Nie wymkniecie się!
Uniknąć ustawy o ochronie danych osobowych (UoODO) niełatwo, gdyż z założenia ma ona szeroki krąg adresatów. Wśród wyjątków, przewidzianych w art. 2 ust. 3 i art. 3a, jest m.in. działalność dziennikarska, literacka i artystyczna.
Oczywiście nie każda sfera działalności wydawcy prasowego czy twórcy będzie zwolniona z rygorów Ustawy. Zgodnie z zasadą, że wyjątków nie interpretuje się rozszerzająco, dana działalność musi, według przepisów prawa lub – w braku takowych – w powszechnie przyjętym rozumieniu, kwalifikować się jako dziennikarska, literacka lub artystyczna, a zatem być bezpośrednio związana z tworzeniem materiału prasowego, utworu literackiego czy dzieła sztuki. Działalność wydawnicza (zwielokrotnianie utworu) i księgarska (dystrybucja) oraz związany z nimi marketing nie spełniają tych wymogów. Zwolnienie obejmuje zbiory danych osobowych utworzone przez dziennikarzy/twórców lub wyłącznie na ich potrzeby – np. dane osób, z którymi dziennikarz współpracuje, jego informatorów lub osób, o których pisze czy zamierza napisać. Rzecz jasna, zawsze obowiązują tu ogólne kryteria stosowania Ustawy: podlegają jej dane osobowe przetwarzane w zbiorach (czyli strukturach uporządkowanych według jednego lub więcej kryteriów) lub przez systemy informatyczne.
W ustawie brak definicji działalności literackiej i artystycznej, nie odsyła ona również do innych przepisów, w związku z czym należy przyjąć powszechne rozumienie tego pojęcia. Wśród podstawowych kryteriów kwalifikacji działalności literackiej z pewnością znajduje się nadawanie dziełu indywidualnej treści, charakterystycznej dla autora, jego poglądów i opinii, i nadawaniu im wyrazu artystycznego, stąd też większość autorów komentarzy do UoODO jest zgodna, że opracowywanie np. skorowidzów czy indeksów nie zalicza się do twórczości literackiej.
Nawet jeśli dana działalność zalicza się do wyżej wymienionych rodzajów, zwolnienie z wymogów Ustawy nie jest całkowite – przewidziano tu trzy „wyjątki od wyjątku”:
– Generalny Inspektor Ochrony Danych Osobowych zachowuje swoje uprawnienia kontrolne również wobec takich administratorów danych; wydawca prasowy nie może zatem odmówić kontrolerom GIODO dostępu do zbiorów danych osobowych ze względu na to, że stanowią one działalność dziennikarską
– pozostaje w mocy obowiązek zastosowania odpowiednich środków zabezpieczających zbiory danych osobowych
– działalność dziennikarska, literacka czy artystyczna nie może „istotnie naruszać praw i wolności osoby, której dane dotyczą”.
Ostatnie z tych zastrzeżeń jest niezbyt jasne – gdyby stosować je formalistycznie, trzeba by przyjąć, że działalność dziennikarska, literacka czy artystyczna, która „istotnie narusza prawa i wolności osoby, której dane dotyczą”, nie korzysta ze zwolnienia i do przetwarzania danych w ramach tej działalności stosuje się wszystkie przepisy ustawy. Nie ma to jednak większego znaczenia, ponieważ wedle Ustawy przetwarzanie danych osobowych w ogóle nie może naruszać praw i wolności osoby, której dane dotyczą.
„Jeśli nie możesz ich pokonać, przyłącz się do nich”, głosi amerykańskie powiedzenie. W związku z tym dalsza część artykułu poświęcona będzie ochronie danych osobowych na zasadach ogólnych, spod czego przedsiębiorca w zasadzie nie ma szans się wymknąć.
Powszechnie przyjmuje się, że dane osoby fizycznej prowadzącej działalność gospodarczą – jednak tylko te, które widnieją w ewidencji jako dane przedsiębiorcy – nie są danymi osobowymi. Nie ma znaczenia to, czy oprócz danych osobowych zbiór zawiera dane o innych podmiotach – w rozumieniu ustawy jest to zbiór danych osobowych.
Administrator danych, czyli kto tu rządzi
Jedną z podstawowych kwestii przy stosowaniu przepisów Ustawy jest ustalenie, który z podmiotów mających z nimi do czynienia jest administratorem danych. Pojęcie „administrator danych” oczywiście kojarzy się z administratorem sieci komputerowej, ale również tu Ustawa posługuje się specyficznym językiem: administratorem danych jest w jej rozumieniu podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. Może to być tak „zwykła” osoba fizyczna, osoba fizyczna prowadząca działalność gospodarczą, jak i osoba prawna (spółka, stowarzyszenie, fundacja). Jest to szczególnie ważne, gdy przedsiębiorca współpracuje z wieloma podmiotami (np. wykonawcy czy podwykonawcy umów cywilnoprawnych), które przy spełnianiu świadczeń wynikających z umowy przetwarzają dane osobowe.
Ustawa nakłada na administratora danych szereg obowiązków – osoba ta musi:
– zapewnić przetwarzanie danych osobowych zgodnie z art. 23.1 UoODO
– zastosować środki organizacyjne i techniczne w celu ochrony danych (art. 36 ust. 1)
– prowadzić dokumentację opisującą sposób przetwarzania danych i środki zabezpieczające (art. 36 ust. 2)
– wyznaczyć administratora bezpieczeństwa informacji (art. 36 ust. 3)
– określić, które osoby w firmie przetwarzają dane osobowe w ramach swoich obowiązków, i nadać im upoważnienia do przetwarzania danych osobowych (art. 37)
– zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38)
– prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych (powinna ona zawierać imiona i nazwiska tych osób, datę nadania i ustania ich upoważnienia, jego zakres, a jeżeli dane są przetwarzane w systemie informatycznym – także identyfikatory (loginy) tych osób (art. 39).
Tylko tyle danych, ile potrzeba
Nawet gdy przedsiębiorca ma podstawę do przetwarzania danych osobowych, nie oznacza to, że może przetwarzać każdy rodzaj tych danych według uznania. Jedną z zasad przewidzianych w Ustawie jest bowiem adekwatność zakresu przetwarzania danych do celu ich przetwarzania. Nie można zatem przetwarzać tych danych, które nie są niezbędne do konkretnych celów.
Szczególnie chronione przez Ustawę są tzw. dane wrażliwe (patrz ramka). Przetwarzanie takich danych jest co do zasady niedopuszczalne. Wyjątkiem są okoliczności wymienione w art. 27 ust. 2 UoODO, jednak można zaryzykować twierdzenie, że w branży książkowej przypadki, w których przetwarzanie takich danych będzie dla przedsiębiorcy niezbędne, będą sporadyczne.
„Ja, X.Y., zgadzam się…”
Umożliwiając zainteresowanej osobie wyrażenie zgody na przetwarzanie jej danych osobowych, należy pamiętać, że zgody takiej nie można domniemywać ani wywodzić z innego oświadczenia. Nie jest więc dopuszczalne traktowanie wypełnienia i wysłania formularza (papierowego czy internetowego) jako zgody na przetwarzanie danych, co podkreślił już m.in. Naczelny Sąd Administracyjny.
W praktyce najczęściej spotyka się w formularzach na stronach internetowych osobny akapit z treścią zgody na przetwarzanie danych osobowych i przyciskiem wyboru („check box”), którego zaznaczenie jest warunkiem przeprowadzenia rejestracji użytkownika.
Moment wyrażenia przez klienta zgody na przetwarzanie jego danych jest równocześnie okazją do spełnienia obowiązku informacyjnego. Każdy administrator danych, zbierający dane bezpośrednio od osoby zainteresowanej, musi bowiem podać jej następujące informacje (określone w art. 24 Ustawy): nazwa (osoba fizyczna – imię i nazwisko), adres siedziby (zamieszkania), cel zbierania danych, prawo dostępu do treści swoich danych i ich poprawiania (nie oznacza to obowiązku umożliwienia danej osobie bezpośredniego dostępu do sieci komputerowej przedsiębiorcy), a także informację, czy podanie danych jest dobrowolne czy też jakiś przepis prawa zobowiązuje tę osobę do podania swoich danych temu administratorowi.
Sytuacja, w której zgoda na przetwarzanie danych osobowych jest częścią ogólnych warunków umownych, jest w orzecznictwie sądów administracyjnych uważana za niezgodną z Ustawą. W jednej ze spraw Naczelny Sąd Administracyjny podkreślił, że „zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażenia”.
Zgoda kupującego w sklepie internetowym nie jest wymagana, jeżeli administrator danych zamierza przetwarzać jego dane tylko w celu realizacji umowy sprzedaży (obecnie dopuszczono również przechowywanie danych na potrzeby ewentualnych przyszłych transakcji, jeżeli dana osoba wyrazi takie życzenie) oraz w celach księgowych. Będzie ona natomiast niezbędna, jeśli przedsiębiorca chciałby wysyłać materiały reklamowe osobie niezwiązanej z nim umową sprzedaży, np. tylko odwiedzającej jego stronę internetową. Ponadto Ustawa o świadczeniu usług drogą elektroniczną nakłada na usługodawcę obowiązek uzyskania zgody na przesyłanie materiałów reklamowych, które mają być przesyłane e-mailem czy faksem.
Streng behütten! Beobachten!1
Jak możemy przeczytać w „Przygodach dzielnego wojaka Szwejka”, został on obdarzony taką właśnie adnotacją w swych aktach, gdy wysłano go do aresztu. Co prawda C.K. wojsko miało na głowie kilka problemów z pewnością bardziej palących niż ochrona danych osobowych, ale przypadkowo wezwanie to brzmi dobrze również w tej sferze. Administrator danych osobowych ma ich właśnie „pilnie strzec i obserwować”, bowiem Ustawa nałożyła na niego liczne obowiązki w tym zakresie, mianowicie należyte zabezpieczenie danych (art. 36) oraz zapewnienie kontroli nad tym, komu i w jaki sposób są one udostępniane (art. 38).
Jednym z obowiązków administratora danych (art. 36 ust. 3) jest wyznaczenie… administratora bezpieczeństwa informacji (ABI), chyba że sam administrator będzie pełnił tę funkcję. Według wspomnianego przepisu, podstawowym zadaniem ABI jest nadzorowanie przestrzegania zasad ochrony danych osobowych (zarówno przepisów Ustawy i rozporządzenia MSWiA, jak i szczegółowych zasad i procedur ustalonych w polityce bezpieczeństwa).
Z kolei art. 36 UoODO zobowiązuje administratora danych do sporządzenia dokumentacji przetwarzania danych osobowych. Według Rozporządzenia Ministra Spraw Wewnętrznych i Administracji, dokumentacja ta musi mieć formę pisemną i składać się z dwóch części: polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Kwestie, które muszą zostać określone w polityce bezpieczeństwa i instrukcji, zostały wyliczone odpowiednio w paragrafie 4 i 5 Rozporządzenia.
Wymogów ci u nas dostatek…
… szczególnie, gdy administrator danych przetwarza je komputerowo. Nie oznacza to oczywiście, że każdy administrator danych będzie musiał instalować zabezpieczenia rodem z filmu „Mission: Impossible”. Ustawodawca przewidział tu bowiem zasadę proporcjonalności: zastosowane środki mają zapewnić ochronę danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Rozporządzenie MSWiA ustala szereg środków technicznych i organizacyjnych, które należy zastosować w zależności od stopnia zagrożenia danych osobowych. Najwyższe rygory (nakaz zastosowania poziomu ochrony określonego jako „wysoki”) przewidziano wobec zbiorów danych przetwarzanych w komputerach podłączonych do sieci publicznej (UoODO odsyła tu do definicji pojęcia „sieć publiczna” zawartej w Ustawie prawo telekomunikacyjne). Ponieważ obecnie znaczna większość systemów komputerowych jest podłączona do Internetu, większość administratorów danych musi stosować te najsurowsze środki ochrony.
Więcej ustaw!
Ustawa o ochronie danych osobowych nie jest jedynym aktem prawnym dotyczącym tej dziedziny. Przedsiębiorcy świadczący usługi (w tym prowadzący sprzedaż) przez Internet na rzecz „zwykłych” osób fizycznych podlegają bowiem Ustawie o świadczeniu usług drogą elektroniczną (UoŚUDE), której art. 16-22 regulują kwestię ochrony danych osobowych. Przedsiębiorca „internetowy” podlega tym przepisom niezależnie od tego, czy przetwarza dane w zbiorach czy „luzem”. I tak art. 18 ust. 1 UoŚUDE ogranicza zakres danych, które można przetwarzać w celu świadczenia usług przez Internet – co do zasady można tu przetwarzać jedynie: nazwisko i imię, numer PESEL (gdy usługobiorca go nie ma – numer paszportu, dowodu lub innego dokumentu potwierdzającego tożsamość), adres zameldowania (ewentualnie adres do korespondencji), dane do weryfikacji podpisu elektronicznego, a także adresy elektroniczne usługobiorcy (oprócz adresu e-mail można tu wymienić np. adres formularza na stronie WWW umożliwiającego wysłanie e-maila, identyfikator w komunikatorze internetowym czy telefonii internetowej – Skype). Inne dane mogą być przetwarzane tylko wtedy, gdy jest to niezbędne do realizacji usługi oraz do jej rozliczenia po jej wykonaniu, dochodzenia należności oraz do wyjaśnienia okoliczności niedozwolonego korzystania z usługi (naruszenia zasad korzystania z danego serwisu internetowego).
Ponadto można przetwarzać te dane klienta, które są niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców, ale tylko za zgodą klienta i tylko wtedy, gdy służy to do poprawy jakości własnych usług przedsiębiorcy – niedopuszczalne jest zatem w takim przypadku zbieranie danych osobowych na rzecz innych podmiotów.
Przepis dotyczący pokrewnej kwestii znajdziemy w Ustawie z 2 marca 2000 roku o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny. Zgodnie z jej art. 6 ust. 3, „posłużenie się telefonem, wizjofonem, telefaksem, pocztą elektroniczną, automatycznym urządzeniem wywołującym lub innym środkiem komunikacji elektronicznej w celu złożenia propozycji zawarcia umowy może nastąpić wyłącznie za uprzednią zgodą konsumenta”, co wzmacnia obowiązek „załatwienia” podstawy prawnej dla przetwarzania danych osobowych. W praktyce wyrażenie takiej zgody jest często warunkiem możliwości skorzystania z różnych usług (np. bezpłatnych kont e-mail czy usług operatora telefonii komórkowej).
Rejestrować zbiory trzeba
Ustawa nakłada generalny obowiązek zarejestrowania zbioru danych osobowych z wyjątkami przewidzianymi w art. 43. Innymi słowy – jeżeli zbiór danych osobowych nie został wymieniony w art. 43 – należy go zarejestrować. Dotyczyć to będzie m.in. zbiorów danych osobowych klientów czy współpracowników przedsiębiorcy, jeżeli są wśród nich osoby fizyczne nieprowadzące działalności gospodarczej.
Obowiązek rejestracji nie obejmuje natomiast m.in. zbiorów danych osobowych pracowników, współpracowników/ usługodawców administratora danych (zatrudnianych na podstawie umów cywilnoprawnych) oraz osób zrzeszonych lub uczących się u niego, ksiąg rachunkowych (jak ujmuje to UoODO, „zbiorów danych (…) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej”). Oczywiście, zwolnienie z rejestracji nie ma wpływu na pozostałe obowiązki administratora danych.
3 x tak
Oprócz uprawnień w dziedzinie rejestracji zbiorów danych osobowych Generalny Inspektor Ochrony Danych Osobowych posiada uprawnienia kontrolne. Zgodnie z art. 14 UoODO pracownicy biura GIODO mogą m.in. wejść do pomieszczeń, żądać pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby, przeglądać dokumenty i dane, a także dokonywać oględzin sprzętu komputerowego. Oczywiście, kontroli podlegają tylko dokumenty, sprzęt i pomieszczenia bezpośrednio związane z przetwarzaniem danych osobowych.
W trakcie kontroli oraz po jej zakończeniu administrator danych może złożyć do protokołu swoje umotywowane zastrzeżenia i uwagi albo odmówić podpisania protokołu i w terminie siedmiu dni pisemnie przedstawić swoje stanowisko Generalnemu Inspektorowi.
Ewentualne stwierdzenie naruszenia przepisów o ochronie danych osobowych skutkować będzie wydaniem przez GIODO decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem (przykładowe wyliczenie treści nakazów zawarto w art. 18 ust. 1 UoODO). Inspektorzy mogą również żądać wszczęcia postępowania dyscyplinarnego, jeżeli osoba winna uchybień podlega takiemu postępowaniu. Jeżeli stwierdzone uchybienia stanowią równocześnie przestępstwo wymienione w rozdziale 8 UoODO, Generalny Inspektor skieruje do prokuratury zawiadomienie o popełnieniu przestępstwa.
Aby ustalić swój status w świetle przepisów o ochronie danych osobowych, przedsiębiorca powinien przeprowadzić przedstawione poniżej „autośledztwo”, podczas którego odpowie na kilka pytań:
– czy przetwarzam dane osobowe (czyli dane o osobach fizycznych)?
– czy przetwarzam je w zbiorach (np. kartotece) lub w systemie komputerowym?
– czy decyduję o celach i środkach przetwarzania tych danych?
Jeżeli odpowiedź na te pytania brzmi „tak”, to przedsiębiorca nie ma innego wyjścia, jak zacząć stosować się do Ustawy i przepisów wykonawczych. Pozostaje wtedy tylko ustalić, czy i w jakim zakresie musi on spełniać obowiązki nałożone przez Ustawę (m.in. obowiązek informacyjny przewidziany w art. 24 i 25 UoODO, obowiązek rejestracji zbioru, poziom zabezpieczeń, który należy zastosować).
1. Niem. „Pilnie strzec! Obserwować!”