Ustawa o ochronie danych osobowych

Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U. Nr 133, poz. 883), tekst jednolity z dnia 17 czerwca 2002 r. (Dz.U. Nr 101, poz...
3 downloads 2 Views 701KB Size
Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U. Nr 133, poz. 883), tekst jednolity z dnia 17 czerwca 2002 r. (Dz.U. Nr 101, poz. 926) (zm.: Dz.U. 2011, Nr 230, poz. 1371; Dz.U. 2010, Nr 41, poz. 233, Nr 182, poz. 1228, Nr 229, poz. 1497; Dz.U. 2007, Nr 165, poz. 1170, Nr 176, poz. 1238; Dz.U. 2006, Nr 104, poz. 708, poz. 711; Dz.U. 2004, Nr 25, poz. 219, Nr 33, poz. 285; Dz.U. 2002, Nr 153, poz. 1271)

Rozdział 1. Przepisy ogólne Wprowadzenie 1. Cel ochrony danych osobowych. Celem publicznoprawnej 1 ochrony danych osobowych jest zagwarantowanie możliwości podejmowania decyzji w sferze informacji przez jednostkę, której te informacje dotyczą, a zarazem zapewnienie realizacji prawnie chronionego prawa jednostki do prywatności i intymności. Ochrona danych osobowych stawia sobie za cel wzmocnienie autonomii jednostki w realizacji przysługujących jej praw, w szczególności prawa do prywatności, za pomocą procedur o charakterze organizacyjnym i za pomocą środków technicznych [M. T. Tinnenfeld, Ochrona danych – kamień węgielny budowy Europy, w: Ochrona danych osobowych (red. M. Wyrzykowski), Warszawa 1999, s. 35–39]. Jednocześnie uwzględnić należy niewątpliwy konflikt chronionych przez prawo wartości, do którego dochodzi na styku prawa jednostki do ochrony informacji o niej samej oraz przysługującej każdemu wolności gromadzenia i przetwarzania informacji (G. Sibiga, Postępowanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 16). 

Tekst jednolity ogłoszono dnia 6.07.2002 r. Odnośnik dodany ustawą z dnia 24.08.2007 r. (Dz.U. Nr 176, poz. 1238), która wchodzi w życie 10.10.2007 r. Treść odnośnika publikujemy na końcu ustawy. 



Przed Art. 1

A. Komentarz

2

2. Pierwszy akt prawny chroniący dane osobowe. W skali międzynarodowej, za pierwszy akt prawny z dziedziny ochrony danych osobowych uznaje się Konwencję Nr 108 Rady Europy z 28.1.1981 r. o ochronie osób ze względu na automatyczne przetwarzanie danych o charakterze osobowym. Postanowienia konwencji oddziałują jednak jedynie w sferze publicznoprawnej, nie wywołują natomiast żadnych skutków prawnych bezpośrednio po stronie obywateli państw, które ją ratyfikowały (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 71; por. także A. Mednis, Ochrona danych osobowych w konwencji Rady Europy i dyrektywie Unii Europejskiej, PiP 1997, Nr 6, s. 31).

3

3. Pierwsza na świecie ustawa o ochronie danych osobowych. Ustawodawstwo wewnętrzne państw-stron Konwencji uchwalone po jej przyjęciu okazało się w praktyce bardzo zróżnicowane. Pierwsza na świecie ustawa o ochronie danych osobowych uchwalona została w 1970 r. przez parlament krajowy kraju związkowego Hesji, a pierwszą ustawą na szczeblu krajowym była ustawa szwedzka z 1973 r.

4

4. Dyrektywa o ochronie danych osobowych. W ramach instytucji Unii Europejskiej prowadzone były od 1990 r. prace mające na celu opracowanie projektu dyrektywy dotyczącej ochrony danych osobowych. W ich rezultacie przyjęto dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz.Urz. WE L Nr 281, s. 31). Dyrektywa, jako akt prawa wtórnego Unii Europejskiej wiąże – podobnie jak Konwencja Nr 108 Rady Europy – państwa członkowskie Unii w odniesieniu do rezultatu, który ma być osiągnięty, pozostawia jednak organom krajowym swobodę wyboru formy i środków stosowanych w tym celu [S. Biernat, w: Prawo Unii Europejskiej (red. J. Barcz), Warszawa 2004, s. 212].

5

5. Akty międzynarodowe o ochronie danych osobowych. Akty prawne rangi międzynarodowej odnoszące się do ochrony danych osobowych są stosowane do przetwarzania danych osobowych tak w sektorze prywatnym, jak i w sektorze publicznym (por. L. A. Bygrave, Data Protection Law. Approaching Its Rationale, Logic and Limits, Haga–Londyn–Nowy Jork 2002, s. 53). W szczególności samo pojęcie administratora danych osobowych, definiowane w art. 2 pkt d dyrektywy 95/46/WE, obejmuje także podmioty ze sfery prawa publicznego 

Rozdział 1. Przepisy ogólne

Przed Art. 1

– w definicji wyraźnie wymieniono „urzędy publiczne, agendy lub inne organy” (cyt. za: J. Barta, P. Fajgielski, R. Markiewicz, Ochrona, 2004, s. 864; oficjalny tekst dyrektywy w języku angielskim posługuje się zwrotem public authority, agency or any other body). Co więcej, także pojęcia podmiotu przetwarzającego dane osobowe na zlecenie, podmiotu trzeciego, a także odbiorcy danych, zdefiniowane zostały z wykorzystaniem tego samego zwrotu, tak więc zakres tych pojęć obejmuje także podmioty należące do szeroko pojmowanego sektora publicznego. Stanowisko to zostało potwierdzone przez Trybunał Sprawiedliwości Unii Europejskiej w wyr. z 20.5.2003 r., C-465/00, C-138/01 oraz C-139/01, Rechnungshof przeciwko Österreichischer Rundfunk i innym oraz Christa Neukomm i Joseph Lauermann przeciwko Österreichischer Rundfunk, Zb. Orz. 2003, s. 4989, w którym Trybunał przyjął, że zastosowanie przepisów dyrektywy 95/46/WE nie może zostać w konkretnej sprawie uzależnione od tego, czy stan faktyczny, leżący u podstaw stosowania dyrektywy, pozostaje w związku z którąkolwiek z podstawowych swobód gwarantowanych przez Traktat ustanawiający Wspólnotę Europejską (Traktat o utworzeniu Europejskiej Wspólnoty Gospodarczej zawarty w Rzymie 25.3.1957 r.), w szczególności ze swobodą przepływu osób pomiędzy państwami Unii Europejskiej. Jednocześnie Trybunał podkreślił, że postanowienia dyrektywy znajdują pełne zastosowanie do przetwarzania danych osobowych przez organy administracji państw członkowskich Unii Europejskiej (P. J. Hustinx, Data Protection and Security in European Union, referat wygłoszony w trakcie 14 Forum Ochrony Danych Osobowych, 23.6.2005, Wiesbaden 2005, s. 3). 6. Rozporządzenie Nr 45/2001. W ramach samej Unii Europej- 6 skiej, jej organy zobowiązane są dodatkowo do przestrzegania postanowień rozporządzenia Nr 45/2001 Parlamentu Europejskiego i Rady z 18.12.2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.Urz. WE L z 2001 r. Nr 8, s. 1). Rozporządzenie stanowi wykonanie obowiązku, o jakim mowa w art. 16 TFUE (dawny art. 286 TWE), a jednocześnie nie wywiera wpływu na prawa i obowiązki państw członkowskich Unii Europejskiej wynikające z dyrektywy 95/46/WE. 7. Odstępstwa od postanowień dyrektywy 95/46/WE. Postano- 7 wienia dyrektywy 95/46/WE nie wyznaczają minimalnego standardu 

Przed Art. 1

A. Komentarz

ochrony danych osobowych, lecz służą zarówno ochronie osób fizycznych, jak i zapewnieniu swobodnego przepływu danych osobowych. Dlatego ustawodawca krajowy nie powinien odstępować od postanowień dyrektywy, jeżeli ona sama nie dopuszcza takich odstępstw (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2004, s. 15). 8

8. Projekt nowego rozporządzenia o ochronie danych. W czasie, gdy przygotowywane jest do druku to wydanie komentarza, trwają prace nad projektem rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych). Projekt rozporządzenia opublikowany został oficjalnie przez Komisję Europejską w dniu 25.1.2012 r. Wśród proponowanych zmian na plan pierwszy wybija się zmiana formy prawnej z dyrektywy na rozporządzenie, które zacznie obowiązywać bezpośrednio w systemie prawnym państw członkowskich Unii Europejskiej. Kształt poszczególnych instytucji uregulowanych w rozporządzeniu jest obecnie w fazie ustalania (por. szerzej na ten temat W. R. Wiewiórkowski, Nowe ramy ochrony danych osobowych w Unii Europejskiej, MoP 2012, Nr 7).

9

9. Ochrona danych osobowych w Konstytucji RP. W polskim systemie prawnym, ochrona danych osobowych wywodzi się z przepisów Konstytucji RP – w art. 47 Konstytucja RP gwarantuje każdemu prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym, natomiast w art. 51 Konstytucji RP zawarte zostały bezpośrednie gwarancje ochrony danych osobowych (G. Sibiga, Postępowanie, s. 22). Należy wśród nich wymienić: a) prawo do samodzielnego decydowania każdej osoby o ujawnianiu dotyczących jej informacji, b) prawo każdej osoby do sprawowania kontroli nad informacjami na swój temat, gwarantowane prawem dostępu do dotyczących jej urzędowych dokumentów i zbiorów danych, c) prawo do weryfikowania lub żądania usunięcia danych osobowych (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona, 2004, s. 120–122).

10

10. Ustawa o ochronie danych osobowych. W art. 51 ust. 5 Konstytucji RP zawarto zapowiedź uchwalenia ustawy regulującej „zasa

Rozdział 1. Przepisy ogólne

Przed Art. 1

dy i tryb gromadzenia oraz udostępniania informacji”. Jak powszechnie przyjmuje się w nauce prawa [por. A. Mednis, Ochrona prawna danych osobowych a zagrożenia prywatności – rozwiązania polskie, w: Ochrona (red. M. Wyrzykowski), s. 168; B. Kurzępa, Przestępstwa z ustawy o ochronie danych osobowych, Prok. i Pr. 1999, Nr 6, s. 45], wykonaniem tej zapowiedzi stało się uchwalenie ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.). Ustawa przyjęta została również w wykonaniu zobowiązania zapewnienia przez Rzeczpospolitą Polską zgodności jej przyszłego ustawodawstwa z ustawodawstwem unijnym, stosownie do treści art. 68 Układu Europejskiego, ustanawiającego stowarzyszenie między Rzeczpospolitą Polską a Unią Europejską i jej Państwami Członkowskimi, sporządzonego 16.12.1991 r. (Dz.U. z 1994 r. Nr 11, poz. 38 ze zm.). W chwili uchwalenia ustawy nie można było jednak mówić o jej zgodności z dyrektywą 95/46/WE, a co za tym idzie, ustawa w pierwotnym brzmieniu nie mogła zostać uznana za implementację dyrektywy. Z tego względu konieczne stały się jej dwie istotne nowelizacje, dokonane w 2001 i 2004 r. 11. Rozporządzenia wykonawcze. Na przepisy o ochronie danych 11 osobowych sensu stricto (G. Sibiga, Postępowanie, s. 26) składają się, oprócz przepisów ustawy o ochronie danych osobowych, także wydane na jej podstawie i w celu wykonania jej przepisów rozporządzenia wykonawcze: a) rozporządzenie Prezydenta Rzeczypospolitej Polskiej z 10.10.2011 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. Nr 225, poz. 1350), b) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024), c) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 11.12.2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 229, poz. 1536), d) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 22.4.2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. Nr 94, poz. 923 ze zm.). 

Art. 1

12

A. Komentarz

12. Przepisy prawa materialnego i procesowego dotyczące przetwarzania i ochrony danych osobowych. Można wyróżnić przepisy o ochronie danych osobowych sensu largo, na które składają się inne, rozproszone w wielu ustawach, przepisy prawa materialnego i procesowego dotyczące przetwarzania i ochrony danych osobowych (G. Sibiga, Postępowanie, s. 27). Zawsze wtedy gdy przepis odrębnej ustawy odnoszący się do przetwarzania danych osobowych będzie przewidywał dalej idącą ochronę, niżby to wynikało z przepisów ustawy o ochronie danych osobowych, powstanie normatywny, bo wynikający z art. 5 OchrDanOsU, obowiązek zastosowania przepisu ustaw szczególnej (por. A. Drozd, Ustawa, s. 33).

Art. 1. [Prawo do ochrony] 1. Każdy ma prawo do ochrony dotyczących go danych osobowych. 2. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. 1

1. Ochrona prywatności informacyjnej. Jednym z aspektów prawa do prywatności, którego wyspecjalizowaną postać stanowi ochrona danych osobowych [M. Safjan, Granice autonomii informacyjnej, w: Ochrona (red. M. Wyrzykowski), s. 10], jest ochrona tzw. prywatności informacyjnej, na którą składa się uprawnienie jednostki do kontrolowania treści i obiegu informacji, które tej jednostki dotyczą (A. Mednis, Ochrona prawna danych, s. 167). W orzecznictwie sądowym zasadę autonomii informacyjnej sformułowano po raz pierwszy w orzecznictwie niemieckim. W wyroku niemieckiego Federalnego Trybunału Konstytucyjnego z 15.12.1983 r. (1BvR 209/83) Trybunał przyjął, że „w warunkach nowoczesnego przetwarzania danych”, Konstytucja Republiki Federalnej Niemiec chroni jednostkę przed „nieograniczonym gromadzeniem, używaniem i przekazywaniem jej danych osobowych”. Konstytucja gwarantuje również „prawo jednostki do zasadniczo samodzielnego stanowienia o ujawnianiu i używaniu jej danych osobowych”. Trybunał Federalny zwrócił także uwagę na możliwości ograniczenia prawa do „informacyjnego samostanowienia” – ograniczenia tego prawa dopuszczalne są jednak wyłącznie, gdy 

Rozdział 1. Przepisy ogólne

Art. 1

przeważa interes ogółu, przy zachowaniu zasady proporcjonalności. Jednocześnie, jak podkreślił Trybunał, prawo do „informacyjnego samostanowienia” nie jest zapewnione bez granic. Jednostka nie dysponuje prawem w rozumieniu bezwzględnego, niedającego się niczym ograniczyć panowania nad „swoimi” danymi. 2. Ochrona życia prywatnego w Konstytucji RP. Dorobek nie- 2 mieckiego Federalnego Trybunału Konstytucyjnego został w istotnej części przejęty w orzecznictwie polskiego Trybunału Konstytucyjnego – zgodnie z ustalonym orzecznictwem Trybunału ochrona życia prywatnego, gwarantowana konstytucyjnie co do zasady w art. 47 Konstytucji RP, obejmuje sobą także autonomię informacyjną, rozumianą przez Trybunał jako prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami, jeżeli znajdują się w posiadaniu innej osoby (wyr. TK z 19.2.2002 r., U 3/01, OTK-A 2002, Nr 1, poz. 3). 3. Zasada autonomii informacyjnej. Szczegółowy zakres upraw- 3 nień wchodzących w zakres zasady autonomii informacyjnej może zostać określony na podstawie wielu orzeczeń Trybunału Konstytucyjnego. Trybunał przyznaje podstawowe znaczenie woli osoby, której dotyczą informacje i dane. Stwierdził, że „istota autonomii informacyjnej każdego człowieka sprowadza się do pozostawienia każdej osobie swobody w określeniu sfery dostępności dla innych wiedzy o sobie. Zasadą powszechnie przyjmowaną według takiego ujęcia jest ochrona każdej informacji osobowej i przyznanie podstawowego znaczenia przesłance zgody osoby zainteresowanej na udostępnienie informacji” (wyr. TK z 12.11.2002 r., SK 40/02, OTK-A 2002, Nr 6, poz. 81). Takie stanowisko pozostaje w zgodzie z poglądami nauki prawa w tym zakresie – jak bowiem podkreślono w literaturze, cała koncepcja nowoczesnego podejścia do sfery autonomii informacyjnej przyjmuje za punkt wyjścia ochronę wszelkich danych osobowych i kryterium zgody jako podstawową przesłankę legalności ich ujawniania (M. Safjan, Refleksje wokół konstytucyjnych uwarunkowań rozwoju ochrony dóbr osobistych, KPP 2002, Nr 1, s. 238). 4. Źródła o charakterze normatywnym. Funkcję źródła o charak- 4 terze normatywnym dla zasady autonomii informacyjnej spełnia art. 51 Konstytucji RP. Po pierwsze, uprawnieniem wynikającym z art. 51 Konstytucji RP jest prawo do nieujawniania informacji dotyczących 

Art. 1

A. Komentarz

osoby. Regułą jest więc prawo do nieujawniania informacji o charakterze danych osobowych, a wyjątkiem od tej reguły – zobowiązanie do ich ujawniania, które może zostać nałożone wyłącznie w drodze ustawy (M. Safjan, Refleksje, s. 25). Stanowisko to znalazło potwierdzenie w orzecznictwie Trybunału Konstytucyjnego. W wyr. z 19.2.2002 r., U3/01 (OTK-A 2002, Nr 1, poz. 3), Trybunał podkreślił, że obowiązek ujawnienia informacji o osobie stanowi ograniczenie autonomii informacyjnej jednostki. Analogicznie, w wyr. z 21.10.1998 r., K 24/98 (OTK 1998, Nr 6, poz. 97), Trybunał stwierdził, że sfera prywatności jednostki naruszana jest już przez sam obowiązek złożenia przez nią oświadczenia lustracyjnego, a więc w wyniku ujawnienia przez jednostkę informacji mających charakter danych osobowych. 5

5. Zasada niepozyskiwania, niegromadzenia i nieudostępniania informacji o obywatelach. Zasadzie nieujawniania przez osobę informacji jej dotyczących odpowiada zasada niepozyskiwania, niegromadzenia i nieudostępniania informacji o obywatelach przez organy władzy publicznej [M. Wyrzykowski, Ochrona danych – zagadnienia konstytucyjne, w: Ochrona (red. M. Wyrzykowski), s. 25]. Należy jednak podkreślić, że gwarantowana konstytucyjnie ochrona prawa do życia prywatnego nie ma charakteru absolutnego i może podlegać pewnym ograniczeniom (por. orz. TK z 19.6.1992 r., U 6/92, OTK 1992, Nr 1, poz. 13; orz. TK z 26.4.1995 r., K 11/94, OTK 1995, Nr 1, poz. 12; orz. TK z 21.11.1995 r., K 12/95, OTK 1995, Nr 3, poz. 15; orz. TK z 24.6.1997 r., K 21/96, OTK 1997, Nr 2, poz. 23; uchw. TK z 2.3.1994 r., W 3/93, OTK 1994, Nr 1, poz. 17; uchw. TK z 16.3.1994 r., W 8/93, OTK 1994, Nr 1, poz. 18; uchw. TK z 24.4.1996 r., W 14/95, OTK 1996, Nr 2, poz. 14).

6

6. Ograniczenia wolności. Ustawowe ograniczenia wolności, w tym autonomii informacyjnej, dopuszczalne są w świetle orzecznictwa Trybunału Konstytucyjnego wyłącznie w razie spełnienia czterech warunków: „Po pierwsze, ustawowe ograniczenie wolności może nastąpić tylko wówczas, gdy dopuszczone jest w sposób wyraźny w innych przepisach konstytucyjnych, bądź gdy konieczne jest zharmonizowanie tej wolności z innymi normami, zasadami lub wartościami konstytucyjnymi. Po drugie, ustawowe ograniczenia wolności wprowadzane być mogą tylko w niezbędnym zakresie. Ustawodawca może ingerować w sferę wolności obywatela tylko w razie konieczności i tylko w koniecznym wymiarze. Innymi słowy, konieczne zachowanie 10

Rozdział 1. Przepisy ogólne

Art. 1

jest proporcji między stopniem ograniczenia wolności jednostki, a rangą chronionego interesu publicznego, czyli zakazana jest nadmierna ingerencja Państwa w swobodę działania jednostki. Po trzecie, ustawowe ograniczenia wolności traktowane być muszą w kategoriach wyjątków. Ich istnienie zawsze musi wynikać z wyraźnie sformułowanych przepisów ustawowych i nie może opierać się na domniemaniu. Po czwarte, ani poszczególne ograniczenia, ani ich suma, nie mogą naruszać istoty ograniczanego prawa czy wolności” (por. orz. TK z 21.11.1995 r., K 12/95, OTK 1995, Nr 3, s. 15). 7. Ograniczenie prawa do prywatności. W odniesieniu do ogra- 7 niczenia prawa do prywatności należy odnotować pogląd zawarty w zdaniu odrębnym sędziego TK J. Skórzewskiej-Łosiak do wyr. TK z 11.3.2000 r., K 15/98 (OTK 2000, Nr 3, poz. 86), zgodnie z którym „ograniczenia prawa do prywatności są dopuszczalne, jeżeli umożliwiają ochronę bezpieczeństwa państwa, porządku publicznego, zdrowia, moralności publicznej, środowiska albo wolności lub praw innych osób. Muszą one być zgodne z zasadą proporcjonalności. Ustanowione ograniczenia spełniają wymóg proporcjonalności, jeżeli: a) wprowadzona regulacja ustawodawcza jest w stanie doprowadzić do zamierzonych przez nią skutków (zasada przydatności), b) regulacja ta jest niezbędna dla ochrony interesu publicznego, z którym jest powiązana (zasada konieczności), a ponadto c) jej efekty pozostają w proporcji do ciężarów nakładanych przez nią na obywatela (zasada proporcjonalności w ścisłym tego słowa znaczeniu)”. 8. Termin „gromadzenie informacji”. W przypadku ochrony da- 8 nych osobowych stanowiącej element zasady autonomii informacyjnej, Trybunał zwrócił uwagę, że w myśl art. 51 ust. 5 Konstytucji RP: „zasada wyłączności ustawy obejmuje zasady i tryb gromadzenia i udostępniania informacji. (...) W ocenie Trybunału Konstytucyjnego, termin «gromadzenie informacji» użyty w wymienionym przepisie obejmuje nie tylko wąsko rozumiane czynności zbierania informacji dotyczących jednostki, ale również różnego rodzaju operacje przetwarzania tych informacji. (...) Regulacji ustawowej wymaga określenie warunków dopuszczalności przetwarzania danych osobowych. Szczególnej precyzji wymaga natomiast określenie warunków przetwarzania danych odnoszących się do sfery intymności jednostki. W drodze rozporządzenia mogą natomiast podlegać regulacji niektóre sprawy szczegółowe i techniczne związane z przetwarzaniem danych” (wyr. TK z 19.2.2002 r., 11

Art. 1

A. Komentarz

U 3/01, OTK-A 2002, Nr 1, poz. 3; por. także M. Jackowski, Ochrona danych medycznych, Warszawa 2002, s. 99). 9

9. Dopuszczalność przetwarzania informacji o obywatelach. Jak stwierdził Trybunał Konstytucyjny: „ani (…) względy celowości, ani wygody władzy nie uzasadniają naruszenia autonomii informacyjnej. Jej naruszenie może nastąpić, jeżeli jest to konieczne w demokratycznym państwie prawnym” (wyr. TK z 20.11.2002 r., K 41/02, OTK-A 2002, Nr 6, s. 83 z glosą J. Galstera, Prz. Sejm. 2002, Nr 2, s. 123). Także w orzecznictwie Europejskiego Trybunału Praw Człowieka podkreślano, że pojęcie konieczności, o której mowa w art. 8 ust. 2 Konwencji, zakłada, że „ingerencja jest związana z pilną potrzebą społeczną oraz, w szczególności, że jest proporcjonalna do zamierzonego słusznego celu (...)” (por. wyr. ETPC z 26.3.1987 r. w sprawie Leander przeciwko Szwecji, skarga Nr 9248/81). Interes państwa, wyrażający się w ochronie porządku publicznego, musi być więc zrównoważony ze stopniem ingerencji w prawo jednostki (tak TK w wyr. z 20.6.2005 r., K 4/04, OTK-A 2005, Nr 6, poz. 64). Powstaje zatem pytanie, jak w świetle zasady autonomii informacyjnej jednostki należy co do zasady ocenić dopuszczalność przetwarzania informacji o obywatelach przez organy administracji publicznej w toku prowadzonych przez nie postępowań.

10

10. Ograniczenie zasady autonomii informacyjnej. Zgodnie z art. 31 ust. 3 Konstytucji RP ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane, zgodnie z zasadą proporcjonalności, jeżeli są konieczne ze względu na ochronę bezpieczeństwa państwa, porządku publicznego, zdrowia, moralności publicznej, środowiska albo wolności lub praw innych osób. Ta zasada znajduje również zastosowanie do ustawowego ograniczenia prawa do prywatności (wyr. TK z 11.4.2000 r., K 15/98, OTK 2000, Nr 3, poz. 86), a więc także ograniczeń w zakresie prywatności informacyjnej. Aby ocenić, czy ograniczenie zasady autonomii informacyjnej przejawiające się w dopuszczalności przetwarzania przez organy administracji publicznej danych osobowych obywateli w toku postępowań administracyjnych znajduje konstytucyjne podstawy, należy w pierwszej kolejności ustalić, czy takie ograniczenie można uznać za jedną z wartości, o których mowa w art. 31 ust. 3 Konstytucji RP.

11

11. Pojęcie „porządek publiczny”. W nauce prawa zwrócono uwagę, że elementem składającym się na szersze pojęcie porządku publicz12

Rozdział 1. Przepisy ogólne

Art. 2

nego jest wartość określana jako dobro wymiaru sprawiedliwości. Jest to wartość związana z zapobieganiem przestępczości i dobrobytem gospodarczym kraju, jednak pełniąca szerszą funkcję – dobro wymiaru sprawiedliwości obejmuje bowiem sprawne działanie całego wymiaru sprawiedliwości nie tylko w sprawach karnych, lecz także cywilnych i administracyjnych (A. Mednis, Prawo do prywatności a interes publiczny, Warszawa 2006, s. 237). Nie ulega wątpliwości, że w związku z wykorzystaniem informacji o charakterze danych osobowych na potrzeby toczących się postępowań, mamy do czynienia z konfliktem dóbr chronionych – dobru wymiaru sprawiedliwości przeciwstawia się dobro w postaci prywatności i poufności informacji, które przysługuje stronom postępowania (por. wyr. TK z 22.11.2004 r., SK 64/03, OTK-A 2004, Nr 10, poz. 107). Jednak interes państwa przejawiający się w trosce ustawodawcy o należyte, harmonijne współżycie członków społeczeństwa, co obejmuje ochronę interesów poszczególnych osób, jak i dóbr społecznych (tak wyr. TK z 12.1.1999 r., P 2/98, OTK 1999, Nr 1, poz. 2), uzasadnia w tym przypadku ograniczenie prawa do prywatności informacyjnej jednostek w celu umożliwienia prawidłowego funkcjonowania wymiaru sprawiedliwości w szerokim rozumieniu tego pojęcia, obejmującego także postępowanie administracyjne. 12. Zakres ograniczeń prywatności informacyjnej. Ograniczenie 12 konstytucyjnie chronionej prywatności informacyjnej jednostki, przez umożliwienie organom władzy publicznej pozyskiwania, gromadzenia i udostępniania informacji o obywatelach, dopuszczalne jest wyłącznie w takim zakresie, w jakim jest to niezbędne w demokratycznym państwie prawnym (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona, 2004, s. 123). W każdym przypadku więc ingerencja w sferę prywatności informacyjnej, a więc wykorzystanie informacji stanowiących dane osobowe, musi nosić cechy niezbędności charakterystycznej dla demokratycznego państwa prawnego.

Art. 2. [Przedmiot regulacji] 1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.

13

Suggest Documents