Zbiór danych
Download
Report
Transcript Zbiór danych
Dr Małgorzata Ganczar
OCHRONA DANYCH OSOBOWYCH W
ADMINISTRACJI PUBLICZNEJ
Zbiór danych
Pojęcie "zbiór danych" należy
rozumieć jako każdy posiadający
strukturę zestaw danych o
charakterze osobowym, dostępnych
według określonych kryteriów,
niezależnie od tego, czy zestaw ten
jest rozproszony lub podzielony
funkcjonalnie.
Zbiór danych
W nauce prawa zwrócono uwagę, że zestaw
informacji, aby zostać uznanym za zbiór
danych osobowych, musi kumulatywnie
spełniać następujące warunki:
zawierać dane
osobowe,
posiadać
określoną, własną
strukturę
zapewniać
dostęp do danych
osobowych
według
określonych
kryteriów
Zbiór danych
Dane osobowe zawarte w zbiorze danych mogą być wyrażone w
dowolny sposób, np. słowem, dźwiękiem, obrazem (np. zbiory zdjęć
używane do identyfikacji sprawców przestępstw) itd. Można przy tym
uznać, że zbiorem danych osobowych jest zarówno zestaw danych
odnoszących się do wielu osób, jak i do jednej osoby.
Istotnym jest jednak, że ustawodawca, definiując pojęcie zbioru
danych osobowych, posłużył się liczbą mnogą ("zestaw danych") na
określenie elementów wchodzących w skład zbioru.
Zasadnym więc wydaje się pogląd, zgodnie z którym w przypadku
występowania pojedynczej informacji o osobie nie można mówić o
istnieniu zbioru danych osobowych tworzonego przez tą właśnie
informację .
Zbiór danych
to "ilościowe" zagadnienie wydaje się ważne dla rozstrzygnięcia
kwestii, kiedy mamy do czynienia ze zbiorem danych osobowych.
ze zbiorem danych osobowych możemy mieć do czynienia już
wówczas, gdy w zbiorze tym znajdują się dane jednej osoby
doszło do zatarcia różnicy pomiędzy zagadnieniem ilości
informacji przetwarzanych w zbiorze danych i minimalnej ilości
tychże informacji, która pozwalać będzie na uznanie, że
informacje przetwarzane są w zbiorze z jednej strony, a pytaniem,
czy informacje przetwarzane w zbiorze mogą odnosić się do jednej
osoby, czy też muszą dotyczyć wielu osób z drugiej strony.
Zbiór danych
Ustawodawca posługuje się pojęciem zestawu
danych, wskazuje więc na liczbę mnogą tychże
danych, co nakazuje przyjąć, że w skład zbioru
danych muszą wchodzić co najmniej dwie informacje.
W innym przypadku, tj. gdyby przyjąć, że za zbiór
danych może zostać uznana pojedyncza informacja,
nie można by mówić o strukturze (uporządkowaniu)
takiego zbioru.
Zbiór danych
nie daje również podstaw do przyjęcia możliwości kwalifikowania
pojedynczych informacji jako mogących zostać uznane za zbiór
danych osobowych konstatacja, że skoro zbiory danych osobowych
podlegają zgłoszeniu rejestracyjnemu przed rozpoczęciem
przetwarzania danych osobowych w tychże zbiorach, a więc jako
zbiory puste (zbiory, w których brak jest jakichkolwiek danych
osobowych), a w odniesieniu do nich ustawodawca posługuje się
pojęciem "zbiór danych", to tym bardziej uprawnionym jest
posługiwanie się tymże pojęciem do zbioru, który zawiera jedną
informację o charakterze danych osobowych
Jak bowiem podkreśla się w nauce prawa, przedmiotem zgłoszenia jest
"zbór danych jako taki", nie zaś jego zawartość .
Zbiór danych
Tym, co odróżnia zbiór danych osobowych od innych zestawów danych
jest istnienie cechy lub cech pozwalających na odnalezienie w zbiorze
określonej informacji bez potrzeby przeglądania całego zestawu.
Ta cecha zbioru danych osobowych odnosi się łącznie do dwóch
pozostałych cech zbioru, tj. wymogu posiadania określonej struktury
oraz zapewniania dostępu do danych osobowych według określonych
kryteriów.
nie można utożsamiać dostępności informacji w zbiorze z ich
uporządkowaniem - o uporządkowaniu można bowiem mówić jedynie
w znaczeniu posiadania przez zbiór odpowiedniej struktury, co nie
oznacza jednak uporządkowania poszczególnych elementów, ale
jedynie ich dostępność.
Zbiór danych
elementem konstrukcyjnym zbioru danych osobowych jest cecha
dostępności do danych osobowych zawartych w tymże zbiorze.
wymóg ten nie będzie spełniony w sytuacji, w której dotarcie do
poszukiwanych danych będzie wprawdzie możliwe, lecz
znacznie utrudnione
Ustawa o ochronie danych osobowych w sposób wyraźny nie
formułuje wymogu łatwego dostępu do danych osobowych
zawartych w zbiorze, lecz wynika on z pkt 15 i 27 preambuły do
Dyrektywy 95/46/WE.
Zbiór danych
z uwagi na niespełnienie przesłanki dostępności za zbiór
danych osobowych nie może zostać uznany zestaw (zbiór)
taśm magnetycznych, na których utrwalone zostały wizerunki
i głosy osób korzystających z usług kasyn gry, jeżeli taśmy
uporządkowano według daty wykonania nagrania.
W takim przypadku bowiem dostępne - w oparciu o strukturę
zbioru - będą nie dane osobowe, lecz taśmy, które zawierają
dane osobowe.
Tymczasem dane zawarte na taśmach nie będą dostępne w
żaden sposób, oprócz chronologicznego zapoznawania się z
przypadkowo pojawiającymi się w treści zapisu informacjami
o charakterze danych osobowych.
Zbiór danych
Dostęp do danych osobowych zawartych w zbiorze powinien być
możliwy "według określonych kryteriów".
Ustawodawca nie przesądził liczby kryteriów, które powinny funkcjonować
aby możliwym było uznanie za zbiór danych. Dwa stanowiska:
skoro przepis ustawy mówi o
"kryteriach" w liczbie mnogiej,
oznacza to konieczność
jednoczesnego zaistnienia
przynajmniej dwóch kryteriów
porządkujących dane zawarte w
zestawie aby można było przyjąć, że
mamy do czynienia ze zbiorem
danych.
W ocenie GIODO, każdy zestaw danych
osobowych, który umożliwia dostęp do
poszczególnych danych przez jakiekolwiek
kryterium, jest zbiorem danych w rozumieniu
art. 7 pkt 1 OchrDanOsU. Alfabetyczne ułożenie
danych osobowych według nazwiska lub
nazwiska i imienia pozwala na szybkie
odnalezienie informacji o osobie bez potrzeby
sekwencyjnego przeglądania całego zestawu,
stąd jest to czynnikiem wystarczającym do
uznania, że mamy do czynienia ze zbiorem
danych osobowych,.
Zbiór danych
ustawa o ochronie danych osobowych mówi o "określonych kryteriach",
żadne więc kryteria nie mogą zostać uznane z góry za wyłączone przez
ustawodawcę. Mogą więc funkcjonować różne kryteria dostępu do danych
w zestawach, w tym alfabetyczne, czy chronologiczne.
każde kryterium, które
umożliwia dostęp do danych
osobowych, jest "kryterium
osobowym", ponieważ odnosi
się, choćby pośrednio, do
określonej osoby.
Jeżeli więc określone kryterium
umożliwia dostęp jedynie do
innych informacji, niż dane
osobowe, wówczas nie może ono
zostać uznane za kryterium
dostępu do danych osobowych, a
więc jest bez znaczenia z punktu
widzenia ustawowej definicji
zbioru danych osobowych.
Zbiór danych
Znaczenie decydujące dla uznania,
czy określone kryterium w
wystarczający sposób porządkuje
zestaw, będzie miała odpowiedź
na pytanie, czy kryterium to
pozwala na łatwy dostęp do
informacji odnoszących się do
konkretnej osoby.
Zbiór danych
Przykłady zbiorów danych wg GIODO:
wszelkiego typu materiały
gromadzone w postaci akt, w tym
sądowych, prokuratorskich czy
policyjnych, i inne akta zawierające
dane osobowe są zbiorem danych
osobowych w rozumieniu art. 7 pkt 1
u.o.d.o.
Zbiór danych
Przykłady zbiorów danych wg GIODO:
"Zbiór akt postępowania administracyjnego zawierając dane stron,
ich adresy i inne informacje, spełnia kryteria z art. 7 i jest zbiorem
danych w rozumieniu ustawy.
Na organie administracji (gminie) ciążą zatem takie same obowiązki,
jak na innych administratorach danych, w szczególności zaś
obowiązek właściwego zabezpieczenia danych" (Sprawozdanie
GIODO za rok 1999, s. 17).
wszelkie akta postępowania administracyjnego powinny zostać
uznane za zbiory danych osobowych, jeżeli tylko zawierają informacje
o charakterze danych osobowych
Zbiór danych
Pojęcie zbioru danych obejmuje swym zakresem, podobnie
jak to czyni dyrektywa, zarówno zbiory zautomatyzowane,
jak i niezautomatyzowane (manualne, tradycyjne). Jak się
zaznacza w komentarzach do dyrektywy 95/46/WE, która
zawiera podobną jak polska ustawa definicję zbioru danych,
zbiorami takimi mogą być również ręczne zbiory ewidencyjne,
zgromadzone akta (teczki, kartoteki) osobowe, a nawet
zgromadzone znormalizowane materiały, na przykład
formularze, kwestionariusze (jednakowe karty o takiej samej
strukturze) uporządkowane i ułożone w odpowiedni sposób.
Poza zakresem działania przepisów pozostawione są
natomiast takie akta, które nie posiadają żadnego
strukturalnego układu danych osobowych.