o Ochronie Danych Osobowych (RODO)

* Zuzanna Sumiñska, mgr – Wydziaï ZarzÈdzania Uniwersytetu Warszawskiego.

** Igor Postuïa, dr hab. – Uniwersytet Warszawski, Wydziaï ZarzÈdzania.

Adres do korespondencji: Uniwersytet Warszawski, Wydziaï ZarzÈdzania UW, ul. Szturmowa 1/3, 02-678bWarszawa; e-mail: ipostula@wz.uw.edu.pl.

Wyzwania dla ochrony danych osobowych w obrocie gospodarczym przed wej Ăciem w ĝycie

Rozporz Èdzenia Ogólnego

o Ochronie Danych Osobowych (RODO)

Zuzanna Sumi ñska

, Igor Postuïa

Artykuï dotyczy problematyki ochrony danych osobowych w dziaïalnoĂci gospodarczej. Auto- rzy analizujÈ problemy definicji i zakresu podmiotowego ochrony danych osobowych oraz dylematu zwiÈzanego z pogodzeniem ochrony danych osobowych i jawnoĂci danych przed- siÚbiorcy. Analiza i rozwaĝania koncentrujÈ siÚ takĝe na problematyce przetwarzania danych osobowych w relacji pracodawca–pracownik oraz ochrony danych osobowych w Internecie.

Autorzy, odnoszÈc siÚ do majÈcego wejĂÊ w ĝycie w maju 2018 r. RozporzÈdzenia Ogólnego o Ochronie Danych Osobowych (RODO), wskazujÈ wyzwania dotyczÈce analizowanych problemów oraz nowe rozwiÈzania, które majÈ na celu uïatwienie zarzÈdzania danymi oso- bowymi oraz ich skutecznÈ ochronÚ.

Sïowa kluczowe: bezpieczeñstwo, ochrona i przetwarzanie danych osobowych, przedsiÚ- biorca.

Nadesïany: 10.09.17 | Zaakceptowany do druku: 29.12.17

Challenges for the protection of personal data in the economic turnover before the entrance into force of the General Data Protection Regulation

(GDPR)

This article concerns personal data protection issues in business. The authors analyze problems regarding definition and scope of personal data protection together with the dilemma associated with reconciliation of it with the transparency of entrepreneur’s data. The analysis and considerations are also focused on the issue of personal data processing in the employer-employee relationship and the protection of personal data on the Internet. Referring to the General Data Protection Regulation (GDPR), that is to be implemented in May 2018, the authors indicate challenges with regards to the analyzed problems and new solutions that aim at facilitating the management of personal data and their effective protection.

Keywords: security, protection and processing of personal data, entrepreneur.

Submitted: 10.09.17 | Accepted: 29.12.17

JEL: K2

Studia i Materiaïy, 2/2017 (25), cz. 2: 106– 118 ISSN 1733-9758, © Wydziaï ZarzÈdzania UW DOI 10.7172/1733-9758.2017.25.10

1. Wprowadzenie

Ochrona prywatnoĂci jednostki jest zali- czana do podstawowych praw czïowieka ib jako fundamentalne prawo w wiÚkszoĂci wspóïczesnych systemów prawnych podlega ochronie. Zagwarantowane jest ono w pra- wie miÚdzynarodowym, europejskim oraz polskim i w ujÚciu normatywnym zakïada swobodÚ jednostki w ksztaïtowaniu jej ĝycia prywatnego bez ingerencji osób trzecich (Prynciak, 2010, s. 211).

W obecnych czasach kaĝdy jest uwikïany w ciÈg przeróĝnych aktywnoĂci wymagajÈ- cych gromadzenia danych osobowych. Gro- madzone sÈ one gïównie w bazach infor- matycznych, a nieumieszczenie ich tam uniemoĝliwia funkcjonowanie jednostki.

Jako przykïad moĝna podaÊ funkcjonujÈcy w Polsce Powszechny Elektroniczny Sys- tem Ewidencji LudnoĂci (PESEL) bÚdÈcy centralnym zbiorem danych gromadzÈcym informacje identyfikujÈce toĝsamoĂÊ oraz status administracyjno-prawny osób fizycz- nych. Dodatkowo, decydujÈc siÚ na pro- wadzenie dziaïalnoĂci gospodarczej, osoba fizyczna musi liczyÊ siÚ z ograniczeniem tej ochrony z uwagi na obowiÈzujÈce powszech- nie prawo do informacji publicznej.

Pojawienie siÚ nowoczesnych technologii, w tym zautomatyzowanych mechanizmów przetwarzania danych osobowych, staïo siÚ impulsem do objÚcia danych osobo- wych samodzielnÈ ochronÈ. Gromadzone informacje zaczÚïy przybieraÊ na wartoĂci, abkontrola ich obiegu i treĂci staïa siÚ zagro- ĝeniem dla jednostek. Pojawiï siÚ zatem pro- blem wyznaczenia granic prywatnoĂci oraz wzmocnienia metod jej ochrony przed inge- rencjÈ osób trzecich. Jak stwierdziï N.bBrie- skorn – celem pañstwa staïo siÚ uksztaïto- wanie systemu ochrony danych osobowych wbtaki sposób, aby dostosowaÊ go do potrzeb czïowieka i zapewniÊ mu moĝliwoĂÊ swo- bodnego rozwoju oraz zmian (Briekskorn, 1999, s. 208–210). WspóïczeĂnie instrumenty zapewniajÈce prawo do prywatnoĂci oraz ochrony danych osobowych sÈ w znaczÈcym zakresie rozbudowane, jednak równocze- Ănie pañstwa znajdujÈ powody, aby w te prawa takĝe ingerowaÊ.

Okazuje siÚ wiÚc, ĝe swoboda dzielenia siÚ informacjami jest pozorna, poniewaĝ bywa, ĝe jesteĂmy zmuszeni do wyjawie- nia pewnych danych osobowych, majÈc nadziejÚ, ĝe bÚdÈ one poprawnie chronione przed ingerencjÈ osób do tego nieupowaĝ-

nionych. Nie moĝna tego jednak rozpatry- waÊ jedynie w negatywnym Ăwietle. Nie- kiedy wrÚcz oczekujemy, aby nasze dane pojawiïy siÚ w systemie informatycznym, co umoĝliwi ich szybsze przetwarzanie, chociaĝby po to, abyĂmy nie byli zmuszeni do wypeïniania setek formularzy, poda- jÈc wb kaĝdym te same dane. Istotne jest jednak, aby informacje byïy odpowiednio zabezpieczone i niedostÚpne dla nieupo- waĝnionych osób.

Mamy wiÚc problem dwóch wartoĂci.

Zb jednej strony, mamy ochronÚ danych osobowych zwiÈzanÈ z powszechnym pra- wem do prywatnoĂci, z drugiej zaĂ prawo do informacji publicznej i swobodÚ dziaïal- noĂci gospodarczej zapewniajÈcej bezpie- czeñstwo obrotu. Jak wiÚc pogodziÊ pro- blemy na styku tych zagadnieñ?

Celem niniejszego artykuïu jest ocena praktyki ochrony danych osobowych wb odniesieniu do przedsiÚbiorców na podstawie analizy przepisów prawa oraz koncepcji i zagadnienieñ teoretycznych przedstawionych w literaturze przedmiotu.

Wb pierwszej czÚĂci artykuïu autorzy sku- piajÈ siÚ na zagadnieniach teoretycznych, w tym sygnalizujÈ problemy zwiÈzane ze zdefiniowaniem pojÚcia danych osobo- wych wraz ze wskazaniem podmiotowego zakresu ich ochrony. W drugiej czÚĂci kon- centrujÈ siÚ na praktycznych aspektach ochrony danych osobowych przedsiÚbior- ców omawiajÈc problematykÚ zagadnienia w procesach biznesowych oraz w Interne- cie. Trzecia, ostatnia czÚĂÊ zostaïa poĂwiÚ- cona analizie zmian przepisów dotyczÈcych ochrony danych osobowych wchodzÈcych wbĝycie w maju 2018 roku.

W opracowaniu wykorzystana zostaïa gïównie metoda opisowa z elementami for- malno-dogmatycznymi, polegajÈca na ana- lizie aktualnych tekstów prawnych z wyko- rzystaniem literatury i orzecznictwa. Przy omawianiu pojÚcia przetwarzania danych osobowych posïuĝono siÚ metodÈ histo- rycznÈ, polegajÈcÈ na porównaniu regulacji obowiÈzujÈcych obecnie z regulacjami obo- wiÈzujÈcymi wczeĂniej. W artykule zasto- sowano takĝe metodÚ porównawczÈ na tle regulacji w innych krajach europejskich.

2. PojÚcie danych osobowych

Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych w art. 6 definiuje dane osobowe jako wszelkie

informacje dotyczÈce zidentyfikowanej lub moĝliwej do zidentyfikowania osoby fizycznej¹. Przepis ten, zmieniony nowelÈ z dnia 25 sierpnia 2001 roku, odpowiada definicji zamieszczonej w prawie unijnym² i konkretyzuje, ĝe danymi osobowymi sÈ nie tylko informacje, które sïuĝÈ identyfi- kacji konkretnej osoby, lecz takĝe wszelkie informacje dajÈce siÚ z niÈ powiÈzaÊ (dane identyfikujÈce).

Definicja tego pojÚcia jest ogólna, abzaliczenie informacji do kategorii danych osobowych nie jest oparte na jednym, uni- wersalnym kryterium. Stworzenie wyczer- pujÈcego wykazu danych osobowych jest niemoĝliwe, bowiem ta sama informacja wb rÚkach jednej osoby bÚdzie stanowiÊ dane osobowe, w innej juĝ nie. Zdaniem A.bMednisa nie jest realne odgórne przypi- sanie charakteru osobowego ĝadnej katego- rii danych, o czym stanowi uĝyty wbdefinicji danych osobowych zwrot „wszelkie infor- macje”. Oznacza to, ĝe pojÚcie danych osobowych obejmuje nie tylko znaki jÚzy- kowe, lecz takĝe informacje przybierajÈce inne formy, tj. filmy, zdjÚcia, dane biome- tryczne. Nie ma przy tym znaczenia sposób wyraĝenia i zapisania komunikatu, zakres ibswoboda udostÚpniania czy metoda pozy- skania (Barta i Litwiñski, 2016, s. 77). Usta- lenie przedmiotowego zakresu ustawowego danych osobowych budzi zatem wiele wÈt- pliwoĂci i jest dyskusyjne. Niezaprzeczalnie jednak, aby informacja posiadaïa charakter osobowy, musi speïniaÊ ïÈcznie trzy prze- sïanki – byÊ komunikatem, dotyczyÊ osoby fizycznej (w Polsce ochrona danych osób prawnych regulowana jest postanowieniami kodeksu cywilnego oraz niektórymi usta- wami szczegóïowymi), posiadaÊ ustalony bÈdě moĝliwy do ustalenia podmiot (nie sÈ danymi osobowymi dane anonimowe), przy czym nieistotny jest sposób wyraĝe- nia komunikatu ani jego prawdziwoĂʳ. Mniej kïopotów sprawia wskazanie danych osobowych dotyczÈcych zidentyfikowanej juĝ osoby. Bezsporne jest, iĝ danymi oso- bowymi bÚdÈ w takim przypadku wszelkie informacje dotyczÈce tej, konkretnej osoby (m.in. data urodzenia, miejsce zamieszka- nia, nr dowodu osobistego, rozmiar buta czy ocena na dyplomie ukoñczenia szkoïy wyĝszej)⁴. Problemy stwarza jednak okre- Ălenie charakteru informacji umoĝliwiajÈcej zidentyfikowanie osoby.

Zgodnie z art. 6 ust. 2 uodo, „osobÈ moĝliwÈ do zidentyfikowania jest osoba,

której toĝsamoĂÊ moĝna okreĂliÊ bezpo- Ărednio lub poĂrednio, w szczególnoĂci przez powoïanie siÚ na numer identyfika- cyjny albo jeden lub kilka specyficznych czynników okreĂlajÈcych jej cechy fizyczne, fizjologiczne, umysïowe, ekonomiczne, kulturowe lub spoïeczne”. Ustawa odwo- ïuje siÚ tutaj do pojÚcia toĝsamoĂci, które nie jest jednak przez ustawÚ definiowane.

Zb tego wzglÚdu konieczne jest odwoïanie siÚ do wykïadni jÚzykowej tego pojÚcia, zgodnie z którÈ toĝsamoĂÊ rozumie siÚ jako

„ĂwiadomoĂÊ siebie, swoich cech i wïasnej odrÚbnoĂci“⁵ albo jako toĝsamoĂc osobi- stÈ, czyli „bycie tym samym czïowiekiem (tÈ samÈ osobÈ), bycie sobÈ, bycie tym, za kogo siÚ podajemy“⁶. Oznacza to zatem, ĝe toĝ- samoĂÊ to cechy, które stanowiÈ obtym, kim dana osoba jest, czym róĝni siÚ od innych, na co skïada siÚ nie tylko to, kim siÚ jest obecnie, ale takĝe to, kim siÚ byïo, abnawet zamierza byÊ w przyszïoĂci. Z uwagi na to, ĝe ochrona danych osobowych dotyczy takĝe ochrony prywatnoĂci, to oczywiste jest takĝe, iĝ ochrona ta dotyczy równieĝ informacji zwiÈzanych z przeszïoĂciÈ okre- Ălonego czïowieka.⁷

Ustawodawca postanowiï ograniczyÊ zakres pojÚcia informacji umoĝliwiajÈ- cej okreĂlenie toĝsamoĂci w art. 6 ust. 3 poprzez sformuïowanie, ĝe nie ma charak- teru danych osobowych informacja, która do ustalenia toĝsamoĂci osoby wymaga od osoby trzeciej „nadmiernych kosztów, czasu i dziaïañ”⁸. W rozwoju technologii coraz ciÚĝej jednak mówiÊ o nadmiernych nakïadach. Praktyka pokazaïa, ĝe decy- dujÈce jest zachowanie pewnej proporcji miÚdzy poniesionymi nakïadami a uzyska- nym rezultatem w postaci zidentyfikowanej osoby, gdyĝ charakter „nadmiernoĂci” jest niewÈtpliwie wzglÚdny i zaleĝny od sytuacji (BanyĂ i ’uczak, 2014, s. 20–21).

Istotne jest równieĝ rozróĝnienie miÚ- dzy danymi zwykïymi a szczególnie chro- nionymi. Ustawa wprost nie definiuje pojÚcia „dane zwykïe” i „dane wraĝliwe”, jednak podziaï ten, jak wskaĝemy poniĝej, wynika wprost z przepisów w niej zawartych i jest dla stosowania prawa bardzo istotny.

Ustawodawca okreĂliï kryterium dopusz- czalnoĂci przetwarzania danych osobowych wboparciu o przesïanki z art. 27 ust.b2, roz- róĝniajÈc dane, które przetwarza siÚ na zasadach ogólnych okreĂlonych w art. 23 ust. 1 (dane zwykïe) oraz takie, których przetwarzanie jest dopuszczalne, jeĝeli

jest speïniona przynajmniej jedna z okre- Ălonych w art. 27 ust. 2 przesïanek (dane wraĝliwe; inaczej: sensytywne, szczególnie istotne). Na mocy art. 27 ust. 1 zakazano przetwarzania enumeratywnie wymienio- nych kategorii danych, wyïÈczajÈc przy- padki wskazane w ust. 2 tego artykuïu. Do danych wraĝliwych, wykazanych w ustawie naleĝÈ dane dotyczÈce: pochodzenia raso- wego i etnicznego, poglÈdów politycznych, przekonañ religijnych lub filozoficznych, przynaleĝnoĂci wyznaniowej, partyjnej lub zwiÈzkowej, stanu zdrowia, kodu genetycz- nego, naïogów, ĝycia seksualnego, orze- czeñ o ukaraniu i mandatów karnych oraz innych orzeczeñ sÈdowych lub administra- cyjnych. Nie naleĝy jednak zapominaÊ, ĝe dane sensytywne stanowiÈ kategoriÚ pojÚ- cia danych osobowych zawartego w ustawie o ochronie danych osobowych, co oznacza, ĝe nie moĝna nazwaÊ informacji wraĝliwÈ bez wczeĂniejszego ustalenia jej podmiotu.

Nie jest wiÚc zabronione wykorzystywanie wyĝej wymienionych informacji, gdy sÈ ano- nimowe. WidaÊ to na przykïadzie licznych ankiet socjologicznych, które pomimo iĝ

„zahaczajÈ“ o dane szczególnie istotne, nie pozwalajÈ na zidentyfikowanie osoby uczestniczÈcej w ankiecie na ich podstawie.

Jak zauwaĝyïa M. Sakowska-Baryïa, koncepcja wyodrÚbnienia kategorii danych wymagajÈcych podwyĝszonego standardu ochrony jest trafna, jednak rozgraniczenie dokonane zostaïo z pewnym uproszcze- niem, na podstawie przeciÚtnych odczuÊ ibzjawisk, a nie na podstawie konkretnych przypadków, dlatego zasadnoĂÊ dwupo- dziaïu danych osobowych i jego przepro- wadzenie moĝe stanowiÊ temat szerokiej dyskusji i moĝe byÊ kwestionowany. Wbnie- których sytuacjach istotniejszy od treĂci informacji moĝe byÊ bowiem kontekst jej wykorzystania (Sakowska-Baryïa, 2015, s.b213).

Ustawodawca, definiujÈc dane osobowe w art. 6 ustawy o ochronie danych osobo- wych nie okreĂliï zamkniÚtego katalogu informacji stanowiÈcych te dane. Dlatego teĝ przy rozstrzyganiu, czy okreĂlona infor- macja lub informacje stanowiÈ dane oso- bowe, w wiÚkszoĂci przypadków nieunik- nione jest dokonanie zindywidualizowanej oceny, przy uwzglÚdnieniu konkretnych okolicznoĂci oraz rodzaju Ărodków czy metod potrzebnych w okreĂlonej sytuacji do identyfikacji osoby. W Ăwietle przepisów naleĝy przyjÈÊ, ĝe nie bÚdzie miaïa charak-

teru danych osobowych pojedyncza, bar- dzo ogólna informacja (do wyjÈtków naleĝÈ numery identyfikacyjne, np. PESEL, NIP, REGON)⁹. Moĝe ona jednak stanowiÊ dane osobowe w poïÈczeniu z dodatkowymi informacjami, co w konsekwencji moĝe prowadziÊ do konkretnej osoby. Zastoso- wane przez europejskiego i krajowego pra- wodawcÚ pojÚcia nieostre sïuĝÈ maksymal- nej ochronie danych osobowych, poniewaĝ sformuïowania zbyt konkretne czy wrÚcz kazuistyczne mogïyby efektywnie zawÚĝaÊ jej zakres.

3. Podmiotowy zakres ochrony danych osobowych

Zgodnie z art. 47 Konstytucji, „kaĝdy ma prawo do ochrony prawnej ĝycia pry- watnego”. Natomiast, zgodnie z art. 51 ust. 2 Konstytucji, „wïadze publiczne nie mogÈ pozyskiwaÊ, gromadziÊ i udostÚp- niaÊ innych informacji o obywatelach niĝ niezbÚdne w demokratycznym pañstwie prawnym”. Tu naleĝy zwróciÊ uwagÚ, ĝe Konstytucja w tytule Rozdziaïu II rozróĝnia pojÚcia „czïowiek” i „obywatel”. Z uwagi na to rozróĝnienie w literaturze moĝna znaleěÊ dwa podejĂcia dotyczÈce zakresu podmiotowego art. 51 ust. 2 Konstytucji.

Jak twierdzi E. Kulesza, gwarancje zawarte w omawianym artykule w odniesieniu do ochrony danych osobowych powinny odno- siÊ siÚ do wszystkich osób przebywajÈcych na terytorium RP, nie tylko polskich obywa- teli, gdyĝ nie ma podstaw do róĝnicowania tej kwestii przy uĝyciu kryterium przynaleĝ- noĂci pañstwowej. SwojÈ reguïÚ potwier- dza, zwracajÈc uwagÚ na sformuïowania zawarte w art. 51 i innych Konstytucji. Przy- kïadowo, autorka zwraca uwagÚ na uĝycie w ust. 2 sformuïowania „informacje o oby- watelach”, jednak na podstawie swoich roz- waĝañ postuluje o skorygowanie przepisu w sposób, aby caïoksztaït norm odnoszÈ- cych siÚ do ochrony danych osobowych nie budziï wÈtpliwoĂci (Kulesza, 2015, s. 106).

Zdaniem M. Wyrzykowskiego adresatów treĂci zawartych w art. 51 Konstytucjib RP jest co najmniej kilku. Jako pierwszego wskazuje kaĝdÈ jednostkÚ, niezaleĝnie od obywatelstwa, którÈ ust. 1 omawianego artykuïu obdarza prawem do nieujawniania informacji o sobie, za wyjÈtkiem sytuacji opisanych w odpowiednich ustawach. Drugi adresat, zgodnie ze stanowiskiem autora, wskazany zostaï w ust. 2 i jest nim obywa-

tel polski, o którym wïadze publiczne majÈ prawo gromadziÊ i wykorzystywaÊ dane jedynie niezbÚdne do zachowania demo- kratycznego porzÈdku w pañstwie. Wbkon- sekwencji tego rozróĝnienia pojawia siÚ trudnoĂÊ w okreĂleniu zakresu informacji, jakie mogÈ byÊ przetwarzane przez wïadze publiczne i czy majÈ one prawo dyspono- waÊ danymi osób z obywatelstwem innym niĝ polskie, biorÈc pod uwagÚ obowiÈzki wïadz, które z definicji polegajÈ wïaĂnie na gromadzeniu danych o obywatelach innych pañstw (np. kontrwywiad). IdÈc dalej, nie moĝna zatem interpretowaÊ tego prze- pisu jako zakazu wykorzystywania danych o cudzoziemcach. ZestawiajÈc to z zasadÈ legalnoĂci, nie moĝna równieĝ odczytywaÊ tej normy jako dopuszczenia takiej dziaïal- noĂci (Wyrzykowski, 1999, s. 25).

Oba te stanowiska nie w peïni odno- szÈ siÚ do problemu. Pierwsze zdaje siÚ pomijaÊ zasadÚ racjonalnoĂci prawodawcy, drugie prowadzi do zbyt daleko idÈcych wniosków. Usytuowany jako ostatni ust. 5 art. 51 Konstytucji odwoïujÈcy do ustawy okreĂlajÈcej zasady gromadzenia i wykorzy- stywania danych wskazuje, iĝ jego postano- wienie powinno odnosiÊ siÚ do wszystkich wyĝej wymienionych. Moĝna zatem stwier- dziÊ, ĝe ustawodawca dostrzegï potrzebÚ zaakcentowania, iĝ treĂÊ art. 51 ust. 2 powinna odnosiÊ siÚ przede wszystkim do obywateli, co nie oznacza, ĝe prawo to nie przysïuguje równieĝ cudzoziemcom. Ana- liza przeprowadzona przez M. SakowskÈ- BaryïÚ doprowadziïa autorkÚ do wniosku, iĝ normy zawarte w omawianym artykule winny odnosiÊ siÚ do wszystkich osób prze- bywajÈcych na terenie RP i nie sÈ uzaleĝ- nione od jakichkolwiek innych warunków (Sakowska-Baryïa, 2015, s. 108).

W judykaturze przykïadowo nie wzbu- dza wÈtpliwoĂci, ĝe prawo do ochrony danych osobowych dotyczy jedynie osób fizycznych¹⁰ posiadajÈcych zdolnoĂÊ prawnÈ, a wiÚc od chwili urodzenia aĝ do Ămierci¹¹. Warto przy tym wskazaÊ praktykÚ postÚpowania z danymi osób zmarïych lub poczÚtych, nienarodzonych. W momencie Ămierci gaĂnie co prawda prawo, jednak nie ustaje przetwarzanie danych, które czÚsto mogÈ dotyczyÊ jednoczeĂnie osób ĝyjÈ- cych (np. informacje o przebytych choro- bach, szczególnie dziedzicznych). Wbtakiej sytuacji uznaÊ moĝna, ĝe informacje te podlegajÈ regulacjom ustawy ob ochronie danych osobowych. Wydaje siÚ, ĝe ustawa

wymaga wprowadzenia zmian w tym zakresie, poniewaĝ nie okreĂla, co dzieje siÚ zbdanymi po Ămierci osoby, a przecieĝ taka sytuacja nie moĝe byÊ przyzwoleniem na przetwarzanie ich wb sposób dowolny (Sakowska-Baryïa, 2015, s. 116–119).

OdnoĂnie do osób poczÚtych przyjÚïo siÚ traktowaÊ informacje ob dziecku nienaro- dzonym do momentu jego narodzin jako dane jego matki, ojca lub innych osób.

Wszelkie informacje zebrane w trakcie ĝycia pïodowego wbchwili narodzin powinny zostaÊ uznane za dane osobowe dziecka.

Po narodzinach do momentu osiÈgniÚcia peïnoletnoĂci obprzetwarzaniu tych danych decyduje przedstawiciel ustawowy samo- dzielnie lub wspólnie z osobÈ maïoletniÈ, w zaleĝnoĂci od jej wieku (Barta i Litwiñski, 2016, s. 141–143).

4. Ochrona danych osobowych przedsiÚbiorcy

Status przedsiÚbiorcy jako osoby fizycz- nej moĝe przysïugiwaÊ osobie fizycznej na podstawie przepisów Kodeksu cywilnego¹² (kc) oraz ustawy z dnia 2 lipca 2004 r. o swo- bodzie dziaïalnoĂci gospodarczej¹³ (usdg).

Zgodnie z wczeĂniejszym ustaleniami spod dziaïania ustawy o ochronie danych osobo- wych wyïÈczone zostaïy osoby prawne, stÈd analiza przepisów w tym zakresie ograni- czy siÚ jedynie do osób fizycznych. W myĂl art. 43¹ kc przedsiÚbiorcÈ jest wiÚc osoba fizyczna prowadzÈca dziaïalnoĂÊ gospo- darczÈ lub zawodowÈ we wïasnym imieniu.

Artykuï 4 usdg stanowi, ĝe w rozumieniu ustawy przedsiÚbiorca to osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebÚdÈca osobÈ prawnÈ, wykonujÈca we wïasnym imieniu dziaïalnoĂÊ gospodar- czÈ. Za dziaïalnoĂÊ gospodarczÈ natomiast usdg w art. 2 uznaje zarobkowÈ dziaïalnoĂÊ wytwórczÈ, budowlanÈ, handlowÈ, usïu- gowÈ oraz poszukiwanie, rozpoznawanie ibwydobywanie kopalin ze zïóĝ wykonywanÈ w sposób zorganizowany i ciÈgïy. Ponadto, art. 43² § 2 w zwiÈzku z 43⁴ kc stanowi, iĝ przedsiÚbiorca ma dziaïaÊ pod firmÈ zawie- rajÈcÈ przynajmniej jego imiÚ i nazwisko, która, o ile odrÚbna ustawa nie stanowi inaczej, powinna byÊ ujawniona w odpo- wiednim rejestrze. W odniesieniu do przed- siÚbiorców bÚdÈcych osobami fizycznymi zastosowanie znajdujÈ przepisy usdg, na podstawie której wprowadzono CentralnÈ EwidencjÚ i InformacjÚ o DziaïalnoĂci

Gospodarczej (dalej: CEIDG), której zada- niem jest miÚdzy innymi ewidencjonowanie przedsiÚbiorców i udostÚpnianie informacji o nich w okreĂlonym ustawÈ zakresie.

W myĂl art. 38 ust. 1 usdg wszelkie infor- macje zawarte w CEIDG sÈ jawne. Wpisa- nie ich przez osobÚ fizycznÈ chcÈcÈ podjÈÊ dziaïalnoĂÊ gospodarczÈ do ewidencji jest zatem Ăwiadome i stawia podane infor- macje w charakterze powszechnie dostÚp- nych. Wobec tego moĝna wysnuÊ wniosek, iĝ wszelkie dane identyfikujÈce przed- siÚbiorcÚ w zakresie wykonywanej przez niego dziaïalnoĂci nie podlegajÈ przepi- som ustawy o ochronie danych osobowych (Dziurla, 2014). Potwierdziïo to orzecze- nie Naczelnego SÈdu Administracyjnego, który stwierdziï, ĝe ani nazwa, ani numer telefonu kancelarii nie stanowiÈ danych osobowych w rozumieniu ustawy, bowiem nie sïuĝÈ do identyfikacji osoby fizycznej, a jednostki organizacyjnej, podobnie jak do kategorii tej nie naleĝy zaliczaÊ nazwy spóïki cywilnej. SÈd potwierdziï równieĝ, ĝe objÚcie przez przedsiÚbiorcÚ swoich danych osobowych w zakresie danych indy- widualnych dotyczÈcych jego dziaïalnoĂci gospodarczej nie upowaĝnia go jako osoby fizycznej do domagania siÚ ochrony tych danych, gdyĝ wykorzystywane sÈ one nie jako dane osobowe, a dane przedsiÚbiorcy.

Toteĝ „decydujÈc siÚ na utoĝsamianie tych danych godzi siÚ tym samym na szersze ich ujawnianie i sïabszÈ ochronÚ”¹⁴. Wszystkie ujawnione w CEIDG informacje pokry- wajÈce siÚ z danymi dotyczÈcymi samego przedsiÚbiorcy nie powinny zatem podlegaÊ ochronie ustawy.

Inne stanowisko prezentuje A. Mednis, którego zdaniem informacje identyfikujÈ konkretnÈ osobÚ, dopóki naleĝÈ do danych osobowych i sÈ objÚte ochronÈ uodo (Med- nis, 1999, s. 25). Jak podkreĂla W. Szlawski, firma osoby fizycznej zawiera informacje dotyczÈce zidentyfikowanej bÈdě moĝli- wej do zidentyfikowania osoby, toteĝ bez wÈtpienia moĝna uznaÊ ich charakter jako danych osobowych i objÈÊ zakresem regu- lacji uodo. Jak wskazuje autor, do koñca 2011 roku obowiÈzywaï jasny przepis wyïÈczajÈcy stosowanie przepisów uodo wbzakresie informacji zawartych w Ewiden- cji DziaïalnoĂci Gospodarczej (poprzednik CEIDG)¹⁵. W zwiÈzku z jego uchyleniem ustawodawca doprowadziï do sytuacji, wb której dane zawarte w rejestrze nie sÈ wyïÈczone z zastosowania ustawy, czyli

majÈ podlegaÊ zasadom ogólnym uodo (Szlawski, 2014).

Ostatecznie, w zwiÈzku z rezygnacjÈ ze wspomnianego wyĝej przepisu, wszel- kie dane osób fizycznych, równieĝ tych zwiÈzanych z prowadzeniem dziaïalnoĂci gospodarczej, podlegajÈ regulacjom uodo.

Wydaje siÚ to jednak kïopotliwe, wb prak- tyce utrudniajÈc miÚdzy innymi swobodny przepïyw informacji o przedsiÚbiorcy.

Naleĝy bowiem podkreĂliÊ, ĝe wb przy- padku informacji dotyczÈcych przedsiÚ- biorców dysponowanie ich danymi zwiÈza- nymi zb wykonywanÈ dziaïalnoĂciÈ uïatwia prowadzenie interesów z nimi i moĝe pozytywnie wpïywaÊ na ich wiarygodnoĂÊ wbobrocie gospodarczym. Zasadny wydaje siÚ wiÚc powrót do rozwiÈzania, w którym wyïÈczone z zastosowania uodo sÈ informa- cje zawarte w CEIDG. W obecnym stanie prawnym uodo podlegajÈ zarówno infor- macje o charakterze wewnÚtrznym zwiÈ- zane z funkcjonowaniem przedsiÚbiorcy, jak i informacje powszechnie dostÚpne, co w przypadku danych osobowych przedsiÚ- biorców moĝe byÊ problematyczne, a cza- sem wrÚcz paradoksalne. Trudno bowiem broniÊ sïusznoĂci w odniesieniu do omawia- nego przypadku, np. obowiÈzku informa- cyjnego czy zgïoszenia zbiorów do rejestru.

Ustawodawca dostrzegï ten problem, czego przejawem jest uchwalona 25 wrzeĂnia 2015 roku ustawa o zmianie ustawy o swobodzie dziaïalnoĂci gospodarczej oraz niektórych innych ustaw¹⁶. Zmiany te weszïy w ĝycie 19b maja 2016 roku i sÈ istotne wb odnie- sieniu do ochrony danych osobowych przedsiÚbiorcy. Nowelizacja wprowadziïa bowiem do usdg zbliĝony do wspomnianego wczeĂniej przepisu uchylonego z koñcem 2011 roku art. 39b o nastÚpujÈcym brzmie- niu: „Do jawnych danych i informacji udo- stÚpnianych przez CEIDG nie stosuje siÚ przepisów ustawy z dnia 29 sierpnia 1997 r.

o ochronie danych osobowych, z wyjÈtkiem przepisów art. 14–19a i art. 21–22a oraz rozdziaïu 5 tej ustawy”. WczeĂniejsze caïko- wite wyïÈczenie stosowania uodo wbodnie- sieniu do informacji zawartych wbrejestrze zostaïo ograniczone dwiema podstawowymi zasadami przetwarzania – zwolnienie doty- czy wyïÈcznie danych dostÚpnych jawnie wb CEIDG, ponadto podmiot przetwarza- jÈcy dane pobrane zb rejestru wciÈĝ pod- lega w pewnym zakresie kontroli GIODO.

Niestety i to rozwiÈzanie budzi wÈtpli- woĂci, poniewaĝ grozi sytuacjÈ, w której

informacje o konkretnym przedsiÚbiorcy bÚdÈ podlegaïy dwóm rodzajom regulacji jednoczeĂnie. Ponadto istnieje ryzyko, ĝe administratorzy przeoczÈ ograniczenia, traktujÈc nowe przepisy jako przyzwolenie do dowolonego przetwarzania wszystkich danych ob przedsiÚbiorcach. Jak twierdzi M.b Kwiatkowska-Cylke, moĝe to dopro- wadziÊ do wielu naruszeñ zasad ochrony danych osobowych (Kwiatkowska-Cylke, 2016).

5. Dane osobowe w relacji

z pracownikami oraz osobami starajÈcymi siÚ o pracÚ

Zgodnie z §6 RozporzÈdzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w spra- wach zwiÈzanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika pracodawca ma do czynie- nia z danymi osobowymi w toku rekruta- cji, okresie zatrudnienia, a takĝe po jego ustaniu¹⁷. W procesie rekrutacji mogÈ byÊ zbierane w zasadzie dowolne dane, na co osoba aplikujÈca wyraĝa zgodÚ, umieszcza- jÈc odpowiedniÈ klauzulÚ w aplikacji, co zazwyczaj robi chÚtnie, gdyĝ w jej intere- sie jest zainteresowaÊ swojÈ osobÈ poten- cjalnego pracodawcÚ. Aplikacja bez takiej zgody w polskim systemie prawa powinna byÊ natychmiast o niÈ uzupeïniona bÈdě usuniÚta przez przedsiÚbiorcÚ. Zgody nie wymagajÈ jedynie okreĂlone w kodeksie pracy¹⁸ dane, tj. imiÚ i nazwisko, data uro- dzenia, miejsce zamieszkania (adres do korespondencji), wyksztaïcenie oraz prze- bieg dotychczasowego zatrudnienia¹⁹. JeĂli polski ustawodawca postanowi skorzystaÊ z zaleceñ niezaleĝnego zespoïu roboczego ds. ochrony osób fizycznych wb zakre- sie przetwarzania danych osobowych (powszechnie zwanego GrupÈ RoboczÈ Art. 29 ds.b Ochrony Danych Osobowych, powoïanego na mocy europejskiej dyrek- tywy 95/46/WE) samo wysïanie ĝyciorysu do pracodawcy stanowiÊ bÚdzie zgodÚ na przetwarzanie przez niego podanych infor- macji w celu rekrutacji²⁰.

Kontrowersje wzbudzajÈ testy rekru- tacyjne w celu okreĂlenia przydatnoĂci zawodowej pracownika. Jak stwierdziï GIODO w jednym ze sprawozdañ ze swo- jej dziaïalnoĂci, pracodawcy naduĝywajÈ tej metody do pozyskiwania dodatkowych

informacji dotyczÈcych cech kandydata, co nie jest zgodne z prawem. Jednakĝe WSA wb swoim orzeczeniu zwróciï uwagÚ na pominiÚcie przez GIODO istotnej kwestii, jakÈ jest zgoda kandydata na uczestniczenie w teĂcie. Moĝna wiÚc wysnuÊ wniosek, ĝe dopóki udziaï w teĂcie jest dobrowolny i nie wpïywa na inne niĝ pozostaïych traktowa- nie kandydata jest on zgodny z prawem²¹.

W okresie zatrudnienia pracodawca ma obowiÈzek wydawania upowaĝnieñ do prze- twarzania jakichkolwiek danych przez pra- cownika w zwiÈzku z wykonywaniem pracy, ale takĝe chroniÊ i nie naduĝywaÊ wykorzy- stywania danych dotyczÈcych osoby przez niego zatrudnionej. BiorÈc pod uwagÚ nieuniknionÈ potrzebÚ wymiany informa- cji (nie zawsze o charakterze zawodowym) miÚdzy pracownikiem a pracodawcÈ, oraz wzglÚdnie wÈski zakres regulacji przepisów prawa pracy, zalecanÈ praktykÈ jest wdro- ĝenie jasnej i przejrzystej polityki prywat- noĂci w przedsiÚbiorstwie. Powinna ona byÊ dostÚpna dla pracowników w kaĝdej chwili, okreĂlajÈc:

• rodzaje danych osobowych pracowni- ków, jakie sÈ gromadzone i przetwa- rzane przez pracodawcÚ oraz cele tego przetwarzania,

• listÚ osób upowaĝnionych do wglÈdu wbte informacje,

• rozróĝnienie miÚdzy obligatoryj- nie ab dobrowolnie przekazywanymi danymi oraz konsekwencje w przypadku odmowy ich podania,

• okres przechowywania danych oraz metody ich usuwania po upïywie tego okresu,

• prawa pracowników w sferze bezpie- czeñstwa dotyczÈcych ich danych osobo- wych,

• moĝliwe operacje przekazywania danych do krajów trzecich,

• dane kontaktowe urzÚdnika ds. ochrony danych (jeĝeli istnieje) (Lifelong Learning Programme Leonardo Da Vinci, 2012, s. 16).

• Po zakoñczeniu stosunku pracy praco- dawca czÚsto dalej przechowuje doku- mentacjÚ byïego pracownika, jednak podstawy prawne przetwarzania tych danych osobowych ulegajÈ znacznemu ograniczeniu. Przetwarzanie danych zawartych w aktach byïego pracownika dozwolone jest wyïÈcznie na podstawie przepisów prawa, takich jak np. przepisy emerytalne, dotyczÈce ochrony zdrowia,

podatków czy archiwizacji (Lifelong Learning Programme Leonardo Da Vinci, 2012, s. 28).

Ponadto w celu udokumentowania roszczeñ pracodawcy dane mogÈ byÊ przechowywane w okresie równym okre- sowi przedawnienia tych roszczeñ. Istotny z punktu widzenia pracodawcy jest okres przechowywania dokumentacji dla celów ubezpieczeñ spoïecznych, gdyĝ moĝe on wynosiÊ nawet do 50 lat (Lifelong Lear- ning Programme Leonardo Da Vinci, 2009, s. 42–43).

6. Przetwarzanie danych osobowych pozyskanych w zwiÈzku

z dziaïalnoĂciÈ prowadzonÈ w Internecie

Dane osobowe sÈ istotnym elementem funkcjonowania wiÚkszoĂci przedsiÚbior- ców. Ich ochrona jest czÚĂciÈ wymaga- nych prawem zabezpieczeñ, ale równieĝ budowy wizerunku przedsiÚbiorcy w sieci i poza niÈ. CiÚĝko wyobraziÊ sobie serwis lub sklep internetowy niemajÈcy stycznoĂci z danymi osobowymi podczas prowadze- nia wïasnej dziaïalnoĂci. Wykorzystywane sÈ one bowiem przy operacjach takich jak wysyïka towaru, rozpatrywanie reklamacji, Ăwiadczenie usïug drogÈ elektronicznÈ.

W myĂl definicji ustawowej „dane oso- bowe” to wszelkie informacje identyfi- kujÈce bÈdě pozwalajÈce zidentyfikowaÊ osobÚ fizycznÈ. W kontekĂcie danych przetwarzanych w systemach teleinfor- matycznych bardzo istotna jest poĂrednia moĝliwoĂÊ identyfikacji osoby, szczególnie w odniesieniu do danych sïuĝÈcych rozpo- znawaniu uĝytkowników i uwierzytelnianiu dostÚpu do treĂci (np. adres e-mail, login, nick czy numery identyfikujÈce urzÈdze- nia koñcowe, tj. numer telefonu czy IP komputera). Przedstawiona przez usta- wodawcÚ definicja nie okreĂla, jakie dane naleĝy traktowaÊ jako osobowe, a jedynie wskazuje kryteria ich klasyfikacji, którymi naleĝy siÚ kierowaÊ, stÈd wniosek, ĝe kaĝdy przypadek naleĝy rozpatrywaÊ indywidual- nie. W praktyce pomocne w tym zakresie mogÈ byÊ publikacje Generalnego Inspek- tora Danych Osobowych, które choÊ nie majÈ charakteru wiÈĝÈcego, zawierajÈ istotne wskazówki praktyczne porzÈd- kujÈce klasyfikacjÚ danych osobowych w sieci (Generalny Inspektor Ochrony Sanych Osobowych, 2009, s. 11). Przykïa-

dowo, wbwiÚkszoĂci przypadków podmioty korzystajÈce z usïug dostÚpu do sieci tele- komunikacyjnych i teleinformatycznych sÈ zwiÈzane umowami z usïugodawcami, okreĂlajÈcymi ich dokïadnÈ toĝsamoĂÊ.

Oznacza to, ĝe dostawcy dysponujÈ szcze- góïowymi informacjami na temat swoich abonentów w ramach Ăwiadczonej usïugi, w tym danymi lokalizacyjnymi oraz danymi o ruchu telekomunikacyjnym. Dane lokali- zacyjne to dane o poïoĝeniu geograficznym uĝytkownika w okreĂlonym czasie poda- wane jako dïugoĂÊ i szerokoĂÊ geograficzna oraz wysokoĂÊ nad poziomem morza. Z ich pomocÈ moĝna ïatwo okreĂliÊ szybkoĂÊ oraz kierunek przemieszczania siÚ danej osoby. Dane o ruchu telekomunikacyjnym to dane dotyczÈce poïÈczenia sieciowego, m.in. trasowanie (routing), czas rozpoczÚcia i zakoñczenia, iloĂÊ przekazanych informa- cji, wykorzystany protokóï, sieÊ ěródïowa i koñcowa (Generalny Inspektor Ochrony Sanych Osobowych, 2009, s. 13). Danymi osobowymi mogÈ byÊ teĝ informacje, tj.bpliki cookies²², numer MAC karty siecio- wej, numer IMEI telefonu komórkowego, rejestr odwiedzanych stron. MogÈ byÊ one bowiem wykorzystywane do identyfikacji osób lub analizy ich potrzeb, zaintereso- wañ czy preferencji. Istotne znaczenie przy odpowiedniej klasyfikacji tych danych ma kryterium nadmiernoĂci nakïadów, co bada siÚ indywidualnie w kaĝdym przypadku (PiÈtek, 2015).

CzÚsto uĝywanÈ informacjÈ w sieciach informatycznych jest login. Pod pojÚciem tym rozumie siÚ ciÈg znaków pozwalajÈcych okreĂliÊ uĝytkownika i powiÈzaÊ go z przy- dzielonymi mu uprawnieniami. Jest on wiÚc niezbÚdny do rozpoczÚcia przez uĝytkow- nika pracy w zamkniÚtym systemie, pozwala go rozpoznaÊ i zidentyfikowaÊ jego upraw- nienia oraz dokonane dotychczas operacje.

Login w danym systemie powinien wiÚc byÊ unikatowy dla kaĝdego uĝytkownika, co nie wyklucza istnienia tego samego identyfika- tora naleĝÈcego do innej osoby w innym systemie. Z punktu widzenia administra- tora systemu informatycznego identyfika- tor w postaci loginu wbmomencie rejestracji uĝytkownika powiÈzany zostaje najczÚĂciej z danymi takimi jak imiÚ, nazwisko, adres e-mail, numer telefonu, przyznane upraw- nienia itp. Dane te odnoszÈ siÚ do konkret- nej osoby, majÈ zatem charakter danych osobowych. Nie zawsze jednak powiÈzania te sÈ weryfikowane pod kÈtem ich prawdzi-

woĂci. NajczÚĂciej jednak regulamin serwisu nakïada na uĝytkownika obowiÈzek podania informacji zgodnych ze stanem faktycznym, zrzucajÈc tym samym z siebie odpowie- dzialnoĂÊ za dane faïszywe. ZdarzajÈ siÚ teĝ systemy ograniczajÈce zakres danych poda- wanych przez uĝytkownika. Sytuacja taka ma miejsce miÚdzy innymi na wszelkiego rodzaju forach dyskusyjnych, gdzie kaĝdy uĝytkownik dysponuje takim samym zakre- sem uprawnieñ i posïuguje siÚ nazwÈ nieda- jÈcÈ siÚ z nim powiÈzaÊ. Wbtakim przypadku login zwany jest nickiem i w odróĝnieniu od staïego loginu moĝe byÊ równieĝ tym- czasowy. Samoistnie nie ma on charakteru danych osobowych, jednak moĝe stanowiÊ informacjÚ uïatwiajÈcÈ identyfikacjÚ uĝyt- kownika (Generalny Inspektor Danych Osobowych, 2009, s.b20–22).

Duĝe znaczenie praktyczne ma odpo- wiednie zakwalifikowanie adresu IP (Inter- net Protocol Address). Adres ten, bÚdÈcy numerem identyfikujÈcym urzÈdzenie komputerowe (komputery, drukarki, kamery, itp.), umoĝliwia poïÈczenie urzÈ- dzenia zb sieciÈ telekomunikacyjnÈ, przy czym czÚsto urzÈdzenia przypisane sÈ do konkretnej osoby. W Internecie adres IP urzÈdzenia nadawany jest przez dostawcÚ poïÈczenia z sieciÈ w ramach przysïugu- jÈcej puli adresowej przydzielanej przez organizacjÚ RIPE Network Coordina- tion Center, zajmujÈcej siÚ zarzÈdzaniem zasobami internetowymi, miÚdzy innymi w Europie. Wbsystemach informatycznych przetwarzane sÈ dwa rodzaje danych – dane obabonentach ïÈczÈce publiczny numer IP zb danymi osobowymi uĝytkownika oraz dane o wykonywanych poïÈczeniach tele- informatycznych. Pierwsze sÈ danymi oso- bowymi bezpoĂrednio identyfikujÈcymi klientów, drugie majÈ charakter danych osobowych w momencie, gdy dotyczÈ ruchu generowanego przez urzÈdzenie naleĝÈce do osoby fizycznej dajÈcej siÚ zidentyfi- kowaÊ poĂrednio (Generalny Inspektor Danych Osobowych, 2009, s. 20). Adres IP zostaï ostatecznie uznany za informacjÚ umoĝliwiajÈcÈ zidentyfikowanie osoby, co poparïa w swojej opinii niezaleĝna Grupa Robocza Art. 29 ds.b ochrony danych oso- bowych²³. NumerubIP nie uznaje siÚ jednak za dane osobowe, gdy urzÈdzenie, do któ- rego jest przypisany ten numer, pozostaje w dyspozycji podmiotu niebÚdÈcego osobÈ fizycznÈ, przez co niemoĝliwe jest jedno- znaczne wskazanie osoby sprawujÈcej nad

nim wyïÈcznÈ kontrolÚ. Danymi osobowymi nie sÈ wiÚc np. adres IP serwerów wyszuki- warki internetowej czy poczty elektronicz- nej (jest to sytuacja podobna do urzÈdzenia telefonicznego zainstalowanego w miejscu publicznym, np. budce telefonicznej)²⁴.

Moĝna zatem przyjÈÊ, ze wzglÚdu na kryterium nadmiernych kosztów, czasu lub dziaïañ, ĝe staïe adresy IP komputera naleĝÈce do osób fizycznych lub dostawców Internetu stanowiÈ co do zasady dane oso- bowe (Barta i Litwiñski, 2016, s. 92).

7. Zmiany przewidziane w RozporzÈdzeniu Ogólnym o Ochronie Danych Osobowych (RODO)

W maju 2016 roku Parlament Europejski razem z RadÈ Unii Europejskiej przyjÚïy nowelizacjÚ przepisów o ochronie danych osobowych. Z dniem 25 maja 2018 roku zacznÈ one obowiÈzywaÊ we wszystkich pañstwach czïonkowskich i bezpoĂrednio wpïynÈ na funkcjonowanie przedsiÚbiorców przetwarzajÈcych dane osobowe, niezaleĝ- nie od ich rozmiaru.

RozporzÈdzenie Parlamentu Euro- pejskiego i Rady (UE) 2016/679 z dnia 27b kwietnia 2016 r. w sprawie ochrony osób fizycznych w zwiÈzku z przetwarza- niem danych osobowych i w sprawie swo- bodnego przepïywu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej:

RODO)²⁵ ma na celu dostosowanie regu- lacji do dynamicznie rozwijajÈcego siÚ Ăwiata technologii, w którym Internet staï siÚ standardem, usïugi chmurowe codzien- noĂciÈ, a informacje wymieniane sÈ w skali globalnej w sposób ciÈgïy i nieprzerwalny.

RozporzÈdzenie jest odpowiedziÈ na aktu- alne problemy ochrony danych osobowych, a nieprzestrzeganie go wiÈĝe siÚ z wyso- kimi karami pieniÚĝnymi – nawet do 20bmln euro lub 4% caïkowitego, Ăwiatowego obrotu zb poprzedniego roku²⁶. RODO ma stanowiÊ kompleksowÈ regulacjÚ doty- czÈcÈ ochrony danych osobowych, zmie- niajÈc dotychczas praktykowane podejĂcie do tej problematyki. RODO ma regulowaÊ wb szczególnoĂci: zasady ochrony danych osobowych; prawa osoby, której dane doty- czÈ; obowiÈzki ibprawa adminsitratora oraz podmiotu przetwarzajÈcego; przekazywanie danych osobowych do pañstw trzecich lub organizacji miÚdzynarodowych; funkcjono- wanie niezaleĝnych organów nadzorczych;

wspóïpracÚ i spójnoĂÊ dziaïañ unijnych ib krajowych organów nadzorczych; Ărodki ochrony prawnej, odpowiedzialnoĂÊ i sank- cje za naruszenie przepisów rodo.

Zasady przyjÚte w RODO, co dotych- czas nie miaïo miejsca, róĝnicujÈ maïe oraz wiÚksze jednostki, przewidujÈc dla tych pierwszych uproszczone reguïy dotyczÈce przetwarzania danych osobowych (Osiñski, 2017). Co istotne, przepisy RODO doty- czyÊ majÈ takĝe jednostek, których siedziba znajduje siÚ poza UE, jeĂli oferujÈ one dobra lub usïugi obywatelom UE lub moni- torujÈ ich zachowania, a nie jak dotychczas jedynie jednostek unijnych (Deloitte, 2017, s. 7–9). Oznacza to, ĝe do nowego porzÈdku prawnego bÚdÈ siÚ musiaïy dostosowaÊ takĝe korporacje amerykañskie, takie jak np. Facebook czy Google.

Nowe przepisy wzmacniajÈ pozycjÚ osób fizycznych, wskazujÈc podmiot przetwarza- jÈcy dane jako domyĂlnie odpowiedzialny za ich ochronÚ. Oznacza to, ĝe osoba, której dane dotyczÈ, nie musi podejmowaÊ ĝad- nych dziaïañ majÈcych na celu ich ochronÚ, bowiem przetwarzajÈcy dane ma obowiÈzek zadbaÊ o ich bezpieczeñstwo juĝ na etapie tworzenia produktów czy usïug oraz sys- temów i procesów przetwarzania danych (privacy by default) (Rachelski i Wspóïnicy, 2017). Dodatkowo, aby uzyskaÊ wiÚkszÈ kontrolÚ, osoba, której dane przetwarzane sÈ w zautomatyzowanym systemie, na pod- stawie umowy lub zgody, zostanie wyposa- ĝona w prawo do przeniesienia tych danych.

Osoba wykonujÈca to prawo bÚdzie mogïa ĝÈdaÊ od administratora danych dostarcze- nia danych jej dotyczÈcych w ustrukturyzo- wanym, powszechnie uĝywanym formacie moĝliwym do odczytu maszynowego i prze- nieĂÊ je do innego administratora²⁷. RODO poszerza równieĝ, istotne z punktu widze- nia przedsiÚbiorców bazujÈcych na anali- tyce danych, uprawnienia osób fizycznych o prawo do sprzeciwu i zakazu stosowania wobec nich marketingu bezpoĂredniego (PWC, 2017).

PrzedsiÚbiorca w nowym porzÈdku prawnym ma byÊ zwolniony z obowiÈzku zgïaszania rejestru danych, zobowiÈzany jednak bÚdzie do wdroĝenia rejestru czyn- noĂci zwiÈzanych z przetwarzaniem danych osobowych oraz zgïaszania wszelkich naru- szeñ Generalnemu Inspektorowi Ochrony Danych Osobowych w ciÈgu 72 godzin od momentu ich stwierdzenia (w niektó- rych przypadkach moĝe wystÈpiÊ równieĝ

koniecznoĂÊ powiadomienia osoby o wystÈ- pieniu ryzyka naruszenia jej praw). RODO rozbudowuje ponadto obowiÈzki infor- macyjne przetwarzajÈcego dane poprzez wskazanie licznych informacji niezbÚdnych przy poprawnie formuïowanej komunikacji sposobu przetwarzania danych oraz uzy- skiwaniu waĝnych i weryfikowalnych zgód na przetwarzanie danych od osób, których dotyczÈ.

RODO odnosi siÚ równieĝ do kwe- stii profilowania naleĝÈcego do tej pory wbznacznej czÚĂci do „szarej strefy”. RODO bezpoĂrednio definiuje, czym jest profilo- wanie konsumenta oraz w pewnym zakresie ustanawia odrÚbne zasady, które naleĝy do niego stosowaÊ (Krawecki, 2017, s. 132).

Co wiÚcej, wprowadzona zostaïa definicja

„identyfikatorów internetowych”, do któ- rych naleĝÈ m.in. adresy IP i identyfikatory plików cookie, które w poïÈczeniu z innymi informacjami pozyskiwanymi w sposób zautomatyzowany mogÈ byÊ wykorzysty- wane do tworzenia profili i identyfikowania konkretnych osób²⁸.

RODO porusza kwestiÚ przetwarza- nia danych biometrycznych, która nabiera na znaczeniu w niektórych branĝach. Do tej pory przepisy ustawy nie odnosiïy siÚ wprost do danych biometrycznych, a wiÚc obowiÈzki zwiÈzane z ich przetwarza- niem naleĝaïo oceniaÊ na zasadach ogól- nych, czyli traktowaÊ je jako dane zwykïe.

RODO wprost okreĂla zasady przetwarza- nia danych biometrycznych, zaliczajÈc je do tzw. szczególnych kategorii danych osobo- wych, co w praktyce oznacza traktowanie ich na równi z danymi wraĝliwymi²⁹.

Obecnie obowiÈzujÈca dyrektywa regu- lujÈca kwestiÚ ochrony danych osobowych na terenie UE wymagaïa implementacji do prawa krajowego nie póěniej niĝ w 3 lata od daty przyjÚcia dyrektywy³⁰. RozporzÈ- dzenie RODO ma charakter bezpoĂredni, czyli wchodzi w ĝycie na terenie caïej Unii bez potrzeby implementacji do krajowych porzÈdków prawnych z chwilÈ ogïoszenia i upïywem vacation legis. Ma to uïatwiÊ prowadzenie transgranicznej dziaïalnoĂci gospodarczej, ograniczajÈc rozbieĝnoĂci pomiÚdzy prawem krajowym a unijnym.

Podsumowanie

Osoba decydujÈca siÚ na podjÚcie dzia- ïalnoĂci gospodarczej w obecnym porzÈdku prawnym musi pogodziÊ siÚ z pewnym

poziomem rozpoznawalnoĂci. Dane przed- siÚbiorców, a czasem równieĝ ich pracow- ników, sÈ bowiem jawne i ïatwo dostÚpne, zwïaszcza gdy dziaïalnoĂÊ prowadzona jest przy uĝyciu Internetu. Co wiÚcej, prowa- dzenie dziaïalnoĂci wiÈĝe siÚ z ciÈgïym przetwarzaniem danych osób trzecich, tj.bwbszczególnoĂci: pracowników, klientów, dostawców, kontrahentów. PrzedsiÚbiorcy czÚsto nie zdajÈ sobie sprawy, ĝe majÈ do czynienia z gromadzeniem danych oso- bowych podlegajÈcych przepisom prawa (np. budujÈc relacje poprzez newslettery czy mailingi). Z jednej strony, niewywiÈ- zanie siÚ z obowiÈzków narzuconych przez ustawodawcÚ jest czynem zabronionym, za który przewidziane sÈ odpowiednio kary.

Zb drugiej strony, brak bezpieczeñstwa danych osobowych wiÈĝe siÚ z wieloma zagroĝeniami, których skutki mogÈ przyjÈÊ skalÚ globalnÈ i byÊ dïugotrwaïe.

Naruszenia w sferze ochrony danych osobowych sÈ w dzisiejszych czasach na porzÈdku dziennym. Klienci powierzajÈ swoje dane usïugodawcom, uznajÈc ich za cyfrowe „twierdze” wyposaĝone wbzaawan- sowane systemy bezpieczeñstwa. Tymcza- sem informacje o masowych wyciekach danych (w tym wielu wraĝliwych, takich jak stan zdrowia, dane finansowe, dane logo- wania) obiegajÈ Ăwiat czÚĂciej, niĝ by siÚ wydawaïo. Na przestrzeli paru lat ofiarÈ przestÚpców komputerowych padïy korpo- racyjne giganty, tj. Instagram³¹, LinkedIn³², Myspace³³, Wonga³⁴, Deloitte³⁵, a nawet Facebook³⁶. Do grupy tej doïÈczyïy ostatnio równieĝ cztery polskie banki (ING Bank

¥lÈski, mBank, Idea Bank, Credit Agri- cole), w zwiÈzku z ofertÈ dotyczÈcÈ sprze- daĝy danych klientów, takich jak numery rachunków, salda, numerów PESEL, adre- sów i telefonów komórkowych, opubliko- wanÈ w sieci³⁷.

WejĂcie w ĝycie omawianego Rozpo- rzÈdzenia unijnego o Ochronie Danych Osobowych w maju 2018 roku istotnie zmieni sytuacjÚ przedsiÚbiorców oraz ich klientów i ma na celu ograniczenie wystÚ- powania tego typu sytuacji. Przede wszyst- kim, jak juĝ wskazano powyĝej, kaĝdy incydent bÚdzie musiaï zostaÊ zgïoszony w ciÈgu 72b godzin odpowiednim orga- nom³⁸ – dotychczas zdarzaïo siÚ, ĝe o wiel- kich wyciekach danych dowiadywaliĂmy siÚ nawet po kilku latach od ich wykry- cia. Ponadto, zwiÚkszone zostanÈ kary za dopuszczenie siÚ naruszeñ (majÈ siÚ one

wahaÊ od 10 do 20 mln euro lub miÚdzy 2–4% rocznego obrotu)³⁹.

Wydaje siÚ, ĝe na razie nie wszyscy przedsiÚbiorcy zdajÈ sobie sprawÚ ze skali zmian oraz konsekwencji braku dostosowa- nia do wymogów nowego porzÈdku praw- nego. Wedïug raportu Fundacji „Wiedza To Bezpieczeñstwo”, 26% przedsiÚbiorców nie podjÚïo jeszcze dziaïañ, a 23% nie ma ĝad- nej ĂwiadomoĂci dotyczÈcej nadchodzÈcych zmian. Z drugiej strony, w ponad poïowie przebadanych organizacji wprowadzono juĝ zmiany w procedurach, jednak 46% osób odpowiedzialnych za funkcjÚ inspektora ochrony danych (IOD) ma jedynie ogólnÈ wiedzÚ dotyczÈcÈ nadchodzÈcych zmian.

Badania wykazaïy potrzebÚ szkoleñ i pogïÚ- bienia wiedzy z zakresu ochrony danych osobowych (tylko co 10. osoba stwierdziïa, ĝe nie jest to potrzebne). Aktualnie, spraw- dzanie zgodnoĂci nowego procesu w organi- zacji ma miejsce po jego wdroĝeniu. Po wej- Ăciu w ĝycie RODO uwzglÚdnienie ochrony danych osobowych wymagane bÚdzie juĝ wbfazie projektowania produktu lub usïugi.

Istnieje zagroĝenie, ĝe organizacje bÚdÈ interpretowaïy nowe przepisy zbyt literal- nie, nie dostrzegajÈc zmiany caïej koncepcji i nie zdÈĝÈ dostosowaÊ siÚ do nowych ram (Fundacja Wiedza…, 2017).

PodsumowujÈc, najistotniejsza z punktu widzenia przedsiÚbiorstw przetwarzajÈcych dane osobowe jest edukacja i ĂwiadomoĂÊ aktualnego porzÈdku prawnego. W obliczu nadchodzÈcych zmian pierwsze kontrole organu nadzorczego w praktyce pokaĝÈ, jak duĝe zmiany sÈ potrzebne w kaĝdej orga- nizacji. JeĂli przedsiÚbiorca nie dostrzega istoty bezpieczeñstwa danych osobowych, zwiÚkszone kary powinny zmotywowaÊ go do dokïadniejszego przyjrzenia siÚ sprawie i potraktowania ochrony danych osobowych powaĝnie. Z drugiej strony, skuteczny sys- tem wymaga równieĝ sprawnie dziaïajÈcych organów nadzorczych.

Przypisy

1 T.j. Dz. U. z 2016 r. poz. 922, z 2018 r. poz. 138.

2 Art. 2 pkt a Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady WE.

3 Opinion 4/2007 of Article 29 Data Protection Working Party on the concept of personal data, June 2007, 01248/07/EN, WP 136, s. 6.

4 Decyzja GIODO z 26 listopada 2009 roku, DOLiS/DEC-1183/09 dot. DOLiS-440-459/09, s. 2–3.

5 Wyrok WSA w Warszawie z dnia 3 marca 2009 roku, II SA/Wa 1495/08 na podstawie Dubicz, S.

(red.) (2003). Uniwersalny Sïownik JÚzyka Pol- skiego. Warszawa, s. 96.

6 Wyrok WSA w Warszawie z dnia 3 marca 2009 roku, II SA/Wa 1495/08.

7 Ibidem.

8 Art. 6 ust. 3 uodo.

9 http://www.giodo.gov.pl/317/id_art/973/j/pl/, dostÚp: 12.03.2016.

10 Wyrok NSA z dnia 28 listopada 2002 roku, II SA 2289/01.

11 Zob. Dziaï I, Rozdziaï I Kodeksu Cywilnego, Dz.U. 2017 poz. 459 oraz http://giodo.gov.

pl/319/id_art/974/j/pl/, dostÚp: 10.03.2016.

12 Dz.U. 2017 poz. 459, dalej: kc.

13 Dz.U. 2004 nr 173 poz. 1807, dalej: usdg.

14 Wyrok NSA z dnia 28 listopada 2002 roku, II SA 3389/01.

15 Art. 7a ust. 2 ustawy z dnia 19 listopada 1999br.

Prawo dziaïalnoĂci gospodarczej, Dz.U. z 2004br.

Nr 173, poz. 1808.

16 Dz.U. 2015, 1893.

17 Zob. RozporzÈdzenie Ministra Pracy i Poli- tyki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców doku- mentacji w sprawach zwiÈzanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika, Dz.U. 1996 nr 62 poz. 286.

18 Dz.U. 2018 poz. 108, dalej: kp.

19 Por. art. 22¹ kp.

20 Opinion 15/2011 of Article 29 Data Protection Working Party on the definition of consent, July 2011, 01197/11/EN, WP 187, s. 11 w: KÚpa (2011, s. 60).

21 http://uodo.pl/2014/kandydacie-do-pracy- jakich-danych-moze-od-ciebie-zadac-przyszly- pracodawca/, dostÚp: 14.03.2016, zob. teĝ dostÚpne na stronie http://www.giodo.gov.

pl/138/id_art/2685/j/pl/ Sprawozdanie z dziaïal- noĂci GIODO w roku 2009, s. 16.

22 WiÚcej na temat cookies: PiÈtek (2015).

23 Opinion 4/2007 of Article 29 Data Protection Working Party on the concept of personal data, June 2007, 01248/07/EN, WP 136, s. 16.

24 http://www.giodo.gov.pl/319/id_art/2258/j/pl/, dostÚp: 8.05.2016 oraz Wiecióra (2016, s. 56).

25 RozporzÈdzenie Parlamentu Europejskiego ibRady (UE) 2016/679 z dnia 27 kwietnia 2016br.

w sprawie ochrony osób fizycznych w zwiÈzku zbprzetwarzaniem danych osobowych i w sprawie swobodnego przepïywu takich danych oraz uchylenia dyrektywy 95/46/WE.

26 Art. 83 pkt. 5 RODO.

27 Motyw 68 preambuïy RODO.

28 Motyw 30 preambuïy RODO.

29 Zob. art. 9 RODO.

30 Art. 32 Dyrektywy 95/46/WE.

31 http://money.cnn.com/2017/09/01/technology/

business/instagram-hack/index.html?iid=EL, dostÚp: 3.12.2017.

32 https://www.cultofmac.com/171752/massive- linkedin-security-breach-leads-to-6-5-million- stolen-passwords/, dostÚp: 3.12.2017.

33 http://money.cnn.com/2017/09/07/technology/

business/biggest-breaches-ever/index.html, dostÚp: 3.12.2017.

34 http://www.zdnet.com/article/payday-lender- wonga-confirms-data-breach/, dostÚp: 3.12.2017.

35 https://www.theguardian.com/business/2017/

sep/25/deloitte-hit-by-cyber-attack-revealing- clients-secret-emails, dostÚp: 3.12.2017.

36 https://www.theguardian.com/technology/2017/

jun/16/facebook-moderators-identity-exposed- terrorist-groups, dostÚp: 3.12.2017.

37 http://tvn24bis.pl/z-kraju,74/wyciek-danych-z-cz- terech-bankow,775771.html, dostÚp: 3.12.2017.

38 Art. 33 RODO.

39 https://tech.wp.pl/wielki-wyciek-danych-w-ube- rze-firma-zaplacila-okup-po-wejsciu-rodo-taki- numer-juz-nie-przejdzie-6190474457331841a, dostÚp: 3.12.2017.

Bibliografia

BanyĂ, T. i ’uczak, J. (2014). Ochrona danych oso- bowych w praktyce. Jak unikaÊ bïÚdów i ich konse- kwencji prawnych. Wrocïaw: Prescom Sp. z o.o.

Barta, P. i Litwiñski, P. (2016). Ustawa o ochronie danych osobowych. Komentarz, wydanie 4. War- szawa: C.H. Beck.

Brieskorn, N. (1999). Ochrona danych osobowych a zagroĝenia prywatnoĂci. W: M. Wyrzykowski, Ochrona danych osobowych. Warszawa: Instytut Spraw Publicznych.

Deloitte (2017). Praktyczny przewodnik po Ogólnym RozporzÈdzeniu o Ochronie Danych Osobowych (RODO), Jak dostosowaÊ funkcjonujÈcy w firmie model bezpieczeñstwa i ochrony danych osobowych do wymogów nowych przepisów?. Deloitte Polska.

Dziurla, P. (2014). Dane osobowe przedsiÚbiorcy pro- wadzÈcego jednoosobowÈ dziaïalnoĂÊ gospodarczÈ, które podlegajÈ ochronie ustawy o ochronie danych osobowych. Kompendium Prawne pracowników Kan- celarii Prawnej Renata Urowska i Wspólnicy sp.k.

Poznañ.

Fundacja Wiedza To Bezpieczeñstwo (2017). Co wiemy o ochronie danych. Warszawa.

Generalny Inspektor Ochrony Danych Osobowych (2009). ABC zagroĝeñ bezpieczeñstwa danych oso- bowych w systemach teleinformatycznych. Warszawa.

KÚpa, L. (2011). Dane osobowe w firmie. Praktyczny poradnik przedsiÚbiorcy. Warszawa: Difin.

Krawecki, M. i Osieja, T. (red.) (2007). Ogólne roz- porzÈdzenie o ochronie danych osobowych. Wybrane zagadnienia. Warszawa: C.H. Beck.

Kulesza, E. (2000). Konstytucyjne prawo do ochrony danych osobowych i jego ustawowa realizacja.

HZN,b7.

Kwiatkowsa-Cylke, M. (2016). Czy przetwarzanie danych przedsiÚbiorców bÚdzie ïatwiejsze? Porta- lODO.

Lifelong Learning Programme Leonardo da Vinci (2009). Wybrane zagadnienia z zakresu ochrony danych osobowych. Przewodnik dla przedsiÚbiorców.

Projekt Partnerski 2009-1-PL1-LEO04-05167 Lifelong Learning Programme Leonardo Da Vinci (2012) Ochrona prywatnoĂci w miejscu pracy.

Przewodnik dla pracowników. Projekt partnerski –b2012-1-PL1-LEO04-28097.

Mednis, A. (1999). Ustawa o ochronie danych osobowych. Komentarz. Warszawa: Wydawnictwo Naukowe PWN.

Opinion 15/2011 of Article 29 Data Protection Working Party on the definition of consent, July 2011, 01197/11/EN, WP 187.

Opinion 4/2007 of Article 29 Data Protection Working Party on the concept of personal data, June 2007, 01248/07/EN, WP 136.

Osiñski, R. (2017). Rewolucyjne zmiany w ochronie danych osobowych w 2018 r., Infor.pl

PiÈtek, S. (2015). Prawne warunki stosowania cookies. Internetowy Kwartalnik Antymonopolowy i Regulacyjny, 6(4).

Pryciak, M. (2010). Prawo do prywatnoĂci. W:

M.bSadowski i P. Szymaniec (red.), Prawa czïowieka:

idea, instytucje, krytyka. Wrocïaw: Wrocïawskie Stu- dia Erazmiañskie.

PWC (2017). 10 najwaĝniejszych zmian, które wpro- wadza RODO, pwc.pl

Rachelski i Wspólnicy Kancelaria Prawna (2017).

RODO a nowe obowiÈzku przedsiÚbiorców, Infor.pl

Sakowska-Baryïa, M. (2015). Prawo do ochrony danych osobowych. Wrocïaw: Prescom sp. z o.o.

Szlawski, W. (2014). Firma osoby fizycznej prowa- dzÈcej dziaïalnoĂÊ gospodarczÈ – dane osobowe czy nie? PortalODO

Wiecióra D. (red.) (2016). Ochrona danych osobo- wych i informacji niejawnych z uwzglÚdnieniem ogól- nego rozporzÈdzenia unijnego. Warszawa: C.H. Beck.

Wyrzykowski, M. (1999). Ochrona danych osobo- wych. Warszawa: Instytut praw Publicznych.

Orzecznictwo:

Wyrok NSA z dnia 28 listopada 2002 roku, II SA 2289/01

Wyrok NSA z dnia 28 listopada 2002 roku, II SA 3389/01

Wyrok WSA w Warszawie z dnia 3 marca 2009 roku, II SA/Wa 1495/08

Akty prawne:

Decyzja GIODO z 26 listopada 2009 roku, DOLiS/

DEC-1183/09 dot. DOLiS-440-459/09

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 paědziernika 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepïywu tych danych

Kodeks cywilny (Dz.U. 2017 poz. 459) Kodeks Pracy (Dz.U. 2018 poz. 108)

RozporzÈdzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadze- nia przez pracodawców dokumentacji w sprawach zwiÈzanych ze stosunkiem pracy oraz sposobu pro- wadzenia akt osobowych pracownika, Dz.U. 1996 nr 62 poz. 286

RozporzÈdzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zwiÈzku z przetwarza- niem danych osobowych i w sprawie swobodnego przepïywu takich danych oraz uchylenia dyrektywy 95/46/WE, Dziennik UrzÚdowy Unii Europejskiej L 119 z dnia 4 maja 2016 r.

Ustawa z dnia 2 lipca 2004 r. o swobodzie dziaïal- noĂci gospodarczej (Dz.U. 2004 nr 173 poz. 1807) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922)

Ustawa z dnia 19 listopada 1999 r. Prawo dzia- ïalnoĂci Gospodarczej (Dz. U. Z 2004 r. Nr 173, poz. 1808)

Strony internetowe:

www.encyklopedia.pwn.pl www.giodo.gov.pl www.sjp.pwn.pl www.uodo.pl