Dane osobowe i prawo do ochrony danych osobowych w świetle aktów prawnych

Zasadnym wydaje się zaaprobowanie koncepcji drugiej, zakładającej rozróżnienie pojęcia danych i informacji. Można powiedzieć, że jest to pogląd większościowy i preferowany przez naukowców reprezentujących różne dyscypliny naukowe, co znalazło wyraz w wypracowaniu koncepcji tzw. hierarchii pojęć poznawczych62. Tworzy ją piramida składająca się z czterech poziomów, dla której bazą są dane, następne poziomy to kolejno informacja i wiedza, zaś na szczycie umieszczono mądrość63

.

3. Dane osobowe oraz prawo do ochrony danych osobowych w ujęciu prawa międzynarodowego, prawa Unii Europejskiej i prawa krajowego

3.1. Dane osobowe i prawo do ochrony danych osobowych w świetle aktów prawnych Rady Europy

Ochrona danych osobowych jest przedmiotem regulacji prawnych w dwóch odrębnych europejskich systemach prawnych: Rady Europy oraz Unii Europejskiej. Unia Europejska liczy obecnie 28 państw członkowskich, zaś każde z tych państw jednocześnie jest członkiem Rady Europy. Relacje między obydwoma systemami należy zatem określić jako wzajemne przenikanie się i uzupełnianie regulacji prawnych.

W ramach funkcjonowania Rady Europy, jako sztandarowy akt prawny o kluczowym znaczeniu wymienia się Europejską Konwencję Praw Człowieka

60 A. Walaszek-Pyzioł, Regulacja – innowacja w sektorze energetycznym, Legalis 2013, tak również G. Szpor, G. Sibiga.

61 J. Gołaczyński, Informacja..., op. cit., Legalis 2004.

62 M. Grabowski, A. Zając, Dane …, op. cit., s. 5.

63

Wśród twórców hierarchii pojęć poznawczych wymienia się: T.S. Eliota, H. Clevelanda, M. Cooleya czy M. Zelenego.

32

i Podstawowych Wolności⁶⁴. W postanowieniach konwencyjnych nie sformułowano

definicji danych osobowych, ani nie ukonstytuowano w sposób bezpośredni prawa do ochrony danych osobowych. Jednakże na gruncie porządku prawnego Rady Europy, w orzecznictwie oraz poglądach przedstawicieli nauki prawa powoływana jest treść art. 8 Europejskiej Konwencji Praw Człowieka, zgodnie z którym każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych

w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe,

bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności osób. Na podstawie tego przepisu wywodzi się, że prawo do ochrony przed gromadzeniem i wykorzystywaniem danych osobowych jest częścią prawa do poszanowania życia prywatnego i rodzinnego, mieszkania i korespondencji⁶⁵. Treść tej regulacji stanowiła fundament do przyjęcia przez Komitet Ministrów Rady Europy szeregu rezolucji dotyczących ochrony danych osobowych, jak również opracowania postanowień Konwencji Rady Europy nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych z 28 stycznia 1981 roku⁶⁶.

Wskazuje się, że chronologicznie pierwszym67, a także jedynym wiążącym

prawnie⁶⁸ międzynarodowym aktem prawnym dotyczącym bezpośrednio ochrony danych

osobowych jest Konwencja Rady Europy nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych z 28 stycznia 1981 roku. Należy jednak zauważyć, że o ile Konwencja 108 generalnie weszła w życie w 1985 roku, to z perspektywy Polski, która stała się jej stroną po jej podpisaniu w 1999 roku, datą ratyfikacji i wejścia w życie był dopiero rok 2002. Ten odstęp czasowy uzasadniony jest faktem, że w treści art. 4 Konwencji 108 zastrzeżono obowiązek stron umowy osiągnięcia zgodności prawa wewnętrznego z zasadami ochrony danych wynikającymi z treści Konwencji 108, a osiągnięcie tego celu ma nastąpić do dnia wejścia Konwencji 108 w życie w odniesieniu do danej strony. Konwencyjna definicja danych osobowych

64

RE, Europejska Konwencja Praw Człowieka, CETS nr 005, 1950. Rzeczpospolita Polska przystąpiła do umowy w 1993 roku.

65 P. Boillat, M. Kjaerum, Podręcznik europejskiego prawa o ochronie danych osobowych, Luksemburg 2014, s. 14.

66 Dz. U. z 2003 r., nr 3, poz. 25, dalej jako Konwencja 108.

67

P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2016, s. 4.

33

wskazuje, że jest to każda informacja dotycząca osoby fizycznej o określonej tożsamości lub dającej się zidentyfikować. Podejmując próbę analizy tak sformułowanej definicji, można w niej wyróżnić następujące elementy: każda informacja, osoba fizyczna, określona tożsamość, możliwość zidentyfikowania. Pojęcie „każdej informacji” jest niezwykle pojemne treściowo i odnoszą się do niego prowadzone wcześniej rozważania dotyczące informacji. Nie została sprecyzowana forma informacji, źródło jej pozyskania, ani też cel jej przetwarzania. Zakres treściowy zostaje zawężony poprzez kolejne elementy definicji. Każda informacja może oznaczać dane osobowe tylko wtedy, gdy będzie dotyczyła osoby fizycznej. Sprecyzowanie pojęcia każdej informacji ma w takim razie charakter podmiotowy. W konsekwencji tego wywnioskować należy, że ochroną przepisów Konwencji 108 nie będą objęte informacje dotyczące osoby prawnej, osoby zmarłej, czy też informacje o osobie do momentu jej narodzin. Dokonując dalszej analizy, zauważa się kolejne zawężenie poprzez następny element, jakim jest określona tożsamość osoby fizycznej. Można zatem wyciągnąć wniosek, że danymi osobowymi w rozumieniu Konwencji 108 będą takie informacje o osobie fizycznej, które w sposób stosunkowo pewny i jednoznaczny wskazują konkretną osobę, pozwalają wyróżnić ją spośród innych osób. Innymi słowy, informacja ta przypisana jest jednej osobie i na nią nakierowuje, a więc posiadając taką informację, jesteśmy w stanie ustalić kogo ona dotyczy. Jednakże wydaje się, że sformułowanie osoba fizyczna dająca się zidentyfikować, w odróżnieniu od osoby fizycznej o określonej tożsamości, rozumiane może być jako mniej precyzyjne, dające mniej pewności. Informacja dotycząca osoby o określonej tożsamości będzie bezpośrednio i jednoznacznie wskazywać określoną osobę, której tożsamość jest znana uprzednio. Przykładem może być przede wszystkim numer PESEL, który jest numerem niepowtarzalnym i przypisanym każdej jednostce. Natomiast informacja dotycząca osoby dającej się zidentyfikować, będzie informacją o osobie, której tożsamości jeszcze nie znamy oraz która nie samodzielnie i bezpośrednio, ale dopiero po wykonaniu dodatkowych działań, operacji myślowych lub w powiązaniu z innymi informacjami pozwoli na wskazanie, że mowa o jednej konkretnej osobie, tej a nie żadnej innej. Przykładem może być np. adres zameldowania, który stanowi informację w danych okolicznościach umożliwiającą zidentyfikowanie osoby.

Pomimo tego, że celem Konwencji 108 było zapewnienie, aby każdy na obszarze państw członkowskich Rady Europy, bez względu na narodowość, obywatelstwo i miejsce zamieszkania, objęty został jednakową ochroną sfery osobistej, w związku

34

z przetwarzaniem automatycznym jego danych osobowych⁶⁹, to zakres obowiązywania Konwencji jest zróżnicowany. Przewiduje ona minimalny, standardowy poziom ochrony, który może być modyfikowany poprzez jego rozszerzenie przez strony umowy (państwa członkowskie Rady Europy będące jej sygnatariuszami). Zgodnie z treścią art. 3 ust. 1 strony zobowiązały się do jej stosowania do zautomatyzowanych zbiorów danych oraz do automatycznego przetwarzania danych osobowych, zarówno w sektorze publicznym, jak i sektorze prywatnym. Kluczowe znaczenie dla rozważań na gruncie przepisów Konwencji 108 ma sformułowanie „automatycznego przetwarzania danych osobowych”. Wyjaśnione zostało ono w treści art. 2 Konwencji jako operacje na danych wykonane w całości lub częściowo za pomocą procedur zautomatyzowanych, takie jak gromadzenie danych, stosowanie do nich operacji logicznych i/lub arytmetycznych, modyfikowanie, usuwanie, wybieranie lub rozpowszechnianie. Ponadto wspomnianym przy regulacji zakresu stosowania Konwencji zbiorem zautomatyzowanym jest każdy zbiór danych będących przedmiotem automatycznego przetwarzania. W treści przepisów nie odnajduje się natomiast wyjaśnienia pojęć „automatyczny” czy „zautomatyzowany”. Odwołując się do słownikowego wyjaśnienia tych terminów, można je rozumieć jako „działający samoczynnie, za pomocą odpowiedniego urządzenia”70

. Wnioskować więc można, że chodzi tu o przetwarzanie za pomocą urządzeń i programów komputerowych, sieci teleinformatycznych, systemów operacyjnych, szeroko rozumianych rozwiązań technologicznych zastępujących pracę fizyczną i intelektualną człowieka.

Konwencja 108, postrzegana jako najwcześniejszy międzynarodowy akt prawny dotyczący ochrony danych osobowych, ma istotne znaczenie dla kształtu systemu prawnej ochrony danych osobowych na gruncie prawa krajowego. Celem przepisów było przede wszystkim skłonienie państw-stron do wdrożenia w ich prawie wewnętrznym środków ochrony o charakterze co najmniej niezbędnym71. W tym celu Konwencja 108 ustanowiła podwaliny pod funkcjonujące do chwili obecnej zasady zgodnego z prawem przetwarzania danych osobowych. Wśród zasad tych przedstawiciele nauki prawa wymieniają wyznaczenie zakresu danych szczegółowych, tzw. wrażliwych, wdrożenie odpowiednich środków bezpieczeństwa danych w zautomatyzowanych zbiorach zapobiegających utracie,

69 J. Sobczak, Ochrona danych osobowych - standardy unijne i rzeczywistość polska [w:] J. Jaskiernia (red.),

Wpływ standardów międzynarodowych na rozwój demokracji i ochronę praw człowieka, Warszawa 2013, s.

485.

70 www.sjp.pwn.pl

71

J. Sobczak [w:] A. Wróbel (red.), Karta Praw Podstawowych Unii Europejskiej. Komentarz, Warszawa

35

zniszczeniu, udostępnieniu bez podstawy, wprowadzenie systemu sankcji i odszkodowań za naruszenie przepisów dotyczących ochrony danych osobowych, a także zasady: rzetelności, poprawności, odpowiedniej jakości, adekwatności, celowości i ograniczonego czasu przetwarzania danych osobowych⁷². Jednakże z treści art. 9 wynika, że zasady te doznają wyjątków, jeżeli przewiduje to prawo wewnętrzne. Zgodnie z treścią Konwencji odstępstwo od zasady musi stanowić środek konieczny w społeczeństwie demokratycznym oraz opierać się na co najmniej jednej z wymienionych w treści art. 9 podstaw, które podzielić można na podstawy uzasadniające odstępstwo ze względu na dobro publiczne: ochrona państwa, ochrona interesów finansowych państwa, utrzymanie porządku i bezpieczeństwa publicznego, zwalczanie przestępczości; oraz podstawy uzasadniające odstępstwo ze względu na dobro prywatne, jednostkowe: ochrona osoby której dane dotyczą, albo ochrona praw i wolności innych osób. Zauważyć należy, że obie grupy są równoważne, nie przyznano priorytetu żadnej z nich.

W kontekście dotychczasowych rozważań, niezbędnym jest dokonanie analizy zobowiązań umownych stron Konwencji. Można zaproponować ich podział na trzy grupy. Kryterium podziału stanowiłby podmiot bądź obszar, w stosunku do którego dane zobowiązanie się odnosi.

Do pierwszej grupy zaliczyć można zobowiązania państw względem osób, których dane dotyczą. Znalazłby się tu przede wszystkim wywiedziony z treści art. 8 Konwencji 108 obowiązek państwa do zapewnienia każdej osobie prawa do uzyskania informacji o tym, czy jej dane znajdują się w zautomatyzowanym zbiorze danych osobowych, jak również uzyskania informacji o celach utworzenia takiego zbioru. Następnie wskazać można obowiązek uzyskania informacji o tożsamości, miejscu zamieszkania lub siedziby administratora takiego zbioru, obowiązek sprostowania lub usunięcia danych dotyczących tej osoby przetwarzanych z naruszeniem przepisów prawa wewnętrznego, a ponadto obowiązek złożenia skargi w przypadku nieuwzględnienia żądań dotyczących wymienionych praw, w myśl określonych w Konwencji zasad i z uwzględnieniem określonych wyjątków. Ponadto w tej grupie umieścić można by również zobowiązanie państwa wynikające z treści art. 14 dotyczące udzielenia pomocy osobie mieszkającej za granicą w korzystaniu z praw przewidzianych w prawie wewnętrznym, z poszanowaniem postanowień art. 8 Konwencji.

36

Druga grupa obowiązków dotyczy współpracy między stronami Konwencji, należy zaliczyć do niej następujące zobowiązania: umożliwiania przepływu danych osobowych przez granice (art. 12), czy też udzielania sobie wzajemnej pomocy w celu wprowadzenia w życie Konwencji (art. 13).

W ostatniej grupie umieścić można zobowiązania państwa w zakresie ukształtowania regulacji prawa wewnętrznego dotyczących ochrony danych osobowych. Wśród nich wyróżnić można obowiązek: podjęcia kroków w celu osiągnięcia zgodności przepisów prawa wewnętrznego z przepisami Konwencji (art. 4), obowiązek podjęcia odpowiednich środków bezpieczeństwa w odniesieniu do danych osobowych zgromadzonych w zbiorach zautomatyzowanych (art. 7), jak również wprowadzenia sankcji karnych i odszkodowania za naruszenie prawa wewnętrznego (art. 10).

Postanowienia Konwencji 108 przyznają stosunkowo sporą samodzielność prawu wewnętrznemu każdego z państw będących stronami Konwencji. Przewidują one wiele wyjątków od przyjętych w jej treści zasad (art. 9). Odstąpienie od postanowień umownych dopuszczalne jest jako środek konieczny w społeczeństwie demokratycznym dla ochrony państwa, interesów finansowych, utrzymania porządku i bezpieczeństwa publicznego, zwalczania przestępczości oraz ochrony osoby, której dane dotyczą, praw lub wolności innych osób. Warto również podkreślić, że postanowienia tego aktu prawnego mają odniesienie tylko do sfery publicznoprawnej. Obywatele państw, które ratyfikowały Konwencję 108 nie wywodzą z jej przepisów praw ani obowiązków, gdyż bezpośrednie skutki prawne wywoływane są jedynie po stronie państw73. Wspomnieć należy, że zasięg obowiązywania postanowień Konwencji 108 wykracza poza Unię Europejską, przy czym 45 z 46 stron to państwa należące do Rady Europy. W 2013 roku do Konwencji przystąpił Urugwaj, zaś zaproszenie do przystąpienia otrzymało Maroko74

. Tekst Konwencji z biegiem czasu uzupełniany był szeregiem protokołów dodatkowych.

3.2. Dane osobowe i prawo do ochrony danych osobowych na tle prawa Unii