Ustawa o ochronie danych osobowych 1

Podobne dokumenty
Ustawa o ochronie danych osobowych

Ustawa o ochronie danych osobowych 1

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki Warszawa, dnia 25 czerwca 2010 r. DOLiS /10

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

W Biurze Rzecznika Praw Obywatelskich zostały przeanalizowane obowiązujące. przepisy normujące zasady porozumiewania się podejrzanego i oskarżonego

CZĘŚĆ PIERWSZA WSTĘP. B. Ochrona na płaszczyźnie międzynarodowej str. 34

Druk nr 580 Warszawa, 12 maja 2006 r.

Ochrona wrażliwych danych osobowych

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

PRAWO DO PRYWATNOŚCI I OCHRONA DANYCH OSOBOWYCH PODSTAWOWE ZASADY. Szkolenie dla sekcji sądownictwa międzynarodowego Kliniki Prawa UW 14 XI 2009 r.

nałożone na podstawie art. 96 ust. 7 pkt

UCHWAŁA Nr 216/2012 KRAJOWEJ RADY SĄDOWNICTWA. z dnia 19 lipca 2012 r.

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

OPINIA KRAJOWEJ RADY SĄDOWNICTWA. z dnia 13 grudnia 2016 r. w przedmiocie poselskiego projektu ustawy Przepisy wprowadzające

APEL Nr 6/15/P-VII PREZYDIUM NACZELNEJ RADY LEKARSKIEJ z dnia 18 września 2015 r.

Godność w Konstytucji

WYKŁAD III. SYSTEM ŹRÓDEŁ PRAWA W ŚWIETLE KONSTYTUCJI RP z dnia 2 kwietnia 1887 r.

Spis treści. Wykaz ważniejszych skrótów Wstęp... 19

Konstytucyjne uwarunkowania ponownego wykorzystywania informacji sektora publicznego

WOJEWODA DOLNOŚLĄSKI Wrocław, dnia 30 marca 2017 r.

Pojęcie administracji Administracja oznacza wydzielone w państwie struktury organizacyjne powołane specjalnie do realizacji określonych celów o charak

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

ROZPORZĄDZENIE RADY (EURATOM, WE) NR 2185/96. z dnia 11 listopada 1996 r.

Ustawa o ochronie danych osobowych. opracowanie: redakcja ZapytajPrawnika.pl. projekt okładki: Zbigniew Szeliga

System instytucjonalny i prawny Unii Europejskiej. Autor: Justyna Maliszewska-Nienartowicz CZĘŚĆ I. OGÓLNA CHARAKTERYSTYKA UNII EUROPEJSKIEJ

Pan Bartosz Arłukowicz Minister Zdrowia

Prawa człowieka i systemy ich ochrony

W toku analizy przepisów prawa dotyczących autonomii pacjentów w zakresie leczenia

Akty normatywne. PPwG prof. Stanisław Piątek

- o zmianie ustawy - Kodeks postępowania karnego.

KOMUNIKAT DLA POSŁÓW

ZAŁĄCZNIK KOMUNIKATU KOMISJI DO PARLAMENTU EUROPEJSKIEGO I RADY. Nowe ramy UE na rzecz umocnienia praworządności

Wyrok Trybunału Konstytucyjnego z 10 lipca 2014 r. w sprawie obwodów łowieckich.

Warszawa, marca 2014 roku. RZECZPOSPOLITA POLSKA / Rzecznik Praw Dziecka. Marek Michalak

ZASADY NACZELNE USTROJU RP

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Warszawa, 25 lipca 2001 r.

ADWOKAT URSZULA DANILCZUK-KARNAS TEL.:

Warszawa, dnia 12 października 2006 r. RZECZPOSPOLITA POLSKA Rzecznik Praw Obywatelskich. Wniosek. Rzecznika Praw Obywatelskich

STUDIA PODYPLOMOWE PRAWO OCHRONY ŚRODOWISKA W PRAWIE UNII EUROPEJSKIEJ I W PRAWIE POLSKIM

Ochrona danych osobowych przy obrocie wierzytelnościami

Wniosek. Rzecznika Praw Obywatelskich. Na podstawie art. 191 ust. 1 pkt 1 Konstytucji Rzeczypospolitej Polskiej z dnia 2

Prawo konstytucyjne. Niestacjonarne Studia Prawa 2016/2017 semestr zimowy

Radom, 13 kwietnia 2018r.

Warszawa. Wnioskodawca:

Administracja a prawo

Postanowienie z dnia 22 lutego 2001 r. III RN 71/00

ZAWIADOMIENIE o podejrzeniu popełnienia przestępstwa

Konstytucyjne środki ochrony praw. Prawo do sądu Prawo do odszkodowania art. 77 ust. 1 Skarga konstytucyjna RPO

Dokument nr 2. Wnioskodawca: imię i nazwisko, adres;

OCHRONA DANYCH OSOBOWYCH W CENTRALNYM BIURZE ANTYKORUPCYJNYM. Wydział Ochrony Informacji Departamentu Ochrony CBA

Zasady upowszechniania informacji. Zagadnienia wybrane.

Rzeszów, dnia 29 czerwca 2018 r. Poz UCHWAŁA NR XLI RADY GMINY W WIELOPOLU SKRZYŃSKIM. z dnia 15 maja 2018 r.

USTAWA z dnia 2013 r. o zmianie Konstytucji Rzeczypospolitej Polskiej

DANE OSOBOWE DOBREM OSOBISTYM XXI WIEKU. PAMIĘTAJ!!!! Prywatność jest wartością tak cenną, że musi być chroniona przez prawo.

DECYZJA RAMOWA RADY 2003/568/WSISW(1) z dnia 22 lipca 2003 r. w sprawie zwalczania korupcji w sektorze prywatnym RADA UNII EUROPEJSKIEJ,

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO WŁASNOŚCIOWEJ W PLESZEWIE

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Opinia prawna w sprawie pytania prawnego Sądu Rejonowego w Poznaniu skierowanego do Trybunału Konstytucyjnego (sygn akt. P. 28/02)

BIULETYN 11/2017. Punkt Informacji Europejskiej EUROPE DIRECT - POZNAŃ. Ochrona danych osoboywch w Unii Europejskiej

Warszawa, 2 stycznia 2015 r. 1/SO/SOWP/2015/SOKBT

Ustawa o ochronie danych osobowych. opracowanie: redakcja ZapytajPrawnika.pl. projekt okładki: Zbigniew Szeliga

PRZEPISY INTERTEMPORALNE

POSTANOWIENIE z dnia 27 maja 2003 r. Sygn. akt K 43/02

Szkolenie. Ochrona danych osobowych

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE)

Wybrane aspekty ochrony danych osobowych Ilu Kowalskich żyje na świecie?

(Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

S K A R G A na bezczynność Agencji Restrukturyzacji i Modernizacji Rolnictwa

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Monika Krasińska Przetwarzanie danych osobowych w celach naukowych warunki udostępniania i pozyskiwania

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

Unit 3-03/ Kompetencje Unii. Zasady strukturalne

VADEMECUM OCHRONY DANYCH OSOBOWYCH

Ryzyko nadmiernego przetwarzania danych osobowych

kodyfikacji, przez szeroki zakres obszarów regulacji

Dlaczego poprawki do projektu ustawy o Sądzie Najwyższym niczego nie zmieniają?

KANCELARIA RADCY PRAWNEGO

UCHWAŁA NR VIII/ 46 /2011 RADY MIEJSKIEJ W KSIĄŻU WLKP. z dnia 28 kwietnia 2011 r.

życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji.

Przewodnik po ochronie danych osobowych : vademecum dyrektora i nauczyciela placówki oświatowej / Dariusz Skrzyński. wyd. 2.

Trybunału odpowiednich do rangi zadań. Temu celowi powinny być podporządkowane wszelkie działania władzy ustawodawczej. Pozycja ustrojowa Trybunału,

Do druku nr 162. Warszawa, 7 stycznia 2016 r. BAS-W APEiM-15/16. Pan Marek Kuchemski

STANOWISKO KRAJOWEJ RADY SĄDOWNICTWA. z dnia 10 marca 2017 r.

BL TK/15 Warszawa, 28 maja 2015 r.

Spis treści. Str. Nb. Wykaz skrótów... XV Wstęp do piątego wydania... XVII

1. Na czym polega zasada ochrony praw słusznie nabytych?

Warszawa, dnia 9 sierpnia 2012 r. PIERWSZY PREZES SĄDU NAJWYŻSZEGO RZECZYPOSPOLITEJ POLSKIEJ BSA III /12

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Wolności i prawa jednostki w Konstytucji RP. Tom I. Idee i zasady przewodnie konstytucyjnej regulacji wolności i praw jednostki w RP

Spis treści. 4. Nieodpłatna pomoc prawna w postępowaniu przed Trybunałem Konstytucyjnym charakterystyka

KOMUNIKAT DLA POSŁÓW

Elementy prawa do sądu

1. Regulacje prawne dotyczące ochrony danych osobowych

o zmianie ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych.

Dane biometryczne pracowników a kontrola czasu pracy

Spis treści. Wprowadzenie... V Wykaz skrótów... XIII. Część I. Koncepcja konstytucyjnego modelu regulacji wolności i praw jednostki

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Spis treści Rozdział I. Europeizacja prawa administracyjnego pojęcie i konteksty 1. Uwagi wstępne 2. Europeizacja prawa administracyjnego

Transkrypt:

Ustawa o ochronie danych osobowych 1 z dnia 29 sierpnia 1997 r. (Dz.U. Nr 133, poz. 883) Tekst jednolity z dnia 26 czerwca 2014 r. (Dz.U. 2014, poz. 1182) (zm.: Dz.U. 2014, poz. 1662) Spis treści Art.......................... 1 7 Rozdział 2. Organ ochrony danych osobowych............. 8 22a Rozdział 3. Zasady przetwarzania danych osobowych........ 23 31a Rozdział 4. Prawa osoby, której dane dotyczą............. 32 35 Rozdział 5. Zabezpieczenie danych osobowych............ 36 39a Rozdział 6. Rejestracja zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji.................. 40 46f Rozdział 7. Przekazywanie danych osobowych do państwa trzeciego 47 48 Rozdział 8. Przepisy karne.......................... 49 54a Rozdział 9. Zmiany w przepisach obowiązujących, przepisy przejściowe i końcowe............................... 55 62 Wprowadzenie Spis treści Nb 1. Cel ochrony danych osobowych................... 1 2. Pierwszy akt prawny chroniący dane osobowe......... 2 1 Treść odnośnika publikujemy na końcu ustawy. 3

Przed Art. 1 3. Pierwsza na świecie ustawa o ochronie danych osobowych 3 4. Dyrektywa o ochronie danych osobowych............ 4 5. Akty międzynarodowe o ochronie danych osobowych.... 5 6. Rozporządzenie 45/2001....................... 6 7. Odstępstwa od postanowień dyrektywy 95/46/WE...... 7 8. Projekt nowego rozporządzenia o ochronie danych...... 8 9. Ochrona danych osobowych w Konstytucji RP........ 9 10. Ustawa o ochronie danych osobowych.............. 10 11. Nowelizacja z 2014 r.......................... 11 12. Rozporządzenia wykonawcze.................... 12 13. Przepisy prawa materialnego i procesowego dotyczące przetwarzania i ochrony danych osobowych.......... 13 1 1. Cel ochrony danych osobowych. Celem publicznoprawnej ochrony danych osobowych jest zagwarantowanie możliwości podejmowania decyzji w sferze informacji przez jednostkę, której te informacje dotyczą, a zarazem zapewnienie realizacji prawnie chronionego prawa jednostki do prywatności i intymności. Ochrona danych osobowych stawia sobie za cel wzmocnienie autonomii jednostki w realizacji przysługujących jej praw, w szczególności prawa do prywatności, za pomocą procedur o charakterze organizacyjnym i za pomocą środków technicznych [M.T. Tinnenfeld, Ochrona danych kamień węgielny budowy Europy, w: Ochrona danych osobowych (red. M. Wyrzykowski), Warszawa 1999, s. 35 39]. Jednocześnie uwzględnić należy niewątpliwy konflikt chronionych przez prawo wartości, do którego dochodzi na styku prawa jednostki do ochrony informacji o niej samej oraz przysługującej każdemu wolności gromadzenia i przetwarzania informacji (G. Sibiga, Postępowanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 16). 2 2. Pierwszy akt prawny chroniący dane osobowe. W skali międzynarodowej, za pierwszy akt prawny z dziedziny ochrony danych osobowych uznaje się Konwencję Nr 108 Rady Europy z 28.1.1981 r. o ochronie osób ze względu na automatyczne przetwarzanie danych o charakterze osobowym (Dz.U. z 2003 r. Nr 3, poz. 25). Postanowienia konwencji oddziałują jednak jedynie w sferze publicznoprawnej, nie wywołują natomiast żadnych skutków prawnych bezpośrednio po stronie obywateli państw, które ją ratyfikowały (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 71; por. także A. Mednis, Ochrona danych osobowych w konwencji Rady Europy i dyrektywie Unii Europejskiej, PiP 1997, Nr 6, s. 31). 4

Przed Art. 1 3. Pierwsza na świecie ustawa o ochronie danych osobowych. 3 Ustawodawstwo wewnętrzne państw-stron Konwencji Nr 108 uchwalone po jej przyjęciu okazało się w praktyce bardzo zróżnicowane. Pierwsza na świecie ustawa o ochronie danych osobowych uchwalona została w 1970 r. przez parlament krajowy kraju związkowego Hesji, a pierwszą ustawą na szczeblu krajowym była ustawa szwedzka z 1973 r. 4. Dyrektywa o ochronie danych osobowych. W ramach instytucji 4 Unii Europejskiej prowadzone były od 1990 r. prace mające na celu opracowanie projektu dyrektywy dotyczącej ochrony danych osobowych. W ich rezultacie przyjęto dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz.Urz. WE L Nr 281, s. 31 ze zm.). Dyrektywa, jako akt prawa wtórnego Unii Europejskiej, wiąże podobnie jak Konwencja Nr 108 Rady Europy państwa członkowskie Unii w odniesieniu do rezultatu, który ma być osiągnięty, pozostawia jednak organom krajowym swobodę wyboru formy i środków stosowanych w tym celu [S. Biernat, Źródła prawa Unii Europejskiej, w: Prawo Unii Europejskiej (red. J. Barcz), Warszawa 2004, s. 212]. 5. Akty międzynarodowe o ochronie danych osobowych. Akty 5 prawne rangi międzynarodowej odnoszące się do ochrony danych osobowych są stosowane do przetwarzania danych osobowych tak w sektorze prywatnym, jak i w sektorze publicznym (por. L.A. Bygrave, Data Protection Law. Approaching Its Rationale, Logic and Limits, Haga Londyn Nowy Jork 2002, s. 53). W szczególności samo pojęcie administratora danych osobowych, definiowane w art. 2 pkt d dyrektywy 95/46/WE, obejmuje także podmioty ze sfery prawa publicznego w definicji wyraźnie wymieniono urzędy publiczne, agendy lub inne organy (cyt. za: J. Barta, P. Fajgielski, R. Markiewicz, Ochrona, 2004, s. 864; oficjalny tekst dyrektywy w języku angielskim posługuje się zwrotem public authority, agency or any other body). Co więcej, także pojęcia podmiotu przetwarzającego dane osobowe na zlecenie, podmiotu trzeciego, a także odbiorcy danych, zdefiniowane zostały z wykorzystaniem tego samego zwrotu, tak więc zakres tych pojęć obejmuje także podmioty należące do szeroko pojmowanego sektora publicznego. Stanowisko to zostało potwierdzone przez Europejski Trybunał Sprawiedliwości w wyr. 5

Przed Art. 1 z 20.5.2003 r., C-465/00, C-138/01 oraz C-139/01, Rechnungshof przeciwko Österreichischer Rundfunk i innym oraz Christa Neukomm i Joseph Lauermann przeciwko Österreichischer Rundfunk, Zb. Orz. 2003, s. 4989, w którym Trybunał przyjął, że zastosowanie przepisów dyrektywy 95/46/WE nie może zostać w konkretnej sprawie uzależnione od tego, czy stan faktyczny, leżący u podstaw stosowania dyrektywy, pozostaje w związku z którąkolwiek z podstawowych swobód gwarantowanych przez Traktat ustanawiający Wspólnotę Europejską (Traktat ustanawiający Europejską Wspólnotę Gospodarczą zawarty w Rzymie 25.3.1957 r., wersja skonsolidowana Traktatu ustanawiającego Wspólnotę Europejską opublikowana w Dz.Urz. UE C z 2006 r. Nr 321, s. 37), w szczególności ze swobodą przepływu osób pomiędzy państwami Unii Europejskiej. Jednocześnie Trybunał podkreślił, że postanowienia dyrektywy znajdują pełne zastosowanie do przetwarzania danych osobowych przez organy administracji państw członkowskich Unii Europejskiej (P.J. Hustinx, Data Protection and Security in European Union, referat wygłoszony w trakcie 14 Forum Ochrony Danych Osobowych, 23.6.2005, Wiesbaden 2005, s. 3). 6 6. Rozporządzenie 45/2001. W ramach samej Unii Europejskiej, jej organy zobowiązane są dodatkowo do przestrzegania postanowień rozporządzenia (WE) Nr 45/2001 Parlamentu Europejskiego i Rady z 18.12.2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.Urz. WE L z 2001 r. Nr 8, s. 1). Rozporządzenie stanowi wykonanie obowiązku, o jakim mowa w art. 16 TFUE (dawny art. 286 TWE), a jednocześnie nie wywiera wpływu na prawa i obowiązki państw członkowskich Unii Europejskiej wynikające z dyrektywy 95/46/WE. 7 7. Odstępstwa od postanowień dyrektywy 95/46/WE. Postanowienia dyrektywy 95/46/WE nie wyznaczają minimalnego standardu ochrony danych osobowych, lecz służą zarówno ochronie osób fizycznych, jak i zapewnieniu swobodnego przepływu danych osobowych. Dlatego ustawodawca krajowy nie powinien odstępować od postanowień dyrektywy, jeżeli ona sama nie dopuszcza takich odstępstw (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2007, s. 15). 8 8. Projekt nowego rozporządzenia o ochronie danych. W czasie, gdy przygotowywane jest do druku to wydanie komentarza, trwają 6

Przed Art. 1 w dalszym ciągu prace nad projektem rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych). Projekt rozporządzenia opublikowany został oficjalnie przez Komisję Europejską w dniu 25.1.2012 r. Wśród proponowanych zmian na plan pierwszy wybija się zmiana formy prawnej z dyrektywy na rozporządzenie, które zacznie obowiązywać bezpośrednio w systemie prawnym państw członkowskich Unii Europejskiej. Kształt poszczególnych instytucji uregulowanych w rozporządzeniu jest obecnie w fazie ustalania [por. szerzej na ten temat W.R. Wiewiórowski, Nowe ramy ochrony danych osobowych w Unii Europejskiej, w: Aktualne problemy ochrony danych osobowych 2012 (red. G. Sibiga), dodatek do MoP 2012, Nr 7]. 9. Ochrona danych osobowych w Konstytucji RP. W polskim 9 systemie prawnym, ochrona danych osobowych wywodzi się z przepisów Konstytucji RP w art. 47 Konstytucja RP gwarantuje każdemu prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym, natomiast w art. 51 Konstytucji RP zawarte zostały bezpośrednie gwarancje ochrony danych osobowych (G. Sibiga, Postępowanie, s. 22). Należy wśród nich wymienić: 1) prawo do samodzielnego decydowania każdej osoby o ujawnianiu dotyczących jej informacji; 2) prawo każdej osoby do sprawowania kontroli nad informacjami na swój temat, gwarantowane prawem dostępu do dotyczących jej urzędowych dokumentów i zbiorów danych; 3) prawo do weryfikowania lub żądania usunięcia danych osobowych (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona, 2004, s. 120 122). 10. Ustawa o ochronie danych osobowych. W art. 51 ust. 5 10 Konstytucji RP zawarto zapowiedź uchwalenia ustawy regulującej zasady i tryb gromadzenia oraz udostępniania informacji. Jak powszechnie przyjmuje się w nauce prawa [por. A. Mednis, Ochrona prawna danych osobowych a zagrożenia prywatności rozwiązania polskie, w: Ochrona danych osobowych (red. M. Wyrzykowski), Warszawa 1999, s. 168; B. Kurzępa, Przestępstwa z ustawy o ochronie danych osobowych, Prok. i Pr. 1999, Nr 6, s. 45], wykonaniem tej zapowiedzi stało się uchwalenie ustawy z 29.8.1997 r. o ochronie 7

Przed Art. 1 danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.). Ustawa przyjęta została również w wykonaniu zobowiązania zapewnienia przez Rzeczpospolitą Polską zgodności jej przyszłego ustawodawstwa z ustawodawstwem unijnym, stosownie do treści art. 68 (nieobowiązującego już) Układu Europejskiego ustanawiającego stowarzyszenie między Rzecząpospolitą Polską, z jednej strony, a Wspólnotami Europejskimi i ich Państwami Członkowskimi, z drugiej strony, sporządzony w Brukseli 16.12.1991 r. (Dz.U. z 1994 r. Nr 11, poz. 38 ze zm.). W chwili uchwalenia ustawy nie można było jednak mówić o jej zgodności z dyrektywą 95/46/WE, a co za tym idzie, ustawa w pierwotnym brzmieniu nie mogła zostać uznana za implementację dyrektywy. Z tego względu konieczne stały się jej dwie istotne nowelizacje, dokonane w 2001 i 2004 r. 11 11. Nowelizacja z 2014 r. Kolejne zmiany w OchrDanOsU wprowadziła od dnia 1.1.2015 r. ustawa z 7.11.2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662), czyli tzw. czwarta transza deregulacji. Artykuł 9 tej ustawy zawiera przepisy zmieniające OchrDanOsU. Potrzeba wprowadzenia zmian w przepisach OchrDanOsU wynikała z kilku czynników. Po pierwsze, niektóre z instytucji przewidzianych przez OchrDanOsU straciły praktyczne uzasadnienie dla swojego obowiązywania w kształcie niezmienionym od samego uchwalenia OchrDanOsU. Jednym z najbardziej jaskrawych przykładów jest instytucja rejestracji zbiorów danych osobowych, funkcjonująca bez istotnych zmian od 1997 r., o ile pierwotnie rejestracja zbiorów danych osobowych miała na celu swoiste ucywilizowanie tej sfery życia społecznego, o tyle wraz z upływem czasu jej znaczenie stopniowo malało, obecnie sprowadzając się często do jednego z wielu obowiązków ewidencyjnych, jakie ciążą na przedsiębiorcach. Po drugie, w przepisach OchrDanOsU wyraźnie brakowało kompleksowej regulacji instytucji administratora bezpieczeństwa informacji, w szczególności w zakresie określenia jego zadań. Przed 1.1.2015 r. były one w sposób nader skromny opisane w art. 36 ust. 3 OchrDanOsU. Po nowelizacji instytucja administratora bezpieczeństwa informacji zyskała po raz pierwszy ustawowo określone prawa i obowiązki, a także pozycję prawną w organizacji (por. komentarz do art. 36a 36c OchrDanOsU). Po trzecie, obowiązujące przepisy OchrDanOsU stanowiły hamulec dla coraz bardziej rozwijającego się transgranicznego przepływu danych osobowych. Pomimo że dyrektywa 95/46/WE przewidziała kilka 8

Przed Art. 1 instrumentów prawnych umożliwiających przekazywanie danych poza UE, to jednak polski ustawodawca pierwotnie nie uwzględnił ich w przepisach OchrDanOsU. Nowelizacja z 2014 r. wprowadziła do polskiego porządku prawnego, jako podstawy prawne do przekazywania danych do państw trzecich, tzw. standardowe klauzule umowne ochrony danych osobowych zatwierdzane przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE oraz tzw. wiążące reguły korporacyjne (por. komentarz do art. 48 OchrDanOsU). 12. Rozporządzenia wykonawcze. Na przepisy o ochronie danych 12 osobowych sensu stricto (G. Sibiga, Postępowanie, s. 26) składają się, oprócz przepisów ustawy o ochronie danych osobowych, także wydane na jej podstawie i w celu wykonania jej przepisów rozporządzenia wykonawcze: 1) rozporządzenie Prezydenta Rzeczypospolitej Polskiej z 10.10.2011 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. Nr 225, poz. 1350); 2) rozporządzenie MSWiA z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024); 3) rozporządzenie MSWiA z 11.12.2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 229, poz. 1536); 4) rozporządzenie MSWiA z 22.4.2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. Nr 94, poz. 923 ze zm.); 5) rozporządzenie Ministra Administracji i Cyfryzacji z 10.12.2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934); 6) rozporządzenie Ministra Administracji i Cyfryzacji z 11.5.2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 r. poz. 719); 7) rozporządzenie Ministra Administracji i Cyfryzacji z 11.5.2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych 9

Art. 1 przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745). 13 13. Przepisy prawa materialnego i procesowego dotyczące przetwarzania i ochrony danych osobowych. Można wyróżnić przepisy o ochronie danych osobowych sensu largo, na które składają się inne, rozproszone w wielu ustawach, przepisy prawa materialnego i procesowego dotyczące przetwarzania i ochrony danych osobowych (G. Sibiga, Postępowanie, s. 27). Zawsze wtedy, gdy przepis odrębnej ustawy odnoszący się do przetwarzania danych osobowych będzie przewidywał dalej idącą ochronę, niżby to wynikało z przepisów ustawy o ochronie danych osobowych, powstanie normatywny, bo wynikający z art. 5 OchrDanOsU, obowiązek zastosowania przepisu ustawy szczególnej (por. A. Drozd, Ustawa, s. 33). Art. 1. [Prawo do ochrony] 1. Każdy ma prawo do ochrony dotyczących go danych osobowych. 2. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Spis treści Nb 1. Ochrona prywatności informacyjnej................ 1 2. Ochrona życia prywatnego w Konstytucji RP......... 2 3. Zasada autonomii informacyjnej.................. 3 4. Źródła o charakterze normatywnym................ 4 5. Zasada niepozyskiwania, niegromadzenia i nieudostępniania informacji o obywatelach.................... 5 6. Ograniczenia wolności......................... 6 7. Ograniczenie prawa do prywatności................ 7 8. Termin gromadzenie informacji................. 8 9. Dopuszczalność przetwarzania informacji o obywatelach. 9 10. Ograniczenie zasady autonomii informacyjnej......... 10 11. Pojęcie porządek publiczny.................... 11 12. Zakres ograniczeń prywatności informacyjnej......... 12 1 1. Ochrona prywatności informacyjnej. Jednym z aspektów prawa do prywatności, którego wyspecjalizowaną postać stanowi 10

Art. 1 ochrona danych osobowych [M. Safjan, Granice autonomii informacyjnej, w: Ochrona danych osobowych (red. M. Wyrzykowski), Warszawa 1999, s. 10], jest ochrona tzw. prywatności informacyjnej, na którą składa się uprawnienie jednostki do kontrolowania treści i obiegu informacji, które tej jednostki dotyczą (A. Mednis, Ochrona prawna danych, s. 167). W orzecznictwie sądowym zasadę autonomii informacyjnej sformułowano po raz pierwszy w orzecznictwie niemieckim. W wyroku niemieckiego Federalnego Trybunału Konstytucyjnego z 15.12.1983 r. (1BvR 209/83) Trybunał przyjął, że: w warunkach nowoczesnego przetwarzania danych, Konstytucja Republiki Federalnej Niemiec chroni jednostkę przed nieograniczonym gromadzeniem, używaniem i przekazywaniem jej danych osobowych. Konstytucja gwarantuje również prawo jednostki do zasadniczo samodzielnego stanowienia o ujawnianiu i używaniu jej danych osobowych. Trybunał Federalny zwrócił także uwagę na możliwości ograniczenia prawa do informacyjnego samostanowienia ograniczenia tego prawa dopuszczalne są jednak wyłącznie, gdy przeważa interes ogółu, przy zachowaniu zasady proporcjonalności. Jednocześnie, jak podkreślił Trybunał, prawo do informacyjnego samostanowienia nie jest zapewnione bez granic. Jednostka nie dysponuje prawem w rozumieniu bezwzględnego, niedającego się niczym ograniczyć panowania nad swoimi danymi. 2. Ochrona życia prywatnego w Konstytucji RP. Dorobek nie- 2 mieckiego Federalnego Trybunału Konstytucyjnego został w istotnej części przejęty w orzecznictwie polskiego Trybunału Konstytucyjnego zgodnie z ustalonym orzecznictwem Trybunału ochrona życia prywatnego, gwarantowana konstytucyjnie co do zasady w art. 47 Konstytucji RP, obejmuje sobą także autonomię informacyjną, rozumianą przez Trybunał jako prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami, jeżeli znajdują się w posiadaniu innej osoby (wyr. TK z 19.2.2002 r., U 3/01, OTK-A 2002, Nr 1, poz. 3). 3. Zasada autonomii informacyjnej. Szczegółowy zakres upraw- 3 nień wchodzących w zakres zasady autonomii informacyjnej może zostać określony na podstawie wielu orzeczeń Trybunału Konstytucyjnego. Trybunał przyznaje podstawowe znaczenie woli osoby, której dotyczą informacje i dane. Stwierdził, że: istota autonomii informacyjnej każdego człowieka sprowadza się do pozostawienia każdej 11

Art. 1 osobie swobody w określeniu sfery dostępności dla innych wiedzy o sobie. Zasadą powszechnie przyjmowaną według takiego ujęcia jest ochrona każdej informacji osobowej i przyznanie podstawowego znaczenia przesłance zgody osoby zainteresowanej na udostępnienie informacji (wyr. TK z 12.11.2002 r., SK 40/02, OTK-A 2002, Nr 6, poz. 81). Takie stanowisko pozostaje w zgodzie z poglądami nauki prawa w tym zakresie jak bowiem podkreślono w literaturze, cała koncepcja nowoczesnego podejścia do sfery autonomii informacyjnej przyjmuje za punkt wyjścia ochronę wszelkich danych osobowych i kryterium zgody jako podstawową przesłankę legalności ich ujawniania (M. Safjan, Refleksje wokół konstytucyjnych uwarunkowań rozwoju ochrony dóbr osobistych, KPP 2002, Nr 1, s. 238). 4 4. Źródła o charakterze normatywnym. Funkcję źródła o charakterze normatywnym dla zasady autonomii informacyjnej spełnia art. 51 Konstytucji RP. Po pierwsze, uprawnieniem wynikającym z art. 51 Konstytucji RP jest prawo do nieujawniania informacji dotyczących osoby. Regułą jest więc prawo do nieujawniania informacji o charakterze danych osobowych, a wyjątkiem od tej reguły zobowiązanie do ich ujawniania, które może zostać nałożone wyłącznie w drodze ustawy (M. Safjan, Refleksje, s. 25). Stanowisko to znalazło potwierdzenie w orzecznictwie Trybunału Konstytucyjnego. W wyroku z 19.2.2002 r., U 3/01 (OTK-A 2002, Nr 1, poz. 3), TK podkreślił, że obowiązek ujawnienia informacji o osobie stanowi ograniczenie autonomii informacyjnej jednostki. Analogicznie, w wyroku z 21.10.1998 r., K 24/98 (OTK 1998, Nr 6, poz. 97), TK stwierdził, że sfera prywatności jednostki naruszana jest już przez sam obowiązek złożenia przez nią oświadczenia lustracyjnego, a więc w wyniku ujawnienia przez jednostkę informacji mających charakter danych osobowych. 5 5. Zasada niepozyskiwania, niegromadzenia i nieudostępniania informacji o obywatelach. Zasadzie nieujawniania przez osobę informacji jej dotyczących odpowiada zasada niepozyskiwania, niegromadzenia i nieudostępniania informacji o obywatelach przez organy władzy publicznej [M. Wyrzykowski, Ochrona danych zagadnienia konstytucyjne, w: Ochrona danych osobowych (red. M. Wyrzykowski), Warszawa 1999, s. 25]. Należy jednak podkreślić, że gwarantowana konstytucyjnie ochrona prawa do życia prywatnego nie ma charakteru absolutnego i może podlegać pewnym ograniczeniom (por. orz. TK z 19.6.1992 r., U 6/92, OTK 1992, Nr 1, poz. 13; orz. 12

Art. 1 TK z 26.4.1995 r., K 11/94, OTK 1995, Nr 1, poz. 12; orz. TK z 21.11.1995 r., K 12/95, OTK 1995, Nr 3, poz. 15; orz. TK z 24.6.1997 r., K 21/96, OTK 1997, Nr 2, poz. 23; uchw. TK z 2.3.1994 r., W 3/93, OTK 1994, Nr 1, poz. 17; uchw. TK z 16.3.1994 r., W 8/93, OTK 1994, Nr 1, poz. 18; uchw. TK z 24.4.1996 r., W 14/95, OTK 1996, Nr 2, poz. 14). 6. Ograniczenia wolności. Ustawowe ograniczenia wolności, 6 w tym autonomii informacyjnej, dopuszczalne są w świetle orzecznictwa TK wyłącznie w razie spełnienia czterech warunków: Po pierwsze, ustawowe ograniczenie wolności może nastąpić tylko wówczas, gdy dopuszczone jest w sposób wyraźny w innych przepisach konstytucyjnych, bądź gdy konieczne jest zharmonizowanie tej wolności z innymi normami, zasadami lub wartościami konstytucyjnymi. Po drugie, ustawowe ograniczenia wolności wprowadzane być mogą tylko w niezbędnym zakresie. Ustawodawca może ingerować w sferę wolności obywatela tylko w razie konieczności i tylko w koniecznym wymiarze. Innymi słowy, konieczne zachowanie jest proporcji między stopniem ograniczenia wolności jednostki, a rangą chronionego interesu publicznego, czyli zakazana jest nadmierna ingerencja państwa w swobodę działania jednostki. Po trzecie, ustawowe ograniczenia wolności traktowane być muszą w kategoriach wyjątków. Ich istnienie zawsze musi wynikać z wyraźnie sformułowanych przepisów ustawowych i nie może opierać się na domniemaniu. Po czwarte, ani poszczególne ograniczenia, ani ich suma, nie mogą naruszać istoty ograniczanego prawa czy wolności (por. orz. TK z 21.11.1995 r., K 12/95, OTK 1995, Nr 3, s. 15). 7. Ograniczenie prawa do prywatności. W odniesieniu do ogra- 7 niczenia prawa do prywatności należy odnotować pogląd zawarty w zdaniu odrębnym sędziego TK J. Skórzewskiej-Łosiak do wyroku TK z 11.3.2000 r., K 15/98 (OTK 2000, Nr 3, poz. 86), zgodnie z którym: ograniczenia prawa do prywatności są dopuszczalne, jeżeli umożliwiają ochronę bezpieczeństwa państwa, porządku publicznego, zdrowia, moralności publicznej, środowiska albo wolności lub praw innych osób. Muszą one być zgodne z zasadą proporcjonalności. Ustanowione ograniczenia spełniają wymóg proporcjonalności, jeżeli: a) wprowadzona regulacja ustawodawcza jest w stanie doprowadzić do zamierzonych przez nią skutków (zasada przydatności), b) regulacja ta jest niezbędna dla ochrony interesu publicznego, z którym jest powiązana (zasada konieczności), a ponadto c) jej efekty pozostają 13

Art. 1 w proporcji do ciężarów nakładanych przez nią na obywatela (zasada proporcjonalności w ścisłym tego słowa znaczeniu). 8 8. Termin gromadzenie informacji. W przypadku ochrony danych osobowych stanowiącej element zasady autonomii informacyjnej, Trybunał zwrócił uwagę, że w myśl art. 51 ust. 5 Konstytucji RP: zasada wyłączności ustawy obejmuje zasady i tryb gromadzenia i udostępniania informacji. (... ) W ocenie Trybunału Konstytucyjnego, termin «gromadzenie informacji» użyty w wymienionym przepisie obejmuje nie tylko wąsko rozumiane czynności zbierania informacji dotyczących jednostki, ale również różnego rodzaju operacje przetwarzania tych informacji. (... ) Regulacji ustawowej wymaga określenie warunków dopuszczalności przetwarzania danych osobowych. Szczególnej precyzji wymaga natomiast określenie warunków przetwarzania danych odnoszących się do sfery intymności jednostki. W drodze rozporządzenia mogą natomiast podlegać regulacji niektóre sprawy szczegółowe i techniczne związane z przetwarzaniem danych (wyr. TK z 19.2.2002 r., U 3/01, OTK-A 2002, Nr 1, poz. 3; por. także M. Jackowski, Ochrona danych medycznych, Warszawa 2002, s. 99). 9 9. Dopuszczalność przetwarzania informacji o obywatelach. Jak stwierdził Trybunał Konstytucyjny: ani (... ) względy celowości, ani wygody władzy nie uzasadniają naruszenia autonomii informacyjnej. Jej naruszenie może nastąpić, jeżeli jest to konieczne w demokratycznym państwie prawnym (wyr. TK z 20.11.2002 r., K 41/02, OTK-A 2002, Nr 6, s. 83 z glosą J. Galstera, Prz. Sejm. 2002, Nr 2, s. 123). Także w orzecznictwie Europejskiego Trybunału Praw Człowieka podkreślano, że pojęcie konieczności, o której mowa w art. 8 ust. 2 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności z 4.11.1950 r. (Dz.U. z 1993 r. Nr 61, poz. 284 ze zm.), zakłada, że: ingerencja jest związana z pilną potrzebą społeczną oraz, w szczególności, że jest proporcjonalna do zamierzonego słusznego celu (... ) (por. wyr. ETPC z 26.3.1987 r., skarga Nr 9248/81, Leander przeciwko Szwecji, HUDOC). Interes państwa, wyrażający się w ochronie porządku publicznego, musi być więc zrównoważony ze stopniem ingerencji w prawo jednostki (tak TK w wyr. z 20.6.2005 r., K 4/04, OTK-A 2005, Nr 6, poz. 64). Powstaje zatem pytanie, jak w świetle zasady autonomii informacyjnej jednostki należy co do zasady ocenić dopuszczalność przetwarzania informacji o obywatelach przez organy administracji publicznej w toku prowadzonych przez nie postępowań. 14

Art. 1 10. Ograniczenie zasady autonomii informacyjnej. Zgodnie 10 z art. 31 ust. 3 Konstytucji RP ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane, zgodnie z zasadą proporcjonalności, jeżeli są konieczne ze względu na ochronę bezpieczeństwa państwa, porządku publicznego, zdrowia, moralności publicznej, środowiska albo wolności lub praw innych osób. Ta zasada znajduje również zastosowanie do ustawowego ograniczenia prawa do prywatności (wyr. TK z 11.4.2000 r., K 15/98, OTK 2000, Nr 3, poz. 86), a więc także ograniczeń w zakresie prywatności informacyjnej. Aby ocenić, czy ograniczenie zasady autonomii informacyjnej przejawiające się w dopuszczalności przetwarzania przez organy administracji publicznej danych osobowych obywateli w toku postępowań administracyjnych znajduje konstytucyjne podstawy, należy w pierwszej kolejności ustalić, czy takie ograniczenie można uznać za jedną z wartości, o których mowa w art. 31 ust. 3 Konstytucji RP. 11. Pojęcie porządek publiczny. W nauce prawa zwrócono 11 uwagę, że elementem składającym się na szersze pojęcie porządku publicznego jest wartość określana jako dobro wymiaru sprawiedliwości. Jest to wartość związana z zapobieganiem przestępczości i dobrobytem gospodarczym kraju, jednak pełniąca szerszą funkcję dobro wymiaru sprawiedliwości obejmuje bowiem sprawne działanie całego wymiaru sprawiedliwości nie tylko w sprawach karnych, lecz także cywilnych i administracyjnych (A. Mednis, Prawo do prywatności a interes publiczny, Warszawa 2006, s. 237). Nie ulega wątpliwości, że w związku z wykorzystaniem informacji o charakterze danych osobowych na potrzeby toczących się postępowań, mamy do czynienia z konfliktem dóbr chronionych dobru wymiaru sprawiedliwości przeciwstawia się dobro w postaci prywatności i poufności informacji, które przysługuje stronom postępowania (por. wyr. TK z 22.11.2004 r., SK 64/03, OTK-A 2004, Nr 10, poz. 107). Jednak interes państwa przejawiający się w trosce ustawodawcy o należyte, harmonijne współżycie członków społeczeństwa, co obejmuje ochronę interesów poszczególnych osób, jak i dóbr społecznych (tak wyr. TK z 12.1.1999 r., P 2/98, OTK 1999, Nr 1, poz. 2), uzasadnia w tym przypadku ograniczenie prawa do prywatności informacyjnej jednostek w celu umożliwienia prawidłowego funkcjonowania wymiaru sprawiedliwości w szerokim rozumieniu tego pojęcia, obejmującego także postępowanie administracyjne. 15

Art. 2 12 12. Zakres ograniczeń prywatności informacyjnej. Ograniczenie konstytucyjnie chronionej prywatności informacyjnej jednostki, przez umożliwienie organom władzy publicznej pozyskiwania, gromadzenia i udostępniania informacji o obywatelach, dopuszczalne jest wyłącznie w takim zakresie, w jakim jest to niezbędne w demokratycznym państwie prawnym (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona, 2004, s. 123). W każdym przypadku więc ingerencja w sferę prywatności informacyjnej, a więc wykorzystanie informacji stanowiących dane osobowe, musi nosić cechy niezbędności charakterystycznej dla demokratycznego państwa prawnego. Art. 2. [Przedmiot regulacji] 1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. 2. Ustawę stosuje się do przetwarzania danych osobowych: 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych; 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. 3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5. 16 Spis treści Nb 1. Zakres przedmiotowy OchrDanOsU................ 1 2. Zakres regulacji OchrDanOsU................... 2 3. Zbiory danych osobowych...................... 3 4. Zbiory ewidencyjne........................... 4 5. Postać kwalifikowana zbiorów danych.............. 5 6. Formy istnienia danych osobowych................ 6 7. Egzemplifikowana postać ochrony danych osobowych... 7 8. Dwie postaci przetwarzania danych osobowych........ 8 9. System informatyczny......................... 9 10. Przetwarzanie danych osobowych za pomocą systemu informatycznego a inne formy przetwarzania danych.... 10

Art. 2 11. Przetwarzanie danych osobowych w inny sposób niż w systemach informatycznych........................ 11 12. Funkcja prewencyjna prawa do ochrony danych osobowych 12 13. Przedmiot ochrony dyrektywy 95/46/WE............ 13 14. Baza danych................................ 14 15. Przetwarzanie danych osobowych................. 15 16. Zasady przetwarzania danych osobowych............ 16 17. Pojęcie mogą się znaleźć w zbiorze danych......... 17 18. Ocena organu, czy dochodzi do przetwarzania danych osobowych................................. 18 19. Wgląd w informacje.......................... 19 20. Gromadzenie informacji........................ 20 21. Ochrona danych a sposób ich przetwarzania.......... 21 22. Zakres zastosowania ustawy w przypadku przetwarzania danych osobowych w systemach informatycznych...... 22 23. Przetwarzanie danych poza zbiorem danych.......... 23 24. Pojęcie poza zbiorem danych................... 24 25. Obowiązek rejestracyjny........................ 25 26. Obowiązek zabezpieczenia danych osobowych........ 26 27. Zbiór tworzony doraźnie....................... 27 28. Zabezpieczenie danych......................... 28 29. Obowiązek zabezpieczenia danych................. 29 30. Interpretacja zawężająca obowiązek zabezpieczenia danych 30 31. Zbiór danych osobowych....................... 31 32. Cel przetwarzania danych....................... 32 33. Pojęcie doraźności lub czasowości.............. 33 34. Czasowy zbiór danych....................... 34 35. Dane wrażliwe.............................. 35 36. Weryfikacja zbiorów danych osobowych tworzona na potrzeby konkursów, loterii lub innych akcji promocyjnych. 36 37. Przechowywanie zbiorów danych osobowych tworzone na potrzeby konkursów, loterii lub innych akcji promocyjnych 37 1. Zakres przedmiotowy OchrDanOsU. Artykuł 2 OchrDanOsU 1 wyznacza zakres przedmiotowy zastosowania ustawy o ochronie danych osobowych. Precyzyjne wyznaczenie zakresu zastosowania przepisów komentowanej ustawy budzi jednak w nauce prawa, jak również w orzecznictwie, wiele kontrowersji. Koncentrują się one wokół odpowiedzi na pytanie, czy przepisy ustawy o ochronie danych osobowych są stosowane wyłącznie do przetwarzania danych osobowych w zbiorach danych, czy też do przetwarzania danych poza zbiorami, w postaci pojedynczych informacji (danych). W świetle tego M. Sakowska zwraca uwagę na niefortunne sformułowanie art. 2 ust. 1 i 2 OchrDanOsU, które nie pozwala na prawidłowe 17

Art. 2 wyznaczenie zakresu przedmiotowego ustawy (M. Sakowska, Pojęcie zbiór danych na gruncie ustawy o ochronie danych osobowych, R. Pr. 2005, Nr 2, s. 62). 2 2. Zakres regulacji OchrDanOsU. Zakresem regulacji ustawy o ochronie danych osobowych objęte są zagadnienia związane z przetwarzaniem danych osobowych przesądza o tym treść art. 2 ust. 1 OchrDanOsU. W nauce prawa nie ma jednak zgody co do interpretacji tego przepisu w zestawieniu z art. 2 ust. 2 OchrDanOsU, który wskazuje sytuacje przetwarzania danych osobowych, do których znajdują zastosowanie przepisy ustawy ustawodawca wprowadził bowiem rozróżnienie (A. Drozd, Zakres zakazu przetwarzania danych osobowych, PiP 2003, Nr 2, s. 43) przetwarzania danych osobowych na: w zbiorach ewidencyjnych (art. 2 ust. 2 pkt 1 OchrDanOsU) oraz w systemach informatycznych (art. 2 ust. 2 pkt 2 OchrDanOsU). 3 3. Zbiory danych osobowych. Punktem wyjścia dla przyjęcia jednego ze stanowisk reprezentowanych w nauce prawa jest definicja zbioru danych osobowych, wokół której ogniskują się rozważania nauki prawa związane z zakresem zastosowania przepisów ustawy o ochronie danych osobowych (por. komentarz do art. 7 OchrDanOsU). Pojęcie zbioru danych osobowych nie jest jednak jedynym pojęciem, którego prawidłowa interpretacja przesądzać będzie o zakresie przedmiotowym zastosowania ustawy o ochronie danych osobowych w art. 2 ust. 2 OchrDanOsU odwołuje się bowiem do pewnych kategorii tzw. zbiorów ewidencyjnych danych osobowych, takich jak kartoteki, skorowidze, księgi, wykazy. Powstaje więc w pierwszej kolejności pytanie o to, jak należy rozumieć pojęcie zbioru ewidencyjnego, w szczególności w zestawieniu z pojęciem zbioru danych osobowych. 4 4. Zbiory ewidencyjne. W nauce prawa zbiory ewidencyjne definiuje się jako zestawienia danych osobowych, które mają strukturę umożliwiającą dostęp do danych według jednego kryterium (A. Drozd, Ustawa, s. 19). Podkreśla się przy tym, że istoty zbioru ewidencyjnego należy doszukiwać się w posiadaniu przez niego struktury, która ułatwia przetwarzanie danych osobowych w zbiorze (A. Drozd, Zakres, s. 44). Powstaje więc pytanie, czym tak rozumiany zbiór ewidencyjny różni się od zbioru danych osobowych w znaczeniu, jakie temu pojęciu przypisuje art. 7 pkt 1 OchrDanOsU. Tak postawione pytanie jest o tyle zasadne, że pozwala udzielić odpowiedzi na pytanie o stosunek art. 2 ust. 2 do art. 2 ust. 1 OchrDanOsU. 18

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres