Transcript Ustawa odo Wyłączenia

Dr Małgorzata Ganczar
OCHRONA DANYCH OSOBOWYCH W
ADMINISTRACJI PUBLICZNEJ
Ustawa o.d.o.
Wyłączenia
Poza regulacją ustawową postawiono przetwarzanie danych przez
osoby fizyczne, dokonywane wyłącznie w celach osobistych lub
domowych; najbardziej typowe przykłady to: gromadzenie
danych w osobistych notatnikach, notebookach, domowych
komputerach. Jeżeli te warunki dotyczące celu przetwarzania
danych są spełnione, to nie ma istotnego znaczenia, czy
zbieranie, przetwarzanie dokonywane jest "osobiście" czy przez
inną osobę. Nie ma również znaczenia sposób pozyskania
danych, jak i ich rodzaj: na przykład czy są to dane sensytywne.
Ustawa o.d.o. - wyłączenia
Przepis art. 3a u.o.d.o. dodany został przez nowelę z dnia 22 stycznia 2004 r.
W przepisie tym zawarto wyłączenia z zakresu stosowania ustawy.
Trzeba się liczyć z tym, iż w konkretnych przypadkach powstać mogą
wątpliwości:
a) czy dana działalność mieści się jeszcze w granicach "celów osobistych lub
domowych", czy też już poza nie wykracza (zresztą i rozgraniczenie celów
osobistych i celów domowych nie wydaje się łatwe, jeśli w ogóle możliwe);
b) jak traktować przetwarzanie danych, które służy nie tylko celom osobistym
czy domowym.
Ustawa o.d.o. - wyłączenia
Ustawa nie definiuje na czym mają polegać te dwa
cele przetwarzania danych osobowych.
Należy je więc interpretować w powiązaniu z treścią
art. 3 ustawy - jako wyjątek od wskazanej tam zasady
ogólnej.
W związku z tym, celem osobistym i domowym nie
jest na pewno realizacja celów statutowych (gdyż nie
są one realizowane przez osoby fizyczne jako takie).
Ustawa o.d.o. - wyłączenia
Pewne wątpliwości wzbudzać może jednak
określenie działalności zawodowej i
zarobkowej, gdyż pojęcia te, odmiennie od
pojęcia działalności gospodarczej nie
zakładają wykonywania czynności w sposób
ciągły i zorganizowany.
Czynności zarobkowe (a więc zakładające
zysk) lub też zawodowe (wykorzystujące
profesjonalizm) dokonywane okazjonalnie
mogą mieć charakter osobisty lub domowy.
Ustawa o.d.o. - wyłączenia
Nie można zatem z góry wykluczyć sytuacji, w której
działalność zarobkowa, niebędąca działalnością
gospodarczą, będzie miała charakter osobisty lub domowy.
W literaturze wskazuje się jako przykład działalności
zarobkowej mającej cechy realizacji celów osobistych,
przetwarzanie danych osobowych w związku z
uczestniczeniem w aukcjach elektronicznych, jeżeli nie jest
dokonywane w związku z prowadzoną działalnością
gospodarczą .
Ustawa o.d.o. - wyłączenia
W odniesieniu do "celów domowych„ chodzi
o cele domowe nie tylko osoby fizycznej
przetwarzającej dane osobowe, ale o cele
jego "domostwa", wspólnoty domowej.
Na takie rozumienie tego przepisu wskazuje
brzmienie Dyrektywy 95/46/WE, która w
angielskiej wersji językowej posługuje się
pojęciem household activities.
Ustawa o.d.o. - wyłączenia
realizację celów osobistych i domowych należy traktować
analogicznie jak użytek osobisty, którego zakresem zostały objęte,
zgodnie z art. 23 ust. 2 ustawy z 4.2.1994 r. o prawie autorskim i
prawach pokrewnych osoby pozostające w związku osobistym, w
szczególności pokrewieństwa, powinowactwa lub stosunku
towarzyskiego.
Na tle tej regulacji wskazano, że użytek dla własnych celów
zawodowych można uznać za mieszczący się w granicach własnego
użytku osobistego. Akceptacja powyższego stanowiska otwierałaby
możliwość "oderwania" od rygorów ustawowych zbiorów danych
osobowych istniejących, tworzonych i wykorzystywanych w
rodzinach lub w niewielkich zespołach ludzi, pomiędzy którymi
występuje towarzyska zażyłość.
Ustawa o.d.o. - wyłączenia
Przykładowo wyłączenie to dotyczyłoby również
nieformalnych (nieposiadających statutu) grup,
klubów (np. graczy). Należy zaakceptować
wskazane powyżej stanowiska chociażby z uwagi
na literalną wykładnię przepisu art. 3a ust. 1 pkt 1
ustawy, który posługuje się pojęciem "osoby
fizyczne" (w liczbie mnogiej) oraz zawiera
alternatywę łączną (poprzez zastosowanie
sformułowania "lub"), a więc nie wymaga by cele
osobiste i domowe w przetwarzaniu danych przez
te osoby fizyczne były realizowane łącznie.
Ustawa o.d.o. - wyłączenia
W związku z powyższym, regulacją ustawy nie będą objęte czynności związane z
dokonywaniem operacji na książkach adresowych zlokalizowanych na osobistych
komputerach (w programach pocztowych) lub też w telefonach komórkowych.
Takie rozwiązanie należy uznać za słuszne, gdyż w przeciwnym razie każda
operacja na danych osobowych dokonywana w celach osobistych np. przesłania
znajomemu lub otrzymania od niego wizytówki za pośrednictwem telefonu
komórkowego albo adresu e-mail za pośrednictwem komputera, wiązałaby się z
koniecznością wypełnienia obowiązków określonych w ustawie.
Ustawa przy tym nie odwołuje się w żaden sposób do okoliczności i sposobu
pozyskania danych ani też nie zawęża wyłączenia tylko do określonych danych dotyczy więc też danych sensytywnych .
Działalność portali społecznościowych
Umożliwiają nierzadko użytkownikom umieszczenie na
stronach internetowych i upublicznienie ich własnych treści
(user generated content) m.in. danych osobowych.
W takim wypadku osoba, która zamieszcza dane dokonuje
tych działań (zakładając, że nie mają one celu zarobkowego) w
celach osobistych, nie jest więc objęta przepisami ustawy.
Podobnie jest w przypadku umieszczenia danych innych osób
w serwisie, ponieważ element "osobistego" korzystania z
danych osobowych przybiera postać ich upublicznienia.
Działalność portali społecznościowych
Natomiast w sytuacji zamieszczenia danych w portalu (na stronie
internetowej) z wykorzystaniem systemu informatycznego administratora
portalu, dochodzi do zlecenia przez tą konkretną osobę fizyczną operacji na
danych osobowych (chociażby ich przechowywania) podmiotowi, który
trudni się tym zawodowo (o ile nie zarobkowo).
Do takiej sytuacji znajdą zastosowanie przepisy ustawy. Skutkiem tego
będzie konieczność wypełniania przez administratora portalu (jako podmiot,
któremu powierzono przetwarzanie danych osobowych), obowiązków w
zakresie stosowania środków zabezpieczenia danych,
Pomimo, że administrator portalu nie będzie administratorem danych, w
zakresie zabezpieczenia danych może być zarówno obiektem kontroli GIODO
jak i adresatem decyzji administracyjnej
Działalność portali społecznościowych
Natomiast osoba fizyczna, która w celach osobistych
umieściła dane osobowe na portalu nie może być ani
podmiotem wskazanej kontroli ani też adresatem sankcji
administracyjnoprawnej.
Osoba dotknięta działaniem osoby fizycznej, która
umieściła (upubliczniła) jej dane na portalu nie może
wnosić o przeprowadzenie kontroli ani o wydanie przez
GIODO odpowiedniej decyzji. Pozostają jej względem
takiego naruszyciela wyłącznie roszczenia cywilne
związane z naruszeniem dóbr osobistych.
Ustawa o.d.o. - wyłączenia
Artykuł 3a ust. 2 wyłącza
zastosowanie ustawy w
stosunku do:
prasowej
działalności
dziennikarskiej w
rozumieniu ustawy
z 26.1.1984 r. Prawo prasowe
działalności
literackiej
działalności
artystycznej.
Prasowa działalność dziennikarska
Ustawa zawiera tzw. klauzulę prasową, tj. wyłączenie
zastosowania większości przepisów ustawy do
prowadzenia prasowej działalności dziennikarskiej.
Jej treść wskazuje, że przepisy ustawy nie znajdą
zastosowania w ramach działalności dziennikarskiej
wykonywanej w prasie.
Ustawa - Prawo prasowe definiuje prasę w art. 7 ust. 2
pkt 1 bardzo szeroko,
Prasowa działalność dziennikarska
Pojęcie PRASY – ustawa obejmuje tym pojęciem :
publikacje periodyczne, które
nie tworzą zamkniętej,
jednorodnej całości,
ukazujące się nie rzadziej niż
raz do roku, opatrzone stałym
tytułem albo nazwą,
numerem bieżącym i datą, a
w szczególności: dzienniki i
czasopisma, serwisy
agencyjne, etc., także
wszelkie istniejące i
powstające w wyniku postępu
technicznego środki
masowego przekazu.
zespoły ludzi i
poszczególne
osoby zajmujące się
działalnością
dziennikarską.
Na gruncie tej definicji
również serwisy
internetowe, a
przynajmniej niektóre
ich rodzaje, coraz
częściej są
kwalifikowane jako
"prasa" w rozumieniu
ustawy.
Działalność literacka
Ustawa nie zawiera definicji działalności literackiej.
W konsekwencji pojęcie to powinno być rozumiane jako stworzenie utworu literackiego.
W związku z powyższym, bez wątpienia dokonywanie jakichkolwiek operacji na danych osobowych w
ramach procesu tworzenia dzieła literackiego jest wyłączone spod zastosowania przepisów ustawy.
Wyłączenie to dotyczy jednak jedynie autora i do procesu tworzenia utworu literackiego, nie obejmuje
zaś swoim zakresem działalności wydawniczej, sprzedaży zwielokrotnionych egzemplarzy utworów
literackich np. książek a także (ze względu na brak elementu twórczości) opracowywanie rożnego
rodzaju informatorów, skorowidzów, spisów, wykazów oraz ich publikacja.
Działalność artystyczna
Wyłączenie przepisów ustawy, określone w art. 3a ust. 2, dotyczy
również działalności artystycznej, której definicji legalnej brak
jest w ustawie o ochronie danych osobowych.
Z uwagi na powyższe oraz ze względu na okoliczność, że
działalność artystyczna jest powiązana z wszelką działalnością
twórczą w ramach szeroko pojmowanej sztuki, a także z uwagi
na fakt, że ustawa nie wymaga by działalność taka była
wykonywana zawodowo wyłączenie to ma bardzo szeroki
zakres przedmiotowy i obejmuje działalność różnego rodzaju
twórców (malarze, rzeźbiarze) i wykonawców (piosenkarze,
aktorzy), w tym również wykonujących swą działalność
amatorsko np. twórcy ludowi, amatorskie zespoły artystyczne.
Administrator danych
W przepisach komentowanej ustawy
wskazane zostały dwie kategorie
podmiotów, które mogą
uczestniczyć w procesie
przetwarzania danych osobowych:
administrator
danych
osobowych
podmiot, o
którym mowa w
art. 31 ust. 1
ustawy, tj.
podmiot
przetwarzający
dane osobowe
na zlecenie
administratora
danych.
W praktyce, jako trzecią
kategorię wskazywać
można również - choć to nie
wynika wprost z przepisów
ustawy - osobę, której dane
dotyczą, jako że również ten
podmiot może wykonywać
"operacje na danych
osobowych" decydując
jednocześnie o celach i
środkach przetwarzania
danych osobowych.
Administrator danych
Od wskazanych wyżej kategorii podmiotów należy odróżnić
podmioty związane tylko z przetwarzaniem danych osobowych,
które działają wyłącznie w imieniu jednego ze wskazanych wyżej
podmiotów.
Istnienie więc takich ustawowych kategorii podmiotów związanych z
przetwarzaniem danych osobowych, jak odbiorca danych (art. 7 pkt 6
ustawy), osoba upoważniona do przetwarzania danych (art. 39),
administrator bezpieczeństwa informacji (art. 26 ust. 2), czy osoba
administrująca danymi (art. 52 ustawy), nie pozwala na przyjęcie, że mamy
do czynienia z istnieniem więcej, niż dwóch kategorii podmiotów
przetwarzających dane osobowe - każdy bowiem z podmiotów
uczestniczących w procesie przetwarzania danych osobowych, za wyjątkiem
osoby, której dane dotyczą, powinien być kwalifikowany jako administrator
danych osobowych albo podmiot przetwarzający dane na zlecenie
administratora, za wyjątkiem osoby, której dane dotyczą.
Administrator danych (art. 7 pkt 4 ustawy)
rozumie się przez to organ,
jednostkę organizacyjną,
podmiot lub osobę, o których
mowa w art. 3, decydujące o:
środkach
celach,
przetwarzania danych
osobowych,
Administrator danych
Definicja pojęcia administratora
danych osobowych wskazuje na dwa
konstytutywne elementy tego pojęcia:
decydowanie o
celach
przetwarzania
danych osobowych
oraz
decydowanie o
środkach
przetwarzania
danych.
Administrator danych
Cele przetwarzania
należy rozumieć w ten
sposób, w jaki termin
ten używany jest w
innych przepisach
ustawy - będą to
pewne wartości, dla
urzeczywistnienia
których dochodzić
będzie do
przetwarzania danych
osobowych.
Natomiast pojęcie
środków
przetwarzania w
aspekcie decydowania
o tychże środkach
oznacza dokonywanie
wyboru technicznych
sposobów
przetwarzania danych.
Administrator danych
Sam przepis odwołuje się w swojej treści do art. 3 ustawy,
który określa zakres podmiotowy stosowania jej przepisów
- potencjalnie więc każdy podmiot, który objęty został
zakresem podmiotowym ustawy, może zostać uznany za
administratora danych, o ile - jednocześnie - decyduje o
celach i środkach przetwarzania danych.
Pojęcie administratora danych osobowych odpowiada pojęciu
file controller użytemu w angielskiej wersji art. 2 pkt d Dyrektywy
95/46/WE - pojęcie to tłumaczone jest właśnie jako administrator
danych i oznacza "osobę fizyczną lub prawną, urząd publiczny,
agendę lub inny organ, który samodzielnie lub wspólnie z innymi
podmiotami określa cele i sposoby przetwarzania danych".
Administrator danych
Posiadania przymiotu
administratora danych
osobowych nie można
utożsamiać z faktycznym
posiadaniem danych podstawowym kryterium
odróżniającym administratora
danych osobowych od innych
podmiotów przetwarzających
dane jest bowiem sprawowanie
faktycznej kontroli nad
przetwarzaniem danych a więc
decydowanie o celach i
środkach przetwarzania, nie zaś
faktyczne przetwarzanie, które
może zostać powierzone
innemu podmiotowi.
Na tę właśnie okoliczność
zwrócił uwagę NSA w wyroku z
30.1.2002 r., II SA 1098/01
wskazując, że za administratora
danych osobowych nie można
uznać "każdego dysponenta
danych". Administratorem
danych osobowych "nie jest (...)
każdy dysponent danych
osobowych (...). Jest nim ten,
kto decyduje o celach i
środkach przetwarzania, przy
czym zasadnicze znaczenie ma
rodzaj i charakter nadanych
przez prawo kompetencji z
zakresu spraw publicznych (...)".
Administrator danych
Status administratora danych osobowych nie będzie więc np. przysługiwał
agentowi ubezpieczeniowemu, który zawiera umowy ubezpieczenia z
poszczególnymi klientami i z tego tytułu przetwarza ich dane osobowe w
sytuacji, w której o celach i środkach przetwarzania danych decyduje inny
podmiot (towarzystwo ubezpieczeniowe).
Natomiast może być w pewnym zakresie administratorem danych broker
ubezpieczeniowy, który działa na rzecz klienta, któremu wyszukuje
odpowiednie oferty ubezpieczeniowe, zgodnie z definicją działalności
brokerskiej (z ustawy o pośrednictwie ubezpieczeniowym), ale tylko w
takim zakresie w jakim zbieranie i przetwarzanie przez niego danych nie
jest związane z zawieraniem konkretnej umowy ubezpieczenia. W takim
przypadku bowiem administratorem danych potrzebnych do zawarciu
umowy jest zakład ubezpieczeń, który będzie stroną umowy.
Administrator danych
Podobnie oddział przedsiębiorcy, pomimo,
że jest strukturalnie powiązany z
przedsiębiorcą, ze względu na zwarte w
definicji z art. 5 pkt 5 ustawy o swobodzie
działalności gospodarczej, wyodrębnienie i
samodzielność organizacyjną może w
pewnych przypadkach - w zakresie w jakim
w ramach tej samodzielności podejmuje
decyzje co do celów przetwarzania danych posiadać status administratora danych.
Administrator danych
W odniesieniu natomiast do oddziałów przedsiębiorców
zagranicznych, osobie upoważnionej w oddziale do
reprezentowania przedsiębiorcy zagranicznego nie można co do
zasady przyznać statusu administratora danych.
Również przedstawicielstwom przedsiębiorców zagranicznych z
uwagi na prowadzoną przez nie działalność w zakresie promocji i
reklamy przedsiębiorcy zagranicznego, co do zasady nie będzie
przysługiwał status administratora danych, natomiast nie można
również wykluczyć sytuacji gdy to ten podmiot samodzielnie
będzie podejmował decyzje co do celów i środków przetwarzania
danych w ramach przyznanej mu swobody co do prowadzonej
działalności promocyjnej i reklamowej.
Administrator danych
Nie ulega wątpliwości, że także organy państwowe, organy
samorządu terytorialnego, państwowe i komunalne
jednostki organizacyjne oraz podmioty niepaństwowe
realizujące zadania publiczne mogą zostać potencjalnie
uznane za administratorów danych osobowych.
Jest kilka specyficznych zagadnień związanych z
pełnieniem roli administratora danych przez te właśnie
podmioty.
Administrator danych
W pierwszej kolejności zwraca uwagę możliwość ustalania we
właściwych przepisach prawa, jaki podmiot z sektora publicznego
pełni rolę administratora danych osobowych w stosunku do
konkretnych zbiorów danych (wyodrębnienie prowadzenia zbioru
informacji jako specyficznego typu zadania administracji)
Możliwość taka została zasygnalizowana w art. 2 lit. d Dyrektywy
95/46/WE, zgodnie z którym, "jeżeli cele i sposoby przetwarzania
danych są określane w ustawach i innych przepisach krajowych lub
przepisach Wspólnoty, administrator danych może być
powoływany lub kryteria jego powołania mogą być ustalane przez
ustawodawstwo krajowe lub ustawodawstwo Wspólnoty"