Zbiór danych osobowych

Zgodnie z OchrDanOsobU przez zbiór danych – rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Tyle mówi ustawa jednakże sprawa niestety nie jest łatwa ani oczywista i w praktyce na tle zaprezentowanej wyżej definicji jawi się szereg problemów i wątpliwości interpretacyjnych.

Każdy zestaw danych osobowych, który umożliwia dostęp do poszczególnych danych przez jakiekolwiek kryterium (nie tylko osobowe), jest zbiorem danych w rozumieniu ustawy. Alfabetyczne ułożenie danych osobowych według nazwiska lub nazwiska i imienia pozwala na szybkie odnalezienie informacji o osobie bez potrzeby przeglądania całego zestawu, jednakże nie jest to kryterium decydujące do zakwalifikowania danego zestawu, jako zbioru.

Naczelny Sąd Administracyjny rozpatrując spór dotyczący kwalifikacji raportów ze zdarzeń na trasie Stacji Techniczno-Postojowej oraz linii metra, sporządzanych przez pracowników Służby Ochrony Metra uznał, iż z treści OchrDanOsobU nie wynika, że dane osobowe mają być w definiowanym “zbiorze danych” danymi podstawowymi (osobowymi). Nie wynika również, że kryterium dostępu do tych danych mają być dane identyfikacyjne (imię, nazwisko, adres “PESEL”). Oznacza to, iż za zbiór należy uznać zestaw danych osobowych dostępnych według jakiegokolwiek kryterium. Rozbieżności interpretacyjne pojawiają się na tle liczby kryteriów, według których dostępne są dane w zestawie. W zależności od tego, czy uznamy za cechę konieczną zbioru posłużenie się, co najmniej dwoma kryteriami umożliwiającymi dostęp do znajdujących się w zbiorze danych, czy też wymagania ograniczymy do jednego kryterium – różny będzie przedmiotowy zakres m.in. obowiązku rejestracyjnego (art. 40 u.o.d.o.), informacyjnego (art. 32 u.o.d.o.), a także odpowiedzialności karnej.

Zdaniem Generalnego Inspektora Danych Osobowych nie jest istotna liczba oraz rodzaj kryteriów i już jedno kryterium wystarczy by zakwalifikować dany zestaw, jako zbiór danych w rozumieniu OchrDanOsobU. Ponadto Generalny Inspektor Ochrony Danych Osobowych uznaje, iż “Wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy“. W opinii tej widać wyraźnie, iż Generalny Inspektor utożsamia pojęcie zbioru danych z takimi zestawieniami jak np akta sądowe.

Kserowanie dokumentów a ochrona danych osobowych

Często spotykamy się z  koniecznością kserowania dokumentów, warto zatem  zastanowić się nad tą czynnością z uwagi na kwestie dotyczące  ochrony danych osobowych.

Przepisy ustawy o ochronie danych osobowych oczywiśnie nie zakazują kserowania dokumentów, ważne jest jednak przy tym aby nie kopiować i gromadzić dokumentów  w szerszym zakresie niż zakłada to cel dla którego dane są kserowane.

Na ten temat wypowiedział się  Naczelny Sąd Administracyjny,  w wyroku z dnia 19 grudnia 2001 r. (sygn. akt II SA 2869/00) orzekł, iż “gromadzenie danych osobowych przez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną, obojętną dla prawodawcy reglamentującego w ustawie o ochronie danych osobowych przetwarzanie tego rodzaju danych.”

Nie jest istotne przy tym jaką zastosowaną technikę utrwalania danych np kopiowanie, przepisywanie, gdyż technika ta nie przesądza o legalności przetwarzania danych. Decyduje o tym przede wszystkim : podstawa prawna przetwarzania danych (art. 23 ustawy), rodzaj przetwarzanych danych (art. 27) oraz granice przetwarzania (art. 26 ust. 1 pkt 3).

Analogiczne stanowisko zajął Naczelny Sąd Administracyjny w wyroku z dnia 7 listopada 2003 r. (sygn. akt II SA1432/02), który stwierdził, że “ustawa o ochronie danych osobowych nie zajmuje się określeniem techniki gromadzenia danych osobowych lecz zakresem ich przetwarzania (…).”