Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00198 011963 7452404 na godz. na dobę w sumie
Ochrona danych osobowych w ogólnym postępowaniu administracyjnym - ebook/pdf
Ochrona danych osobowych w ogólnym postępowaniu administracyjnym - ebook/pdf
Autor: Liczba stron: 320
Wydawca: Wolters Kluwer Język publikacji: polski
ISBN: 978-83-264-4628-3 Data wydania:
Lektor:
Kategoria: ebooki >> prawo i podatki
Porównaj ceny (książka, ebook, audiobook).
W niniejszej publikacji dokonano szczegółowej analizy zasad ochrony danych osobowych przetwarzanych w ogólnym postępowaniu administracyjnym. Praca podzielona została na rozdziały, w których omówiono zagadnienia związane ze stosowaniem przepisów o ochronie danych osobowych do podmiotów prowadzących postępowanie administracyjne, status tychże podmiotów z punktu widzenia zasady ochrony danych osobowych oraz obowiązki związane z przetwarzaniem danych osobowych w ogólnym postępowaniu administracyjnym.

Konstrukcja poszczególnych rozdziałów pracy opiera się na analizie typowych czynności przetwarzania danych osobowych z punktu widzenia przepisów regulujących ogólne postępowanie administracyjne. Za względu na postępującą informatyzację urzędów administracji publicznej, a także rozwój środków komunikacji elektronicznej, osobny rozdział pracy poświęcony został zasadom ochrony danych osobowych w postępowaniu administracyjnym prowadzonym z wykorzystaniem środków komunikacji elektronicznej.
Znajdź podobne książki

Darmowy fragment publikacji:

Dozór Policji Ochrona danych osobowych w ogólnym jako środek postępowaniu zapobiegawczy administracyjnym w polskim procesie karnym Jacek Kosonoga Paweł Litwiński Istota i regulacja instytucji następstwa prawnego W zewnętrznych stosunkach Warszawa 2009 Wydawca: Magdalena Górniewicz Redaktor prowadzący Adam Choiński Opracowanie redakcyjne: Anna Konarzewska Korekta: Monika Matczak Skład, łamanie: JustLuk, Justyna Szumieł, Łukasz Drzewiecki © Copyright by Wolters Kluwer Polska Sp. z o.o., 2009 ISBN: 978-83-7601-769-3 ISSN: 1897-4392 Wydane przez: Wolters Kluwer Polska Sp. z o.o. Redakcja Książek 01-231 Warszawa, ul. Płocka 5a tel. (022) 535 80 00 31-156 Kraków, ul. Zacisze 7 tel. (012) 630 46 00 e-mail: ksiazki@wolterskluwer.pl www.wolterskluwer.pl Księgarnia internetowa www.profinfo.pl Spis treści Spis treści Wykaz skrótów .................................................................................................. 11 Wstęp ................................................................................................................... 15 Rozdział I Publicznoprawna ochrona danych osobowych – geneza i założenia ..... 17 Rozdział II Stosowanie ustawy o ochronie danych osobowych do organów administracji rządowej i samorządowej ...................................... 24 1. Prawo europejskie .............................................................................. 24 2. Stosowanie ustawy o ochronie danych osobowych do organów administracji publicznej ................................................... 26 2.1. Stosowanie ustawy o ochronie danych osobowych do organów administracji rządowej ................................................. 28 Stosowanie ustawy o ochronie danych osobowych do organów administracji samorządowej ....................................... 32 2.2. 2.3. Zagadnienie prywatyzacji zadań publicznych a zastosowanie przepisów ustawy o ochronie danych osobowych ....................................................................................... 35 2.4. Podział administratorów danych na podmioty publiczno- i prywatnoprawne ..................................................... 36 Rozdział III Stosowanie ustawy o ochronie danych osobowych w ogólnym postępowaniu administracyjnym .................................................................. 39 1. Pojęcie ogólnego postępowania administracyjnego ..................... 39 5 Spis treści 2. Przedmiotowy zakres zastosowania ustawy o ochronie danych osobowych .............................................................................. 41 3. Stosowanie ustawy o ochronie danych osobowych w ogólnym postępowaniu administracyjnym ................................ 60 4. Zakres czynności ogólnego postępowania administracyjnego regulowanych przez ustawę o ochronie danych osobowych – pojęcie przetwarzania danych osobowych .............................................................................. 64 Rozdział IV Kategorie danych osobowych przetwarzanych w ogólnym postępowaniu administracyjnym ................................................................. 68 1. Pojęcie danych osobowych ................................................................ 68 2. Kategorie danych osobowych ........................................................... 82 3. Kategoryzacja danych osobowych przetwarzanych w administracyjnym postępowaniu ogólnym w oparciu o przepisy k.p.a. .................................................................................. 85 3.1. Dane osobowe stron postępowania ............................................. 85 3.2. Dane osobowe podmiotów na prawach strony ......................... 91 3.3. Dane osobowe uczestników postępowania ............................... 93 3.4. Dane osobowe znajdujące się w materiale dowodowym postępowania ......................................................... 94 4. Kategoryzacja danych osobowych przetwarzanych w administracyjnym postępowaniu ogólnym w oparciu o przepisy o ochronie danych osobowych ...................................... 95 Rozdział V Podmioty postępowania administracyjnego i ich status w przepisach o ochronie danych osobowych .............................................. 97 1. Podmioty przetwarzające dane osobowe ........................................ 97 1.1. Administrator danych osobowych .............................................. 98 1.2. Administrator danych osobowych ze sfery prawa publicznego ................................................................................... 102 1.3. Podmiot przetwarzający dane osobowe na zlecenie ............. 109 1.4. Powierzenie danych osobowych do przetwarzania przez podmioty ze sfery prawa publicznego .......................... 113 2. Status podmiotów postępowania administracyjnego jako podmiotów przetwarzających dane osobowe .............................. 116 6 Spis treści 2.1. Organ prowadzący postępowanie ............................................ 116 2.2. Strona postępowania ................................................................... 125 2.3. Podmioty na prawach strony ...................................................... 127 2.4. Organ administracji publicznej jako organ współdziałający w procesie wydawania decyzji ..................... 128 2.4.1. Zajęcie stanowiska w sprawie przez inny organ ........128 2.4.2. Udzielenie pomocy prawnej ........................................ 130 Rozdział VI Podstawa prawa i zakres przetwarzania danych osobowych w ogólnym postępowaniu administracyjnym ........................................... 133 1. Podstawy prawne przetwarzania danych osobowych – zagadnienia ogólne ........................................................................... 133 2. Zasada autonomii informacyjnej jednostki................................... 140 3. Podstawa prawna przetwarzania danych osobowych w ogólnym postępowaniu administracyjnym .............................. 147 4. Cel przetwarzania danych osobowych w ogólnym postępowaniu administracyjnym ................................................... 157 5. Zakres przetwarzania danych osobowych w ogólnym postępowaniu administracyjnym ................................................... 160 Rozdział VII Zbieranie danych osobowych w ogólnym postępowaniu administracyjnym ........................................................................................... 164 1. Zbieranie danych osobowych jako szczególna postać przetwarzania danych osobowych ................................................. 164 2. Zbieranie danych osobowych w administracyjnym postępowaniu ogólnym .................................................................... 169 3. Obowiązki związane ze zbieraniem danych osobowych ........... 172 4. Obowiązki związane ze zbieraniem danych osobowych w postępowaniu administracyjnym ............................................... 179 Rozdział VIII Udostępnianie danych osobowych w ogólnym postępowaniu administracyjnym ........................................................................................... 187 1. Pojęcie udostępniania danych osobowych ................................... 187 2. Udostępnianie danych w ustawie o ochronie danych osobowych .......................................................................................... 189 7 Spis treści 3. Podstawy prawne udostępniania danych osobowych w celu włączenia do zbioru danych ............................................... 195 4. Udostępnianie danych osobowych w celu włączenia do zbioru danych przez administratorów ze sfery prawa publicznego ........................................................................................ 201 5. Udostępnianie danych osobowych w celu innym, niż włączenie do zbioru danych ............................................................ 202 5.1. Udostępnianie danych podmiotom uprawnionym do ich otrzymania na podstawie przepisów prawa .................... 203 5.2. Udostępnianie danych podmiotom nieuprawnionym do ich otrzymania na podstawie przepisów prawa ............... 212 6. Udostępnianie danych osobowych w ogólnym postępowaniu administracyjnym ................................................... 215 6.1. Udostępnianie danych osobowych zebranych w ramach postępowania .............................................................. 216 6.2. Udostępnianie danych osobowych zebranych w ramach postępowania na podstawie przepisów o dostępie do informacji publicznej .......................................... 220 6.3. Udostępnianie danych osobowych na potrzeby prowadzonego postępowania ................................................... 226 7. Zagadnienia proceduralne udostępniania danych osobowych 227 7.1. Procedura udostępniania danych osobowych w ustawie o ochronie danych osobowych................................ 227 7.2. Procedura udostępniania danych osobowych w przepisach szczególnych ......................................................... 229 Rozdział IX Szczególne obowiązki spoczywające na organie prowadzącym postępowanie w związku z przetwarzaniem danych osobowych ........ 231 1. Prawo kontroli przetwarzania danych osobowych .................... 231 1.1. Realizacja prawa kontroli przetwarzania danych osobowych w ogólnym postępowaniu administracyjnym ... 233 1.1.1. Prawo dostępu do danych ............................................. 236 1.1.2. Żądania w zakresie poprawności, kompletności i legalności przetwarzania danych osobowych ......... 240 1.1.3. Żądania zaprzestania przetwarzania danych oraz sprzeciw wobec przetwarzania danych .............. 243 8 Spis treści 1.1.4. Żądanie ponownego rozpatrzenia sprawy rozstrzygniętej z naruszeniem zakazu automatyzacji decyzji indywidualnych ....................... 244 2. Obowiązek rejestracyjny .................................................................. 247 3. Obowiązek rejestracyjny a przetwarzanie danych osobowych w toku ogólnego postępowania administracyjnego ............................................................................. 254 4. Obowiązek zabezpieczenia danych osobowych .......................... 262 5. Obowiązek zabezpieczenia danych osobowych przetwarzanych w ogólnym postępowaniu administracyjnym 266 Rozdział X Zasady ochrony danych osobowych w postępowaniu administracyjnym toczącym się z wykorzystaniem środków komunikacji elektronicznej .......................................................................... 269 1. Zastosowanie środków komunikacji elektronicznej w postępowaniu administracyjnym ............................................... 269 2. Zasady przetwarzania danych osobowych w komunikacji elektronicznej i ich zastosowanie w postępowaniu administracyjnym .............................................................................. 277 2.1. Zastosowanie przepisów ustawy o świadczeniu 2.2. usług drogą elektroniczną w ogólnym postępowaniu administracyjnym ......................................................................... 281 Szczególne zasady przetwarzania danych osobowych w postępowaniu administracyjnym toczącym się z wykorzystaniem środków komunikacji elektronicznej ...... 285 2.2.1. Szczególne kategorie danych osobowych związane z wykorzystaniem środków komunikacji elektronicznej ........................................... 285 2.2.2. Wykonanie obowiązku informacyjnego ..................... 289 2.2.3. Powierzenie danych osobowych do przetwarzania .................................................................. 291 Zakończenie ..................................................................................................... 295 Bibliografia ....................................................................................................... 299 Wykaz orzecznictwa ....................................................................................... 313 9 Spis treści 10 Wykaz skrótów Wykaz skrótów Akty prawne – ustawa z dnia 23 kwietnia 1964 r. – Kodeks cywil- ny (Dz. U. Nr 16, poz. 93 z późn. zm.) – ustawa z dnia 14 czerwca 1960 r. – Kodeks postę- powania administracyjnego (tekst jedn. Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) – ustawa z dnia 30 sierpnia 2002 r. – Prawo o po- stępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.) – ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198 z późn. zm.) – ustawa z dnia 10 kwietnia 1974 r. o ewidencji lud- ności i dowodach osobistych (tekst jedn. Dz. U. z 2006 r. Nr 139, poz. 993 z późn. zm.) – ustawa z dnia 24 maja 2000 r. o Krajowym Reje- strze Karnym (tekst jedn. Dz. U. z 2008 r. Nr 50, poz. 292) – ustawa z dnia 29 sierpnia 1997 r. o ochronie da- nych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) – ustawa z dnia 18 września 2001 r. o podpi- sie elektronicznym (Dz. U. Nr 130, poz. 1450 z późn. zm.) 11 k.c. k.p.a. p.p.s.a. u.d.i.p. u.e.l.d.o. u.k.r.k. u.o.d.o. u.p.e. Wykaz skrótów u.s.d.g. u.s.g. u.s.p. u.s.w. u.ś.u.d.e. u.u.i.s. ETS GIODO NSA SN TWE WSA AUMCS AUW EPS KPP M. Praw. ONSA 12 – ustawa z dnia 2 lipca 2004 r. o swobodzie dzia- łalności gospodarczej (tekst jedn. Dz. U. z 2007 r. Nr 155, poz. 1095 z późn. zm.) – ustawa z dnia 8 marca 1990 r. o samorządzie gminnym (tekst jedn. Dz. U. z 2001 r. Nr 142, poz. 1591 z późn. zm.) – ustawa z dnia 5 czerwca 1998 r. o samorządzie powiatowym (tekst jedn. Dz. U. z 2001 r. Nr 142, poz. 1592 z późn. zm.) – ustawa z dnia 5 czerwca 1998 r. o samorządzie województwa (tekst jedn. Dz. U. z 2001 r. Nr 142, poz. 1590 z późn. zm.) – ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.) – ustawa z dnia 21 czerwca 1996 r. o urzędach i iz- bach skarbowych (tekst jedn. Dz. U. z 2004 r. Nr 121, poz. 1267 z późn. zm.) Inne skróty – Europejski Trybunał Sprawiedliwości – Generalny Inspektor Ochrony Danych Osobo- wych – Naczelny Sąd Administracyjny – Sąd Najwyższy – Traktat Ustanawiający Wspólnotę Europejską – Wojewódzki Sąd Administracyjny Czasopisma – Annales Universitatis Mariae Curie-Skłodowska – Acta Universitatis Wratislaviensis – Europejski Przegląd Sądowy – Kwartalnik Prawa Prywatnego – Monitor Prawniczy – Orzecznictwo Naczelnego Sądu Administracyj- nego OSNAPiUS OSNC OTK PiM PiP PS PiZS PPH Prok. i Pr. Prz. Pol. Prz. Sejm. PUG RPEiS Rzeczposp. Sam. Teryt. ZNUŁ Wykaz skrótów – Orzecznictwo Sądu Najwyższego. Izba Admini- stracyjna, Pracy i Ubezpieczeń Społecznych – Orzecznictwo Sądu Najwyższego. Izba Cywilna – Orzecznictwo Trybunału Konstytucyjnego – Prawo i Medycyna – Państwo i Prawo – Przegląd Sądowy – Prawa i Zabezpieczenie Społeczne – Przegląd Prawa Handlowego – Prokuratura i Prawo – Przegląd Policyjny – Przegląd Sejmowy – Przegląd Ustawodawstwa Gospodarczego – Ruch Prawniczy, Ekonomiczny i Socjologiczny – Rzeczpospolita – Samorząd Terytorialny – Zeszyty Naukowe Uniwersytetu Łódzkiego 13 Wykaz skrótów 14 Wstęp Wstęp Nie sposób wyobrazić sobie jakiegokolwiek urzędu czy organu ad- ministracji, który nie przetwarzałby danych osobowych. Bez ograniczenia autonomii informacyjnej jednostki nie byłoby możliwe funkcjonowanie aparatu państwowego. Choć niejednokrotnie jednostka nie ma żadnego wpływu na to, czy i jakie dane jej dotyczące są przetwarzane przez orga- ny administracji, może jednak czuwać nad tym, aby dane zbierane przez organ władzy publicznej były merytorycznie poprawne i adekwatne do celu, dla którego zostały zebrane1. Wychodząc z powyższego założenia, niniejsza praca stawia sobie za cel dokonanie szczegółowej analizy zasad ochrony danych osobowych przetwarzanych w ogólnym postępowaniu administracyjnym. Zasady te, zawarte w ustawie o ochronie danych osobowych, nakładają na organy administracji publicznej szereg obowiązków, które będą przedmiotem roz- ważań w dalszej części pracy. Za względu na postępującą informatyzację urzędów administracji publicznej, a także rozwój środków komunikacji elektronicznej, niosące ze sobą nowe, niespotykane dotychczas zagroże- nia dla bezpieczeństwa danych osobowych i prywatności osób, których dane dotyczą, osobny rozdział pracy poświęcony został zasadom ochrony danych osobowych w postępowaniu administracyjnym, prowadzonym z wykorzystaniem środków komunikacji elektronicznej. Praca oparta jest co do zasady na metodzie dogmatycznej, rozumianej jako działalność zmierzająca do ustalenia treści norm prawnych i zbada- nia ich związków, ujmowania ich w pewną całość, w celu wydobycia pew- nych idei przewodnich czy zasad, które mogą ułatwić stosowanie prawa2. 1 Sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych za rok 1999, s. 12. 2 M. Zimmermann, Nauka administracji i polskie prawo administracyjne, Poznań 1949, s. 31. 15 Wstęp Sięgnięcie do tej właśnie metody pozwala bowiem na ustalenie treści obo- wiązków związanych z przetwarzaniem danych osobowych, które ciążą na organach administracji publicznej prowadzących ogólne postępowanie administracyjne. Jako że polskie rozwiązania z zakresu ochrony danych osobowych wywodzą się w całości z rozwiązań europejskich, uwzględ- niona została również treść właściwych przepisów prawa wspólnotowego. W pracy wykorzystano elementy metody prawnoporównawczej, jako że zasady ochrony danych osobowych zostały ujednolicone w ramach państw Unii Europejskiej, co umożliwia odniesienie rozwiązań polskich do rozwią- zań obecnych w porządkach prawnych innych krajów europejskich. Nie- rzadko metoda prawnoporównawcza stosowana w odniesieniu do prze- pisów wywodzących się z prawa wtórnego Unii Europejskiej służyć może również ustaleniu, czy implementacja przepisów dokonana przez ustawo- dawcę polskiego dokonana została w sposób prawidłowy. Istotnym ele- mentem pracy jest także analiza orzecznictwa sądowego, w tym zapadłe- go na gruncie przepisów prawa Unii Europejskiej, jak i przepisów państw – członków Wspólnoty. Praca podzielona została na rozdziały, w których omówione zosta- ły zagadnienia związane ze stosowaniem przepisów o ochronie danych osobowych do podmiotów prowadzących postępowanie administracyjne, status tychże podmiotów z punktu widzenia zasady ochrony danych oso- bowych oraz obowiązki związane z przetwarzaniem danych osobowych w ogólnym postępowaniu administracyjnym. Konstrukcja poszczególnych rozdziałów pracy opiera się natomiast na analizie typowych czynności przetwarzania danych osobowych z punktu widzenia przepisów regulu- jących ogólne postępowanie administracyjne. 16 Rozdział I. Publicznoprawna ochrona danych osobowych – geneza i założenia Publicznoprawna ochrona danych osobowych – Rozdział I. geneza i założenia Rozwój prawa człowieka do ochrony jego danych osobowych został zapoczątkowany u progu ery informatycznej1. Wraz z wdrożeniem cyfro- wych technik przetwarzania danych, dane osobowe stały się bowiem ła- twiejsze do zbierania, przechowywania i przetwarzania2. Stąd pozostawie- nie skomputeryzowanych baz danych zawierających dane o osobie, poza jakąkolwiek regulacją prawną, może sprzyjać niedozwolonemu ingero- waniu w szeroko rozumianą wolność osobistą jednostki i jej prywatność3. Z tego względu, ochrona danych osobowych wyłącznie jako elementu pra- wa do prywatności4 i na podstawie przepisów prawa prywatnego stała się niewystarczająca5. Prócz nieporównywalnie większych zagrożeń związa- nych ze skalą i możliwościami automatyzacji czynności dokonywanych na danych osobowych6, za objęciem danych osobowych ochroną prawa pub- licznego przemawiała dodatkowo specyfika ochrony danych osobowych na podstawie przepisów prawa prywatnego. Cywilnoprawna ochrona danych 1 M.-T. Tinnenfeld, Ochrona danych – kamień węgielny budowy Europy (w:) Ochrona danych oso- bowych, red. M. Wyrzykowski, Warszawa 1999, s. 35. 2 Por. C.J. Bennett, Regulating privacy. Data protection and public policy in Europe and United Sta- tes, Londyn 1992, s. 7. 3 J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 51. 4 Na temat prawa do prywatności w ujęciu prywatnoprawnym por. szerzej A. Kopff, Kon- cepcja prawa do intymności i do prywatności życia osobistego (zagadnienia konstrukcyjne), St. Cyw. 1972, t. XX; A. Kopff, Ochrona życia prywatnego jednostki w świetle doktryny i orzecznictwa, ZNUJ Prace Praw- nicze 1982, z. 100; Z. Melnik, Prawo do prywatności (wybrane zagadnienia), RPEiS 1996, nr 2; B. Korda- siewicz, Cywilnoprawna ochrona prawa do prywatności, KPP 2000, z. 1. 5 G. Sibiga, Postępowanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 15. 6 Por. A. Mednis, Prawna ochrona danych osobowych, Warszawa 1995, s. 18. 17 Rozdział I. Publicznoprawna ochrona danych osobowych – geneza i założenia osobowych w ramach ochrony prawa do prywatności możliwa jest bowiem dopiero po stwierdzeniu, że istnieje konkretne zagrożenie dla prywatno- ści. Ochrona sądowa okazywała się więc często spóźniona w stosunku do naruszeń, a więc nie mogłaby tym naruszeniom przeciwdziałać7. Celem publicznoprawnej ochrony danych osobowych jest zagwaran- towanie podejmowania decyzji w sferze informacji przez jednostkę, której te informacje dotyczą, a zarazem zapewnienie realizacji prawnie chronio- nego prawa jednostki do prywatności i intymności8. Ochrona danych oso- bowych stawia więc sobie za cel wzmocnienie autonomii jednostki w re- alizacji przysługujących jej praw, w szczególności prawa do prywatności, za pomocą procedur o charakterze organizacyjnym i za pomocą środków technicznych9. Jednocześnie uwzględnić należy niewątpliwy konflikt10 chronionych przez prawo wartości, do jakiego dochodzi na styku prawa jednostki do ochrony informacji o niej samej oraz przysługującej każdemu wolności gromadzenia i przetwarzania informacji11. Chociaż dyskusja dotycząca zagrożeń związanych z gromadzeniem da- nych osobowych bez odpowiednich rozwiązań prawnych rozpoczęła się pod koniec lat 50. XX w. w Stanach Zjednoczonych12, w skali międzynarodowej, za pierwszy akt prawny z dziedziny ochrony danych uznaje się w nauce pra- wa Konwencję nr 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr 3, poz. 25)13. Postanowienia Konwencji oddziałują jednak jedynie w sferze publicznoprawnej, nie wywołują natomiast żadnych skutków praw- nych bezpośrednio po stronie obywateli państw, które ją ratyfikowały14. 7 G. Szpor, Publicznoprawna ochrona danych osobowych, PUG 1999, nr 12, s. 2; analogicznie A. Me- dnis, Ochrona danych osobowych w konwencji Rady Europy i dyrektywie Unii Europejskiej, PiP 1997, z. 6, s. 30 – autor wskazuje na konieczność uchwalenia przepisów o charakterze prewencyjnym, zapobie- gawczym, których celem byłoby niedopuszczenie do naruszania prawa do prywatności. 8 M.-T. Tinnenfeld, Ochrona danych..., s. 35. 9 Tamże, s. 39. 10 Na istnienie tego konfliktu expressis verbis wskazano w preambule do Konwencji nr 108 – preambuła zawiera bowiem stwierdzenie, iż Konwencja została ustanowiona, „uznając koniecz- ność pogodzenia podstawowych wartości poszanowania prywatności ze swobodnym obiegiem in- formacji między narodami”. 11 G. Sibiga, Postępowanie..., s. 16. 12 Por. A. Sakowicz, Prawnokarne gwarancje prywatności, Kraków 2006, s. 359. 13 Konwencja weszła w życie z dniem 1 października 1985 r., po ratyfikowaniu jej postano- wień przez 5 państw. Polska ratyfikowała Konwencję z dniem 24 kwietnia 2002 r., a w stosunku do Polski Konwencja weszła w życie z dniem 1 września 2002 r. 14 J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., s. 71; jak podnosi się w nauce prawa, kon- wencja wiąże państwa, które są jej stronami – por. A. Mednis, Ochrona danych osobowych..., s. 31. 18 Rozdział I. Publicznoprawna ochrona danych osobowych – geneza i założenia Zgodnie z art. 1 Konwencji, jej celem jest zapewnienie na obszarze państw członkowskich Rady Europy każdemu, niezależnie od jego obywa- telstwa i miejsca zamieszkania, ochrony jego praw i wolności, a w szczegól- ności prawa do poszanowania sfery osobistej, w związku z automatycznym przetwarzaniem danych osobowych. Analogicznie, zagadnienie ochrony osób fizycznych w związku z automatycznym przetwarzaniem ich danych osobowych jest zasadniczą tematyką, której dotykają postanowienia Kon- wencji – Konwencja, dążąc do wzmocnienia prawnej ochrony jednostek wobec automatycznego przetwarzania ich danych osobowych ze względu na stale rosnące wykorzystanie informatyki do celów administracji i zarzą- dzania, dostrzega również możliwość podejmowania części decyzji doty- czących jednostek na podstawie informacji zawartych w różnego rodzaju kartotekach, co wpływa na mniejszą rolę bezpośrednich kontaktów z za- interesowanymi osobami w procesie decyzyjnym15. Konsekwencję takiego ujęcia celów Konwencji stanowi określenie jej zakresu zastosowania – art. 3 ust. 1 Konwencji nakłada na państwa-strony obowiązek jej stosowania do kartotek i automatycznego przetwarzania danych osobowych16. Z punktu widzenia ochrony praw osób, których dane dotyczą, najistot- niejsze znaczenie ma wyrażona w art. 4 Konwencji zasada minimum ochrony danych osobowych – każdy z krajów będących stroną Konwencji zobowiązuje się, aby przed wejściem w życie Konwencji na swoim obszarze wprowadzić do prawa wewnętrznego przepisy konieczne dla realizacji zasad ochrony da- nych osobowych, o których mowa w rozdziale II Konwencji17. Są to: a) zasada adekwatności danych oraz zasada związania celem zbierania danych, b) obowiązek odpowiedniego zabezpieczenia danych, c) obowiązek respektowania uprawnień informacyjnych osób, których dane dotyczą18. Ustawodawstwo wewnętrzne państw-stron Konwencji uchwalone po przyjęciu samej Konwencji okazało się w praktyce bardzo zróżnicowane19. 15 A. Mednis, Ochrona danych osobowych..., s. 32. 16 Tamże, s. 33–34; autor podnosi, że przedmiotem regulacji Konwencji jest również przetwa- rzanie takich informacji osobowych, które nie następuje w zbiorach danych, lecz jest przedmiotem przetwarzania zautomatyzowanego. 17 Z tego właśnie względu ratyfikacja przez Rzeczpospolitą Polską Konwencji nr 108 mogła nastąpić dopiero po wejściu w życie ustawy o ochronie danych osobowych. 18 Por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., s. 73–75. 19 A. Mednis, Ochrona danych osobowych..., s. 32; pierwsza na świecie ustawa o ochronie danych osobowych uchwalona została w 1970 r. przez parlament krajowy kraju związkowego Hesji, nato- 19 Rozdział I. Publicznoprawna ochrona danych osobowych – geneza i założenia Stąd w ramach instytucji Unii Europejskiej prowadzone były od 1990 r. prace mające na celu opracowanie projektu dyrektywy dotyczącej ochrony danych osobowych. Ich rezultatem stało się przyjęcie dyrektywy 95/46/WE w spra- wie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tychże danych20. Dyrektywa jako akt prawa wtórnego Unii Europejskiej wiąże – podobnie jak Konwencja 108 Rady Eu- ropy – państwa członkowskie Unii w odniesieniu do rezultatu, który ma być osiągnięty21, pozostawia jednak organom krajowym swobodę wyboru formy i środków stosowanych w tym celu22. Zasadniczy zrąb systemu ochrony danych osobowych określonego w przepisach dyrektywy wynika z rozdziału II sekcji I, w którym określo- ne zostały podstawowe zasady przetwarzania danych osobowych. W na- uce prawa za najważniejszą z tych zasad uznaje się wymóg rzetelnego i zgodnego z prawem przetwarzania danych osobowych23. Pozostałe 7 za- sad, uwzględniając pozostałe postanowienia dyrektywy, to: 1) zasada celowości przetwarzania danych, 2) zasada adekwatności przetwarzania danych, 3) zasada poprawności merytorycznej danych, 4) zasada ograniczenia czasowego przetwarzania danych, 5) zasada poszanowania praw osób fizycznych przy przetwarzaniu ich danych osobowych, 6) zasada stosowania odpowiednich środków zabezpieczenia danych, 7) zakaz przekazywania danych poza teren Europejskiego Obszaru Go- spodarczego poza przypadkami wskazanymi w dyrektywie24. W nauce prawa podkreśla się, że wprowadzenie jednolitej ochrony danych osobowych w państwach członkowskich Unii Europejskiej jest miast pierwszą ustawą na szczeblu krajowym była ustawa szwedzka z 1973 r. 20 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodne- go przepływu tych danych, Dz. Urz. L 281 z dnia 23 listopada 1995 r. 21 W nauce prawa zwrócono uwagę, że postanowienia dyrektywy nie mają charakteru „norm tzw. self-executing”, ponieważ są skierowane do państw i zostały sformułowane w postaci obowiąz- ków dla ustawodawcy wewnętrznego (por. A. Mednis, Ochrona danych osobowych..., s. 41); pogląd ten nie wydaje się trafny, jako że w orzecznictwie ETS sformułowane zostały pewne warunki, po speł- nieniu których można dopuścić bezpośredni skutek dyrektywy – por. na ten temat S. Biernat (w:) Prawo Unii Europejskiej, red. J. Barcz, Warszawa 2004, s. 275–282. 22 S. Biernat (w:) Prawo Unii Europejskiej..., s. 212. 23 M. Owen, E. Kiernan Earl, Data Protection: how did we get here and where are we going?, Com- munications Law 2003, Vol. 8, nr 4, s. 315; podobnie P. Carey, Data Protection, Oxford 2004, s. 7. 24 M. Owen, E. Kiernan Earl, Data Protection..., s. 315. 20 Rozdział I. Publicznoprawna ochrona danych osobowych – geneza i założenia warunkiem koniecznym zapewnienia swobodnego przepływu towarów, usług i osób pomiędzy krajami Wspólnoty, jako że przepływ ten wiąże się z koniecznym przekazywaniem danych osobowych25. Zadaniem dyrekty- wy jest zatem próba pogodzenia sygnalizowanych już wyżej, a w przypad- ku dyrektywy zmodyfikowanych pod kątem funkcjonowania Wspólnot Europejskich, przeciwstawnych wartości związanych z ochroną danych osobowych: prawa do ochrony prywatności oraz konieczności obrotu da- nymi osobowymi, w szczególności w operacjach gospodarczych 26. Na- leży przy tym podkreślić, że postanowienia dyrektywy nie wyznaczają minimalnego standardu ochrony danych osobowych, lecz służą zarów- no ochronie osób fizycznych, jak i zapewnieniu swobodnego przepływu danych osobowych. Dlatego ustawodawca krajowy nie powinien odstę- pować od postanowień dyrektywy, jeżeli ona sama nie dopuszcza takich odstępstw27. W polskim systemie prawnym, ochrona danych osobowych wywodzi się z przepisów Konstytucji – w art. 47 Konstytucja RP gwarantuje każde- mu prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imie- nia oraz do decydowania o swoim życiu osobistym. Natomiast w art. 51 zawarte zostały bezpośrednie gwarancje ochrony danych osobowych28. Na- leży wśród nich wymienić: a) prawo do samodzielnego decydowania każdej osoby o ujawnianiu dotyczących jej informacji, b) prawo każdej osoby do sprawowania kontroli nad informacjami na swój temat, gwarantowane prawem dostępu do dotyczących jej urzę- dowych dokumentów i zbiorów danych, c) prawo do weryfikowania lub żądania usunięcia danych osobo- wych29. tywy 95/46/WE. 25 J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., s. 91; por. także pkt 3 preambuły do dyrek- 26 Por. A. Ogonowska, Dostęp do informacji w Unii Europejskiej (w:) Informacja Unii Europejskiej. Informacja drukowana, elektroniczna, audiowizualna, videotex i telewizja satelitarna, red. M. Grabowska, Warszawa 1998, s. 31; por. także A. Mednis, Akt prawny wielkiej wagi, Rzeczpospolita, 9 marca 1998 r. – autor podnosi, że już sam tytuł dyrektywy jest istotny z punktu widzenia dążenia prawodawcy wspólnotowego do wyważenia ochrony prywatności jednostki z jednej strony, a uzasadnionego interesu podmiotów wykorzystujących dane osobowe z drugiej strony. 27 A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warsza- wa 2004, s. 15. 28 G. Sibiga, Postępowanie..., s. 22. 29 J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., s. 120–122. 21 Rozdział I. Publicznoprawna ochrona danych osobowych – geneza i założenia Konstytucja formułuje również wyraźne ograniczenie skierowane pod adresem władz publicznych, a dotyczące pozyskiwania, gromadzenia i udostępniania informacji o obywatelach wyłącznie w takim zakresie, jaki jest niezbędny w demokratycznym państwie prawnym. W art. 51 ust. 5 Konstytucji RP zawarta została zapowiedź uchwa- lenia ustawy regulującej „zasady i tryb gromadzenia oraz udostępniania informacji”. Jak powszechnie przyjmuje się w nauce prawa30, wykona- niem tej zapowiedzi stało się uchwalenie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). Ustawa przyjęta została również w wykonaniu zobowiązania zapewnienia przez Rzeczpospolitą Polską zgodności jej przyszłego ustawo- dawstwa z ustawodawstwem wspólnotowym, stosownie do treści art. 68 Układu Europejskiego z dnia 16 grudnia 1991 r. ustanawiającego stowarzy- szenie między Rzecząpospolitą Polską z jednej strony a Wspólnotami Euro- pejskimi i ich państwami członkowskimi z drugiej strony (Dz. U. z 1994 r. Nr 11, poz. 38 z późn. zm.). W brzmieniu, jakie ustawa otrzymała w chwili swojego uchwalenia, nie można było jednak mówić o jej zgodności z dyrek- tywą 95/46/WE, a co za tym idzie, ustawa w pierwotnym brzmieniu nie mo- gła zostać uznana za implementację dyrektywy. Z tego względu konieczne stały się jej dwie istotne nowelizacje, dokonane w 2001 i 2004 r. Ustawa, inaczej niż niektóre ustawy państw członkowskich Unii Euro- pejskiej, nie recypowała modelu regulacji zawartego w dyrektywie, a więc nie formułowała explicite podstawowych zasad przetwarzania danych oso- bowych31. Zamiast tego, w przepisach ustawy unormowane zostały trzy ro- dzaje spraw32: a) zasady i tryb postępowania przy przetwarzaniu danych osobowych, b) prawa osób fizycznych, których dane osobowe są lub mogą być przetwa- rzane w zbiorach danych oraz sposób wykonywania tych uprawnień, c) zakres działania oraz zasady organizacji i funkcjonowania organu do spraw ochrony danych osobowych, jakim jest Generalny Inspektor Ochrony Danych Osobowych33. 30 Por. A. Mednis, Ochrona prawna danych osobowych a zagrożenia prywatności – rozwiązania polskie (w:) Ochrona danych osobowych, red. M. Wyrzykowski, Warszawa 1999, s. 168; B. Kurzępa, Przestępstwa z ustawy o ochronie danych osobowych, Prok. i Pr. 1999, nr 6, s. 45. 31 W nauce prawa wskazuje się natomiast, że art. 26 u.o.d.o. „odpowiada” art. 6 dyrektywy 95/46/WE – por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., s. 548. 32 G. Sibiga, Postępowanie..., s. 26–27. 33 Por. A. Szewc, Z problematyki ochrony danych osobowych, cz. 1, Radca Prawny 1999, nr 3, s. 20; pozycję ustrojową i zadania Generalnego Inspektora omawia M. Sakowska, Pozycja ustrojowa i zada- 22 Rozdział I. Publicznoprawna ochrona danych osobowych – geneza i założenia Na przepisy o ochronie danych osobowych sensu stricto34 składają się, oprócz ustawy o ochronie danych osobowych, także wydane na jej podsta- wie i w celu wykonania jej przepisów rozporządzenia wykonawcze: a) rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 3 listo- pada 2006 r. w sprawie nadania statutu Biuru Generalnego Inspek- tora Ochrony Danych Osobowych (Dz. U. Nr 203, poz. 1494), b) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), c) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do re- jestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536), d) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i le- gitymacji służbowej inspektora Biura Generalnego Inspektora Ochro- ny Danych Osobowych (Dz. U. Nr 94, poz. 923). Można również wyróżnić przepisy o ochronie danych osobowych sensu largo, na które składają się inne, rozproszone w wielu ustawach, przepisy prawa materialnego i procesowego dotyczące przetwarzania i ochrony danych osobowych35. Zgadzając się co do zasady, że stosunek tychże przepisów do przepisów ustawy o ochronie danych osobowych będzie wyznaczany zasadą lex specialis derogat legi generali36, należy jed- nakże podkreślić, iż zawsze wtedy, gdy przepis odrębnej ustawy odno- szący się do przetwarzania danych osobowych będzie przewidywał dalej idącą ochronę, niżby to wynikało z przepisów ustawy, powstanie norma- tywny, bo wynikający z art. 5 u.o.d.o., obowiązek zastosowania przepi- su ustawy szczególnej37. nia Generalnego Inspektora Ochrony Danych Osobowych, Prz. Sejm. 2006, nr 2. 34 G. Sibiga, Postępowanie..., s. 26. 35 G. Sibiga, Postępowanie..., s. 27. 36 Tamże, s. 27. 37 Por. A. Drozd, Ustawa..., s. 33. 23 1. Prawo europejskie Rozdział II. Stosowanie ustawy o ochronie danych osobowych do organów administracji rządowej i samorządowej 1. Prawo europejskie Akty prawne rangi międzynarodowej odnoszące się do ochrony da- nych osobowych znajdują zastosowanie do przetwarzania danych oso- bowych zarówno w sektorze prywatnym, jak i w sektorze publicznym1. W szczególności, już samo pojęcie administratora danych osobowych de- finiowane w art. 2 pkt d dyrektywy 95/46/WE obejmuje także podmioty ze sfery prawa publicznego – w definicji wyraźnie wymieniono „urzędy publiczne, agendy lub inne organy”2. Co więcej, także pojęcia podmiotu przetwarzającego dane osobowe na zlecenie, podmiotu trzeciego, a tak- że odbiorcy danych zdefiniowane zostały z wykorzystaniem tego samego zwrotu, tak więc zakres tychże pojęć obejmuje także podmioty należące do szeroko pojmowanego sektora publicznego. Stanowisko to potwierdzone zostało przez Europejski Trybunał Sprawiedliwości w wyroku w sprawie Rechnungshof3, w którym Trybunał przyjął, że zastosowanie przepisów dyrektywy 95/46/WE nie może zo- 1 Por. Lee A. Bygrave, Data Protection Law. Approaching Its Rationale, Logic and Limits, Haga– –Londyn–Nowy Jork 2002, s. 53. 2 Cytat za: J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., s. 864. Oficjalny tekst dyrektywy w języku angielskim posługuje się zwrotem public authority, agency or any other body. 3 Wyrok ETS z dnia 20 maja 2003 r. w sprawie C-465/00 Rechnungshof v. Österreichischer Rund- funk, Wirtschaftskammer Steiermark, Marktgemeinde Kaltenleutgeben, Land Niederösterreich, Österreichis- che Nationalbank, Stadt Wiener Neustadt, Austrian Airlines, Österreichische Luftverkehrs-AG oraz Chri- sta Neukomm (C-138/01) i Joseph Lauermann (C-139/01) v. Österreichischer Rundfunk, Zbiór Orzeczeń ETS 2003, nr 5B, s. 4989. 24 1. Prawo europejskie stać w konkretnej sprawie uzależnione od tego, czy stan faktyczny, leżący u podstaw stosowania dyrektywy, pozostaje w związku z którąkolwiek z podstawowych swobód gwarantowanych przez Traktat ustanawiający Wspólnotę Europejską4, w szczególności ze swobodą przepływu osób po- między państwami Unii Europejskiej. Jednocześnie Trybunał podkreślił, że postanowienia dyrektywy znajdują pełne zastosowanie do przetwarza- nia danych osobowych przez organy administracji państw członkowskich Unii Europejskiej5. W ramach samej Unii Europejskiej, organy Unii zobowiązane są do- datkowo do przestrzegania postanowień rozporządzenia Parlamentu Eu- ropejskiego i Rady nr 45/2001 z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez in- stytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz. U. UE L 8 z dnia 12 stycznia 2001 r., s. 1). Rozporządzenie stanowi wykonanie obowiązku, o którym mowa w art. 286 TWE, a jednocześnie nie wywiera wpływu na prawa i obowiązki państw członkowskich Unii Europejskiej wynikające z dyrektywy 95/46/WE6. Zakresem przedmiotowym rozporządzenia nr 45/2001 objęte są wszystkie instytucje i organy wspólnotowe, pod warunkiem że przetwa- rzają dane osobowe podczas wykonywania czynności całkowicie lub częś- ciowo podlegających prawu wspólnotowemu (art. 3 ust. 1 rozporządzenia)7. Poszczególne obowiązki dotyczące ochrony danych osobowych adresowa- ne są więc do poszczególnych organów Wspólnoty. W odróżnieniu od rozporządzeń, dyrektywy stanowią instrument harmonizacji prawa państw członkowskich Unii8. Zasada ta wynika z art. 249 TWE, ustanawiającego zasadę związania państw członkowskich 25 marca 1957 r. 4 Traktat o utworzeniu Europejskiej Wspólnoty Gospodarczej zawarty w Rzymie w dniu 5 P.J. Hustinx, Data Protection and Security in European Union, referat wygłoszony w trakcie 14 Forum Ochrony Danych Osobowych, Wiesbaden, 23 czerwca 2005 r., s. 3. 6 Por. pkt 18 preambuły rozporządzenia, zgodnie z którym: “Niniejsze rozporządzenie nie ma wpływu na prawa i obowiązki Państw Członkowskich wynikające z dyrektyw 95/46/WE i 97/66/WE. Nie są przewidziane zmiany istniejących procedur i praktyk wprowadzonych w życie przez Pań- stwa Członkowskie w dziedzinie bezpieczeństwa narodowego, zapobiegania niepokojom lub zapo- biegania, wykrywania, dochodzeń i ścigania przestępstw karnych zgodnie z Protokołem w sprawie przywilejów i immunitetów Wspólnoty Europejskiej i prawem międzynarodowym”. 7 Rozporządzenie określane bywa jako implementacja postanowień dyrektywy 95/46/WE na poziomie organów wspólnotowych; por. P.J. Hustinx, Data protection in the European Union, P I 2005, s. 63. 8 S. Biernat (w:) Prawo Unii Europejskiej..., s. 213. 25 Rozdział II. Stosowanie ustawy o ochronie danych osobowych do organów... przez dyrektywy w odniesieniu do rezultatu, który ma być osiągnięty. Tak więc zarówno na poziomie samej Wspólnoty i poszczególnych jej orga- nów, jak i w odniesieniu do państw członkowskich, za obowiązującą na- leży uznać zasadę stosowania wspólnotowych zasad ochrony danych oso- bowych przez podmioty należące do sfery prawa publicznego. 2. Stosowanie ustawy o ochronie danych osobowych do organów administracji publicznej Ustawa o ochronie danych osobowych z założenia swoich twórców ma charakter kompleksowy w tym sensie, że reguluje przetwarzanie da- nych osobowych zarówno w sektorze publicznym, jak i prywatnym9. Ana- logicznie do rozwiązań przyjętych na gruncie prawa Unii Europejskiej, wprowadzono więc w art. 3 ust. 1 u.o.d.o. rozróżnienie na administrato- rów danych należących do sfery prawa publicznego i prawa prywatnego. Rozwiązanie takie, polegające na wyraźnym wyodrębnieniu dwóch grup administratorów danych osobowych i stanowiące refleks zasady, o której mowa w art. 2 pkt d dyrektywy 95/46/WE, stosowane jest także w ustawo- dawstwach krajowych innych państw członkowskich Unii Europejskiej, które implementowały dyrektywę 95/4610. Natomiast z rozwiązaniem dalej idącym mamy do czynienia w przepisach niemieckiej federalnej ustawy o ochronie danych osobowych11. W ustawie, w ślad za wyodrębnieniem dwóch grup administratorów danych osobowych, tj. administratorów na- leżących do sfery prawa publicznego i prywatnego (§ 1 ust. 2), w sposób odrębny uregulowano zasady przetwarzania danych osobowych przez administratorów należących do każdej z tych grup12. 9 B. Banaszak, K. Wygoda, Regulacja prawna ochrony danych osobowych w Polsce w świetle usta- wy z 29 sierpnia 1997 r. i standardów europejskich (w:) Ochrona danych osobowych, red. M. Wyrzykowski, Warszawa 1999, s. 55; J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., s. 127. 10 I tak np. rozwiązanie analogiczne do art. 3 ust. 1 u.o.d.o. przyjęte zostało w art. 3 ust. 1 czeskiej ustawy o ochronie danych osobowych (ustawa z dnia 4 kwietnia 2000 r. o ochronie danych osobowych i o zmianie niektórych innych ustaw). Natomiast austriacka federalna ustawa o ochro- nie danych osobowych w § 5 wyodrębnia i definiuje administratorów danych osobowych z sektora publicznego, do których znajdują zastosowanie jej przepisy. 11 Federalna ustawa z dnia 20 grudnia 1990 r. o ochronie danych osobowych, Bundesdatenschut- zgesetz, opubl. BGBl. I S. 2954, z późn. zm. 12 W przepisach wspólnych dla obydwu grup administratorów danych (§ 1–11), prócz definicji legalnych i zakresu stosowania ustawy, uregulowano m.in. obowiązek rejestracyjny (§ 4d–4e) oraz zagadnienia związane z zabezpieczeniem zbiorów danych osobowych. Natomiast podstawy praw- 26 2. Stosowanie ustawy o ochronie danych osobowych do organów administracji publicznej W pierwotnym brzmieniu13, art. 3 ust. 1 u.o.d.o. stanowił, że ustawę stosuje się do organów państwowych oraz samorządu terytorialnego, a tak- że do innych państwowych i komunalnych jednostek organizacyjnych oraz podmiotów niepaństwowych realizujących zadania publiczne. W wyni- ku nowelizacji przepisów ustawy o ochronie danych osobowych, dokona- nej ustawą z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierowni- cze stanowiska państwowe (Dz. U. Nr 33, poz. 285), jej zakres podmioto- wy w odniesieniu do podmiotów publicznych określono w ten sposób, że zobowiązane do jej stosowania są organy państwowe, organy samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne. Na- tomiast podmioty niepaństwowe realizujące zadania publiczne zobowią- zane są do stosowania przepisów ustawy o ochronie danych osobowych na podstawie art. 3 ust. 2 a. Pojęcie organów państwa (organów państwowych) w nauce prawa rozumiane jest jako ogół jednostek organizacyjnych państwa mających uprawnienie do wyrażania woli tego państwa, czego wyraz stanowi przy- znanie danej jednostce organizacyjnej określonych kompetencji14. Organy państwa mogą przy tym działać za państwo bezpośrednio (organy admi- nistracji państwowej) lub za pośrednictwem samorządu (organy admini- stracji samorządowej)15. W tym bowiem sensie samorząd terytorialny nie jest bytem samym w sobie, lecz stanowi wyodrębnioną część aparatu pań- stwa16, a wykonywanie administracji państwowej uznać należy za przed- miot samorządu17. W świetle powyższych ustaleń nie jest więc jasne, w jakim celu w art. 3 ust. 1 u.o.d.o. wymienione zostały – jako podmioty stosujące prze- pisy ustawy – organy państwowe oraz organy samorządu terytorialnego, skoro przez pojęcie organu państwowego rozumieć należy także organy samorządu terytorialnego. Wyjaśnieniem dla powyższego stanu może być przyjęcie, że ustawodawca przez pojęcie organów państwowych rozumie ne i prawa osób, których dane dotyczą, regulowane są odrębnie dla sektora publicznego (§ 12–21) i prywatnego (§ 27–35). 13 Przepis obowiązywał od dnia wejścia w życie u.o.d.o. do dnia 30 kwietnia 2004 r. 14 M. Wierzbowski, A. Wiktorowska (w:) Prawo administracyjne, red. M. Wierzbowski, War- 15 J. Zimmermann, Prawo administracyjne, Kraków 2005, s. 117. 16 W. Chróścielewski, Organ administracji publicznej w postępowaniu administracyjnym, Warsza- szawa 2003, s. 102. wa 2002, s. 48. 17 B. Dolnicki, Samorząd terytorialny, Kraków 2001, s. 22. 27 Rozdział II. Stosowanie ustawy o ochronie danych osobowych do organów... w istocie organy administracji rządowej18. W takim przypadku, jedynie do- datkowe powołanie w treści przepisu organów samorządu terytorialnego pozwalałoby na objęcie przepisami ustawy o ochronie danych osobowych zarówno administracji rządowej, jak i samorządowej. Treść art. 3 ust. 1 u.o.d.o. w zakresie używanej w tym przepisie termi- nologii nie odpowiada także obecnie używanej terminologii na określenie or- ganów prowadzących postępowanie administracyjne. Reforma ustroju tery- torialnego Rzeczypospolitej Polskiej polegająca na przywróceniu samorządu terytorialnego spowodowała bowiem konieczność zastąpienia terminu „organ administracji państwowej” określeniem „organ administracji publicznej”19. Po nowelizacji ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania admini- stracyjnego (tekst jedn. Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) ustawą z dnia 29 grudnia 1998 r.20 w nauce prawa przyjmuje się, że zakresem pojęcia „organ administracji publicznej” objęte są organy administracji rządowej, or- gany samorządu terytorialnego oraz wszelkie podmioty wyposażone przez ustawę w kompetencje w zakresie administracji21. Jak się jednak wydaje, do zakresu podmiotowego ustawy o ochronie danych osobowych należy zaliczyć podmioty należące do wszystkich trzech wskazanych wyżej kategorii. 2.1. Stosowanie ustawy o ochronie danych osobowych do organów administracji rządowej Pojęcie organu administracji rządowej jest obecnie pojęciem rangi konstytucyjnej22, z uwagi na tytuł rozdziału VI Konstytucji RP – „Rada Ministrów i administracja rządowa”. Wśród organów administracji rzą- dowej wyróżnić należy przy tym organy administracji centralnej i organy administracji terenowej. Kryterium decydującym o zakwalifikowaniu danego organu admi- nistracji rządowej do grupy organów centralnych jest zakres właściwości 18 Na takim stanowisku stoi A. Drozd, Ustawa..., s. 23. Dalej jednakże autor w sposób zamien- ny stosuje pojęcie „organów państwa” i „organów administracji rządowej”, co nie wydaje się za- biegiem prawidłowym. 19 Szerzej na ten temat por. W. Chróścielewski, Organ administracji publicznej..., s. 11–22. 20 Ustawa o zmianie niektórych ustaw w związku z wdrożeniem reformy ustrojowej pań- stwa (Dz. U. Nr 162, poz. 1126). 21 Por. E. Ochendowski, Prawo administracyjne. Część ogólna, Toruń 1999, s. 18; 103; M. Wierz- bowski, A. Wiktorowska (w:) Prawo administracyjne..., s. 103. 22 W. Chróścielewski, Organ administracji publicznej..., s. 47. 28 2. Stosowanie ustawy o ochronie danych osobowych do organów administracji publicznej miejscowej danego organu. Otóż organy administracji centralnej, w przeci- wieństwie do organów administracji terenowej, powołane zostały do reali- zacji zadań administracji publicznej w ramach ich właściwości obejmującej skalę całego państwa23. W doktrynie prawa przyjęło się wyróżniać wśród organów administracji centralnej dwa ich rodzaje: organy naczelne oraz pozostałe organy centralne, najczęściej określane jako organy (urzędy) cen- tralne24. Do kategorii organów naczelnych zaliczyć należy w pierwszej ko- lejności Radę Ministrów, Prezesa Rady Ministrów, będącego samodzielnym organem administracji rządowej, oraz poszczególnych ministrów25. Funk- cję organów naczelnych pełnią także komitety, których przewodniczący wchodzą w skład Rady Ministrów i zajmują pozycję równorzędną pozycji ministra kierującego działem administracji rządowej26. Obecnie obowiązu- jące ustawy powołują do życia dwa tego rodzaju komitety: Komitet Badań Naukowych27 oraz Komitet Integracji Europejskiej28. W przypadku zadań, które wymagają szczególnej koncentracji uwagi administracji na określonym odcinku życia społecznego bądź które stano- wią grupę spraw wyraźnie od innych wyodrębnioną, stosuje się rozwiąza- nie polegające na powołaniu centralnego organu administracji, podległego najczęściej ministrowi lub Prezesowi Rady Ministrów29. Organy te posiada- ją pozycję prawną samodzielnych organów administracji, wyposażonych we własne, prawem przypisane kompetencje30. Ze względu na z reguły jasno wyrażoną w odpowiednich przepi- sach prawa materialnego podległość danego organu, to właśnie kryte- rium stanowić może najbardziej uchwytne kryterium klasyfikacji cen- tralnych organów administracji31. W oparciu o nie można wyróżnić: organy podległe Radzie Ministrów (np. Kolegium do Spraw Służb Spe- 23 J. Jagielski (w:) Prawo administracyjne..., s. 139. 24 Por. J. Zimmermann, Prawo..., s. 185; w zakresie uzasadnienia utrzymywania w dalszym ciągu tego podziału, mimo braku jego odpowiednika w przepisach obowiązującej Konstytucji, por. J. Jagielski (w:) Prawo administracyjne..., s. 140–141, oraz powołana tam literatura. 25 Na temat procedury powoływania Prezesa Rady Ministrów oraz ministrów – por. A. Kulig (w:) Prawo konstytucyjne Rzeczypospolitej Polskiej, red. P. Sarnecki, Warszawa 2002, s. 241 i n. 26 J. Jagielski (w:) Prawo administracyjne..., s. 178–179. 27 Utworzony ustawą z dnia 12 stycznia 1991 r. o Komitecie Badań Naukowych (tekst jedn. Dz. U. z 2001 r. Nr 33, poz. 389 z późn. zm.). Nr 106, poz. 494 z późn. zm.). 28 Utworzony ustawą z dnia 8 sierpnia 1996 r. o Komitecie Integracji Europejskiej (Dz. U. 29 J. Starościak, Prawo administracyjne, Warszawa 1978, s. 106. 30 J. Jagielski (w:) Prawo administracyjne..., s. 183. 31 J. Zimmermann, Prawo..., s. 186. 29 Rozdział II. Stosowanie ustawy o ochronie danych osobowych do organów... cjalnych32), organy podległe Prezesowi Rady Ministrów (np. Prezes Urzę- du Komunikacji Elektronicznej33) oraz organy podległe poszczególnym ministrom (np. Główny Inspektor Nadzoru Budowlanego34). Zamieszczanie w tym miejscu kompletnego wykazu centralnych or- ganów administracji byłoby niecelowe, z uwagi na ich znaczną liczbę w sy- stemie prawa35. Z punktu widzenia celu niniejszej pracy istotne jest bo- wiem, że – podobnie jak wskazane wyżej naczelne organy administracji rządowej – mieszczą się one w zakresie podmiotowym przepisów ustawy o ochronie danych osobowych. O ile pozycja prawna Prezydenta, także sama jego kwalifikacja jako organu władzy wykonawczej, budzi w nauce prawa wątpliwości36, o tyle nie budzi wątpliwości, że – niezależnie od dokonanej kwalifikacji – do organu tego znajdują zastosowanie przepisy ustawy o ochronie danych osobowych37. System organów administracji rządowej w terenie stanowią: woje- woda, kierownicy zespolonych służb, inspekcji i straży oraz organy admi- nistracji niezespolonej38. Wojewoda jako przedstawiciel rządu w terenie jest organem rządowej administracji terenowej – pełni funkcję zwierzchnika administracji zespo- lonej, jest organem nadzoru nad samorządem terytorialnym oraz organem wyższego stopnia w rozumieniu przepisów k.p.a.39 Dla określenia statusu prawnego organów rządowej administracji terenowej zespolonej zasadniczego znaczenia nabiera zasada zespolenia 32 Kolegium do Spraw Służb Specjalnych utworzone zostało na podstawie art. 11 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. Nr 74, poz. 676 z późn. zm.); szczegółowy tryb i zasady funkcjonowania Kolegium określa rozporządzenie Rady Mini- strów z dnia 2 lipca 2002 r. w sprawie szczegółowego trybu i zasad funkcjonowania Kolegium do Spraw Służb Specjalnych oraz zakresu czynności sekretarza tego Kolegium (Dz. U. Nr 103, poz. 929). 33 Prezes Urzędu Komunikacji Elektronicznej jest organem regulacyjnym w dziedzinie rynku usług telekomunikacyjnych i pocztowych, powołanym na podstawie art. 190 ustawy z dnia 16 lip- ca 2004 r. – Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.). 34 Główny Inspektor Nadzoru Budowlanego jest organem administracji architektoniczno- -budowlanej, wykonującym zadania określone w art. 80 i n. ustawy z dnia 7 lipca 1994 r. – Prawo budowlane (tekst jedn. Dz. U. z 2006 r. Nr 156, poz. 1118 z późn. zm.). 35 Por. szczegółowy i kompletny wykaz centralnych organów administracji rządowej zamiesz- czony I. Lipowicz (w:) Prawo administracyjne. Część ustrojowa, red. Z. Niewiadomski, Warszawa 2002, s. 225–229. 36 Por. na ten temat: J. Zimmermann, Prawo..., s. 171–172; J. Jagielski (w:) Prawo administracyj- ne..., s. 142–143; I. Lipowicz (w:) Prawo administracyjne. Część ustrojowa, s. 203. 37 Tak A. Mednis, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2001, s. 18. 38 J. Jagielski (w:) Prawo administracyjne..., s. 205. 39 Por. I. Lipowicz (w:) Prawo administracyjne. Część ustrojowa, s. 229. 30 2. Stosowanie ustawy o ochronie danych osobowych do organów administracji publicznej administracyjnego, która na terenie województwa właśnie jest szcze- gólne rozwinięta40. W myśl tej zasady, wyrażonej w art. 4 ustawy z dnia 5 czerwca 1998 r. o administracji rządowej w województwie (tekst jedn. Dz. U. z 2001 r. Nr 80, poz. 872 z późn. zm.), zespolenie służb, inspekcji i straży w administracji rządowej w województwie następuje z zasady w jednym urzędzie. Wojewoda ma przy tym prawo wglądu w każdą sprawę prowadzoną przez organy administracji na terenie wojewódz- twa, z zachowaniem przepisów o tajemnicy państwowej i innych usta- wowo określonych tajemnicach41. Należy podkreślić, że kierownicy zespolonych służb, inspekcji i straży – komendanci i inspektorzy woje- wódzcy lub inni kierownicy tych jednostek – działają z upoważnienia wojewody lub w imieniu wojewody, chyba że przepis szczególny sta- nowi inaczej42. Obok terenowej administracji zespolonej istnieje także duża gru- pa terenowych organów administracji rządowej niepozostających pod zwierzchnictwem wojewody, a podporządkowanych właściwym mini- strom lub organom centralnym43. Organy te mogą być ustanawiane wy- łącznie w drodze ustawy, jeżeli jest to uzasadnione ogólnopaństwowym charakterem wypełnianych przez nie zadań lub terytorialnym zasięgiem działania, przekraczającym obszar jednego województwa44. Ustawa o administracji rządowej w województwie zawiera w za- łączniku zamknięty katalog organów administracji niezespolonej. Prze- pisy ustawy o ochronie danych osobowych znajdą więc zastosowanie do wszystkich organów administracji wymienionych w załączniku45. 40 J. Zimmermann, Prawo..., s. 195. 41 Na temat poszczególnych tajemnic por. R. Taradejna, M. Taradejna, Tajemnica państwowa i inne tajemnice chroniące interesy państwa i obywateli, Warszawa 1998. 42 I. Lipowicz (w:) Prawo administracyjne. Część ustrojowa, s. 231. 43 Cz. Martysz (w:) G. Łaszczyca, Cz. Martysz, A. Matan, Postępowanie administracyjne ogólne, Warszawa 2003, s. 189. 44 J. Zimmermann, Prawo..., s. 199. 45 Tytułem przykładu wymienić można następujące organy administracji niezespolonej, do której znajdzie zastosowanie ustawa o ochronie danych osobowych: dowódcy okręgów woj- skowych, dyrektorzy izb skarbowych, dyrektorzy okręgowych urzędów górniczych i specjali- stycznych urzędów górniczych, dyrektorzy okręgowych urzędów miar i naczelnicy obwodo- wych urzędów miar, dyrektorzy okręgowych urzędów probierczych i naczelnicy obwodowych urzędów probierczych, dyrektorzy regionalnych zarządów gospodarki wodnej, dyrektorzy izb celnych i naczelnicy urzędów celnych, dyrektorzy urzędów morskich, dyrektorzy urzędów sta- tystycznych, dyrektorzy urzędów żeglugi śródlądowej, komendanci oddziałów Straży Granicz- nej, okręgowi inspektorzy rybołówstwa morskiego, państwowi inspektorzy sanitarni, powiatowi oraz graniczni lekarze weterynarii. 31 Rozdział II. Stosowanie ustawy o ochronie danych osobowych do organów... 2.2. Stosowanie ustawy o ochronie danych osobowych do organów administracji samorządowej Pojęcie jednostki samorządu terytorialnego wykazuje ścisły zwią- zek z jednostkami zasadniczego podziału terytorialnego w państwie. Pol- ski samorząd terytorialny jest bowiem zorganizowany według struktury tych jednostek46. Zgodnie z art. 164 ust. 1 Konstytucji RP, podstawową jednostką samo- rządu terytorialnego jest gmina. Przepisy konstytucyjne w tym zakresie rozwinięte zostały w ustawie z dnia 8 marca 1990 r. o samorządzie gmin- nym (tekst jedn. Dz. U. z 2001 r. Nr 142, poz. 1591 z późn. zm.)47. Ustawa do organów gminy zalicza w art. 11a radę gminy oraz organ monokratyczny w osobie wójta (burmistrza, prezydenta miasta). W przypadku jednostek samorządu terytorialnego szczebla po- wiatowego, ustawa z dnia 5 czerwca 1998 r. o samorządzie powiatowym (tekst jedn. Dz. U. z 2001 r. Nr 142, poz. 1592 z późn. zm.) w art. 8 uzna- je za organy powiatu radę powiatu oraz zarząd powiatu. Mimo jednakże nieuznania w przepisach ustrojowych w sposób wyraźny starosty powia- tu jako organu powiatu, zarówno doktryna prawa administracyjnego, jak i orzecznictwo sądowe skłaniają się do przyznania starostom statusu or- ganu powiatu48. W odniesieniu natomiast do samorządu terytorialnego na szczeb- lu województwa, art. 15 ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa (tekst jedn. Dz. U. z 2001 r. Nr 142, poz. 1590 z późn. zm.) uznaje za organy samorządu województwa sejmik województwa oraz zarząd województwa. Podobnie jak w przypadku starosty, marszałek województwa expressis verbis nie został uznany przez ustawodawcę za organ administracji, jednakże przyznanie mu samoistnych kompeten- cji czyni go de facto organem wykonawczym województwa samorzą- dowego49. Odnosząc do powyższych ustaleń treść art. 3 ust. 1 u.o.d.o., należy stwierdzić, że przepisy ustawy znajdą zastosowanie do wszystkich wymie- 46 J. Zimmermann, Prawo..., s. 199. 47 Ustawa z dnia 8 marca 1990 r. o samorządzie terytorialnym z dniem 1 stycznia 1999 r. otrzy- mała tytuł: ustawa o samorządzie gminnym. 48 Por. Cz. Martysz (w:) Ustawa o samorządzie powiatowym. Komentarz, red. B. Dolnicki, Kra- ków 2005, s. 72–81 i cyt. tam literatura oraz orzecznictwo. 49 Z. Niewiadomski (w:) Prawo administracyjne. Część ustrojowa, red. Z. Niewiadomski, War- szawa 2002, s. 179. 32
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Ochrona danych osobowych w ogólnym postępowaniu administracyjnym
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: