Główne zasady postępowania przy przetwarzaniu danych przy przetwarzaniu danych osobowych wyznacza art 26 ust 1 ustawy ujmując je w formę podstawowych obowiązków administratora danych Z jego treści wynika, iż administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a co za tym idzie ma on przestrzegać pewnych zasad:

 

• zasady legalności – przetwarzać dane zgodnie z prawem,
• zasady celowości – zbierać dane dla oznaczonych, zgodnych z prawem celów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust 2,
• zasady merytorycznej poprawności – dbać o merytoryczną poprawność danych,
• zasady adekwatności danych – dbać o adekwatność danych w stosunku do celów, w jakich są przetwarzane,
• zasady ograniczenia czasowego – przechowywać dane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to nie‑ zbędne do osiągnięcia celu przetwarzania

 

Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje:

• w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
• z zachowaniem przepisów art 23 i 25

 

Działania administratora polegające na respektowaniu interesów (zarówno majątkowych, jak i niemajątkowych) osób, których dane dotyczą, muszą się odznaczać „szczególną starannością”, a więc większą od „zwykłej”, „przeciętnej”, czy nawet „należytej”, o których mowa w kodeksie cywilnym

 

1.      Zasada legalności

 

Pierwszym obowiązkiem wymienionym w art 26 ust 1 jest obowiązek przetwarzania danych zgodnie z prawem określany także jako zasada legalności

Przetwarzanie danych osobowych przez administratora danych powinno odbywać się z zachowaniem przynajmniej jednej z przesłanek legalności przetwarzania określonych w ustawie o ochronie danych osobowych W przypadku danych „zwykłych”, przesłanki te wymienia enumeratywnie art 23 ustawy i są nimi:

1. zgoda osoby, której dane dotyczą, chyba że chodzi o usunięcie dotyczących jej danych,
2. niezbędność przetwarzania danych dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

3. konieczność realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą

4. przetwarzanie danych jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5. przetwarzanie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą

Za prawnie usprawiedliwiony cel uważa się w szczególności marketing bez‑ pośredni własnych produktów i usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art 23 ust 4 ustawy) Odrębny reżim przetwarzania danych odnosi się do danych „szczególnie chronionych” (danych wrażliwych, sensytywnych) Ich przetwarzanie co do zasady jest zabronione

Zgodnie z art. 27 ust. 1 ustawy, do danych szczególnie chronionych należy zaliczyć: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną, związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym

Przetwarzanie tej kategorii jest jednak dopuszczalne po spełnieniu jednej z przesłanek określonych w art 27 ust  2 ustawy, jeżeli:

▶     osoba, której dane dotyczą wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,

▶ przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony,

▶ przetwarzanie takich danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,

▶ jest to niezbędne do wykonywania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji, lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych,

▶ przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,

▶ przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,

▶ przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,

▶ przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,

▶ jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,

▶ przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym

 

Zasada legalności:

1. nie oznacza tylko zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych, ale także z wszelkimi obowiązującymi normami prawnymi, i to zarówno określonymi w przepisach o randze ustawy jak i aktach niższego rzędu (przepisy wykonawcze),
2. nie obejmuje jednak postanowień umownych,
3. zabrania (poza wyjątkami wskazanymi w ustawach odrębnych) zbierania danych w sposób ukryty, przez podsłuch, wariograf, czy z naruszeniem tajemnicy korespondencji W wyroku z dnia 4 marca 2002 r NSA pod‑ kreślił, że żadne względy natury organizacyjno – finansowej nie powinny być traktowane jako podstawa do sprzecznego z prawem przetwarzania danych osobowych przez banki (II SA 3144/01)

W zasadzie legalności szczególną rolę odgrywa przesłanka zgody osoby, której dane dotyczą

Zgodnie z art 7 pkt 5 ustawy o ochronie danych osobowych, przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie W przypadku zgody na wykorzystywanie danych osobowych podlegających szczególnej ochronie zgoda musi być wyrażona na piśmie

Z definicji tej nie wynikają szczegółowe zasady formułowania zgody, jednakże podkreślić należy, że z treści klauzul zgody na przetwarzanie danych osobowych powinno w sposób nie budzący wątpliwości wynikać, w jakim celu, w jakim za‑ kresie i przez kogo dane osobowe mogą być przetwarzane Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi Stanowisko takie wyraził także Naczelny Sąd Administracyjny w wyroku z dnia 4 kwietnia 2003 r (sygn akt II SA 2135/2002), w uzasadnieniu którego zawarł stwierdzenie, iż zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania Czynności takiej nie legalizuje późniejsze poinformowanie o treści regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych

Ponadto, oświadczenie o wyrażeniu zgody musi być przejawem wolnej i nie‑ skrępowanej woli osoby je składającej Nie może ona czuć się zmuszona do złożenia oświadczenia o wyrażeniu zgody na przetwarzanie jej danych osobowych

Wyrażenie zgody jest zbędne w sytuacji gdy:

▶ przetwarzanie danych jest dopuszczalne na podstawie odrębnych przepisów prawa (np za zbędne należy uznać wyrażenie zgody na przetwarzanie danych w celu przeprowadzenia wywiadu środowiskowego przez pracownika pomocy społecznej, wobec istnienia przepisów ustawy o pomocy społecznej nakładającej obowiązek przeprowadzania takiego wywiadu),

▶ przetwarzanie danych jest dopuszczalne na podstawie innych przesłanek (np  w celu realizacji umowy)

 

2.      Zasada celowości

 

Zasada ta zwana również zasadą związania z celem oznacza, iż zbieranie danych osobowych powinno być dokonywane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami Oznacza to, iż:

▶      zbierający dane nie może pominąć, ani zataić tego celu,

▶      nie można określać celu przetwarzania danych w sposób ogólnikowy,

▶ cel ten powinien być zakomunikowany zainteresowanemu przed tym ze‑ braniem danych osobowych,

▶   niedopuszczalne jest uzależnianie zawarcia umowy od wyrażenia zgody na przetwarzanie danych w zupełnie innych celach (np marketingu produktów i usług podmiotów trzecich)

Wyjątki od zasady celowości:

Przetwarzanie danych w celu innym niż ten, w którym zostały zebrane, jest dopuszczalne, jeżeli:

• nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje
• w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
• z zachowaniem przepisów art 23 i 25 ustawy

 

3.      Zasada merytorycznej poprawności (prawdziwości).

 

Administrator danych jest obowiązany również zapewnić poprawność danych osobowych, tj aby dane były zgodne z prawdą, pełne (kompletne) i aktualne

W celu zapewnienia merytorycznej poprawności danych konieczne jest aby w procesie przetwarzania danych administrator danych:

▶      każdorazowo oceniał wiarygodność źródła pozyskania danych,

▶ wypracował tryb weryfikowania prawdziwości danych (w zależności od tego, czy dane są zwykłe czy szczególnie chronione) oraz ustalił zasady postępowania w przypadku stwierdzenia nieprawdziwości danych – o dokonanym uaktualnieniu lub sprostowaniu danych, administrator danych jest obowiązany bez zbędnej zwłoki poinformować innych administratorów danych, którym udostępnił zbiór danych (art 35 ust 3 ustawy)

Naruszeniem tej zasady jest zbieranie danych ze źródeł niewiadomego po‑ chodzenia, które nie gwarantują poprawności danych osobowych Również względy natury technicznej (np konstrukcja programów informatycznych, za pomocą których przetwarzane są dane osobowe) nie mogą decydować o przetwarzaniu danych nieprawdziwych, niekompletnych, czy nieaktualnych, o czym przesądził Wojewódzki Sąd Administracyjny w wyroku z dnia 5 marca 2007 r , sygn  akt II SA/Wa 2328/06 (niepublikowany)

 

4.    Zasada adekwatności

 

Zgodnie z zasadą adekwatności administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych Relewantność danych powinna być oceniania najpóźniej w momencie ich zbierania Zatem administrator danych ma obowiązek dokonania w tym względzie oceny

Zakres danych osobowych adekwatnych do celu przetwarzania oceniać trze‑ ba każdorazowo z uwzględnieniem określonego stosunku prawnego, w związku z którym administrator danych przetwarza dane osobowe (wyrok NSA z dnia 27 listopada 2003 r , II SA 209/2003) W odniesieniu do umów uwzględnić na‑ leży ich charakter i znaczenie (wyrok NSA z dnia 19 grudnia 2001 r , II SA 2869/2000, ONSA 2003, nr 1, poz 29)

Niekiedy ustawodawca wskazuje wprost w przepisach prawa na zakres danych adekwatnych do celu przetwarzania Przepisy takie mają charakter lex specialis i wyłączają stosowanie zasady adekwatności Przykładem takiej sytuacji jest art 112b ustawy prawo bankowe, zgodnie z którym banki mogą przetwarzać, w celach prowadzonej działalności bankowej, informacje zawarte w dokumentach tożsamości osób fizycznych)

▶ posłużenie się określoną  techniką  zbierania  danych  (np  kopiowanie dokumentów) nie przesądza o naruszeniu zasady adekwatności (wyrok NSA z dnia 19 grudnia 2001 r , II SA 2869/2000, ONSA 2003, nr 1, poz 29),

▶    dane osobowe nie mogą być zbierane na zapas, „na wszelki wypadek”, tj bez wykazania celowości ich pozyskania i niezbędności dla realizacji zadań administratora danych

Przykładowo za nieadekwatne uznać należało pozyskiwanie danych o wykształceniu i stanie cywilnym przy zawieraniu umów odpowiedzialności cywilnej posiadacza pojazdu mechanicznego (wyrok WSA z dnia 5 lutego 2003 r ,

sygn akt II S A 3505/01), czy też zbieranie przez bank danych osobowych klientów w zakresie poprzednich adresów zameldowania, kategorii i daty nadania uprawnienia do kierowania pojazdem silnikowym oraz danych zawartych w świadectwie pracy, dotyczących przebiegu zatrudnienia (wyrok WSA z dnia 24 listopada 2005 r , sygn akt II SA /Wa 1335/05)

 

5.    Zasada ograniczenia czasowego

 

Ustawa nakłada na administratora danych obowiązek przechowywania danych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż to jest niezbędne do osiągnięcia celu przetwarzania Po osiągnięciu celu (np wykonaniu zawartej umowy, upływie wskazanego w przepisach prawa okresu przechowywania danych) dane powinny zostać usunięte, zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora (np przekazane do archiwum państwowego) W tym celu administrator danych jest zobowiązany do stałego nadzorowania zawartości swoich zbiorów pod kątem konieczności usuwania danych zbędnych, albo do których przetwarzania przestał być upoważniony ustawowo lub w drodze umowy Przykładowo, w kontekście przetwarzania danych osobowych przez Biuro Informacji Kredytowej Sąd wskazał, iż „(…) z chwilą całkowitej spłaty kredytu (zamknięcia rachunku bankowego) kończy się prawne zezwolenie na przetwarzanie danych osobowych tych osób, których rachunki zostały zamknięte Osiągnięty zostaje wówczas cel, w jakim dane te były przetwarzane” (wyrok WSA z dnia 22 lutego 2005 r , sygn akt II SA /Wa 2030/04, LEX nr 164935)

 

Uwaga! W razie wykazania przez osobę, której dane osobowe dotyczą, iż są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne przepisy (art 35 ust  1 ustawy)

W przypadku, gdy administrator odmawia wypełnienia powyższego obowiązku, na wniosek podmiotu danych, Generalny Inspektor Ochrony Danych Osobowych wydaje decyzję administracyjną nakazującą przywrócenie stanu zgodnego z prawem