Tajemnica upoważnionego do przetwarzania danych osobowych

Monitor Prawniczy | 21/2015
Moduł: prawo pracy, postępowanie cywilne, prawo karne
Beata Konieczna-Drzewiecka, Anna Zubrycka

Wstęp

W ramach projektu „Model regulacji jawności i jej ograniczeń w demokratycznym państwie prawnym”, realizowanego na rzecz Narodowego Centrum Badań i Rozwoju1 , dokonano m.in. kompleksowego przeglądu przepisów prawnych odnoszących się do zasady jawności i jej ograniczeń2 . Jest to materiał wyjściowy dla dalszych prac mających na celu uproszczenie regulacji i zapewnienie spójności przepisów oraz właściwej kontroli przestrzegania tajemnic3 . Równocześnie publikacja zgromadzonych w pierwszej fazie badań informacji może już obecnie ułatwić stosowanie i przestrzeganie prawa, m.in. zmniejszając niepewność w zakresie korzystania z informatycznych nośników danych i komunikacji elektronicznej. Może też wspomóc weryfikację formułowanych w badaniach uwag de lege lata i postulatów de lege ferenda. Dlatego w kolejnych numerach „Monitora Prawniczego” prezentować będziemy kilkadziesiąt tajemnic prawnie chronionych, rozpoczynając od tajemnic poszczególnych zawodów prawniczych.


 

Kierownik Projektu

dr hab. Grażyna Szpor, prof. UKSW

--------------------------

1 Projekt nr O ROB 0075 002 realizuje konsorcjum Uniwersytet Kardynała Stefana Wyszyńskiego, Uniwersytet Wrocławski, Naukowe Centrum Prawno-Informatyczne i Wydawnictwo C.H.Beck. Strona internetowa Projektu: www.mrj.uksw.edu.pl

2 Zadanie 1.03. „Analiza polskiej regulacji ograniczeń jawności oraz powiązanych z nimi aktów prawa europejskiego i międzynarodowego”.

3 Prace te koordynowane są m.in. przez profesorów: Z. Cieślaka, J. Gołaczyńskiego, M. Jaśkowską, Z. Kmieciaka, J. Majewskiego, C. Martysza i C. Mika. Ponadto, koordynatorami zadań są: red. P. Grabarczyk, dr inż. A. Gryszczyńska, dr inż. M. Kiedrowicz, dr Sylwia Kotecka i dr A. Piskorz-Ryń.


Metodologia

Ustalenie zakresu poszczególnych tajemnic jest istotne nie tylko dla urzeczywistnienia wolności informacyjnej, ale również przy gwarantowaniu prawa dostępu do informacji publicznej, dlatego też celem zadania 1.03 było wykonanie kompleksowego przeglądu przepisów prawnych odnoszących się do ograniczeń jawności. Badaniem objęto akty prawne konstytuujące tajemnice oraz regulację prawną ograniczeń jawności, które nie mieszczą się w pojęciu tajemnic ustawowo chronionych. Dla usystematyzowania i zestandaryzowania danych na temat poszczególnych ograniczeń jawności opracowany został kwestionariusz badawczy, zgodnie z którym dla każdej z tajemnic opracowanie obejmuje określenie istotnych dla realizacji celu projektu cech, w tym m.in. podstawy prawnej, sposobu wprowadzania niedostępności informacji, wartości chronionych tajemnicą, zakresu przedmiotowego tajemnicy, okresu ochronnego, podmiotu chronionego w wyniku działania tajemnicy i jego uprawnień, podmiotu zobowiązanego do zachowania tajemnicy, podmiotów uprawnionych do uzyskania dostępu do informacji chronionych, zakresu związania tajemnicą, kryteriów dostępu do informacji objętych tajemnicą, podmiotów sprawujących kontrolę nad zachowaniem tajemnicy, techniki przetwarzania oraz udostępniania informacji objętych tajemnicą czy sankcji za nieuprawnione ujawnienie informacji podlegających ochronie. Badanie obejmuje również określenie relacji zachodzących pomiędzy poszczególnymi tajemnicami oraz zbadanie problemów związanych z nakładaniem się reżimów ochronnych.

Wyniki analiz posłużą jako materiał wyjściowy w szczególności do opracowania klasyfikacji publicznoprawnych ograniczeń jawności i problemów stosowania prawa, a także do opracowania modelu regulacji jawności i jej ograniczeń w Polsce i zasad, które powinny być stosowane przy tworzeniu aktów prawnych, w tym do opracowania słownika (leksykonu) tajemnic, ułatwiającego stosowanie prawa.


 

dr inż. Agnieszka Gryszczyńska

Koordynator zadania 1.03

 

Regulacja prawna ochrony danych osobowych ustanowiona została dla ochrony wartości pozostających w kolizji z wolnością informacyjną, stanowi więc ograniczenie jawności. Odniesienie do obowiązku zachowania poufności danych osobowych występuje w niejednolitych regulacjach dotyczących tajemnic prawnie chronionych, jednak wprost sama ustawa z 29.8.1997 r. o ochronie danych osobowych1 nie formułuje niezależnej „tajemnicy danych osobowych”, zobowiązując przy tym w art. 39 ust. 2 upoważnionych do przetwarzania danych osobowych do zachowania w tajemnicy danych osobowych oraz środków ich zabezpieczenia, co pozwala na zrekonstruowanie tajemnicy upoważnionego do przetwarzania danych osobowych. W obecnym brzmieniu art. 39 ust. 2, i art. 51 OchrDanOsobU budzą jednak wątpliwości interpretacyjne i są oceniane w doktrynie negatywnie. Jak wskazano w niniejszym artykule, właściwe byłoby zastąpienie w art. 39 ust. 2 OchrDanOsobU zwrotu „osobom upoważnionym” zwrotem „osobom uprawnionym”. Zmian wymagają również przepisy karne ustawy, a w szczególności zastąpienie w art. 51 ust. 1 OchrDanOsobU zwrotu w liczbie mnogiej „osobom nieupoważnionym” na określenie w liczbie pojedynczej „osobie nieuprawnionej”.

Wprowadzenie
Wolność informacyjna i prawo do informacji publicznej, gwarantowane przepisami art. 54 i 61 Konstytucji RP, stoją w widocznej opozycji do wynikającego z art. 51 Konstytucji RP prawa do samodzielnego decydowania każdej osoby o ujawnianiu dotyczących jej informacji. Z jednej strony, każdy ma prawo do ochrony swoich danych osobowych, jednak z drugiej strony, może domagać się w określonych okolicznościach uzyskania informacji o innych osobach. Zarysowany konflikt łagodzą przepisy OchrDan­OsobU wskazując prawne przesłanki przetwarzania danych osobowych czy określając „tajemnicę upoważnionego do przetwarzania danych osobowych” oraz przepisy ustawy z 6.9.2001 r. o dostępie do informacji publicznej2 formułujące ograniczenia dostępu do informacji publicznej. Zgodnie z art. 5 ust. 1 DostInfPubU, prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o „ochronie innych tajemnic ustawowo chronionych”, ponadto zgodnie z art. 5 ust. 2 DostInfPubU prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy, przy czym ograniczenie to nie dotyczy przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa.
Tajemnica publiczoprawna a tajemnica upoważnionego do przetwarzania danych osobowych
Na wstępie wyjaśnienia wymaga samo pojęcie „tajemnicy”. Rozumie się pod tym pojęciem „sekret, wiadomość, której poznanie lub ujawnienie jest zakazane przez prawo, rzecz, której się nie rozumie lub nie umie wyjaśnić”3. Natomiast w języku potocznym, pojęcie to rozumiane jest jako sekret absolutny (niepoznany przez nikogo), a także jako wiadomość wymagająca zachowania dyskrecji czy też fakt, którego nie należy rozgłaszać, który znany jest ograniczonemu kręgowi osób, niejawny4. Pojęcie tajemnicy wiąże się z informacją, z jej „nieujawnianiem”. Informacja w doktrynie definiowana jest jako niematerialne i przenoszalne dobro zmniejszające niepewność5, czyli tajemnicą jest ograniczenie w zmniejszaniu niepewności, które może odnosić się do dysponenta lub depozytariusza tajemnicy [„pana” lub „sługi” tajemnicy] może być prawne lub pozaprawne, wprowadzone ze względu na interes publiczny i prywatny (zarówno grupowy, jak i indywidualny)6. Brak jest również normatywnej definicji „tajemnicy prawnie chronionej” czy też „tajemnicy ustawowo chronionej”. NSA wskazał7, że pojęcie „tajemnicy ustawowo chronionej” powinno być wykładane ściśle, z każdorazowym poszukiwaniem wyraźnej deklaracji ustawodawcy co do zakwalifikowania określonego rodzaju informacji jako informacji objętej tajemnicą ustawowo chronioną. Ponadto, w ocenie NSA, ilekroć ustawodawca przewidywałby potrzebę ochrony danego rodzaju informacji, powinien wprost nawiązać w tekście prawnym do kategorii tajemnicy, której ujawnienie osobom nieuprawnionym powinno być objęte zakazem wynikającym z określonych norm. W przypadku tajemnicy ustawowo chronionej, zakaz ten musi wynikać z norm prawnych, a w konsekwencji jak każdy zakaz powinien być wyrażony wprost i jeżeli dotyczy reglamentacji praw konstytucyjnych adresatów działań administracji, nie jest dopuszczalne konstruowanie jakichkolwiek domniemań na rzecz jego istnienia. Pomimo trudności w definiowaniu pojęcia „tajemnicy prawnie chronionej” wskazuje się na dwie metody ustanawiania tajemnic: prywatnoprawną, której źródłem jest umowa lub inna czynność prawa prywatnego, oraz publicznoprawną, wynikającą z konstytucji i ustaw8. Jak wskazuje się w literaturze przedmiotu9, podstawą ustanowienia tajemnicy powinna być ustawa, gdyż dochodzi wówczas do ograniczenia konstytucyjnych gwarancji, np. wolności wypowiedzi (art. 54 Konstytucji RP) oraz prawa do informacji publicznej (art. 64 Konstytucji RP), z jednoczesnym ustawowym wskazaniem: podmiotów zobowiązanych do zachowania tajemnicy i zakresu informacji objętych tajemnicą, przypadków zwolnienia z tego obowiązku oraz zasad odpowiedzialności za naruszenie tajemnicy. W przypadku tajemnicy upoważnionego do przetwarzania danych osobowych, takowy obowiązek został zdefiniowany w art. 39 ust. 2 OchrDanOsobU. Nałożono bowiem na osobę upoważnioną przez administratora danych obowiązek zachowania w tajemnicy danych, do których przetwarzania została dopuszczona oraz sposobów ich zabezpieczenia. W związku z powyższym można stwierdzić, że tajemnica osoby upoważnionej do przetwarzania danych osobowych spełnia warunki przewidziane dla tajemnicy publicznoprawnej, gdyż ustawowo zdefiniowano zakres informacji nią objętych oraz adresata obowiązków. W tym miejscu warto odnotować także nierozstrzygnięty w literaturze przedmiotu problem zakwalifikowania „tajemnicy osoby upoważnionej”. Odwołując się do treści art. 180 KPK10 i przyjętego podziału na tajemnicę zawodową i funkcyjną, brak jest jednoznacznego zaliczenia „tajemnicy osoby upoważnionej” do jednej z nich. Zwolennicy pierwszego podejścia11 zaliczają komentowaną tajemnicę do tajemnic zawodowych, gdyż rezolucje Rady Europy już w latach 70. stwierdzały, że personel zajmujący się elektronicznym przetwarzaniem danych powinien zostać związany obowiązkiem zachowania ich w tajemnicy po to, aby zapobiec nadużyciom i wykorzystywaniu danych niezgodnie z ich przeznaczeniem. Ponadto tym, co determinuje zakwalifikowanie tajemnicy osoby upoważnionej do tajemnicy zawodowej jest sformułowanie, jakim posłużono się w Rezolucji Rady Europy nr 22 z 26.9.1973 r. o ochronie życia prywatnego osób fizycznych w kontekście elektronicznych banków danych w sektorze prywatnym12, a mianowicie terminem professional secrecy. Reprezentanci odmiennego poglądu13 wskazują, że upoważnienie do przetwarzania danych osobowych może zostać nadane nie tylko pracownikom administratora danych, ale także innym osobom podlegającym administratorowi (np. praktykantom, wolontariuszom), a instytucja upoważnienia nie została powiązana z wykonywaniem określonych zawodów.
Przedmiotowy zakres tajemnicy
Tajemnicą upoważnionego do przetwarzania chronione są dane osobowe, czyli „każda informacja dotycząca zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Przy czym pod pojęciem „wszelkie informacje dotyczące osoby” należy rozumieć informacje odnoszą się do każdego aspektu osoby, jej stosunków osobistych i rzeczowych, jej życia zawodowego, prywatnego, wykształcenia, wiedzy czy cech charakteru. Bez znaczenia jest rola, w jakiej w danym przypadku osoba występuje. Ponadto przedmiotowa tajemnica obejmuje ochroną dane zwykłe oraz „wrażliwe”, jak również sposób ich zabezpieczenia. W rozdziale 5 OchrDanOsobU określone zostały ogólne wymagania dotyczące zabezpieczania danych osobowych, czyli środki techniczne i organizacyjne konieczne do wdrożenia, mające zapewnić ochronę danym osobowym przed ich nieuprawnionym przetwarzaniem14, uwzględniając jednocześnie sposoby przetwarzania (sposób tradycyjny, sposób zinformatyzowany) oraz czy przetwarzanie danych ma miejsce w zbiorze, czy poza zbiorem. W literaturze wskazuje się15, że podstawową zasadą odnoszącą się do obowiązku zabezpieczenia danych osobowych jest zasada proporcjonalności stosowanych środków ochrony danych do zagrożeń i kategorii przetwarzanych danych osobowych. Administrator lub osoba, której powierzył on przetwarzanie danych osobowych zgodnie z art. 36 ust. 1 OchrDanOsobU musi więc zastosować środki zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Nie jest konieczne zastosowanie wszystkich możliwych środków pozwalających na zabezpieczenie danych osobowych, przy ich doborze należy uwzględnić stan wiedzy, postęp technologiczny oraz koszt realizacji, jednak nie można odstąpić od należytego zabezpieczenia danych osobowych powołując się na względy natury organizacyjno-finansowej16.
Podmiotowy zakres tajemnicy
Stosownie do dyspozycji art. 39 ust. 2 OchrDanOsobU, obowiązek zachowania tajemnicy obejmuje wszystkie osoby upoważnione do przetwarzania danych osobowych przez administratora danych, przy czym nie ma znaczenia, czy upoważnionego do przetwarzania łączy z administratorem danych stosunek pracowniczy. W praktyce dopuszczenie osoby upoważnionej do przetwarzania danych osobowych powinno wiązać się z podpisaniem przez osobę odbierającą upoważnienie oświadczenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych oraz o przyjęciu do wiadomości obowiązku zachowania tajemnicy. Zatem obowiązkiem zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczania zostały objęte osoby upoważnione. Pytanie co z osobami, które administrator danych dopuścił do przetwarzania danych, ale ich nie upoważnił oraz z tymi, które, co do zasady, zostały upoważnione, ale w swych działaniach wykraczają poza zakres upoważnienia, np. wykonując czynności na innych danych niż te, których dotyczy upoważnienie. W pierwszym przypadku, odnosząc się do wykładni gramatycznej przepisu art. 39 ust. 2 OchrDanOsobU, należałoby stwierdzić, że skoro osoba nie została upoważniona, pomimo faktycznego przetwarzania danych, pozostaje nieobjęta obowiązkiem tajemnicy. Podobnie jest i w drugim przypadku, obowiązek zachowania tajemnicy odnosi się do tych danych osobowych, do których przetwarzania osoba została upoważniona. Skoro zatem dochodziłoby do przetwarzania danych osobowych poza zakresem upoważnienia, wówczas w tym przypadku obowiązek zachowania tajemnicy byłby wyłączony17. Zgody co do takiej interpretacji nie ma w literaturze przedmiotu. W ocenie A. Drozda18 obowiązek zachowania tajemnicy dotyczy także danych osobowych, które nie mieszczą się w zakresie wydanego upoważnienia, lecz mimo to zostały osobie udostępnione. Co więcej, w jednostce przetwarzającej dane osobowe mogą być zatrudnione osoby, które nie będą faktycznie przetwarzać danych osobowych, ale będą mieć informacje o sposobach zabezpieczania tych danych. Takie osoby nie mają jednak nadanego upoważnienia, ponieważ nie biorą udziału w przetwarzaniu danych osobowych, zatem nie będą objęte obowiązkiem zachowania tajemnicy. W tym przypadku uzupełnieniem stają się przepisy Kodeksu pracy nakładające na pracowników (m.in. tych nieobjętych upoważnieniem) obowiązek zachowania tajemnic określonych w innych przepisach prawnych (art. 100 § 2 pkt 5 KP)19 oraz zachowania w tajemnicy informacji, które mogłyby narazić na szkodę pracodawcę (art. 100 § 2 pkt 4 KP). Warto w tym miejscu zauważyć, że osobą upoważnioną do przetwarzania danych osobowych nie musi być osoba zatrudniona u administratora. Przedmiotowe upoważnienie może być udzielone osobie z zewnątrz. Co za tym idzie, zakres podmiotowy tajemnicy upoważnionego do przetwarzania danych osobowych może objąć zarówno osoby pozostające z administratorem danych w stosunku pracy oraz takie osoby, którym administrator danych powierzył przetwarzanie danych osobowych na podstawie umowy, o ile zostało im nadane upoważnienie do przetwarzania danych osobowych. Jak wskazuje się w literaturze przedmiotu20, takie uregulowanie jest odpowiednikiem postanowienia zawartego w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony danych osobowych osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych21. W myśl przytaczanego postanowienia, „osoby, które są podporządkowane administratorowi lub wykonującemu przetwarzanie na zlecenie (any person acting under the authority of the controller or of the processor) mające dostęp do danych osobowych, jak i sama osoba przetwarzająca dane na zlecenie administratora, mogą te dane przetwarzać tylko na polecenie administratora danych (must not process them except on instructions from the controller), chyba, że w tej mierze będą występować zobowiązania „ustawowe”. Jak zauważa się22, obowiązek byłby naruszony w każdym przypadku przetwarzania danych wykraczającym poza polecenia administratora lub sprzeciwiając się nim, nawet przy zachowaniu poufności danych (np. przy dokonywaniu zmian w danych). Obowiązek nadania upoważnień osobom mającym mieć dostęp do przetwarzania danych doznaje jednak wyłączenia w przypadkach, gdy z przepisów prawa wynika upoważnienie dostępu do danych. Przykładowo, w ramach prowadzonego postępowania karnego prokurator legitymujący się ustawowym upoważnieniem i limitowany normami proceduralnymi, nie musi posiadać odrębnego upoważnienia do dostępu do danych osobowych. Potwierdził to NSA w wyroku z 21.12.2006 r.23. Nie dotyczy to także podmiotów gwarantujących porządek publiczny i bezpieczeństwo: Policji, Straży Granicznej, Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, organów kontroli państwowej, skarbowej i celnej. Nie dotyczy to również Generalnego Inspektora Ochrony Danych Osobowych, jego zastępcy, upoważnionych inspektorów. Mają oni bowiem na podstawie imiennego upoważnienia i legitymacji służbowej prawo wstępu w godzinach od 6.00 do 22.00 do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz do sporządzania z nich kopii, a także przeprowadzania niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą (art. 14 pkt 1 i 3 OchrDanOsobU). Reasumując, do zachowania analizowanej tajemnicy nie są zobowiązane osoby dopuszczone, ale nieupoważ­nione do przetwarzania danych, oraz osoby przetwarzające dane osobowe nieobjęte upoważnieniem24. Tak wąskie określenie kręgu podmiotów zobowiązanych do zachowania tajemnicy czyni wątpliwym jej skuteczność. W ustawodawstwie wiele jest jednak przykładów wąskiego sposobu określania podmiotów zobowiązanych do zachowania tajemnic, np. tajemnicy adwokackiej, tajemnicy notarialnej, sądowej, prokuratora, radcy prawnego, co też poddawane jest krytyce25.
Zwolnienie z obowiązku zachowania tajemnicy
Pomimo, że ustawodawca nie wprowadza w przepisach OchrDanOsobU zwolnień od obowiązku zachowania tajemnicy przez przetwarzającego dane osobowe, to nie ma ona charakteru bezwzględnego. Tajemnicą bezwzględną jest fakt nieznany nikomu, sekret absolutny, kiedy ktoś poznaje sekret, staje się on tajemnicą względną26. Ochronie może podlegać tylko tajemnica „zdradzalna”, a więc tajemnica względna jest sekretem w znaczeniu prawnym, mogącym być przedmiotem obowiązku milczenia27. Dopiero analiza przepisów OchrDanOsobU oraz innych ustaw pozwala zrekonstruować wyjątki od obowiązku zachowania tajemnicy, wymaga zabiegów interpretacyjnych ze strony upoważnionego28, co zostało poddane krytycznej ocenie, bowiem wyjątki powinny zostać wskazane wprost w ustawie29. W literaturze panuje zgodny pogląd30, że obowiązek zachowania tajemnicy upoważnionego nie wiąże, gdy dane przekazywane są podmiotom uprawnionym, którymi są: osoba, której dane dotyczą, osoby upoważnione do przetwarzania danych osobowych, podmiot, któremu administrator powierzył w drodze umowy pisemnej przetwarzanie danych oraz podmioty, które OchrDanOsobU oraz przepisy szczególne uprawniają do uzyskania danych31. Zwolnienie z zachowania tajemnicy może nastąpić również na gruncie przepisów procesowych. Zgodnie z art. 180 § 1 KPK, osoby związane tajemnicą służbową, związaną z wykonywaniem zawodu lub funkcji, mogą odmówić zeznań co do okoliczności objętych tajemnicą, jednak sąd lub prokurator mogą w drodze decyzji zwolnić je od obowiązku zachowania tajemnicy dla dobra wymiaru sprawiedliwości. Do nowelizacji przepisów OchrDanOsobU z 2004 r.32 Generalny Inspektor Ochrony Danych Osobowych oraz pracownicy Biura GIODO byli zobowiązani do zapewnienia ochrony wiadomościom stanowiącym tajemnicę państwową lub służbową33, z którymi się zetknęli w toku kontroli przetwarzania danych34. Brak określonego obowiązku zachowania w tajemnicy informacji niejawnych w przepisach OchrDanOsobU nie oznacza jednak, że takiego obowiązku nie ma – przeciwnie, stwierdzono, że nie ma konieczności utrzymywania takiego obowiązku w ustawie, bowiem Generalny Inspektor Ochrony Danych Osobowych, jak i inspektorzy, są zobowiązani do zachowania w tajemnicy tych informacji na podstawie OchrInfU35.
Odpowiedzialność za naruszenie obowiązku zachowania tajemnicy
O naruszeniu obowiązku zachowania tajemnicy można mówić, gdy osoba upoważniona do przetwarzania danych osobowych ujawniła dane, do których otrzymała dostęp lub też ujawniła sposoby zabezpieczenia tych danych. Odpowiedzialność karną za bezprawne udostępnienie danych lub umożliwienie dostępu do nich przewiduje art. 51 OchrDanOsobU, pomimo że nie odwołuje się wprost do obowiązku zachowania tajemnicy36. Udostępnienie lub umożliwienie dostępu do danych osobowych przez administrującego zbiorem lub osobę obowiązaną do ich ochrony osobom nieupoważnionym jest zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2 (gdy sprawca działa umyślnie), natomiast jeśli sprawca popełnił czyn nieumyślnie górna granica ustawowego zagrożenia obniżona jest do jednego roku. Jest to przestępstwo indywidualne, mogące być popełnione jedynie przez osobę administrującą zbiorem danych osobowych lub obowiązaną do ich ochrony. Zgodnie z wykładnią SN37, na gruncie OchrDanOsobU administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania tych danych, natomiast administrującym – także taki podmiot, który zarządza, zawiaduje zbiorem danych lub danymi w procesie ich przetwarzania, w tym i powierzonego mu w formie umowy pisemnej tej ustawy, jednak odpowiedzialność karna administrującego niebędącego administratorem danych jest możliwa, gdy jego zachowanie penalizowane przez ustawę wynika z powierzonych mu czynności przetwarzania danych. Podmiotem tym jest administrator danych albo osoba fizyczna kierująca daną jednostką organizacyjną, nie osoby, które uzyskały takie uprawnienia w inny sposób, np. na podstawie polecenia służbowego pracodawcy, chociaż w tym wypadku odpowiedzialność karna wynikać może z art. 21 § 2 KK. Należy przyjąć, że obowiązek ochrony danych osobowych dotyczy wszystkich osób fizycznych przetwarzających dane osobowe na podstawie upoważnienia administratora danych lub też umowy, jeśli zostały one zobowiązane do ich ochrony, bez znaczenia pozostaje, czy dane te są przetwarzane w zbiorze czy też poza nim, istotny jest jedynie ciążący obowiązek ochrony danych osobowych38. W literaturze wskazywano39, że obowiązek ochrony danych osobowych powinien być określony ustawowo, co wyklucza odpowiedzialność administratorów bezpieczeństwa informacji za czyn z art. 51 OchrDanOsobU. Należy jednak podkreślić, że pogląd ten został sformułowany przed uregulowaniem obowiązków administratorów bezpieczeństwa informacji w ustawie. Można więc przyjąć, że w obecnym stanie prawnym, po nowelizacji OchrDan­OsobU z 2015 r.40, administratorzy bezpieczeństwa informacji mogą zostać pociągnięci do odpowiedzialności za niedopełnienie obowiązku ochrony danych osobowych. Wskazuje się, że „udostępnienie” i „umożliwienie dostępu” może być następstwem zarówno działania, jak i zaniechania. Przez pojęcie „umożliwić dostęp” można rozumieć nie tylko dopuszczenie osoby nieupoważnionej do danych osobowych, ale także pozostawienie ich bez zabezpieczenia. Umożliwienie dostępu nie oznacza tylko czynności nakierowanej na konkretną osobę (osoby) nieuprawnioną, lecz odnosi się także do stworzenia możliwości zapoznania się z danymi osobowymi przez bliżej nieokreślone osoby41. Odmienną interpretację przyjął SN42, który stwierdził, że udostępnianie danych oznacza z założenia działanie sprawcy, oznacza bowiem czynienie dostępnym, ułatwianie dostępu, zaś umożliwienie dostępu do nich – jako czynienie tylko możliwym, ułatwianie, przyczynianie się może nastąpić i przez zaniechanie, a więc niedopełnienie obowiązku. Należy wspomnieć, że istnieje możliwość kumulatywnego zbiegu przestępstwa z art. 51 ust. 1 OchrDanOsobU z art. 266 § 1 i 2 KK, który penalizuje ujawnianie lub wykorzystywanie informacji powziętych w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną lub naukową43, ściganego na wniosek pokrzywdzonego, a w przypadku gdy sprawca działa nieumyślnie z przestępstwem z art. 231 § 3 KK, tj. przekroczenie uprawnień lub niedopełnienie obowiązków przez funkcjonariusza publicznego działającego na szkodę interesu publicznego lub prywatnego44, przy czym szkoda ta nie może być iluzoryczna45. Przepis karny jest jednak sformułowany nieprecyzyjnie. Przez użycie w przepisie określenia „osobom” zakwestionowano możliwość popełnienia przestępstwa przez jedną osobę. Sąd Najwyższy w postanowieniu z 21.11.2007 r.46 stwierdził, że wobec obecnej treści przepisu art. 51 ust. 1 OchrDanOsobU udostępnienie danych lub umożliwienie do nich dostępu jednej osobie nie wyczerpuje znamion omawianego przestępstwa. Postanowienie było przedmiotem glosy A. Herzoga47, który powołując się m.in. na uchwałę SN udzielającego odpowiedzi, że samo tylko użycie w treści normy prawnej liczby mnogiej dla określenia przedmiotu bezpośredniej ochrony, przedmiotu czynności sprawczej lub środka służącego do popełnienia przestępstwa nie oznacza, że ustawodawca używa jej w znaczeniu zwrotu: „co najmniej dwa”, a więc w celu ograniczenia podstawy odpowiedzialności48, poddał je krytycznej ocenie. P. Fajgielski49 wskazuje, że ustawodawca penalizuje udostępnienie lub umożliwienie dostępu do danych osobom nieupoważnionym. Zgodne z prawem będzie udostępnienie danych osobowych osobom nieposiadającym upoważnienia, ale będącymi uprawnionymi do dostępu do nich zgodnie z przepisami OchrDanOsobU lub regulacji szczegółowych50, bardziej precyzyjne byłoby zastąpienie określenia „osobom nieupoważnionym” określeniem „osobom nieuprawnionym”. Przepis nie przewiduje odpowiedzialności za ujawnianie sposobów zabezpieczeń danych osobowych. Osoba ujawniająca sposoby zabezpieczeń może zostać pociągnięta do odpowiedzialności karnej za przestępstwo z art. 266 § 1 KK, czyli ujawnienie lub wykorzystywanie wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu informacji, z którą zapoznała się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, zagrożonego grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Ponadto, jest możliwość kumulatywnego zbiegu przestępstw określonych w art. 51 ust. 1 OchrDanOsobU oraz art. 266 § 1 i 2 KK.
Podsumowanie
OchrDanOsobU ustanawia tajemnicę funkcyjną – upoważnionego do przetwarzania danych osobowych. Bezsporne jest, że osoby upoważnione mają obowiązek zachowania w tajemnicy zarówno danych osobowych, jak i informacji o sposobach, w jakich są zabezpieczone. Nie można jednak mówić o obowiązku zachowania poufności wynikającym z OchrDanOsobU przez osoby upoważnione, ale wykonujące operacje na innych danych niż określone w upoważnieniu, bowiem przepis precyzyjnie konstruuje przedmiot tajemnicy51. Podobnie wygląda sytuacja osób nieupoważnionych w ogóle do przetwarzania danych osobowych, a dokonujących tych czynności lub mających dostęp do informacji o sposobie, w jaki są te dane osobowe zabezpieczane. Osoby te również nie będą objęte obowiązkiem zachowania tajemnicy wynikającym z art. 39 ust. 2 OchrDanOsobU. Bezpośrednio tajemnicą nie jest również związany administrator danych, osoby fizyczne reprezentujące administratora danych lub osoby reprezentujące podmiot przetwarzający dane na zlecenie administratora danych, bowiem konstrukcja tajemnicy jest związana ściśle z nadaniem upoważnienia52. Osoby będące administratorami danych lub reprezentujące administratora danych osobowych nie posiadają upoważnienia administratora, bowiem niemożliwe jest wydanie upoważnienia do przetwarzania danych osobowych samemu sobie, wydaje się więc, że takie upoważnienie posiadają z mocy prawa, ponadto są obowiązane do ochrony danych osobowych, w szczególności przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną53. Ustawodawca nie używa pojęć „upoważniona” i „uprawniona” zamiennie, czego przykładem jest obowiązek zabezpieczenia danych przed udostępnieniem osobom nieupoważnionym oraz zabraniem przez nieuprawnione. Odmiennie na temat tajemnicy określonej w Ochr­DanOsobU wyraził się NSA54 wskazując, że OchrDan­OsobU stanowi w art. 39 ust. 2, iż osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia, jednak na podstawie tej regulacji nie można konstruować generalnej tezy, że dane osobowe stanowią tajemnicę ustawowo chronioną na podstawie powyższej regulacji. Należy zwrócić uwagę, że art. 39 ust. 2 OchrDanOsobU adresowany jest do „osób, które zostały upoważnione do przetwarzania danych”, przy czym kategoria „osób, które zostały upoważnione do przetwarzania danych” nie jest tożsama z pojęciem administratorów danych osobowych. NSA wskazał także, że z regulacji należy wyprowadzić wniosek, iż obowiązek zachowania w tajemnicy danych osobowych ciążący na „osobach, które zostały upoważnione do przetwarzania danych” jest unormowaniem, które nie określa charakteru prawnego danych osobowych jako danych objętych tajemnicą ustawową, a ma walor regulacji dotyczącej sposobu zachowania się osób, które „technicznie” dokonują przetwarzania tych danych z upoważnienia administratora danych osobowych. Ocena konstrukcji tajemnicy osoby upoważnionej do przetwarzania danych osobowych wypada niekorzystnie. W obecnym brzmieniu art. 39 ust. 2 i art. 51 OchrDanOsobU budzą wątpliwości interpretacyjne i są oceniane w doktrynie negatywnie. Tajemnicę określoną w art. 39 ust. 2 OchrDanOsobU należałoby skonstruować inaczej. Przychylając się do wskazanych powyżej poglądów P. Fajgielskiego, właściwe byłoby zastąpienie zwrotu „osobom upoważnionym” zwrotem „osobom uprawnionym”. Pozwoliłoby to na objęcie tajemnicą administratora danych lub osób go reprezentujących, podmiotów, którym administrator powierzył przetwarzanie danych osobowych lub też osób reprezentujących podmiot, którym administrator powierzył przetwarzanie danych osobowych, GIODO, zastępcy GIODO czy pracowników Biura GIODO będących inspektorami upoważnionymi do przeprowadzenia kontroli. Celowe byłoby również sformułowanie definicji legalnej osoby uprawnionej lub też ustalenie katalogu podmiotów uprawnionych. Zmian wymagają również przepisy karne ustawy. Uregulowanie w ustawie odpowiedzialności karnej osób uprawnionych, nie tyko upoważnionych, za udostępnienie danych osobowych, penalizacja udostępnienia informacji o sposobach zabezpieczenia danych osobowych, a także przetwarzania danych osobowych poza zbiorem. Występujące obecnie w doktrynie wątpliwości interpretacyjne zredukowałoby zastąpienie w art. 51 ust. 1 OchrDan­OsobU zwrotu w liczbie mnogiej „osobom nieupoważnionym” na określenie w liczbie pojedynczej „osobie nieuprawnionej”. Tym samym dla realizacji znamion czynu z art. 51 ust. 1 OchrDanOsobU wystarczające byłoby udostępnienie lub umożliwienie dostępu do danych jednej osobie. Regulacja prawna tajemnicy upoważnionych do przetwarzania danych osobowych wymaga również uzupełnienia w zakresie wskazania wyraźnych wyjątków od obowiązku zachowania tajemnicy, co zredukowałoby niepewność przy stosowaniu art. 39 ust. 2 OchrDanOsobU. Ponadto rozważając ochronę danych osobowych na gruncie innych ustaw niż OchrDanOsobU należy zaznaczyć, że ustawodawca przyjął zasadę rozstrzygania zbiegu norm na korzyść tych, które przewidują wyższy poziom ochrony danych osobowych. Co za tym idzie, OchrDanOsobU nie narusza przepisów innych ustaw wprowadzających tajemnice zawodowe, przedsiębiorstwa, handlowe, bankowe, maklerskie, ubezpieczeniowe i inne. Jeśli więc przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę niż wynika to z OchrDanOsobU, stosuje się przepisy tych ustaw. Summary: Duty of confidentiality of a party authorized to process personal data The legal regulation for personal data protection has been established to protect the values colliding with freedom of information, and therefore it restricts publicity. References to the duty of confidentiality with respect to personal data may be found in various regulations concerning legally protected secrecies, though the Personal Data Protection Act of 29 August 1997 itself does not directly provide for an independent “personal data secrecy”, at the same time in Art. 39.2 obliging the parties authorized to process personal data to keep the secrecy and protect personal data, which allows for reconstructing the duty of confidentiality of a party authorized to process personal data. However, in their current wording, Art. 39.2 and Art. 51 of the Personal Data Protection Act arouse interpretational doubts and are negatively evaluated by the doctrine. Concurring with the views of P. Fajgielski it would be appropriate to replace the term “parties authorized to” with “parties empowered to” in Art. 39.2 of the Personal Data Protection Act. Also penal provisions of the Act require amendments, in particular in Art. 51 of the Personal Data Protection Act the term in plural “parties unauthorized to” should be replaced with the term in singular “a party not empowered to”.
  1. T. jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.; dalej jako: OchrDanOsobU.

  2. T. jedn.: Dz.U. z 2014 r. poz. 782 ze zm.; dalej jako: DostInfPubU.

  3. Słownik języka polskiego, dostępny na: http://sjp.pwn.pl/szukaj/tajemnica.html sprawdzono: 19.9.2015 r.

  4. G. Gryszczyńska, Struktura regulacji tajemnic ustawowo chronionych [w:] Jawność i jej ograniczenia. T. VI. Struktura tajemnic, pod red. A. Gryszczyńskiej, Warszawa 2014, s. 184.

  5. G. Szpor, C. Martysz, K. Wojsyk, Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne. Komentarz, Warszawa 2015, s. 48–49.

  6. G. Szpor, Znaczenie jawności i jej ograniczeń dla realizacji zadań publicznych [w:] Organizacja administracji publicznej z perspektywy powierzonych jej zadań, pod red. T. Bąkowskiego, Warszawa, 2015, s. 163–177.

  7. Wyrok NSA z 25.4.2014 r., I OSK 2499/13, Legalis.

  8. Proponowana metoda podziału nie jest jednak do końca jasna. W. Góralczyk zwraca bowiem uwagę, że tajemnica prywatnoprawna ma źródło w umowie i jest skuteczna między stronami, ewentualnie jej naruszenie zrodzi odpowiedzialność prywatnoprawną, a nie będzie skuteczne zastrzeżenie jej wobec organów władzy publicznej. W. Góralczyk, Tajemnica bankowa [w:] Prawo informacji – prawo do informacji, po red. W. Góralczyka, Warszawa 2006, s. 248. Odmiennie M. Jaśkowska uważa, że materialną przesłanką wyodrębnienia tajemnicy prywatnoprawnej jest zawsze ustawa, a dopiero w jej wykonaniu umowa. Por. M. Jaśkowska, Materialne i formalne przesłanki tajemnic publicznoprawnych chronionych [w:] Jawność i jej ograniczenia. T. IV. Znaczenie orzecznictwa, pod red. M. Jaśkowskiej, Warszawa 2014, s. 2.

  9. G. Sibiga, Tajemnica osoby upoważnionej do przetwarzania danych osobowych – skuteczność ochrony informacji [w:] Ochrona danych osobowych. Skuteczność regulacji, pod red. G. Szpor, Warszawa 2009, s. 235–236.

  10. „§ 1. Osoby obowiązane do zachowania w tajemnicy informacji niejawnych o klauzuli tajności »zastrzeżone« lub »poufne« lub tajemnicy związanej z wykonywaniem zawodu lub funkcji mogą odmówić zeznań co do okoliczności, na które rozciąga się ten obowiązek, chyba że sąd lub prokurator zwolni te osoby od obowiązku zachowania tajemnicy, jeżeli ustawy szczególne nie stanowią inaczej”.

  11. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 32.

  12. Dostępna na: www.giodo.gov.pl/230/id_art/673/j/pl/

  13. G. Sibiga, Tajemnica osoby upoważnionej... [w:] op. cit., s. 238. Według autora, w aspekcie formalnym upoważnienie jest odrębne od stosunku prawnego, łączącego osobę przetwarzającą dane z administratorem, choć upoważnienie odnosi się wyłącznie do osób podległych administratorowi. Dlatego też, w ocenie autora, zasadne jest zakwalifikowanie tajemnicy osoby upoważnionej jako tajemnicy funkcyjnej (w rozumieniu funkcji jako „pracy, obowiązku, które ktoś ma wykonać, stanowiska”). Zob. M. Rusinek, Tajemnica zawodowa i jej ochrona w polskim procesie karnym, Warszawa 2007, s. 20.

  14. Do środków organizacyjnych należy zaliczyć: obowiązek prowadzenia dokumentacji przetwarzania danych osobowych (art. 36 ust. 2 OchrDanOsobU), wyznaczenie administratora bezpieczeństwa informacji (art. 36a ust. 1 OchrDanOsobU), dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających stosowne upoważnienie (art. 37 OchrDanOsobU), obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 OchrDanOsobU), a także prowadzenie ewidencji osób upoważnionych do przetwarzania danych (art. 39 ust. 1 OchrDanOsobU). Natomiast środki techniczne zostały szczegółowo opisane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024).

  15. P. Litwiński, Obowiązek zabezpieczenia danych osobowych [w:] Ochrona danych osobowych w ogólnym postępowaniu administracyjnym, Warszawa 2009, s. 262.

  16. Wyrok NSA z 4.3.2002 r., II SA 3144/01, Legalis.

  17. Por. G. Sibiga, Tajemnica osoby upoważnione... [w:] op. cit., s. 239.

  18. A. Drozd, Zabezpieczenie danych osobowych, Wrocław 2008, s. 27.

  19. Osoby nieupoważnione objęte mogą być np. tajemnicą przedsiębiorstwa. Art. 11 ust. 4 ustawy z 16.4.1993 r. o zwalczaniu nieuczciwej konkurencji (t. jedn.: Dz.U. z 2003 r. Nr 153, poz. 1503 ze zm.) stanowi, że przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności.

  20. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych…, 2015, op. cit., s. 573.

  21. Dz.Urz. L Nr 281 z 23.11.1995 r., s. 31.

  22. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych…, 2015, op. cit., s. 573.

  23. I OSK 1279/05, Legalis.

  24. W przypadku administratora danych osobowych, ustawa nakłada na niego obowiązek przestrzegania przepisów o ochronie danych osobowych, a podmiot, któremu administrator danych powierzył przetwarzanie danych osobowych, został zobowiązany przed rozpoczęciem przetwarzania powierzonych danych osobowych do zastosowania odpowiednich środków technicznych i organizacyjnych w celu ich zabezpieczenia.

  25. A. Gryszczyńska, Tajemnica prokuratorska, MoP Nr 10/2014, s. 549–550; J. Kurek, Tajemnice zawodów prawniczych. Tajemnica radcy prawnego, MoP Nr 24/2013, s. 1334–1335.

  26. A. Gryszczyńska, Struktura regulacji tajemnic… [w:] op. cit., s. 185.

  27. A. Kunicka-Michalska, Ochrona tajemnicy zawodowej w polskim prawie karnym, Warszawa 1972, s. 5–7.

  28. G. Sibiga, Tajemnica osoby upoważnionej… [w:] op. cit., s. 241.

  29. Ibidem, s. 241.

  30. P. Fajgielski, Informacja w administracji publicznej. Prawne aspekty gromadzenia, udostępniania i ochrony, Wrocław 2007, s. 115 oraz P. Fajgielski, Obowiązek zachowania tajemnicy w świetle przepisów ustawy o ochronie danych osobowych [w:] Jawność i jej ograniczenia. T. VI, op. cit., s. 179; podobnie G. Sibiga, Tajemnica osoby upoważnionej… [w:] op. cit., s. 241.

  31. P. Fajgielski, Obowiązek zachowania tajemnicy… [w:] Jawność i jej ograniczenia. T. VI.., op. cit., s. 180.

  32. Ustawą z 22.1.2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe, Dz.U. Nr 33, poz. 285.

  33. Podział na tajemnicę służbową i państwową został zniesiony ustawą z 5.8.2010 r. o ochronie informacji niejawnych (t. jedn.: Dz.U. Nr 182, poz. 1228; dalej jako: OchrInfU), która zastąpiła wielokrotnie nowelizowaną ustawę z 22.1.1991 r. o ochronie informacji niejawnych (t. jedn.: Dz.U. z 2005 r. Nr 196, poz. 1631 ze zm.). Na gruncie obecnie obowiązującej ustawy wiadomości te są informacjami niejawnymi.

  34. Uchylony art. 13 ust. 2 OchrDanOsobU.

  35. G. Sibiga, Ochrona danych osobowych a tajemnice prawnie chronione [w:] 15- lecie ustawy o ochronie danych osobowych, pod red. M. Kałużyńskiej-Jasak, Warszawa 2013, s. 56.

  36. P. Fajgielski, Obowiązek zachowania tajemnicy… [w:] Jawność i jej ograniczenia. T. VI, op. cit., s. 180.

  37. Postanowienie SN z 11.12.2000 r., II KKN 438/00, OSNKW Nr 3–4/2001, poz. 33; Biul. SN Nr 2/2001.

  38. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych…, 2015, op. cit., s. 639.

  39. W. Zimny, Legalność ustanowienia, relacja do Administratora danych i rola Administratora bezpieczeństwa informacji, „Biuletyn Administratorów Bezpieczeństwa Informacji: Ochrona Danych Osobowych” Nr 1/2000, s. 7.

  40. Art. 9 ustawy z 7.11.2014 r. o ułatwieniu wykonywania działalności gospodarczej, Dz.U. poz. 1662.

  41. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2007, s. 669–670.

  42. Postanowienie SN z 11.12.2000 r., zob. przyp. 39.

  43. Art. 266 § 1 KK: „Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
    § 2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację niejawną o klauzuli »zastrzeżone« lub »poufne« lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes, podlega karze pozbawienia wolności do lat 3”.

  44. Art. 231 § 1: „Funkcjonariusz publiczny, który, przekraczając swoje uprawnienia lub nie dopełniając obowiązków, działa na szkodę interesu publicznego lub prywatnego, podlega karze pozbawienia wolności do lat 3. (…)
    § 3. Jeżeli sprawca czynu określonego w § 1 działa nieumyślnie i wyrządza istotną szkodę, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.

  45. Wyrok SN z 12.2.2008 r., WA 1/08, OSNKW Nr 4/2008, poz. 31.

  46. Postanowienie SN z 21.11.2007 r., IV KK 376/07, Legalis.

  47. Glosa do postanowienia SN z 21.11.2007 r., IV KK 376/07, KZS Nr 11/2008, poz. 47.

  48. Uchwała SN z 21.11.2001 r., I KZP 26/01, OSNKW Nr 1–2/2002, poz. 4.

  49. P. Fajgielski, Obowiązek zachowania tajemnicy… [w:] Jawność i jej ograniczenia. T. VI, op. cit., s. 180.

  50. Przykładowo, komornik do numeru rachunku bankowego dłużnika.

  51. G. Sibiga, Tajemnica osoby upoważnionej… [w:] op. cit., s. 239.

  52. P. Fajgielski, Obowiązek zachowania tajemnicy… [w:] Jawność i jej ograniczenia. T. VI, op. cit., s. 170.

  53. Art. 36 ust. 1 OchrDanOsobU.

  54. Wyrok NSA z 20.4.2014 r., I OSK 2499/13, Legalis.