kancelaria@przetwarzaniedanych.pl

Kancelaria na Facebooku

Kancelaria na Linkedin

Latest Posts

Dane osobowe

Za dane osobowe uważa się – według ustawy – “wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Informacja w tym kontekście oznacza wiadomości, wypowiedzi, prezentacje wyrażone i zapisane w jakikolwiek sposób: znakami graficznymi, symbolami, w języku komputerowym, na fotografii, na taśmie magnetofonowej lub magnetowidowej.

Dane osobowe to zestaw danych pozwalający na zidentyfikowanie określonej osoby w takim stopniu, by było możliwe odróżnienie jej od innych osób, których dane dotyczą i skontaktowanie się z nią lub w znacznym stopniu ułatwiający kontakt z tą osobą i wyciąganie wniosków na jej temat na podstawie dostępnych danych. W toku przetwarzania danych są one uznawane za dane osobowe dopóty, dopóki można stwierdzić ich związek z osobą, której dotyczą.

Wszelkie informacje” służy podkreśleniu, iż w grę wchodzą informacje odnoszące się do każdego aspektu osoby, jej stosunków osobistych i rzeczowych, jej życia zawodowego, prywatnego, wykształcenia, wiedzy czy cech charakteru. Informacje muszą “dotyczyć osoby fizycznej”, ma to znaczenie, że poza polem zainteresowania znajdują się zbiory informacji (ujęte np. w formę rejestrów i ewidencji) dotyczących podmiotów innych niż osoby fizyczne. Pojęcie danych osobowych na gruncie prawa polskiego obejmuje wszelkie informacje dotyczące osoby fizycznej, o ile możliwe jest zidentyfikowanie tej osoby.

Osobą możliwą do zidentyfikowania jest taka osoba, której tożsamość da się określić bądź bezpośrednio, bądź pośrednio, w szczególności odwołując się do numeru identyfikacyjnego albo do jednego lub wielu specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

 Danymi osobowymi są m.in. informacje:

*       imię, nazwisko, płeć, wzrost, znaki szczególne, obywatelstwo, linie papilarne, miejsce i data urodzenia, cechy dokumentów tożsamości, numer PESEL);
*       o cechach nabytych (wykształcenie, znajomość języków, posiadane uprawnienia, charakter pisma, stan cywilny);
*       o cechach osobowościowych, psychologicznych, w tym o przekonaniach, zainteresowaniach, światopoglądzie, upodobaniach, sposobie spędzania wolnego czasu;
*       o sytuacji majątkowej, operacjach finansowych, w tym też zaniechaniach (np. lista zaległości czynszowych);
*       o najróżniejszych przejawach działalności (np. podróżach, uczestniczeniu w życiu kulturalnym);

Część informacji już z natury rzeczy identyfikuje osobę. Większość uzyskuje charakter danych osobowych dopiero w połączeniu z
informacjami identyfikującymi wprost lub pośrednio osobę.

Przykłady:

Numer PESEL – zgodnie z ustawą o ewidencji ludności i dowodach osobistych – jest 11-cyfrowym, stałym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną.

Adres poczty elektronicznej w większości przypadków umożliwia jednoznaczną identyfikację właściciela konta, czyli osoby, której dotyczy, i powinien być traktowany jako dane osobowe.

Numer karty miejskiej jest daną osobową w rozumieniu ustawy o ochronie danych osobowych, ale tylko wtedy, gdy na jego podstawie można bez nadmiernych kosztów, czasu i działań, określić tożsamość osoby, donktórej ta karta należy.

Kserowanie dokumentów a ochrona danych osobowych

Często spotykamy się z  koniecznością kserowania dokumentów, warto zatem  zastanowić się nad tą czynnością z uwagi na kwestie dotyczące  ochrony danych osobowych.

Przepisy ustawy o ochronie danych osobowych oczywiśnie nie zakazują kserowania dokumentów, ważne jest jednak przy tym aby nie kopiować i gromadzić dokumentów  w szerszym zakresie niż zakłada to cel dla którego dane są kserowane.

Na ten temat wypowiedział się  Naczelny Sąd Administracyjny,  w wyroku z dnia 19 grudnia 2001 r. (sygn. akt II SA 2869/00) orzekł, iż “gromadzenie danych osobowych przez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną, obojętną dla prawodawcy reglamentującego w ustawie o ochronie danych osobowych przetwarzanie tego rodzaju danych.”

Nie jest istotne przy tym jaką zastosowaną technikę utrwalania danych np kopiowanie, przepisywanie, gdyż technika ta nie przesądza o legalności przetwarzania danych. Decyduje o tym przede wszystkim : podstawa prawna przetwarzania danych (art. 23 ustawy), rodzaj przetwarzanych danych (art. 27) oraz granice przetwarzania (art. 26 ust. 1 pkt 3).

Analogiczne stanowisko zajął Naczelny Sąd Administracyjny w wyroku z dnia 7 listopada 2003 r. (sygn. akt II SA1432/02), który stwierdził, że “ustawa o ochronie danych osobowych nie zajmuje się określeniem techniki gromadzenia danych osobowych lecz zakresem ich przetwarzania (…).”

Linie papilarne pod ochroną

Rejestrowanie czasu pracy przy wykorzystaniu linii papilarnych w stosunkach pracowniczych w aktualnym stanie prawnym oraz z uwagi na stanowisko GIODO poparte rozstrzygnięciem Naczelnego Sądu Administracyjnego, nie może być wprowadzane przez pracodawców.

Ciekawe ilu z nas życzyłoby sobie, aby Pracodawca dla potrzeb rejestracji czasu pracy pobierał, za zgodą, nasze linie papilarne i czy tacy w ogóle są. Myślę, że standardowo napawa nas to jednak lękiem i obawą przed zbyt daleko idącą ingerencją w naszą prywatność. W sprawie jednak nie było zgodności i decyzja GIODO zakazująca pracodawcom przetwarzania takowych danych została zaskarżona do sądu, który ją uchylił nie podzielając obaw GIODO w zakresie przetwarzania danych biometrycznych.

Dopiero Naczelny Sąd Administracyjny rozstrzygnął, iż przetwarzanie danych biometrycznych w celu rejestracji czasu pracy jest, w świetle obowiązującego prawa, niedopuszczalne nawet w sytuacji udzielenia przez przez praconików zgody na przetwarzanie takich danych. Naczelny Sąd Administracyjny stwierdził, że wyrażona na życzenie pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych narusza prawa pracownika i swobodę wyrażenia przez niego woli z uwagi na zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca-pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych.). Z tego względu zdaniem Sądu ustawodawca ograniczył przepisem art. 221 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody przez pracownika za okoliczność legalizującą pobranie od pracownika innych danych niż wskazane w art. 221 KP stanowiłoby naruszenie tego przepisu Kodeksu pracy.

Sąd uznał też, że przetwarzanie danych biometrycznych do kontroli czasu pracy pracowników zatrudnionych w przedsiębiorstwie jest nieproporcjonalne do zamierzonego celu ich przetwarzania i jako takie sprzeczne z zasadą proporcjonalności, która jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych.

Monitoring pracowniczej poczty elektronicznej

Zagadnienie kontroli przez pracodawcę skrzynki e-mailowej pracowników jest zagadnieniem delikatnym jak również trudnym, ze względu na brak precyzyjnej regulacji tej tematyki w obowiązujących przepisach prawnych.

Na tle powyższego zagadnienia ścierają się bowiem dwa przeciwstawne prawa a mianowicie prawo pracownika do prywatności oraz prawo pracodawcy do kontroli powierzonej mu pracy.
Pracodawca jako administrator powierzonych mu przez pracownika danych osobowych zobowiązaby jest do ochrony tychże danych i do przetwarzania ich zgodnie z prawem. Przetwarzanie przez Pracodawcę danych osobowych pracowników musi też odbywać się z poszanowaniem prawa pracownika do prywatności, być proporcjonalne i adekwatne do celu. Z drugiej strony immanentnie związane ze statusem Pracodawcy prawo do kontrolowania powierzonej Pracownikowi pracy może rodzić konflikt w przypadku, jeśli kwestie te nie zostały przez pracodawcę precyzyjnie uregulowane.

Sytuacją najbardziej klarowną z punktu widzenia pracodawcy jest sytuacja, w której w obowiązującym w zakladzie pracy regulaminie organizacyjnym lub innych aktach wewntętrznych zakazuje się używania pocztowych skrzynek służbowych do celów prywatnych lub w inny sposób ustala wyraźne zasady korzystania z nich. W takim przypadku monitoring tychże skrzynek pocztowych przez pracodawcę będzie jak najbardziej uprawniony, bez ryzyka narażenia się na zarzut naruszenia prywatności pracowników.

Najcześciej jednak w zakładach pracy te kwestie nie są wyraźnie uregulowane a obowiązująca praktyka wykazuje, iz Pracodawca przyzwala na korzystanie do celów prywatnych ze służbowych skrzynek pocztowych. Praktyka taka sprawia, iż pracodawca, który chciałby przeprowadzić audyt poczty pracowniczej znajduje się w dość trudnym położeniu. Z jednej strony bowiem mając prawo do kontrolowania pracowników z drugiej nie do końca bezpiecznie może z tego prawa korzystać, gdyż łatwo może narazić się na zarzut naruszenia prywatności.

Pracodawca w każdym przypadku kontrolowania używania wręczonych pracownikowi narzędzi takich jak komputer czy telefon służbowy respektować musi prawo pracowników do prywatności i nie ingerować w korespondencję prywatną, jeśli do takowej miałby dostęp. Kwestią podstawą w przypadku takich kontroli zawsze będzie uprzednie poinformowanie pracowników o zamierzonej kontroli, jej zakresie i zasadach. Najlepiej jednak, aby zagadnienia te były przedmiotem regulacji aktów wewnątrzzakładowych tak, aby nie narazić się na zarzuty niedozwolonej ingenrencji w prawa pracownicze. Pogląd ten jest utrwalony w doktrynie i orzecznictwie, jak również podzielany przez Generalnego Inspektora Danych Osobowych.

Udostępnianie danych w świetle nowelizacji ustawy o ochronie danych osobowych z dnia 29.10.2010 r.

Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie w dniu 7 marca 2011 r. wprowadziła kilka istotnych zmian w ustawie. Kwestii, która uległa zmianie a której chciałabym poświęcić ten wpis jest udostępnianie danych osobowych osobom innym niż osoba, której dane dotyczą. Z OchrDanOsobU zostały usunięte dwa artykuły, które dotychczas tę problematykę regulowały. Uzasadnieniem dla tej zmiany była potrzeba synchronizacji z przepisami unijnymi, w ramach której wykreślono art 29 i 30 OchrDanOsobU. Na skutek powyższej zmiany pojawiły się nawet stanowiska, iż obecnie udostępnianie danych możliwie jest jedynie na podstawie przepisów szczególnych, które takie udostępnianie dopuszczają. Jest to jednak pogląd nieuprawniony i nie znajdujący uzasadnienia w obecnie obowiązującej OchrDanOsobU.

Okazuje się bowiem, iż na gruncie art. 23 OchrDanOsobU znajdujemy więcej przesłanek uzasadniających takie udostępnienie niż na gruncie poprzedniego stanu prawnego, gdzie usunięte przepisy pozwalały na udostępnianie właściwie w dwóch przypadkach a mianowicie, gdy wynikało to z przepisów prawa oraz, gdy potrzeba posiadania danych była wiarygodnie uzasadniona. Nowelizacja zmodyfikowała przede wszystkim przesłanki fakultatywnego udostępniania danych. Podstawę żądania udostępnienia danych w tym trybie stanowi klauzula usprawiedliwionego celu to znaczy, że udostępnienie danych jest dopuszczalne, o ile jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych albo odbiorców danych a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą”.

Przesłanka wymogu wiarygodnego uzasadnienia potrzeby posiadania danych przez osobę zainteresowaną została zastąpiona w aktualnym stanie prawnym, warunkiem niezbędności udostępnienia dla realizacji usprawiedliwionych celów administratora danych albo odbiorcy. Dotychczas analizowano sytuację odbiorcy danych, obecnie dla dopuszczalności udostępnienia będzie stwierdzenie przesłanki usprawiedliwionego celu po stronie administratora udostępniającego dane.

Różnice pomiędzy aktualnym i dawnym stanem prawnym rysują się tez na gruncie zakresu pojęć i tak wcześniejsza „potrzeba posiadania danych” rozumiana była jako wszelkie interesy wnioskodawcy, które można uznać za prawnie uzasadnione. Natomiast przy wykładni klauzuli usprawiedliwionego celu przyjmuje się, że cel przetwarzania danych musi być usprawiedliwiony prowadzoną działalnością administratora danych lub odbiorcy. Takie rozumienie tej przesłanki „prowadzenia działalności” może utrudnić ubieganie się o udostępnienie danych tym odbiorcom, którzy działalności nie prowadzą.

W ramach nowelizacji OchrDanOsobU zniknęła procedura związana z procesem udostępniania danych i w tym zakresie wymóg złożenia wniosku na piśmie ze wskazaniem zakresu i przeznaczenia żądanych danych jak również wymóg uzasadnienia takiego żądania. Aktualnie brak jest adekwatnych uregulowań, co wydaje się być negatywne. Jednakże, w praktyce wydaje się oczywiste, iż dla celów dowodowych, szczególnie po stronie administratorów udostępniających dane zobowiązanych do czuwania nad tym, aby przetwarzanie danych odbywało się zgodnie z prawem, zasada pisemności w dalszym ciągu pozostanie nieodzowna.

Postępowanie o udostępnienie danych, również po nowelizacji jest dwuetapowe to znaczy w pierwszej kolejności wniosek należy złożyć do administratora danych, który w oparciu o przepisu OchrDanOsobU rozpatruje wniosek a następnie w drugim etapie osoba niezadowolona z rozstrzygnięć administratora danych może dochodzić swoich praw przed GIODO w trybie postępowania administracyjnego.

To tylko niektóre zmiany wprowadzone ostatnią nowelizacją, czas pokaże jak w praktyce nowe rozwiązania będą się sprawdzały i czy wynikną na tle ich stosowania jakieś głębsze zagadnienia prawne.

Grzywna w celu przymuszenia

Począwszy od marca 2011 r. GIODO uzyskał status organu egzekucyjnego, co oznacza, iż posiada obecnie środki prawne, aby skutecznie egzekwować wydawane przez siebie decyzje.
Przez kilkanaście lat obowiązywania przepisów ustawy o ochronie danych osobowych Generalny Inspektor nie miał tego rodzaju uprawnień, a co za tym idzie, nie mógł doprowadzać do przymusowego wykonania obowiązków (nakazów) nałożonych w wydanych przez siebie decyzjach.

Typowym środkiem, który może być obecnie stosowany przez Generalnego Inspektora w celu egzekwowania wydanych przez siebie decyzji, jest grzywna w celu przymuszenia.

Grzywna w celu przymuszenia może być nakładana kilkakrotnie, przy czym każdorazowo nałożona grzywna nie może przekraczać 10 tys. zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej – 50 tys. zł, natomiast grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć 50 tys. zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej – 200 tys. zł.

Tags: GIODO kontrola, ochrona danych osobowych