Monitor Prawniczy

nr 12/2004

Zmiany w ustawie o ochronie danych osobowych w świetle Dyrektywy 95/46/WE

Xawery Konarski
adwokat, starszy partner Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Informatyki i Telekomunikacji (PIIT).
Grzegorz Sibiga
Autor jest adiunktem w Zakładzie Prawa Administracyjnego w Instytucie Nauk Prawnych PAN w Warszawie.
Abstrakt

Z dniem 1.5.2004 r. weszła w życie, największa z dotychczasowych, nowelizacja ustawy o ochronie danych osobowych1. Celem niniejszego opracowania jest omówienie wprowadzonych zmian, w szczególności w kontekście ich zgodności z właściwymi przepisami unijnymi.

Cele nowelizacji

Uchwalenie nowelizacji ustawy z 29.8.1997 r. o ochronie danych osobowych2 stanowi realizację dwóch celów:

- dalszego dostosowania niektórych przepisów ustawy do Dyrektywy Parlamentu Europejskiego i Rady 95/46/WE z 24.10.1995 r. o ochronie jednostek w związku z przetwarzaniem danych osobowych i swobodnym obrotem tymi danymi3,

- wprowadzenia zmian podyktowanych doświadczeniami zebranymi przez Generalnego Inspektora Ochrony Danych Osobowych (dalej jako: „GIODO” bądź „Generalny Inspektor”) w procesie stosowania OchronaDanychU4.

Do grupy przepisów „europejskich” zaliczyć należy przepisy dotyczące: zakresu przedmiotowego i podmiotowego ustawy (art. 2 ust. 2, art. 3, art. 3a), przesłanek dopuszczalności przetwarzania danych (art. 23 ust. 1), obowiązków informacyjnych (art. 24-25), praw osób, których dane dotyczą (art. 32 ust. 1), zabezpieczenia danych osobowych (art. 36-39a), rejestracji zbiorów danych (art. 41 ust. 1) oraz transgranicznego przepływu danych (art. 47-48). Nie w każdym przypadku polski ustawodawca wiernie przejął rozwiązania unijne, co będziemy wykazywać w dalszej części opracowania.

Drugą grupę stanowią przepisy autonomiczne, których uchwalenie pozostaje bez związku z procesem dostosowania prawa. Do tej grupy zaliczymy przepisy: wyznaczające kompetencje kontrolne i decyzyjne GIODO (art. 12a-15, art. 18), regulujące zagadnienie udostępnienia danych nie w celu włączenia do zbioru (art. 29-30), wprowadzające nowe zasady przy powierzeniu przetwarzania danych (art. 31) oraz dotyczące rejestracji zbiorów danych (art. 43 ust. 1, art. 44-44a).

Zmiany nie ograniczają się do samej ustawy, dotychczasowe rozporządzenia wykonawcze przestały obowiązywać z dniem 1 maja br., a w ich miejsce przewidziano wydanie 3 aktów wykonawczych5. W znowelizowanej ustawie zawarte zostały bowiem nowe delegacje (art. 22a, 39a oraz 46a), a uchylono dotychczasowe (por. art. 45). Wydane w wykonaniu delegacji rozporządzenia nie regulują jednak żadnej nowej materii, ale jedynie zastępują poprzednie przepisy wykonawcze.

Zakres przedmiotowy i podmiotowy stosowania ustawy

1. Zakres przedmiotowy

Zmiana art. 2 ust. 2 miała usunąć wątpliwości dotyczące przedmiotowego zakresu stosowania ustawy. Chodzi o zagadnienie, czy ustawie podlega jedynie przetwarzanie danych osobowych zawartych w zbiorach danych6. W nowelizacji przyjęto rozwiązanie zbliżone do zapisu z art. 16 ust. 2 ustawy z 18.7.2002 r. o świadczeniu usług drogą elektroniczną7, uniezależniając ochronę danych w systemie informatycznym od ich przetwarzania w zbiorze danych.

Analiza obecnego brzmienia ust. 2 prowadzi do wniosku, iż ustawę stosuje się:

- przy przetwarzaniu w systemie informatycznym - do pojedynczych danych osobowych oraz danych zawartych w zbiorach,

- w przypadku tradycyjnych metod przetwarzania danych - tylko do danych znajdujących się w zbiorach danych (zbiorach ewidencyjnych rozumieniu art. 2 ust. 2 pkt 1 OchronaDanychU).

O ile sytuacja jest jednoznaczna dla systemu informatycznego, to nadal problemem w konkretnych sprawach może być precyzyjne wskazanie granic stosowania ustawy przy tradycyjnych formach przetwarzania. Wyznaczenie zakresu przedmiotowego powinno się bowiem odbywać z uwzględnieniem art. 2 ust. 1, który odnosi się także do danych, które „mogą być przetwarzane w zbiorach danych” (nie zaś tylko do danych zawartych w zbiorach). Nadal aktualna pozostaje teza postanowienia SN z 11.12.2000 r.8, który stwierdził, iż dane osobowe korzystają z ochrony przewidzianej ustawą już wówczas, jeżeli tylko mogą znaleźć się w zbiorze danych, bez względu na to, czy się w nim ostatecznie znalazły: „rzecz bowiem w tym, że każdy ma prawo do ochrony dotyczących go danych osobowych (art. 1 ust. 1), a nie tylko ten, czyje dane znalazły się już w zbiorze”.

Niezależnie od zasad określonych w art. 2 niektóre przepisy ustawy uzależniają swoje stosowanie od faktu prowadzenia (bądź też nieprowadzenia) zbioru danych osobowych. Do pierwszej grupy zaliczymy przepisy o uprawnieniach podmiotu danych (art. 32-35) oraz rejestracji zbioru (art. 40-46), do drugiej - regulację dotyczącą udostępnienia danych (art. 29).

2. Zakres podmiotowy

W art. 3 pozostawiono, w nieco zmodyfikowanej formie, podział na podmioty ze sfery publicznej i prywatnej. Jego konsekwencją jest jednak tylko zróżnicowanie obowiązków informacyjnych (por. art. 25 ust. 1 pkt 5).Wyliczenie z art. 3 ma znaczenie z innego powodu - odwołano się do niego w definicji „administratora danych” (por. art. 7 pkt 4), który jest głównym podmiotem obowiązków związanych z przetwarzaniem danych osobowych9.

W ramach ZmOchronaDanychU w sposób istotny zmieniono natomiast przesłanki zastosowania polskiej ustawy do „administratorów zagranicznych” (art. 3 ust. 2 pkt 2)10. W dotychczasowym stanie prawnym warunkami stosowania OchronaDanychU było posiadanie siedziby (miejsca zamieszkania) na terytorium Polski lub przetwarzanie danych osobowych przy użyciu środków technicznych znajdujących się na tym terytorium. Drugi warunek odnosił się do wszystkich [...]