Ochrona danych osobowych w administracji publicznej
Download
Report
Transcript Ochrona danych osobowych w administracji publicznej
Dr Małgorzata Ganczar
OCHRONA DANYCH OSOBOWYCH W
ADMINISTRACJI PUBLICZNEJ
Zasady przetwarzania danych osobowych – pkt. 2
Zgodnie z aktualnym brzmieniem art. 23 ust. 1
pkt 2 u.o.d.o. przetwarzanie danych jest
dopuszczalne, gdy jest to niezbędne do
zrealizowania uprawnienia lub spełnienia
obowiązku wynikającego z przepisu prawa.
W uzasadnieniu projektu nowelizacji
stwierdzono, iż nowa redakcja art. 23 ust. 1 pkt 2
w dokładny sposób odzwierciedla brzmienie
przepisu art. 7 lit. c dyrektywy 95/46/WE
Zasady przetwarzania danych osobowych – pkt. 2
Ten przepis dopuszcza
przetwarzanie danych,
przewidując dwa istotne
wymogi:
1) istnienie
odpowiedniego
przepisu prawa,
który przyznaje
podmiotowi
uprawnienie lub
nakłada na niego
obowiązek, oraz
2) niezbędność
przetwarzania
danych do
zrealizowania tego
uprawnienia lub
spełnienia
obowiązku
wynikającego z tego
przepisu.
Wymogi te
powinny
być
spełnione
łącznie.
Zasady przetwarzania danych osobowych – pkt. 2
W przypadku gdy przepis prawa nakłada na podmiot
obowiązek przetwarzania danych, nie ulega wątpliwości,
że przetwarzanie danych jest dopuszczalne na
komentowanej podstawie, jako że z pewnością
przetwarzanie jest wówczas niezbędne do spełnienia
obowiązku wynikającego z tego przepisu.
Podobnie gdy chodzi o jednoznacznie określone w
przepisach prawa uprawnienie do przetwarzania danych
osobowych, przetwarzanie danych jest dopuszczalne, gdyż
nie sposób byłoby zrealizować tego uprawnienia, nie
przetwarzając danych.
Zasady przetwarzania danych osobowych – pkt. 2
Wątpliwości pojawiają się, gdy chodzi o przypadki, gdy z przepisów prawa
wynikają określone uprawnienia lub obowiązki niedotyczące wprost
przetwarzania danych osobowych, ale do których wykonania potrzeba
przetwarzania danych.
W tych przypadkach należy ocenić, czy przetwarzanie danych jest niezbędne
do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z
przepisu prawa (innymi słowy, czy możliwe byłyby realizacja uprawnienia lub
spełnienie obowiązku bez przetwarzania danych).
Jeżeli na pytanie o niezbędność przetwarzania danych można udzielić
odpowiedzi twierdzącej, to przetwarzanie na komentowanej podstawie
należy, naszym zdaniem, uznać za dopuszczalne.
Zasady przetwarzania danych osobowych – pkt. 2
Przykłady:
• zbierania przez komitety wyborcze podpisów
obywateli wraz z ich danymi osobowymi na listach
popierających zgłoszenia kandydata w wyborach
prezydenckich - takie przetwarzanie danych
osobowych jest dozwolone, gdyż odbywa się w
ramach i na podstawie ustawy z dnia 27 września 1990
r. o wyborze Prezydenta Rzeczypospolitej Polskiej
• Szczególne wątpliwości w tej mierze pojawiają się, gdy
chodzi o podstawy prawne oraz zakres
dopuszczalności przetwarzania danych pracowników
oraz kandydatów do pracy.
Zasady przetwarzania danych osobowych – pkt. 2
wprowadzono do kodeksu pracy nowy przepis art. 221, w myśl którego
od kandydata do pracy pracodawca może żądać podania:
• imienia (imion) i nazwiska; imion rodziców; daty urodzenia; miejsca zamieszkania
(adresu do korespondencji); wykształcenia oraz przebiegu dotychczasowego
zatrudnienia,
natomiast od pracownika, oprócz wskazanych powyżej informacji,
pracodawca może domagać się również innych danych osobowych, a
także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli
podanie takich danych jest konieczne ze względu na korzystanie przez
pracownika ze szczególnych uprawnień przewidzianych w prawie
pracy, a ponadto numeru PESEL.
Zasady przetwarzania danych osobowych – pkt. 2
Katalog danych zawarty w art. 221 k.p. nie jest katalogiem
zamkniętym, ponieważ § 4 dopuszcza także możliwość żądania przez
pracodawcę podania jeszcze innych danych osobowych, jeżeli
obowiązek ich podania wynika z odrębnych przepisów. W kodeksie
pracy uregulowana została także forma udostępnienia danych.
Zgodnie z przepisem art. 221 § 3 k.p. udostępnienie pracodawcy
danych osobowych następuje w formie oświadczenia osoby, której
one dotyczą. Ponadto pracodawca ma prawo żądać
udokumentowania danych. Powyżej przedstawioną regulację
uzupełnia przepis art. 221 § 5 k.p., mówiący o tym, że w zakresie
nieuregulowanym w § 1-4 do danych osobowych, o których mowa w
tych przepisach, stosuje się regulacje o ochronie danych osobowych.
Zasady przetwarzania danych osobowych – pkt. 3
Kolejna materialna przesłanka przetwarzania danych
osobowych związana jest z zawieraniem i
wykonywaniem umów. Zgodnie ze znowelizowanym (po
raz kolejny w 2004 r.) brzmieniem art. 23 ust. 1 pkt 3
u.o.d.o. można przyjąć, iż przetwarzanie danych jest
dozwolone wówczas, gdy:
a) jest to konieczne do
realizacji umowy, której
stroną jest osoba, której
przetwarzane dane
dotyczą;
b) jest to niezbędne do
podjęcia działań przed
zawarciem umowy na
żądanie osoby, której
przetwarzane dane
dotyczą.
Zasady przetwarzania danych osobowych – pkt. 3
Zatem dopuszczalne jest przetwarzanie danych
osobowych osoby A przez jej kontrahenta (drugą
stronę umowy, osobę B) w taki sposób i w takim
zakresie, w jakim jest to niezbędne do wywiązania
się z umowy, która z osobą A została zawarta.
Warunkiem zastosowania omawianego przepisu
jest istnienie umowy łączącej tego, czyje dane są
przetwarzane, z tym, kto te dane przetwarza. Poza
tym dane mają być przetwarzane jedynie w celu
wykonania umowy.
Zasady przetwarzania danych osobowych – pkt. 3
Przykłady:
• Biuro turystyczne, zawierając z osobą A umowę dotyczącą jej udziału
w wycieczce, może, właśnie na podstawie analizowanego przepisu,
przekazać niezbędne dane osobowe A np. hotelom czy przewoźnikom
(np. liniom lotniczym) zaangażowanym w realizowanie umówionej
usługi turystycznej (wycieczki).
• Firma prowadząca sprzedaż wysyłkową może przekazać dane osoby,
która złożyła zamówienie, przedsiębiorstwu organizującemu przesyłkę
towaru.
• W granicach wyznaczonych potrzebami związanymi bezpośrednio z
wykonaniem umowy następować może gromadzenie, zapisywanie czy
udostępnianie danych osobowych np. przez ubezpieczyciela,
leasingodawcę, bank prowadzący rachunek bankowy osoby A czy
przez pracodawcę zapewniającego pracownikom określone
ubezpieczenia społeczne lub przez sprzedawcę samochodów
oferujących je wraz z pakietem ubezpieczeniowym itd.
Zasady przetwarzania danych osobowych – pkt. 3
Omawiana przesłanka legalizuje także przetwarzanie
danych o osobach zatrudnionych na podstawie umów
cywilnoprawnych (głównie umów-zleceń oraz umów o
dzieło).
Komentowany przepis stanowi też podstawę legalizującą
przetwarzanie danych osobowych w trakcie różnorakich
procedur prowadzących do zawarcia umowy, w tym
procedury przetargowej, konkursowej, jak też ewentualnie
wówczas, gdy w grę wchodzą umowy przedwstępne albo
porozumienia (umowy) ramowe. Zawarcie umowy musi
być zamierzone lub co najmniej zakładane.
Zasady przetwarzania danych osobowych – pkt. 4
Za okoliczność usprawiedliwiającą przetwarzanie danych
osobowych uznano także tego rodzaju sytuację, gdy
przetwarzanie to jest "niezbędne do wykonania
określonych prawem zadań realizowanych dla dobra
publicznego" (art. 23 ust. 1 pkt 4 u.o.d.o.).
Chodzi o zadania wykonywane przez tego, kto
przetwarza dane, przy czym nie musi to być ta sama
osoba, która je zebrała. Przetwarzanie określonych
danych powinno mieścić się w ramach rzeczowej i
miejscowej właściwości podmiotu, który tego dokonuje.
Zasady przetwarzania danych osobowych – pkt. 4
Jak zaznacza Generalny Inspektor, omawiana przesłanka dotyczy
sytuacji, gdy brak jest odpowiednich przepisów wprost upoważniających
do przetwarzania danych, jednakże ze względu na konieczność
wykonywania określonych przez prawo zadań realizowanych dla dobra
publicznego dane te muszą być przetwarzane bez zgody osób, których
dotyczą.
Na przesłankę tę mogą powoływać się m.in. inspektorzy NIK domagający
się udostępnienia niezbędnych do przeprowadzenia kontroli i ustalenia
stanu faktycznego dokumentów zawierających dane osobowe.
Można powiedzieć, iż komentowany przepis dotyczy sytuacji, w których
dobro publiczne "wyprzedza" autonomię jednostki w decydowaniu o
przetwarzaniu dotyczących ją danych osobowych.
Zasady przetwarzania danych osobowych – pkt. 4
Analizowane kryterium odwołuje się do
trzech, ograniczających zakres
stosowania, okoliczności, które można w
następujący sposób doprecyzowywać:
• A. Chodzi o działania prowadzone w interesie
publicznym przy użyciu form niewładczych, a więc
np. takie, jak: świadczenie pomocy socjalnej,
pomocy ofiarom klęsk żywiołowych, walka z
terroryzmem, z działającymi niezgodnie z prawem
sektami, przeciwdziałanie praniu brudnych
pieniędzy itp.
Zasady przetwarzania danych osobowych – pkt. 4
Analizowane kryterium odwołuje się do trzech,
ograniczających zakres stosowania, okoliczności, które
można w następujący sposób doprecyzowywać:
• B. Wspomniane zadania publiczne (państwowe), w imię których ma być
dokonywane przetwarzanie danych osobowych, muszą być określone
prawem; należy przyjąć, że chodzi tu o zadania, które zostały przez prawo
zlecone (przekazane) temu, kto prowadzi przetwarzanie danych; mogą to
być np. zadania z zakresu bezpieczeństwa publicznego, walki z
przestępczością, opieki zdrowotnej, udzielania pomocy ofiarom klęsk
żywiołowych itp.
• C. Posiadanie określonych danych i ich przetwarzanie muszą być
niezbędne do wykonania tych zadań. Wtedy tylko można uznać, że
przetwarzanie jest niezbędne, gdy rezygnacja z przetwarzania danych
osobowych uniemożliwia lub w znacznym stopniu utrudnia wykonanie
zadań publicznych (np. w zakresie łączności). Kryterium niezbędności
wyklucza przetwarzanie (w tym zbieranie) danych osobowych na zapas
lub na wszelki wypadek, w zakresie szerszym, niż jest to potrzebne.
Zasady przetwarzania danych osobowych – pkt. 5
Przepis art. 23 ust. 1 pkt. 5 u.o.d.o. ustanawia tzw.
klauzulę usprawiedliwionego celu. Przewiduje on, że
dozwolone jest przetwarzanie danych osobowych, jeżeli
jest ono niezbędne do osiągania prawnie
usprawiedliwionych celów:
a) realizowanych
przez
administratora
danych lub
b) odbiorcę danych,
a nadto
c) przetwarzanie danych nie
narusza praw i wolności
osoby, której dane dotyczą (w
przesłance tej można
dopatrywać się konieczności
wyważenia interesów osoby,
której dane dotyczą, i
interesów administratora
danych lub odbiorcy danych).
Zasady przetwarzania danych osobowych – pkt. 5
Prawnie usprawiedliwiony cel musi istnieć m.in. po stronie
odbiorców danych. Przed nowelizacją z dnia 22 stycznia 2004 r.
przepis art. 23 ust. 1 pkt 5 u.o.d.o. posługiwał się w tym kontekście
określeniem "osoby trzecie, którym dane są przekazywane".
Wskutek nowelizacji dodano do zawartego w art. 7 u.o.d.o.
słowniczka pojęcie odbiorcy danych. Pod tym pojęciem rozumie
się każdego, komu udostępnia się dane osobowe, z wyłączeniem
osoby, której dane dotyczą, osoby upoważnionej do
przetwarzania danych, przedstawiciela podmiotu
przetwarzającego dane na podstawie umowy z administratorem
oraz organów państwowych lub organów samorządu
terytorialnego, którym dane są udostępniane w związku z
prowadzonym postępowaniem.
Zasady przetwarzania danych osobowych – pkt. 5
Usprawiedliwiony cel przetwarzania
cel przetwarzania danych musi być
usprawiedliwiony prowadzoną działalnością
administratora lub odbiorcy danych
działalność ta nie może być w jakiejkolwiek
mierze niezgodna z prawem, zasadami
współżycia społecznego czy dobrymi obyczajami
(np. zbieranie danych dla szantażu)
cel musi być oznaczony, konkretny