuwania nad przestrzeganiem ustawy.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w przeważającej mierze oparta jest na tekście Dyrektywy 95/46/EC. Takie rozwiązanie jest wymuszone naszymi aspiracjami wejścia do Unii Europejskiej i procesem dostosowania naszego prawa do norm obowiązujących w Unii. Ustawa jest rozwinięciem konstytucyjnych podstaw regulacji dotyczących ochrony danych osobowych.
II
ZAKRES OBOWIĄZYWANIA USTAWY
1. Zakres podmiotowy ustawy
Zakres podmiotów obowiązanych do stosowania Ustawy o ochronie danych osobowych reguluje art. 3.. Ustawodawca wyodrębnił dwie grupy podmiotów mających stosować ustawę:
1) podmioty publiczne – organy państwowe oraz samorządu terytorialnego, a także inne państwowe i komunalne jednostki organizacyjne oraz podmioty niepaństwowe realizujące zadania publiczne,
2) podmioty prywatne – osoby fizyczne i prawne oraz jednostki organizacyjne nie mające osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Rozróżnienie to ma znaczenie przede wszystkim ze względu na odmienne sformułowanie niektórych obowiązków obu grup podmiotów (art. 29 ustawy). Ponadto należy pamiętać, że podmioty publiczne działają w ramach swych uprawnień władczych wyłącznie na podstawie przepisów prawa, a ich kompetencje nie mogą być domniemywane, czyli mogą robić tylko to co ustawa lub oparty na niej przepis wykonawczy wyraźnie przewiduje. Natomiast odmiennie ukształtowane są prawa podmiotów w sferze prywatnej, gdzie dozwolone jest działanie, którego nie zabrania prawo.
Wyraźne wskazanie podstawy działania podmiotów w sferze publicznej rzutuje na sposób prowadzenia wykładni przepisów ustawy o ochronie danych osobowych – należy je interpretować rozszerzająco, a wszelkie wyjątki ułatwiające dostęp do takich informacji winne być poddawane wykładni zawężającej.
Ustawę mają obowiązek stosować podmioty krajowe, czyli mające siedzibę albo miejsce zamieszkania na terytorium RP, oraz podmioty zagraniczne, jeżeli przetwarzają dane przy wykorzystaniu środków technicznych znajdujących się na terytorium RP.
Nie podlegają ustawie osoby fizyczne przetwarzające dane wy łącznie dla celów osobistych lub domowych. Pojęcie “cel osobisty” jest nieprecyzyjne, należy jednak uznać, że chodzi tu przede wszystkim cel niezarobkowy. Intencją ustawodawcy było wyłączenie spod działania przepisów ustawy takich przypadków zbierania danych, jak: notatki z adresami, kompletowanie drzewa genealogicznego rodziny itp. Jeżeli w trakcie przetwarzania danych ulegnie cel tego przetwarzania, a osoba chce je wykorzystać dla celów zarobkowych lub zawodowych, wtedy przepisy ustawy znajdą zastosowanie.
Pojęcie administratora danych
Wyraźnie należy podkreślić, że adresatem nieomal wszystkich norm ustawy o ochronie danych osobowych jest administrator danych czyli organ, instytucja, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4).
W praktyce dla podmiotów posiadających osobowość prawną będzie to organ lub upoważniona w jego imieniu konkretna osoba, o największych uprawnieniach decyzyjnych w odniesieniu do danych. Np. w spółce akcyjnej będzie to zarząd spółki -jako organ spółki, a z reguły prezes zarządu będzie reprezentowaną spółkę w stosunkach z władzami i Generalnym Inspektorem Ochrony Danych Osobowych. Może to być kierownik jednostki organizacyjnej lub osoba fizyczna, która w konkretnych przypadkach posiadają najwyższe „władztwo” w odniesieniu do danych.
Administrator danych jest określony ustawowo w relacji do przetwarzanych danych – nie ma tu żadnej swobody wyboru ani możliwości zamiany. Można, co najwyżej upoważnić pracownika do wykonywania kompetencji administratora danych, ale to nie zmienia odpowiedzialności prawnej faktycznego administratora danych.
2. Zakres przedmiotowy ustawy
Przedmiotem regulacji Ustawy o ochronie danych osobowych zgodnie z art. 2 są:
1) zasady postępowania przy przetwarzaniu danych osobowych,
2) prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
1. Stosowanie, określonych w ustawie, zasad postępowania przy przetwarzaniu danych ustawodawca zawęzić do danych osobowych przetwarzanych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.
Pojęcie przetwarzania danych
Pod pojęciem „przetwarzanie danych” ustawa rozumie jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w systemach informatycznych. Należy podkreślić, że wyliczenie operacji dokonywanych na danych osobowych podane w ustawie ma charakter przykładowy i nie jest wyczerpujące.
Pojęcie danych osobowych
Nie stosuje się przepisów ustawy do anonimowych danych osobowych. Za dane osobowe, w rozumieniu ustawy, uważa się każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby. Problem w tym, że nie określono na czym ma polegać stwierdzenie czyjejś tożsamości. Zwykle kojarzy się to z ustaleniem nazwiska, adresu, wizerunku i innych podstawowych danych o osobie. Pod ochroną ustawy są tylko te informacje o charakterze osobowym, które dotyczą osób zidentyfikowanych lub możliwych do zidentyfikowania.
żadnej kategorii danych nie można z góry przypisać charakteru osobowego. To czy pozwalają na identyfikację osoby, wynika raczej z kontekstu, w jakim się pojawiają. Przez pojęcie identyfikacja należy rozumieć możliwość wskazania, ustalenia osoby, a nie ustalenia podstawowych danych o osobie.
Nie jest możliwe ustalenie z góry jakiegoś katalogu danych osobowych. Często nawet znajomość nazwiska nie pozwala na identyfikację osoby. Ponadto w każdej chwili mogą pojawić się nowe kategorie informacji pozwalających na identyfikację osób w określonych sytuacjach (np. przez nadanie obywatelom przez administrację numerów identyfikacyjnych dla celów ewidencyjnych itp.). Same dane osobowe mogą przybierać różną formę: mogą to być również zdjęcia, filmy, zarejestrowane głosy.
2. Ustawa o ochronie danych osobowych określa prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Należy podkreślić, że ustawodawca zapobiega nadużywaniu praw osób, których dane dotyczą, w odniesieniu do danych pojedynczych lub zestawów danych ( np. opublikowanych w gazecie, książce itp.), których przetwarzanie nastąpiło z innych przyczyn, niż w celu włączenia do zbioru. W konsekwencji osoby, których dane dotyczą, mogą skorzystać z praw określonych w Rozdziale 4 ustawy o ochronie danych osobowych wtedy, gdy ich dane są w zbiorze lub tam zmierzają. Uprawnienia osoby zainteresowanej nie odnoszą się do sytuacji, gdy dane są przetwarzane w zestawie danych.
Pojęcie zbioru danych
W rozumieniu potocznym, pojęcie „zbiór” używa się dla oznaczenia grupy pewnych elementów, stosując zamiennie z pojęciami zestaw, pakiet, grupa itp. Natomiast ustawodawca na potrzeby ustawy ustanowił odmienne rozumienie pojęcia zbiór.
W rozumieniu ustawy, zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Z powyższego wynika, iż dany zestaw danych zostanie uznany za zbiór danych osobowych, gdy spełnia kumulatywnie trzy cechy:
1) ma charakter osobowy,
2) posiada określona strukturę,
3) jest dostępny wedle określonych kryteriów.
Zbiór danych powstaje z zestawu danych osobowych (grupy zestawionych danych osobowych) posiadającego strukturę, czyli z takiego zestawu, w którym każda pojedyncza dana osobowa ma określoną kategorie pojęciową tej informacji (np. musi być wiadome czy dana osobowa “Warszawa” to miejsce urodzenia czy miejscowość zamieszkania). Ponadto dane z zestawu muszą być łatwo dostępne wedle określonych kryteriów, również wtedy, gdy dane są rozproszone lub podzielone.
Dostępność wedle określonych kryteriów to możliwość odszukiwania danych na podstawie cech porządkujących zbiór i jego strukturę. Kryteriami takimi mogą być różne informacje dotyczące osób jako takich, ich właściwości (cech) fizycznych, biologicznych lub psychicznych, życia lub działalności w konkretnych ich obszarach.
W stosunku do niektórych zbiorów stosuje się wyłącznie przepisy o zabezpieczeniu zbiorów danych. Chodzi tu o zbiory tworzone:
ze względów technicznych (np. zbiór utworzony tymczasowo, który ma służyć
utworzeniu większego zbioru danych),
dla celów szkoleniowych,
w związku z dydaktyką w szkołach wyższych (chodzi tu o zbiory tworzone bezpośrednio dla celów dydaktycznych, a nie np. listy studentów zakwaterowanych w akademikach).
Warunkiem ograniczonego stosowania ustawy do wyżej wymienionych zbiorów jest to, aby były utworzone doraźnie, a po wykorzystaniu dane osobowe w nich zawarte zostały usunięte lub poddane anonimizacji.
3. Zakres stosowania Ustawy o ochronie danych osobowych jest szerszy niż przewiduje Dyrektywa 95/46/EC, gdyż ustawodawca objął jej zasięgiem również zestawy danych (w większości przypadków księgi i wykazy nie są zbiorami danych, lecz zestawami danych w rozumieniu Ustawy). Ponadto nie jest jasne, czy Ustawę stosuje się w przypadku danych przetwarzanych za pomocą środków informatycznych wyłącznie do danych zawartych w zbiorach czy również występujących pojedynczo. Trzeba podkreślić, że Dyrektywa jednoznacznie stwierdza, iż ochroną objęte są zbiory danych osobowych, jak również pojedyncze informacje osobowe przetwarzane metodami informatycznymi.
W ostatniej fazie prac nad projektem Ustawy dokonano zmiany definicji danych osobowych. Zgodnie z definicją ustawową, aby uznać informację za osobową, musi ona pozwalać na stwierdzenie tożsamości osoby. Definicja ta odbiega od definicji zawartej w Dyrektywie i ogranicza stosowanie Ustawy tylko do takich danych, które w każdym przypadku pozwalają na identyfikację osoby. Idea ochrony danych osobowych jest inna, prawo powinno chronić wszystkie informacje, które nas dotyczą, a nie tylko takie, które nas bezpośrednio identyfikują.
W związku z powyższym wysuwane są postulaty aby zmienić definicję danych osobowych w kierunku przyjętym przez Dyrektywę. Po zmianie definicja ta miałaby następującą postać: “Art. 6 W rozumieniu ustawy za dane osobowe uważa się każdą informacje dotyczącą osoby fizycznej, której tożsamość jest już znana, albo dającej się dopiero zidentyfikować bezpośrednio lub pośrednio poprzez numery porządkowe ustalone dla tej osoby, cechy dokumentów jej wydanych, cechy umów z nią zawartych lub inne cechy fizyczne, fizjologiczne, umysłowe, zawodowe, majątkowe, rodzinne, kulturowe, światopoglądowe i społeczne charakterystyczne dla tej osoby.”
III
REGUŁY KOLIZYJNE
Ustawa o ochronie danych osobowych ma charakter lex generalis. Jej stosowanie jest wyłączone jeżeli:
1) przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z Ustawy (stosuje się przepisy tych ustaw),
2) umowa międzynarodowa, której stroną jest RP, stanowi inaczej (stosuje się postanowienia umowy).
IV
WARUNKI DOPUSZCZALNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
Zgodnie z art. 23 Ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne tylko wtedy, gdy;
osoba, której dotyczą, wyrazi na to zgodę, chyba że chodzi o usuniecie dotyczących jej danych,
zezwalają na to przepisy prawa,
jest niezbędne osobie, której dane dotyczą, w celu wywiązania się z umowy, której jest stroną lub na jej życzenie w celu podjęcia niezbędnych działań przed zawarciem umowy,
jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
jest niezbędne do wypełnienia usprawiedliwionych celów administratorów danych, o których mowa, w art. 3 ust. 2, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
W praktyce może wystąpić jednoczesne występowanie więcej niż jednej przesłanki przy konkretnym przetwarzaniu danych osobowych. Podmiot przetwarzający dane powinien wykazać istnienie co najmniej jednej z nich, aby jego działanie mogło być uznane za zgodne z prawem.
Organy administracji państwowej mogą przetwarzać dane osobowe w oparciu o jedną z dwóch przesłanek, albo w oparciu o przepis prawa, albo w celu wykonania umowy. W pierwszym przypadku organy administracji państwowej realizują swoje zadania wykorzystując swoje władcze uprawnienia. Mogą one czynić tylko to, na co zezwalają im przepisy prawa.
W drugim zaś przypadku organ administracji państwowej występuje jako strona umowy cywilnoprawnej.
Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniowa, partyjna lub związkowa, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym. Przetwarzanie tych danych jest dopuszczalne w przypadku:
zgody osoby na piśmie,
zezwolenia przepisu szczególnego innej ustawy,
konieczności ochrony żywotnych interesów osoby,
zadań kościołów, stowarzyszeń, fundacji lub innych niezarobkowych instytucji dla ich wewnętrznych celów, przy gwarancji ochrony danych,
niezbędności przy dochodzeniu praw przed sądem,
zatrudnianiu pracowników i innych osób w zakresie przetwarzania ustawowo określonego,
ochrony zdrowia. Świadczenia usług medycznych lub zawodowego leczenia, świadczenia innych usług medycznych, zarządzania udzielaniem usług medycznych przy gwarancji ochrony tych danych,
upublicznienia tych danych przez samą osobę.

 


O artykule