Transcript Ochrona danych osobowych w administracji publicznej

Dr Małgorzata Ganczar
OCHRONA DANYCH OSOBOWYCH W
ADMINISTRACJI PUBLICZNEJ
Pojęcie danych osobowych
Pojęcie "dane osobowe" zostało zdefiniowane w art. 6 u.o.d.o.
Za dane osobowe uważa się każdą informację dotyczącą osoby
fizycznej, pozwalającą na określenie tożsamości tej osoby.
Jednocześnie należy zauważyć, że nie chodzi tu (z wyjątkami
dotyczącymi na przykład kodu genetycznego czy linii
papilarnych) o pojedynczą daną osobową, czyli jednostkową
informację (przykładowo o poglądach politycznych czy stanie
zdrowia danej osoby), ale o powiązanie tych danych z danymi
pozwalającymi ustalić tożsamość osoby fizycznej, czyli danymi
typu imię, nazwisko, PESEL itd.
Dane osobowe
Niektórzy uznają także, że choć wykładnia gramatyczna
definicji z art. 6 u.o.d.o. wskazuje inaczej, to jednak daną
osobową jest również informacja, która pozwala na
określenie tożsamości osoby dopiero po połączeniu z
innymi danymi spoza stworzonego zbioru danych.
Identyfikacja osoby, której dane są przetwarzane, może
nastąpić także pośrednio przez wykorzystanie różnego
rodzaju identyfikatorów numerycznych, jak na przykład
numery PESEL, NIP czy KRS.
Dane osobowe
wydaje się, iż poprawniejsze byłoby posłużenie się w definicji zawartej w art. 6 u.o.d.o.
zwrotem "za daną osobową", jednak rzeczownik "dane" nie ma w języku polskim
liczby pojedynczej. Wyraz "dana" występuje jedynie jako imiesłów bierny od
czasownika "dać", w użyciu przymiotnikowym jako "ta, o której mowa: przytoczona" ,
Z tego względu niekiedy formułowany jest nawet postulat zastąpienia terminu "dane
osobowe" innym określeniem, np. "informacje imienne", jako że wyraz "informacja"
może być używany zarówno w liczbie pojedynczej, jak i mnogiej ,
Wydaje się jednak, że nie ma potrzeby dokonywania zmian, gdyż określenie "dane
osobowe" trafnie oddaje istotę omawianego pojęcia.
Określenie "dane osobowe" jest ponadto dokładnym odpowiednikiem terminów
używanych w dyrektywie 95/46/WE w języku angielskim (personal data) i w języku
niemieckim (Personenbezogene Daten), które to określenia także występują tylko w
liczbie mnogiej.
Dane osobowe
W omawianej definicji z art. 6 u.o.d.o. wyróżnić
należy następujące elementy (przesłanki):
1) informacja:
2) dotycząca osoby fizycznej,
3) zidentyfikowanej lub możliwej do
zidentyfikowania.
Dane osobowe
Pierwsza przesłanka podana w analizowanej definicji dotyczy
"informacji".
Pojęcie to oznacza komunikaty (wiadomości, wypowiedzi,
prezentacje) wyrażone i zapisane w jakikolwiek sposób: znakami
graficznymi, symbolami, w języku komputerowym, na fotografii,
na taśmie magnetofonowej lub magnetowidowej itd.), niezależnie
od sposobu, zakresu i swobody ich udostępniania, jak i niezależnie
od sposobu ich pozyskania.
Dla kwalifikacji określonego komunikatu do kategorii "danych
osobowych" zasadniczo nie ma znaczenia jego prawdziwość.
Dane osobowe
Zatem to, czy informacja jest prawdziwa czy nie, jeżeli tylko
spełnione zostaną dalsze przesłanki, jest z tego punktu widzenia
okolicznością nieistotną.
Natomiast ma to znaczenie dla wykonywania niektórych
uprawnień przez osobę zainteresowaną (żądanie wprowadzenia
korekty danych osobowych). "Informacja" może odnosić się do
tego, co istniało, istnieje lub co ma lub może istnieć.
Danymi osobowymi są zatem też takie dane, które dotyczą
okoliczności planowanych ("dane planowane"), na przykład
planowany przebieg zatrudnienia czy służby określonej osoby.
Dane osobowe
Obojętny jest poza tym także sposób wyrażenia
(komunikowania) informacji. Może być ona zatem
wyrażona słowem, dźwiękiem, obrazem (np. jako
zdjęcie fotograficzne, rentgenowskie), w tym też
obrazem ruchomym, może przybierać formę zapisu
informatycznego itd. Chodzi przy tym zarówno o
informację zrozumiałą dla każdego, jak i zrozumiałą
tylko dla niektórych osób lub tylko po zastosowaniu
odpowiednich procedur (informacja kodowana). Bez
znaczenia jest również źródło pochodzenia informacji;
danymi osobowymi są też informacje osiągnięte w
rezultacie przetwarzania innych danych.
Dane osobowe
Zastrzeżenie, iż informacje powinny "dotyczyć
osoby fizycznej" ma to znaczenie, że poza polem
zainteresowania sytuuje zbiory informacji (ujęte
np. w formę rejestrów i ewidencji) dotyczących
podmiotów innych niż osoby fizyczne, a więc
wszelkich jednostek organizacyjnych, niezależnie
od tego, czy posiadają one osobowość prawną (w
tym klubów, stowarzyszeń, grup nieformalnych),
organów administracji państwowej oraz
samorządowej i innych.
Dane osobowe
W Polsce ochrona danych dotyczących osób prawnych realizowana
jest w pewnej mierze przez postanowienia kodeksu cywilnego o
ochronie dóbr osobistych osób prawnych, jak również - bezpośrednio
- przez przepisy niektórych ustaw szczegółowych, jak np. ustawy z
dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. Nr 88, poz. 439
z późn. zm.).
Postanowienia tej ustawy zakazują publikowania i innego
udostępniania informacji statystycznych możliwych do powiązania z
konkretną osobą oraz danych indywidualnych charakteryzujących
wyniki ekonomiczne przedsiębiorców, w szczególności jeśli na daną
agregację składają się mniej niż trzy podmioty lub udział jednego
podmiotu w jakimś zestawieniu jest większy niż trzy czwarte całości
(art. 38 ust. 2).
Dane osobowe
Trzeba zaznaczyć, że informacja o osobie
fizycznej może niekiedy wynikać z
informacji odnoszącej się do osoby prawnej
(np. dotyczącej składu osobowego organów
spółki); niekiedy też granica między
informacjami o osobie prawnej i osobie
fizycznej zaciera się (jak to ma miejsce przy
informacjach na temat jednoosobowej
spółki z ograniczoną odpowiedzialnością).
Dane osobowe
niekiedy proponuje się, aby obok danych osobowych wyróżniać kategorię danych
indywidualnych (dających się powiązać z podmiotami gospodarczymi albo inną osobą
prawną, bądź jednostką organizacyjną niemającą osobowości prawnej).
Natomiast obie te kategorie (tzn. dane osobowe i dane indywidualne) miałyby tworzyć
razem kategorię danych jednostkowych
Dla zaklasyfikowania określonej informacji do kategorii danych osobowych w
rozumieniu ustawy nie ma znaczenia status prawny określonej osoby, jej zdolność do
czynności prawnych, to, czy przysługują jej prawa publiczne; nie ma znaczenia także
jej obywatelstwo. Ustawie podlegają dane osobowe nie tylko obywateli polskich, ale i
cudzoziemców. Przepisy ustawy obowiązują tylko na terenie państwa polskiego.
Za dane osobowe w rozumieniu ustawy nie można oczywiście uznawać też informacji
na temat osób (postaci) nierzeczywistych, fikcyjnych, występujących w bajkach,
powieściach, filmach, grach itp.
Dane osobowe
Zasadniczo dane osobowe odnoszą się do jednej osoby;
Wyjątkowo danymi osobowymi będą informacje
dotyczące więcej niż jednej osoby (dane o
"podwójnym odniesieniu"), np. informacje o
połączeniach (rozmowach) telefonicznych, o
zatrudnieniu osoby A u osoby B, o korzystaniu osoby X
z pomocy medycznej lekarza Y itp.
Dane osobowe
Zastrzeżenie, że chodzi o "informację dotyczącą osoby fizycznej" daje
podstawy do tego, by poza zakresem działania ustawy pozostawiać
dane dotyczące rodzin czy rodów jako takich (przykład: "pierwsze
wzmianki o rodzinie X pochodzą z XVIII wieku"). Inną ocenę należy
przyjąć, gdy "informacja o rodzinie" stanowi równocześnie informację
o dających się zidentyfikować pojedynczych jej członkach (przykład:
"wszyscy członkowie rodziny X zapisali się do partii Y").
Dodajmy, iż dane osobowe mogą być niekiedy wyprowadzone z
"informacji zbiorczych" (np. z informacji: "wszyscy członkowie klubu X
zarabiają powyżej 3000 zł miesięcznie"); w tym też nawet z takich,
które mają anonimowy charakter (jak np. z informacji: "10
absolwentów, którzy ukończyli wydział X w roku Y, pracuje w
zakładzie Z", jeżeli w tym roku wydział ten ukończyło tylko 10 osób).
Dane osobowe
Czy ochrona danych osobowych ma odnosić się tylko do osób żywych, czy też rozciągać się na osoby
zmarłe? Ustawa polska nie rozstrzyga tej kwestii wprost. Niemniej zarówno to, że pojęcie osoby
fizycznej stosowane jest w prawie w odniesieniu do osób żywych, jak i treść większości przepisów
ustawy wskazują na to, iż poza zakresem stosowania ustawy pozostają dane o określonych osobach
nieżyjących.
Również Generalny Inspektor Ochrony Danych Osobowych w piśmie z dnia 12 lutego 2001 r. (znak GIDP-024/145/01/427, niepubl.) uznał, że regulacja ustawy dotyczy wyłącznie osób żyjących, a w
związku z tym nie stawia ona żadnych przeszkód zarówno w uzyskiwaniu informacji, jak i w
publikowaniu biografii dotyczących osób zmarłych. Rozpowszechnianie informacji dotyczących
zmarłych poddane jest natomiast tym ograniczeniom, które mają swe źródło w powszechnej ochronie
dóbr osobistych w ramach dobra osobistego określanego jako "kult pamięci osoby zmarłej".
Można bronić zdania, iż charakter danych osobowych mają informacje o osobach poczętych, lecz
jeszcze nienarodzonych; taki też pogląd wyrażony jest w rekomendacji (97) 5 Komitetu Ministrów Rady
Europy z dnia 13 lutego 1997 r. w sprawie ochrony danych medycznych. Nie ulega wątpliwości, że tego
rodzaju informacje po urodzeniu się dziecka mają status danych osobowych.
Dane osobowe
Za osobę możliwą do zidentyfikowania
uważana jest osoba, której tożsamość
można określić bezpośrednio lub
pośrednio, w szczególności przez
powołanie się na numer identyfikacyjny
albo jeden lub kilka specyficznych
czynników określających jego cechy
fizyczne, fizjologiczne, umysłowe,
ekonomiczne, kulturowe lub społeczne.
Dane osobowe
Numerami identyfikacyjnymi, o których mowa w komentowanym przepisie,
są: numer powszechnego elektronicznego systemu ewidencji ludności
(PESEL); numer identyfikacji podatkowej (NIP), a także numer dokumentu
tożsamości (dowodu osobistego oraz paszportu).
Czynnikami określającymi cechy osoby mogą być m.in.: wygląd zewnętrzny,
wzór siatkówki oka (cechy fizyczne); struktura kodu genetycznego, grupa
krwi (cechy fizjologiczne); status majątkowy (cechy ekonomiczne);
pochodzenie, poglądy polityczne, przekonania religijne lub filozoficzne oraz
przynależność wyznaniowa, partyjna lub związkowa (cechy te można
zaliczyć do cech umysłowych, kulturowych lub społecznych, w zależności od
sposobu interpretacji tych pojęć).
Wskazane powyżej czynniki nie wyczerpują otwartego katalogu rodzajów
informacji, które mogą być przypisane konkretnej osobie fizycznej.
Dane osobowe
Charakter danych osobowych mają informacje "z różnych dziedzin
życia", o ile tylko istnieje możliwość powiązania ich z oznaczoną
osobą; mogą to być informacje o charakterze obiektywnym lub
subiektywnym, wymiernym lub ocennym, o okolicznościach
dawnych, obecnych lub przyszłych, trwałych lub przemijających.
Danymi osobowymi są m.in. informacje:
a) o zasadniczo "niezależnych okolicznościach" (imię, nazwisko,
płeć, wzrost, znaki szczególne, obywatelstwo, linie papilarne,
miejsce i data urodzenia, cechy dokumentów tożsamości, numer
PESEL);
b) o cechach nabytych (wykształcenie, znajomość języków,
posiadane uprawnienia, charakter pisma, stan cywilny);
Dane osobowe
c) o cechach osobowościowych, psychologicznych, w tym o
przekonaniach, zainteresowaniach, światopoglądzie,
upodobaniach, sposobie spędzania wolnego czasu;
d) o sytuacji majątkowej, operacjach finansowych, w tym też
zaniechaniach (np. lista zaległości czynszowych);
e) o najróżniejszych przejawach działalności (np. podróżach,
uczestniczeniu w życiu kulturalnym);
f) dotyczące aktywnego lub biernego uczestnictwa w różnego
rodzaju wydarzeniach.
Dane osobowe
Część informacji już z natury rzeczy identyfikuje osobę. Większość uzyskuje
charakter danych osobowych dopiero w połączeniu z informacjami
identyfikującymi wprost lub pośrednio osobę (podmiot).
Pod tym warunkiem danymi osobowymi stają się m.in. informacje o stanie
fizycznym i psychicznym, o przebytych chorobach, o kalectwie, o wynikach
badań medycznych (zdjęcie rentgenowskie, ciśnienie krwi, poziom cukru i
wiele innych), o rezultatach testów psychologicznych, zręcznościowych.
Do kategorii danych osobowych zaliczyć trzeba także wyniki egzaminów oraz
rezultaty uzyskiwane na zawodach sportowych.
Dane osobowe
Charakter danych osobowych mają informacje dotyczące
przygotowania zawodowego i przebiegu pracy danej osoby, o jej
sytuacji rodzinnej, o stanie posiadania (w tym o posiadanych
dobrach, o zgromadzonych oszczędnościach, kontach bankowych, o
wysokości płaconych podatków), o jej zachowaniach (zakupach
towarów lub usług, prowadzonych rozmowach telefonicznych, w tym
tzw. billing), naruszeniach prawa, a także wszelkie opinie na temat
danej osoby oraz dotyczące jej prognozy (starania o uzyskanie
stypendium, o awans itd.).
Do rzędu danych osobowych zaliczyć również należy m.in. informacje
o tym, czyim klientem jest określona osoba, z kim wiąże ją stosunek
prawny o charakterze ciągłym.