Wybrane zagadnienia prawnej ochrony danych osobowych w działalności przedsiębiorstwa

Pełen tekst

(1)Zeszyty Naukowe nr. 657. 2004. Akademii Ekonomicznej w Krakowie. Krzysztof Tor Katedra Prawa. Wybrane zagadnienia prawnej ochrony danych osobowych w dzia∏alnoÊci przedsi´biorstwa 1. Wprowadzenie Informacja w prowadzeniu działalności gospodarczej jest obecnie traktowana jako szczególne dobro, którego uzyskanie, wykorzystanie i przetwarzanie wymaga ochrony zarówno ze względu na interesy samych osób, których one dotyczą, np. pracowników lub klientów, jak też ze względu na interes publiczny. Problematyka prawnej ochrony danych osobowych należy obecnie do zagadnień szeroko rozumianej ochrony informacji, mających istotne znaczenie dla prowadzącego działalność gospodarczą przedsiębiorcy. Znajduje ona swoje odzwierciedlenie przede wszystkim w regulacji prawnej aktów normatywnych należących do sfery prawa publicznego (np. ustawa o ochronie informacji niejawnych)1, jak też do sfery prawa prywatnego (np. ustawa o ochronie danych osobowych, w skrócie dalej nazywana uodo)2. Ponadto istotne znaczenie mają tutaj także akty prawa międzynarodowego, do których zaliczyć można np. Konwencję nr 108 Rady Europy z 1981 r. o ochronie osób w związku z przetwarzaniem danych osobowych oraz Dyrektywę Komisji Europejskiej nr 95/46/CE z 1995 r. dotyczącą ochrony osób fizycznych ze względu na przetwarzanie danych osobowych oraz swobodnego przepływu tych danych. Akty te nie są co prawda wiążącymi normami dla podmiotów prawa krajowego, 1. Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, Dz.U. nr 11, poz. 95 z późn. zm. 2. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, D.U. nr 133, poz. 883 z późn. zm..

(2) Krzysztof Tor. 90. ale stanowiły podstawę dla opracowywanych przepisów3. Kraj nasz jest bowiem członkiem organizacji międzynarodowych (np. OECD i Rady Europy), które wypracowały zalecenia w sprawie ochrony informacji obowiązujące w Unii Europejskiej. Problemy prawnej ochrony informacji dotyczących interesów osób fizycznych (głównie obywateli) oraz interesu publicznego (państwa oraz przedsiębiorców) mają coraz większe znaczenie także dla praktyki zarządzania przedsiębiorstwami. Informacje te obejmujące również dane osobowe mogą i często stanowią część tych działań objętych tzw. wywiadem gospodarczym4. W rozdziale tym pojęcie przedsiębiorcy będzie użyte w rozumieniu podmiotu, który prowadzi działalność w oparciu o przedsiębiorstwo5. Celem tego opracowania jest przedstawienie najważniejszych wybranych zagadnień regulacji prawnej czynności dokonywanych przez lub z udziałem przedsiębiorcy, a dotyczących danych osobowych mających istotne znaczenie dla procesu zarządzania. Mogą to być np. dane o klientach, kontrahentach oraz pracownikach przedsiębiorstwa, dane o posiadaczach kart kredytowych banku, dane o posiadaczach telefonów komórkowych itd. Podstawowe znaczenie w tym zakresie mają przepisy ustawy o ochronie danych osobowych (uodo) określające obowiązki przedsiębiorców jako administratorów danych oraz uprawnienia osób, których te dane dotyczą. Podstawowe obowiązki przedsiębiorców w tym zakresie to: – legalne wykorzystywanie danych, – obowiązek informacyjny, który należy spełnić w trakcie lub po zgromadzeniu danych, – wymagania, które należy spełnić na żądanie osoby, której te dane dotyczą, – zabezpieczenie danych osobowych, – rejestracja zbiorów danych osobowych. Natomiast do podstawowych uprawnień osób, których dane są wykorzystywane, można zaliczyć: – prawo do informacji o tym, kto i w jakim celu wykorzystuje dane osobowe, skąd te dane posiada, komu te dane udostępnia, jakie informacje są wykorzystywane, 3. Por. A. Mednis, Ustawa o ochronie danych osobowych–komentarz, Wydawnictwo Prawnicze, Warszawa 1999, s. 8. 4 Zob. M. Kwieciński, Wywiad gospodarczy w zarządzaniu przedsiębiorstwem, Wydawnictwo Naukowe PWN, Warszawa–Kraków 1999, s. 30 i 32. 5 Por. S. Włodyka, Prawo gospodarcze. Zarys systemu – część ogólna, PWN, Warszawa 1981, s. 111 i nast. oraz E. Norek, Przedsiębiorstwo jako przedmiot obrotu gospodarczego, Wydawnictwo Prawnicze, Warszawa 1997, s. 19 i nast..

(3) Wybrane zagadnienia prawnej ochrony…. 91. – prawo do uzupełnienia, uaktualnienia, sprostowania danych, – prawo do żądania czasowego lub stałego wstrzymania wykorzystania danych oraz – prawo do ich usunięcia, jeśli zostały zebrane niezgodnie z prawem lub są zbędne dla celu ich zebrania, – prawo do żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację, – prawo do sprzeciwu i do informacji o zarejestrowanych zbiorach danych. 2. Zasady zbierania, opracowywania i udost´pniania danych przez przedsi´biorc´ (przetwarzanie danych) Dla przedsiębiorstwa jako administratora danych osobowych podstawowe znaczenie mają wymagania określone w art. 23 uodo, który wskazuje pięć przesłanek legalności przetwarzania danych osobowych. Przedsiębiorstwo powinno spełnić przynajmniej jedno ze wskazanych wymagań, aby jego działanie mogło być uznane za legalne. Przesłanki te są następujące: a) zgoda osoby, której dane dotyczą, b) przepis ustawy zezwalający na przetwarzanie danych, c) konieczność wywiązania się z umowy lub podjęcia czynności przedumownych związanych z zobowiązaniem osoby, której dotyczą dane, d) przetwarzanie danych ze względu na realizację zadań publicznych, e) niezbędność danych przetwarzanych dla danego podmiotu (przedsiębiorstwa), jednakże bez naruszania praw i wolności osób, których dane dotyczą. 2.1. Zgoda osoby na przetwarzanie jej danych osobowych przez przedsi´biorstwo. Spełnienie pierwszego wymagania jest dla przedsiębiorstwa najbardziej bezpiecznym obowiązkiem, gdyż wyłącza możliwość żądania zaprzestania przetwarzania tych danych oraz sprzeciw samego zainteresowanego, co wynika z uprawnień wskazanych w art. 32 ust. 1 pkt 7 oraz 8. Uprawnienia te obejmują m.in. prawo uzyskania wyczerpujących informacji o zbiorze danych, o celu, zakresie i sposobie przetwarzania danych, sposobie udostępniania danych, sprzeciwu wobec przetwarzania danych niezgodnie z wymaganiami określonymi w pkt. 4 i 5, a także przez inne przedsiębiorstwo. Jednakże zgoda tej osoby powinna być wyraźna, najlepiej złożona na piśmie. Na przykład zwykłe odesłanie przez adresata przesyłki reklamowej lub druku zamówienia nie mogłoby być uznane za zgodę na przetwarzanie danych tej osoby. Przedsiębiorstwo natomiast mogłoby potraktować taką odpowiedź jako przyjęcie oferty w rozumieniu art. 66 Kodeksu.

(4) Krzysztof Tor. 92. cywilnego 6, a to oznaczałoby spełnienie okoliczności przewidzianej w pkt. 3 omawianego przepisu (czynność przedumowna). Zgoda osoby na przetwarzanie jej danych przez przedsiębiorstwo nie może być również przeniesiona na inne przedsiębiorstwo wraz z udostępnieniem bazy danych (np. wynajęcie sprzętu komputerowego). Natomiast byłoby to możliwe w przypadku nabycia lub zbycia przedsiębiorstwa w znaczeniu art. 55(1) Kodeksu cywilnego, gdyż występuje tu tzw. cesja uniwersalna. Jednakże przetwarzanie danych osobowych posiadanych przez przedsiębiorstwo mogłoby nastąpić także, gdyby dana osoba wyraziła zgodę na przetwarzanie jej danych zarówno przez właściciela bazy, jak też i przez nabywcę samej bazy danych. Należy tutaj zaznaczyć, że w rozumieniu tej ustawy pojęcie przetwarzania danych obejmuje m.in. takie czynności, jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych (zgodnie z art. 7 uodo). 2.2. Przepisy szczególne zezwalajàce na przetwarzanie danych osobowych. Zbieranie, opracowywanie i udostępnianie danych jest możliwe także, gdy zezwala na to szczególny przepis prawa. W tym miejscu ustawodawca odsyła więc do przepisów regulujących odrębnie działalność instytucji publicznych, które zezwalają na przetwarzanie danych osobowych przez te instytucje niezależnie od celu, w jakim ta instytucja wykorzystałaby te dane od przedsiębiorstwa. Szczególnie rozbudowaną regulację prawną w tym zakresie zawiera ustawa Ordynacja podatkowa7. Ustawa ta dotyczy bowiem także gromadzenia i udostępniania przez przedsiębiorstwa danych osobowych urzędom skarbowym i innym instytucjom. Ordynacja podatkowa (art. 82) nakłada na wszystkich przedsiębiorców obowiązki w zakresie informowania organów podatkowych o wszystkich: a) zdarzeniach wynikających ze stosunków cywilnoprawnych albo ze stosunków pracy, jakie mogą mieć wpływ na powstanie obowiązku podatkowego lub wysokość zobowiązań podatkowych osób, z którymi zawarto umowy. Obowiązek ten powinien być wykonany na pisemne żądanie organu podatkowego (urzędu skarbowego, izby skarbowej lub samorządowego kolegium odwoławczego), b) umowach zawartych z osobami zagranicznymi. Obowiązek ten powinien być wykonany bez wezwania organu podatkowego. Ponadto szczególne obowiązki informacyjne spoczywają na bankach i innych instytucjach finansowych. Banki są zobowiązane do sporządzania i przekazywania informacji dotyczących wszystkich osób, wobec których prowadzone jest 6. Zob. Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny, Dz.U. nr 16, poz. 93 z późn. zm.. 7. Ustawa z dnia 29 sierpnia 1997 r. Ordynacja podatkowa, Dz.U. nr 137, poz. 926 z późn. zm..

(5) Wybrane zagadnienia prawnej ochrony…. 93. postępowanie podatkowe. Informacje te mogą być udzielane na pisemne żądanie naczelnika urzędu skarbowego. Zakres przekazywanych obowiązkowo informacji jest bardzo szeroki i obejmuje (art. 182 § 1 Ordynacji podatkowej): – dane o posiadanych rachunkach bankowych i oszczędnościowych, liczbie tych rachunków, obrotach i stanie rachunków, – dane o posiadanych rachunkach pieniężnych i rachunkach papierów wartościowych wraz z ustaleniem obrotów i stanów tych rachunków, – dane dotyczące zawartych umów kredytowych, umów pożyczek pieniężnych oraz umów depozytowych, – dane o nabytych akcjach i obligacjach Skarbu Państwa, a także dane o obrotach tymi papierami wartościowymi, – dane o obrotach bankowymi certyfikatami depozytowymi lub innymi papierami wartościowymi. Informacje dotyczące rachunków papierów wartościowych oraz obrotów papierami wartościowymi Skarbu Państwa dokonywanych przez konkretne osoby fizyczne lub przedsiębiorstwa są także obowiązkowo przekazywane do urzędu skarbowego przez domy maklerskie. Z takim żądaniem sporządzenia i przekazania informacji wyżej wymienionych naczelnik urzędu skarbowego może wystąpić, lecz po uprzednim wezwaniu danej osoby do udzielenia informacji z tego zakresu albo po upoważnieniu urzędu skarbowego do wystąpienia do instytucji finansowych o przekazanie tych informacji, jeżeli dana osoba będąca stroną w postępowaniu w wyznaczonym terminie nie udzieliła informacji albo nie upoważniła urzędu skarbowego. Ponadto banki oraz inne instytucje finansowe na pisemne żądanie Ministra Finansów oraz jego przedstawiciela są zobowiązane do udzielania informacji o osobach w razie wystąpienia władz podatkowych państw obcych. Zakres i zasady udzielania tych informacji określają przepisy umów o unikaniu podwójnego opodatkowania. Ustawodawca potwierdził więc tutaj zasadę, że pierwszym i podstawowym źródłem informacji o osobie – podatniku powinna być ona sama. Natomiast naczelnik urzędu skarbowego, występując do banków lub innych instytucji z żądaniem przekazania powyższych informacji, powinien zwracać szczególną uwagę na zasadę szczególnego zaufania pomiędzy instytucjami finansowymi a ich klientami (art. 184 § 1 Ordynacji podatkowej)8. Wymienione instytucje finansowe odmawiają udzielenia informacji, jeżeli żądanie naczelnika urzędu skarbowego nie spełnia wymogów formalnych (art. 185 i 184 § 3 Ordynacji podatkowej). Ustawa reguluje ponadto kwestie udostępniania tzw. „tajemnicy skarbowej” obejmując dane o osobach – podatnikach. Tajemnicą skarbową objęte są dane 8. A. Mednis, op. cit., s. 53..

(6) 94. Krzysztof Tor. o osobach zawarte w deklaracji oraz innych dokumentach składanych przez podatników, płatników lub inkasentów. Osobami tymi mogą być zarówno osoby fizyczne jako podatnicy, których dane przekazują przedsiębiorstwa, jak i same przedsiębiorstwa. Należy tutaj podkreślić, że ustawa zobowiązuje osoby, którym przekazane zostały te informacje, do przestrzegania tajemnicy. Jednakże przestrzeganie tajemnicy skarbowej dotyczy jedynie wskazanych kategorii pracowników urzędów skarbowych oraz urzędników urzędów miast, gmin, członków samorządowych kolegiów odwoławczych oraz pracowników Ministerstwa Finansów. Przestrzeganie informacji stanowiących tajemnicę skarbową dotyczy także innych osób, którym udostępniono informacje objęte tajemnicą skarbową, chyba że na ich ujawnienie pozwala przepis prawa. Tak więc obowiązki te dotyczą także i pracowników przedsiębiorców udostępniających takie informacje, np. pracowników banku, domów maklerskich, funduszy powierniczych czy też funduszy inwestycyjnych. Za naruszenie tajemnicy skarbowej pracownikom tym może grozić odpowiedzialność karna, ale tylko gdyby osoby pokrzywdzone w wyniku ujawnienia takich informacji wystąpiły z wnioskiem do prokuratora (art. 306 Ordynacji podatkowej). Ordynacja podatkowa reguluje również warunki udostępniania informacji – danych osobowych innym podmiotom przez urzędy skarbowe. Urzędy skarbowe udostępniają wymienione wyżej informacje wyłącznie: a) Ministrowi Finansów lub izbie skarbowej w związku z prowadzonym postępowaniem podatkowym lub karnym skarbowym, b) innym urzędom skarbowym lub urzędom kontroli skarbowej – w związku z postępowaniem podatkowym, kontrolą podatkową lub postępowaniem karnym, c) sądom lub prokuratorom – w związku z prowadzonymi przez nich postępowaniami, d) Rzecznikowi Praw Obywatelskich, Ministrowi Sprawiedliwości, Pierwszemu Prezesowi Sądu Najwyższego, Prezesowi Naczelnego Sądu Admnistracyjnego – w związku z badaniem akt w sprawie rewizji nadzwyczajnej, e) Prokuratorowi Generalnemu – w związku z rewizją nadzwyczajną lub też na wniosek właściwego prokuratora zgodnie z przepisami Kodeksu postępowania admnistracyjnego, f) Sądowi Najwyższemu – w związku z rozpoznawaniem kasacji. Ponadto urzędy skarbowe mają udostępniać Najwyższej Izbie Kontroli akta zawierające dane osobowe, z wyłączeniem jednak informacji przekazywanych przez instytucje finansowe wskazanych wyżej. Akta nie zawierające jednakże tych informacji (objętych art. 182 Ordynacji) organy podatkowe mają obowiązek udostępnić: – Ministrowi Finansów, – innym organom podatkowym,.

(7) Wybrane zagadnienia prawnej ochrony…. 95. – Najwyższej Izbie Kontroli, – sądom i prokuratorom, – biegłym powołanym w toku postępowania podatkowego lub kontroli podatkowej, – innym organom – w sytuacjach i na zasadach określonych w odrębnych przepisach ustaw. W tym ostatnim przypadku obowiązujące przepisy odrębne przewidują obowiązek przekazywania informacji z akt spraw podatkowych również organom celnym, rejonowym urzędom pracy oraz jednostkom organizacyjnym Zakładu Ubezpieczeń Społecznych (zgodnie z art. 299 Ordynacji podatkowej). Ponadto organa podatkowe – zgodnie z wymaganiami art. 302 Ordynacji podatkowej – za zgodą podatnika (osoby, której dane osobowe są przekazywane) obowiązane są wydać zaświadczenie o wysokości zaległości podatkowych na żądanie: – tych podmiotów, które na podstawie odrębnych przepisów upoważnione są do udzielania kredytów lub pożyczek, – kontrahentów tych podatników, – małżonka podatnika, – wspólnika lub też byłego wspólnika spółek osobowych podatnika. Dane osobowe będące przedmiotem informacji sporządzanych lub udostępnianych przez organy podatkowe lub instytucje finansowe mogą być także przekazywane organom państw obcych na zasadach określonych w umowach międzynarodowych lub umowach o unikaniu podwójnego opodatkowania (zgodnie z art. 300 Ordynacji podatkowej). W świetle powyżej przedstawionych regulacji Ordynacji podatkowej można stwierdzić, że dane osobowe będące przedmiotem informacji w trakcie postępowania lub kontroli podatkowej mogą być w szerokim zakresie pozyskiwane i przekazywane organom podatkowym i innym instytucjom . Osoba, której dane są przedmiotem takiej informacji podatkowej, może w zasadzie, jedynie gdy jest formalnie stroną toczącego się wobec niej postępowania, skorzystać z przysługujących jej praw do wniesienia odwołania lub zażalenia na czynności urzędnika. Osoba ta może także skorzystać z uprawnień w przypadku naruszenia tajemnicy skarbowej wobec osób zobowiązanych do jej przestrzegania. Szeroki krąg tych osób określa art. 294 Ordynacji. Podmioty te ponoszą bowiem odpowiedzialność karną, a postępowanie prowadzi w tym wypadku prokurator na wniosek pokrzywdzonej w ten sposób osoby. Może tą osobą być klient, pracownik, ale także przedsiębiorstwo. Nie wyłącza to, jak sądzę, możliwości dochodzenia odpowiedzialności odszkodowawczej na zasadach ogólnych Kodeksu cywilnego (art. 415 i nast. k.c.), jaką ponosić mogą osoby ujawniające takie dane osobowe.

(8) Krzysztof Tor. 96. niezgodnie z przepisami. A więc wymagać to będzie w każdym przypadku prowadzenia żmudnego postępowania sądowego. Drugą ważną ustawą, która reguluje wykorzystywanie danych osobowych przez przedsiębiorstwa, jest ustawa o działalności ubezpieczeniowej9. Ustawa ta wprowadza generalnie zakaz udzielania informacji dotyczących poszczególnych umów ubezpieczenia przez zakłady ubezpieczeń (art. 9 ust. 1). Jednakże zakaz ten nie dotyczy informacji udzielanych przez zakłady ubezpieczeń na żądanie: – sądu, prokuratury, organu nadzoru ubezpieczeniowego lub osoby trzeciej, na rzecz której została zawarta umowa ubezpieczenia, – Ubezpieczeniowego Funduszu Gwarancyjnego w zakresie treści umów ubezpieczenia objętych zadaniami tego Funduszu, – Najwyższej Izby Kontroli o treści umów ubezpieczenia, ale tylko jeżeli kontrola stwierdziła niekompletność lub nierzetelność dokumentów zawartych umów ubezpieczenia, – Narodowego Banku Polskiego w zakresie kontroli dewizowej oraz banków upoważnionych do wykonywania obrotu dewizowego w zakresie przekazywania za granicę płatności w walutach obcych, – Generalnego Inspektora Kontroli Skarbowej w związku z tocząca się sprawą: a) karną lub karno-skarbową przeciwko osobie będącej stroną umowy ubezpieczenia, b) karną lub karno-skarbową o przestępstwo popełnione przy wykonywaniu czynności związanych z działalnością przedsiębiorstwa będącego stroną umowy ubezpieczenia. Ponadto przepis artykułu 8 a) tej ustawy określa obowiązek sądów, prokuratury, policji oraz innych instytucji ustalających okoliczności wypadków, aby na wniosek zakładu ubezpieczeń lub Ubezpieczeniowego Funduszu Gwarancyjnego udzielały informacji oraz udostępniały materiały niezbędne do ustalenia okoliczności wypadków w celu ustalenia wysokości odszkodowania lub świadczenia. W tym samym zakresie, w jakim jest to niezbędne, instytucje te mogą udostępniać też dane osobowe. Należy także zwrócić uwagę, że ustawa o działalności ubezpieczeniowej nie zawiera żadnych przepisów określających zakres danych osobowych potrzebnych do zawarcia polisy, nie ustala także prawa wglądu w dokumenty i innych uprawnień osoby zainteresowanej do uzyskania takich informacji. Ustawa nie zawiera także żadnych postanowień dotyczących okresu przechowywania oraz zabezpieczenia danych osobowych wykorzystywanych w działalności ubezpieczeniowej10. 9 Ustawa z dnia 28 lipca 1990 r. o działalności ubezpieczeniowej (t.j. Dz.U. z 1996 r., nr 11, poz. 62 z późn. zm.). 10. Por. A. Mednis, op. cit., s. 61..

(9) Wybrane zagadnienia prawnej ochrony…. 97. Regulacja prawna w tym zakresie wymaga więc pilnych zmian obejmujących wskazane wyżej zagadnienia poprzez nałożenie obowiązków konkretyzujących ewentualną odpowiedzialność za przetwarzanie danych osobowych niezgodnie z przepisami ustawy o ochronie danych osobowych z 1998 r. Przepisy w ustawie ubezpieczeniowej przewidujące odpowiedzialność karną członków zarządu zakładów ubezpieczeń, którzy spowodowali szkodę dla tego zakładu, są tutaj niewystarczające, jeżeli chodzi o określenie odpowiedzialności w przypadku, gdy nie wystąpiła szkoda bądź też nie można jej udokumentować w związku z nieprawidłowym przetwarzaniem danych osobowych przez członków zarządu tego przedsiębiorstwa. 2.3. Mo˝liwoÊci udost´pniania danych osobowych ze wzgl´du na koniecznoÊç wywiàzania si´ danej osoby z umowy lub dokonania czynnoÊci przedumownych. Chodzi tutaj o niezbyt precyzyjne sformułowania zawarte w przepisach art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Artykuł ten przewiduje bowiem, że w sytuacji, gdy osoba zawarła umowę, w celu jej wykonania nie tylko może, ale powinna wykorzystać dane osobowe dotyczące innych osób. Przepis ten może dotyczyć takich przypadków, jak np. zawarcie umowy o wykonanie audytu przedsiębiorstwa w celu zbycia akcji bądź udziałów, bądź też zawarcie np. umowy ubezpieczeniowej lub umowy rachunku bankowego. W pewnych sytuacjach z danych tych będą mogły korzystać również firmy marketingowe. Ma to istotne znaczenie dla każdego przedsiębiorcy, który uzyskuje takie dane osobowe, aby następnie wysyłać materiały stanowiące ofertę w rozumieniu przepisów kodeksu cywilnego. Przez ofertę rozumie się tu każde oświadczenie woli zawierające propozycję zawarcia umowy, a propozycja ta określa co najmniej istotne elementy jej przyszłej treści (art. 66 § 1 k.c.). Oferta taka sporządzona przez przedsiębiorcę lub osobę powinna zawierać termin, w ciągu którego będzie ona oczekiwała na odpowiedź. Do upływu terminu osoba składająca ofertę jest związania jej warunkami. Zgodnie z art. 70 § 1 k.c. można uznać umowę za zawartą w chwili otrzymania przez składającego ofertę oświadczenia o jej przyjęciu, chyba że oświadczenie nie jest potrzebne i wtedy umowę zawiera się w chwili przystąpienia przez drugą stronę do jej wykonania. Jeśli wysłany do adresata materiał reklamowy lub propozycja nabycia akcji mogą być uznane za oferty w powyższym rozumieniu, to przyjęcie ich może nastąpić poprzez wyraźne oświadczenie lub też nawet przez przystąpienie do jej wykonania (np. poprzez zapłatę ceny) i to oznacza, że umowa została zawarta. Tak więc np. firma marketingowa może przetwarzać dane osób, które przyjęły oferty, nawet jeśli osoby te nie wyraziły wyraźnej zgody na przetwarzanie ich danych osobowych..

(10) Krzysztof Tor. 98. Szczególnie interesująca sytuacja powstaje na tle złożenia oferty czy też zawarcia umowy przedwstępnej dotyczącej nabycia akcji, udziałów lub też nabycia majątku przedsiębiorstwa. Sformułowania zawarte w przesłankach z art. 23 ust. 1 pkt. 3 ustawy o ochronie danych osobowych są bardzo nieprecyzyjne, ale mimo wątpliwości należałoby raczej przyjąć, że skoro celem przetwarzania danych jest wywiązanie się przez tę osobę z obowiązków umownych lub ofertowych, to usprawiedliwione będzie wykorzystanie przez ten podmiot niezbędnych w tym celu informacji osobowych będących w posiadaniu przedsiębiorstw11. Z punktu widzenia ochrony interesów osób oraz ochrony interesów przedsiębiorstw posiadających dane o tych osobach szczególne problemy prawne powstają na tle wykonywania umów o dokonanie tzw. audytu o sytuacji przedsiębiorstwa. Umowa audytu wykonywana jest w interesie osoby, która ma zamiar rozpoznać dokładnie sytuację ekonomiczną, finansową i prawną przedsiębiorstwa w celu wywiązania się z umowy, której celem może być w istocie przeprowadzenie tzw. wywiadu gospodarczego. Wykonawcę prac polegających w istocie na przeprowadzeniu wywiadu gospodarczego wyznacza osoba spoza przedsiębiorstwa. Rodzi to dodatkowe zagrożenia. Jest to bowiem ingerencja w sprawy przedsiębiorstwa z zewnątrz, aby pozyskać i przekazać te informacje osobie trzeciej. Może to być wykorzystywane w dobrej wierze, np. w celu wywiązania się z oferty lub umowy przedwstępnej, albo nawet też w złej wierze, np. dla celów konkurencyjnych. Dlatego też ważnym problemem jest tutaj ochrona tajemnic przedsiębiorstwa obejmujących dane osobowe. Istotną kwestią jest tutaj sprawa określenia kwalifikacji osób wykonujących czynności audytu12. Po pierwsze, osoby te muszą dysponować odpowiednią specjalistyczną wiedzą umożliwiającą przeprowadzenie analizy i wycenę składników przedsiębiorstwa. Przepisy polskiego prawa nie określają, aby czynności te mogły być wykonywane wyłącznie przez uprawnionych do tego rzeczoznawców. Wyjątkiem są przepisy dotyczące biegłych rewidentów badających bilans oraz rzeczoznawców majątkowych ds. wyceny nieruchomości. Po drugie, osoby wykonujące te czynności powinny dawać gwarancję zachowania w tajemnicy wszystkich informacji uzyskanych w czasie wykonywania audytu. Optymalnym rozwiązaniem byłoby powierzenie tych czynności osobie, na której spoczywa ustawowy obowiązek zachowania w tajemnicy informacji uzyskanych w takich sytuacjach.. 11 12. Ibidem, s. 67.. Por. S. Włodyka, Strategiczne umowy przedsiębiorców. Prawo gospodarcze i handlowe, Wydawnictwo C.H. Beck, Warszawa 2000, s. 65..

(11) Wybrane zagadnienia prawnej ochrony…. 99. W polskich przepisach obecnie obowiązujących można mówić o regulacjach dotyczących trzech kategorii osób. Pierwszą grupę stanowią adwokaci, radcowie prawni i notariusze. Druga grupa obejmuje tzw. biegłych rewidentów. Trzecią grupę tworzą rzeczoznawcy majątkowi działający na podstawie ustawy o gospodarce nieruchomościami13. Jeżeli chodzi o pierwszą kategorię osób, to należy zauważyć, że nie mają one zazwyczaj specjalnych kwalifikacji niezbędnych do wykonywania audytu. Ponadto przepisy obowiązujące nakładają co prawda na te osoby obowiązek zachowania w tajemnicy informacji uzyskanych przy wykonywaniu ich ustawowych czynności zawodowych, ale czynności te nie obejmują badania i wyceny przedsiębiorstw. Jeżeli chodzi o biegłych rewidentów, to zgodnie z ustawą o biegłych rewidentach (art. 4 i art. 31)14 mają oni obowiązek zachowania w tajemnicy faktów i okoliczności uzyskanych w czasie wykonywania czynności zawodowych. Naruszenie tego obowiązku może spowodować odpowiedzialność dyscyplinarną tych osób. Podobny obowiązek spoczywa także na rzeczoznawcach majątkowych, którzy muszą wykorzystywać dane „z zachowaniem zasady poufności” i nie mogą przekazywać tych informacji innym osobom. Tak więc jedynie biegli rewidenci i rzeczoznawcy majątkowi mają obowiązek zachowania w tajemnicy informacji uzyskanych w czasie przygotowywania audytu przedsiębiorstwa. W przypadku gdy audyt będzie przygotowywany przez inne osoby, a tak najczęściej jest w praktyce, to obowiązki takie mogą wynikać jedynie z umowy zawartej przez osobę zlecającą i osobę wykonującą czynności audytu. Należy podkreślić, że audyt z reguły jest wykonywany przez osobę nie będącą stroną umowy zasadniczej, np. umowy nabycia akcji lub zbycia przedsiębiorstwa, ale mogącą przetwarzać informacje o klientach, kontrahentach i pracownikach przedsiębiorstwa. Osoby wykonujące audyt działają więc przede wszystkim na podstawie umowy zawartej z tą osobą, w interesie której tenże audyt ma być wykonany. Natomiast z drugą stroną tej umowy wykonawca czynności wywiadowczych nie jest związany żadnym stosunkiem prawnym, mimo że badanie to jest oparte na materiałach pochodzących od tej osoby. W umowie o wykonanie audytu, będącej zazwyczaj umową zlecenia, powinien być określony nie tylko zakres prac audytorskich (wywiadowczych), wynagrodzenie audytora, ale także, gdy osobą wykonującą te prace jest inna osoba niż biegły. 13 14. Ustawa z dnia 21 sierpnia 1997 r. o gospodarce nieruchomościami, Dz.U. nr 115, poz. 741.. Ustawa z dnia 13 października 1993 r o biegłych rewidentach i ich samorządzie, Dz.U. nr 121, poz. 592 z późn. zm..

(12) Krzysztof Tor. 100. rewident lub rzeczoznawca majątkowy, zobowiązanie wykonawcy do zachowania w tajemnicy wszystkich informacji, jakie uzyskał w związku z wykonaniem audytu (np. wykaz danych osobowych o klientach lub kontrahentach)15. Przedmiotem pozyskiwanych w trakcie audytów materiałów mogą być dokumenty księgowe oraz dokumenty określające składniki majątku przedsiębiorstwa, ale także, co dla nas ma szczególne znaczenie, dane osobowe o klientach lub kontrahentach bądź pracownikach przedsiębiorstwa. Istotnym zagadnieniem prawnym wymagającym wyjaśnienia jest tutaj kwestia ustalenia, kto, na jakich zasadach i w jakich granicach może w imieniu przedsiębiorstwa rozporządzać tymi dokumentami. W praktyce najbardziej typową jest sytuacja, gdy zawierającym umowę i zlecającym wykonanie audytu jest wspólnik w spółce wieloosobowej, który jednocześnie jest członkiem zarządu lub rady nadzorczej spółki. W wykonywaniu tych funkcji ma on zazwyczaj dostęp do dokumentów spółki i innych materiałów potrzebnych do wykonania audytu. Powstaje wówczas pytanie: czy członek zarządu lub rady nadzorczej spółki mający zamiar lub dokonujący zbycia akcji, udziałów lub majątku spółki może udostępnić wykonawcy audytu posiadane przez siebie materiały dotyczące działalności spółki. Nowe przepisy kodeksu spółek handlowych, podobnie jak i kodeks handlowy poprzednio obowiązujący do 2001 r., nie określa wyraźnie obowiązku utrzymania w tajemnicy materiałów uzyskanych przez członków zarządu lub rady nadzorczej w czasie wykonywania tych funkcji. Obowiązek taki w zasadzie nie istnieje, o ile nie został wprowadzony wyraźnie do umowy lub statutu spółki bądź też nie został przewidziany w regulaminie zarządu lub rady nadzorczej. Ograniczenia w dysponowaniu tymi materiałami mogą, jak sądzę, wynikać z dwóch tytułów: po pierwsze – obowiązku lojalności wspólników wobec spółki, po drugie – przepisów przewidujących odpowiedzialność odszkodowawczą władz wobec spółki (art. 293 k.s.h. – w odniesieniu do spółki z o.o. i art. 483 – w odniesieniu do spółki akcyjnej)16. Jednakże zakaz ujawniania danych stanowiących tajemnicę obowiązuje te osoby pod warunkiem, że jego naruszenie spowodowało szkodę dla spółki. 2.4. Mo˝liwoÊci przetwarzania danych osobowych ze wzgl´du na realizacj´ zadaƒ publicznych. Można również przetwarzać dane w związku z wykonywaniem zadania publicznego. Co prawda, ustawodawca użył tutaj zwrotu „zadania realizowane dla dobra publicznego”, ale można, jak sądzę, utożsamiać go ze sformułowaniem „zadania publiczne”, które jest używane w innych przepisach. 15. Zob. S. Włodyka, Strategiczne umowy…, op. cit., s. 67.. 16. Ustawa z dnia 15 września 2000 r. Kodeks spółek handlowych, Dz.U. nr 94, poz. 1037..

(13) Wybrane zagadnienia prawnej ochrony…. 101. Zakres tego upoważnienia ograniczony jest, co prawda, do podmiotów publicznych bądź prywatnych wykonujących zadania publiczne, ale może to być bardzo szeroki krąg podmiotów zlecających i (lub) wykonujących usługi, dostawy lub roboty remontowo-budowlane np. w trybie ustawy Prawo zamówień publicznych17. Chodzi tu o działania o charakterze niewładczym, np. organizowanie lub wykonywanie przetargów, a więc w formach właściwych dla prawa prywatnego. Działania władcze wymagają konkretnego, precyzyjnego uprawnienia wynikającego z przepisów prawa materialnego, bowiem, w związku z podstawową zasadą prawa publicznego, dozwolone jest to, do czego ustawa wyraźnie upoważnia. Z przesłanki tej mogą więc w szerokim zakresie korzystać przedsiębiorstwa wykonujące zadania publiczne w formach niewładczych, np. zakłady budżetowe, przedsiębiorstwa komunalne. Należy tutaj zwrócić uwagę, że przepisy ustawy o zamówieniach publicznych nie przewidują w tym zakresie odrębnych regulacji chroniących dane osobowe w związku i w trakcie postępowania o udzielenie zamówienia publicznego. Podmioty te powinny zatem stosować się w tym zakresie do wymagań określonych w omawianej ustawie o ochronie danych osobowych, szczególnie do obowiązków wynikających z art. 24, 25 i 26, a dotyczących informowania osób, których dane są zbierane, utrwalane oraz udostępniane. 2.5. Niezb´dnoÊç danych osobowych przetwarzanych przez przedsi´biorstwo dla innego podmiotu, jednak˝e bez naruszenia praw i wolnoÊci osób, których te dane dotyczà. Ostatnią przesłankę dla przetworzenia danych osobowych przez przedsiębiorstwo stanowi tzw. klauzula usprawiedliwionego celu. Jest to furtka, którą ustawodawca, wzorując się na art. 7 lit. (f) dyrektywy nr 95/46 Unii Europejskiej, pozostawił tym podmiotom (przedsiębiorstwom), które chcąc przetwarzać dane osobowe nie mogą spełnić żadnej z dotychczasowych przesłanek. Przepis ten przewiduje, że przetwarzanie danych jest dopuszczalne, jeśli jest niezbędne do spełnienia usprawiedliwionych celów przedsiębiorstwa posiadającego te dane18. Jednocześnie wymagane jest, aby przetwarzanie danych nie naruszało praw i wolności osób, których dane dotyczą. Na postawie analizy tego przepisu można sądzić, że ocena dopuszczalności przetwarzania danych należy tutaj do samodzielnej decyzji posiadającego te dane przedsiębiorstwa. Przedsiębiorstwo to powinno ocenić, czy:. 17. Ustawa z dnia 29 stycznia 2004 r. prawo zamówień publicznych (Dz.U. nr 19, poz. 177).. 18. Por. A. Mednis, op. cit., s. 68..

(14) Krzysztof Tor. 102. – cel takiego przetwarzania danych jest usprawiedliwiony, – jest to niezbędne dla osiągnięcia celu, – przetwarzanie danych nie naruszy praw i wolności osób, których dotyczą. Jest to więc sfera całkowicie suwerennej decyzji przedsiębiorcy (wspólnika lub organu spółki), co przy braku lojalności może stanowić pole nadużyć. Ze względu na cel dyrektywy Unii Europejskiej przepis ten jest wadliwie skonstruowany19, ponieważ można przyjąć, że każde przetwarzanie danych narusza prawa i wolności obywatelskie – zwłaszcza prawo do prywatności. Niestety, ostatnia nowelizacja tej ustawy dokonana ustawą, która weszła w życie 27 października 2002 r., nie zmieniła istotnie na korzyść tego nieprawidłowego, moim zdaniem, zapisu. Wprost przeciwnie, nowa redakcja tego przepisu pozwala w szerszym niż dotychczas zakresie udostępniać dane osobowe innym podmiotom, np. przedsiębiorstwom współpracującym. Dlatego też należałoby poprzez nowelizację ustawy zaproponować inne brzmienie tego przepisu, a mianowicie takie, że „przetwarzanie jest możliwe, jeżeli prawa i wolności osoby, której dane dotyczą, nie stanowią większej wartości niż usprawiedliwiony interes administratora danych – przedsiębiorstwa”. Trzeba zwrócić uwagę, iż praktyka interpretacji tego przepisu (także w Unii Europejskiej) nie daje jeszcze możliwości pełnej oceny jego poprawności, a więc właściwy sens tego przepisu wynikać będzie z orzecznictwa Generalnego Inspektora Ochrony Danych Osobowych oraz Naczelnego Sądu Administracyjnego. Problem interpretacji tego przepisu ma, jak się wydaje, podstawowe znaczenie dla przetwarzającego dane osobowe przedsiębiorstwa na potrzeby swojej działalności, ale wtedy, gdy nie jest to niezbędne dla prowadzenia podstawowej działalności gospodarczej. Najbardziej dobitnie widać to na tle działalności banków i towarzystw ubezpieczeniowych, które prowadząc swoją działalność podstawową jednocześnie przetwarzają dane osobowe w celu oferowania na rynku nowych produktów poprzez marketing i promocję. Marketing lub promocja nie są podstawowym, ale jednak istotnym elementem działalności banku, zakładu ubezpieczeń czy przedsiębiorstwa handlowego. W świetle sformułowań zawartych w tym przepisie (art. 23 ust. 1 pkt 5) ta działalność pomocnicza może być uznana za usprawiedliwiony cel, który mógłby upoważniać do nieograniczonego wykorzystywania danych osobowych. Należałoby więc, jak sądzę, ze szczególną ostrożnością podejść do interpretacji tegoż przepisu w obecnej wersji, pamiętając także o tym, że przepisy prawa bankowego, ustawy o działalności ubezpieczeniowej czy innych ustaw nie zawierają odrębnych regulacji określających obowiązki dla tych instytucji mogących w szerokim zakresie przetwarzać dane osobowe. 19. Ibidem, s. 68..

(15) Wybrane zagadnienia prawnej ochrony…. 103. Celowe byłoby zatem rozważenie problemu legislacyjnego: czy poprzez zmianę ustawy o ochronie danych osobowych dokonać zróżnicowania praw i obowiązków administratorów danych osobowych (przedsiębiorstw i innych podmiotów), czy też należałoby w przepisach ustaw dotyczących przedsiębiorców jako szczególnych administratorów danych sformułować nowe przepisy nakładające na te podmioty obowiązki w zakresie ochrony danych osobowych. Uważam, że celowe i uzasadnione byłoby przyjęcie tego drugiego rozwiązania i uregulowanie tych zagadnień odrębnie w ustawie – prawo działalności gospodarczej. Ponadto należy podkreślić, że cel usprawiedliwiający dodatkowe udostępnianie danych musi być zgodny z celem działalności tego przedsiębiorstwa – administratora danych, nie może więc dotyczyć innych podmiotów ani też wspólnych przedsięwzięć tego przedsiębiorstwa z innymi podmiotami. Taki pogląd wynika nie tylko z literalnego brzmienia omawianego przepisu, lecz również z funkcji, jaką pełnić ma ten przepis dopuszczając dodatkowo przetwarzanie danych osobowych w sytuacji wyjątkowej, gdy interes administratora – przedsiębiorstwa stanowi oczywiście większą wartość niż ochrona praw i wolności osób, których te dane dotyczą. 3. Próba oceny przedstawionych regulacji prawnych Na podstawie analizy wybranych najważniejszych przepisów ustaw regulujących zagadnienia zasad, zakresu i możliwości przetwarzania danych osobowych w działalności przedsiębiorstwa można wskazać obecnie pewne wnioski stanowiące próbę oceny obowiązujących rozwiązań prawnych. Regulacja prawna w przepisach szczególnych poza ustawą o ochronie danych osobowych jest skoncentrowana na ochronie interesu publicznego – głównie interesu fiskalnego Skarbu Państwa. Przepisy tych ustaw określają daleko idące obowiązki w zakresie zbierania i udzielania informacji zawierających dane osobowe dla organów administracji państwowej, sądów, prokuratury, a także instytucji finansowych. Jest to widoczne szczególnie w takich ustawach, jak: ordynacja podatkowa, ustawa o działalności ubezpieczeniowej, ustawa o statystyce publicznej20. Natomiast przepisy ustawy o ochronie danych osobowych regulują tutaj przede wszystkim wzajemne relacje pomiędzy osobami, których dane są przetwarzane oraz tzw. administratorami danych. Przepisy tej ustawy regulują wzajemne prawa i obowiązki tych osób oraz administratorów danych, a także odpowiedzialność karną za naruszenie obowiązków przez administratorów danych. Przepisy tej usta20. Ustawa z dnia 29 czerwca 1995 r. o statystyce publicznej, Dz.U. nr 88, poz. 439 z późn. zm..

(16) Krzysztof Tor. 104. wy nie zawierają w zasadzie odrębnych regulacji określających prawa i obowiązki oraz odpowiedzialność przedsiębiorstw jako szczególnego rodzaju administratorów danych. Z konieczności więc przepisy regulujące te zagadnienia znajdują się w rozproszonych i fragmentarycznie regulujących te kwestie przepisach ustaw, np. prawo bankowe21. Brak jest w obowiązujących przepisach prawa polskiego norm regulujących bardzo istotne kwestie ochrony danych osobowych będących częścią informacji przetwarzanych w ramach tzw. wywiadu gospodarczego. Również przepisy nowych ustaw – Prawo działalności gospodarczej22 oraz Kodeks spółek handlowych nie zawierają tak zasadniczych rozwiązań dotyczących zasad i zakresu udostępniania materiałów zawierających informacje stanowiące tzw. tajemnicę przedsiębiorstwa. Zasady, zakres oraz odpowiedzialność za naruszenia tzw. tajemnicy przedsiębiorstwa należą do podstawowych reguł prowadzenia działalności gospodarczej przedsiębiorstwa. Obecna regulacja w tym zakresie jest fragmentaryczna i niewystarczająca. Kwestie te uregulowane są obecnie przede wszystkim w przepisach Kodeksu pracy23 oraz Ustawy o zwalczaniu nieuczciwej konkurencji24. W obydwu ustawach przedsiębiorca ma w zasadzie obowiązek podjąć czynności dla ochrony swoich informacji i następnie może nakładać stosowne obowiązki na swoich pracowników lub współpracowników (np. osoby wykonujące umowę zlecenia lub umowę agencyjną). Na podstawie analizy przepisów kodeksu pracy można stwierdzić, że pracownik, jeśli naruszy obowiązek powstrzymania się od prowadzenia działalności konkurencyjnej lub też naruszy zakaz ujawnienia szczególnie ważnych informacji przedsiębiorstwa (art. 1011 i 1012 k.p.), może ponosić, ale w zasadzie ograniczoną, odpowiedzialność majątkową za szkodę wyrządzoną przedsiębiorstwu. Natomiast przedsiębiorstwo ma tutaj obowiązek udowodnienia pracownikowi lub współpracownikowi winy, działania na szkodę oraz wysokości samej szkody (art. 116 i 117 k.p.). Zasadniczo zgodnie z przepisami ustawy o zwalczaniu nieuczciwej konkurencji przekazanie, ujawnienie lub wykorzystanie informacji stanowiącej tajemnicę przedsiębiorstwa jest czynem nieuczciwej konkurencji i podlega odpowiedzialności karnej lub majątkowej (art. 11, 23 i 18). 21. Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe, Dz.U. nr 140, poz. 939.. 22. Ustawa z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, Dz.U. nr 101, poz. 1178, z późn. zm. 23. Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. z 1997 r., Dz.U. z 1998 r., nr 21, poz. 94 z późn. zm.). 24. Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, Dz.U. nr 47, poz. 211 z późn. zm..

(17) Wybrane zagadnienia prawnej ochrony…. 105. Odpowiedzialność pracowników lub współpracowników przedsiębiorstwa za ujawnienie tajemnicy przedsiębiorstwa może być ograniczona lub może nawet nie wystąpić, jeśli informacje stanowiące tajemnice przedsiębiorstwa zostały uzyskane w dobrej wierze od osoby nieuprawnionej bądź też zostały ujawnione osobie do tego uprawnionej na podstawie umowy zawartej z przedsiębiorstwem. Tak więc osoby wykonujące czynności audytu, będącego częścią tzw. wywiadu gospodarczego, mogłyby na tej podstawie uniknąć odpowiedzialności karnej lub majątkowej. W obecnej sytuacji, jak sądzę, celowe byłoby wprowadzenie do ustawy – Prawo działalności gospodarczej oraz Kodeksu spółek handlowych przepisów przewidujących generalny zakaz udostępniania danych stanowiących tajemnice przedsiębiorstwa przez wspólnika lub członka władz spółki bez zgody osób uprawnionych do prowadzenia spraw i reprezentowania tego przedsiębiorstwa25. Niezbędne jest również przyjęcie w tych podstawowych ustawach dotyczących przedsiębiorców zasadniczych reguł wskazujących, kto, na jakich zasadach i w jakich granicach może przetwarzać, tzn. także przekazywać innym podmiotom dane osobowe stanowiące istotny element tzw. tajemnicy przedsiębiorstwa. Należałoby także ustalić, jaką odpowiedzialność (cywilną, karną, służbową czy inną) będą ponosić osoby naruszające te reguły. Pozostawienie tych kwestii do uregulowania jedynie w samych umowach zawieranych przez przedsiębiorstwo jest niewystarczające dla prawidłowej ochrony interesów osób, których dane są przetwarzane, jak i ochrony interesów samych przedsiębiorców. Personal Data Protection – Selected Problems for Commercial Activity The author describes the main problems for commercial activity arising from the Personal Data Protection Act. The main issues discussed in the article are: processing of personal data, protection of public interest, the rights and obligations of persons transforming personal data, and the rights and obligations of persons whose data are transformed. Finally, the author describes the different grounds for penal, civil and administrative liability of persons violating the Personal Data Protection Act.. 25. Por. uwagi S. Włodyki, Strategiczne umowy…, op. cit., s. 69 i nast..

(18)