Transcript Przetwarzanie danych

Dr Małgorzata Ganczar
OCHRONA DANYCH OSOBOWYCH W
ADMINISTRACJI PUBLICZNEJ
Przetwarzanie danych
Definicja zawarta w Dyrektywie 95/46:
• „przetwarzanie danych osobowych” oznacza
każdą operację lub zestaw operacji dokonywanych
na danych osobowych przy pomocy środków
zautomatyzowanych lub innych, jak np.
gromadzenie, rejestracja, porządkowanie,
przechowywanie, adaptacja lub modyfikacja,
odzyskiwanie, konsultowanie, wykorzystywanie,
ujawnianie poprzez transmisję, rozpowszechnianie
lub udostępnianie w inny sposób, układanie lub
kompilowanie, blokowanie, usuwanie lub
niszczenie;
Przetwarzanie danych
Sposób, w jaki w art. 2 pkt b Dyrektywy 95/46/WE
zdefiniowano pojęcie przetwarzania danych osobowych,
polegający na przykładowym tylko wyliczeniu czynności
wchodzących w skład pojęcia definiowanego, opiera się
na założeniu, że nie jest możliwym z góry określenie,
jakie czynności wchodzą lub wchodzić mogą w zakres
pojęcia przetwarzania danych.
Stan ten spowodowany jest dążeniem do uniknięcia
wyczerpującego określana w odrębnych przepisach, jakie
czynności (operacje) na danych osobowych mogą być w
konkretnym przypadku wykonywane.
Przetwarzanie danych
Z podobnego założenia wychodzi
ustawodawca polski, który w art. 6 pkt 2
ustawy określa przetwarzanie danych
osobowych jako jakiekolwiek operacje
wykonywane na danych osobowych, takie
jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie
i usuwanie, a zwłaszcza te, które wykonuje
się w systemach informatycznych.
Przetwarzanie danych
przyjmuje się powszechnie, że wyliczenie czynności, które mogą
składać się na przetwarzanie danych osobowych, ma charakter
przykładowy.
Nie budzi natomiast wątpliwości, że czynności wyraźnie w tym
przepisie wskazane mają charakter przetwarzania danych osobowych.
Stąd zwrócono uwagę w nauce prawa, że niektóre czynności
przetwarzania danych, takie jak w szczególności przechowywanie
danych, wykraczają poza zakres rozumienia terminu "przetwarzanie
danych" w języku potocznym i dodatkowo wpływają na poszerzenie
zakresu pojęcia przetwarzania danych osobowych w ustawie.
Przetwarzanie danych
Przetwarzanie danych osobowych, a więc wykonywanie jakichkolwiek
operacji na danych, może przebiegać w sposób zautomatyzowany albo
niezautomatyzowany.
Rozróżnienie to dodatkowo nabiera znaczenia z uwagi na przyjęcie w
definicji przetwarzania danych osobowych, że zakresem tego pojęcia objęte
są zwłaszcza te operacje na danych, które wykonuje się w systemach
informatycznych.
nie ma dostatecznych podstaw dla przyjęcia, że właśnie ta forma
przetwarzania danych osobowych, tj. operacje wykonywane na danych
osobowych w systemach informatycznych, powinna być traktowane inaczej,
niż przetwarzanie danych w sposób tradycyjny, chyba że stosowne
odstępstwa wynikają z przepisów samej ustawy o ochronie danych
osobowych lub wydanych na jej podstawie aktów wykonawczych .
Przetwarzanie danych
W przypadku gdy dane osobowe są przetwarzane za pomocą systemu
informatycznego, domniemanie faktyczne przemawia za uznaniem, że są one
przetwarzane w zbiorze danych i w takiej sytuacji należy uznać, iż dane te są
dostępne za pomocą więcej niż jednego kryterium.
W związku z tym dane zamieszczone w systemach informatycznych wcale
nie muszą stanowić zbioru danych, ale wystarczy że pozostają w systemie,
aby domniemanie faktyczne przemawiało za tym, iż są przetwarzane w
zbiorze danych. Domniemanie to może być jednak wzruszone przez
administratora tych danych. Dlatego też przetwarzanie danych na stronie
internetowej jest przetwarzaniem danych w zbiorze danych.
Ponadto przepis art. 2 ust. 2 u.o.d.o. stanowi jednoznacznie, że jej przepisy
stosuje się do przetwarzania danych osobowych w systemach
informatycznych także w przypadku przetwarzania danych osobowych poza
zbiorem.
Przetwarzanie danych
Ustawa o ochronie danych osobowych uznaje zbieranie danych za jedną z czynności
wchodzących w skład szeroko ukształtowanego pojęcia przetwarzania danych, wymieniając
zbieranie danych na pierwszym miejscu otwartego katalogu czynności przetwarzania danych,
zawartego w art. 7 pkt 2 ustawy.
Samej czynności "zbierania" danych ustawodawca jednakże nie zdefiniował, łączy z nią jednakże
niektóre spośród obowiązków związanych z przetwarzaniem danych osobowych.
Jednocześnie nie ulega wątpliwości, że spośród ogółu czynności przetwarzania danych
osobowych, tej właśnie, tj. zbieraniu danych, należy przyznać szczególne miejsce i znaczenie.
Ta czynność przetwarzania danych osobowych wiąże się bowiem bezpośrednio z uzyskaniem
faktycznego władztwa nad danymi przez inny podmiot, niż osoba, której te dane dotyczą.
Jednocześnie z punktu widzenia osoby, którą identyfikują zbierane dane osobowe, fakt
rozpoczęcia ich przetwarzania ma istotne znaczenie z punktu widzenia poszanowania jej praw.
Przetwarzanie danych
Oceniając, czy konkretna czynność stanowi zbieranie
danych osobowych, należy w pierwszej kolejności ustalić, w
jakim celu osoba wchodzi w posiadanie danych osobowych.
Jeżeli celem tym
jest wyłącznie
zapoznanie się z
informacjami, bez
ich dalszego
przetwarzania,
wówczas nie można
mówić o zbieraniu
danych osobowych.
Jeżeli natomiast
odbywa się dalsze
przetwarzanie
zebranych
informacji, wówczas
przyjąć należy, że w
istocie dochodzi do
zbierania danych
osobowych.
Jeżeli natomiast
dane nie zostały
zebrane, nie można
mówić o ich
przetwarzaniu.
Zbiór danych osobowych
Celem wejścia w posiadanie informacji nie jest bowiem wyłącznie zapoznanie
się z nimi, lecz poddanie ich dalszym operacjom przetwarzania.
Z punktu widzenia pojęcia zbierania danych osobowych istotnym jest więc
także zamiar, z jakim osoba wchodzi w posiadanie danych osobowych.
Sam wgląd w informacje o osobie zawarte w jej dokumencie tożsamości jest
z pewnością operacją na danych osobowych, takie przetwarzanie danych nie
podlega przepisom ustawy o ochronie danych osobowych, ponieważ nie
istnieje nawet teoretyczna możliwość dalszego przetwarzania tych danych.
Przetwarzanie danych
Czy zbieranie danych osobowych wymaga faktycznego zapoznania się
z nimi?
Chociaż czynności zbierania danych i zapoznawania się z danymi
osobowymi mogą stanowić czynności przetwarzania danych, należy je
od siebie odróżnić z tego względu, że do przyjęcia, że mamy do
czynienia ze zbieraniem danych osobowych, nie jest koniecznym, aby
osoba, która dane zbiera, znała treść tychże danych.
Wystarczy bowiem wejście w posiadanie danych osobowych z
zamiarem ich dalszego przetwarzania, aby w konkretnej sytuacji
można było mówić o zbieraniu danych osobowych.
Przetwarzanie danych
Zbieranie danych osobowych stanowi wstępne stadium przetwarzania
danych osobowych, z którym ustawa powiązała konieczność przekazania
osobie, której dane dotyczą, szeregu istotnych dla niej informacji.
Definicja przetwarzania danych oprócz zbierania danych zawiera jako
przykładowe wyliczenie operacji na danych osobowych:
•
•
•
•
•
•
utrwalanie,
przechowywanie,
opracowywanie,
zmienianie,
udostępnianie
usuwanie.
Przetwarzanie danych
Przykładem utrwalenia danych osobowych
może być zapisanie ich w zbiorach papierowych
lub też w systemie informatycznym. Należy
również podkreślić, że - jak wskazuje definicja
ustawowa - już samo przechowywanie danych
należy uznać za ich przetwarzanie. Zagadnienie
to ma istotne znaczenie dla prowadzenia
działalności przez przedsiębiorców
świadczących usługi hostingowe.
Przetwarzanie danych
Do zmieniania danych może dochodzić zasadniczo w
trzech sytuacjach.
Pierwsza będzie
efektem
skorzystania przez
osoby, których dane
dotyczą z
uprawnienia do
żądania zmiany
danych jej
dotyczącej.
Druga sytuacja to
możliwość działania
samodzielnego przez
administratora danych w
ramach dochowania
należytej staranności co do
utrzymania merytorycznej
poprawności danych (np.
weryfikacja poprawności
kodów pocztowych,
aktualności i zgodności
podanych nazw ulic z
oficjalnym
nazewnictwem.)
Trzecią sytuacją jest
ponowne zebranie
danych od tej samej
osoby, której dane
dotyczą i pozyskanie
w ten sposób
kategorii danych,
które administrator
danych już uprzednio
posiadał.
Przetwarzanie danych
Dużą doniosłość oprócz czynności zbierania danych,
ma udostępnianie danych jako jedna z form
wykonywania czynności na danych osobowych
(przetwarzania danych).
W przepisach ustawy o ochronie danych osobowych
brak jest legalnej definicji pojęcia udostępniania
danych osobowych, gdyż udostępnianie danych
uznane zostało za jedną z form przetwarzania
danych.
Przetwarzanie danych
Udostępnienie danych osobowych nastąpi zawsze wtedy, gdy administrator
danych osobowych w sposób faktyczny przekaże, bądź inaczej umożliwi
zapoznanie się z takimi danymi innej osobie lub podmiotowi, który to podmiot
pełnić będzie w stosunku do tych danych osobowych rolę administratora danych.
Jeżeli natomiast faktyczne przekazanie danych następuje pomiędzy
administratorem danych osobowych a podmiotem przetwarzającym te dane na
zlecenie administratora, takie działanie powinno być kwalifikowane jako
przekazanie danych w związku z powierzeniem danych osobowych do
przetwarzania, a samo przekazanie danych - jako niezbędne do wykonania
umowy powierzenia.
Samo "udostępnianie" danych ma przy tym charakter czynności faktycznej i
może nastąpić w dowolny sposób - istotnym jest tylko, aby w wyniku tejże
czynności, odbiorca danych uzyskał faktyczny dostęp do danych i władztwo nad
tymi danymi.
Przetwarzanie danych
Ustawa o ochronie danych osobowych nie określa, w jaki sposób powinno
nastąpić udostępnienie danych osobowych, tj. faktyczne ich przekazanie
pomiędzy administratorami danych osobowych.
Kwestia ta pozostawiona została do decyzji podmiotom przekazującym dane
osobowe, które to podmioty mogą przyjąć dowolną formę przekazania danych,
dla siebie najdogodniejszą
Forma przekazania danych osobowych powinna czynić zadość wymaganiom w
zakresie zabezpieczenia danych osobowych określonym w art. 36-39 ustawy oraz
w odpowiednim rozporządzeniu.
Przetwarzanie danych
Usuwanie danych - rozumie się
przez to zniszczenie danych
osobowych lub taką ich
modyfikację, która nie pozwoli
na ustalenie tożsamości osoby,
której dane dotyczą,
Przetwarzanie danych
zasadą jest, że usunięcie (a więc również
anonimizacja) danych osoby, której one dotyczą nie
wymaga uzyskania jej zgody.
czynność polegająca na usunięciu danych (pomimo,
że stanowi formę przetwarzania danych) - z uwagi
na faktyczne usunięcie ewentualnego przedmiotu
naruszeń przepisów ustawy oraz prawa do
prywatności, nie musi znajdować podstaw w żadnej
ze wskazanych w ustawie przesłanek legalizujących
ich przetwarzanie.