Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00120 005538 13091147 na godz. na dobę w sumie
Prawo do ochrony danych osobowych. Standardy europejskie - ebook/pdf
Prawo do ochrony danych osobowych. Standardy europejskie - ebook/pdf
Autor: Liczba stron:
Wydawca: Wolters Kluwer Język publikacji: polski
ISBN: 978-83-264-5356-4 Data wydania:
Lektor:
Kategoria: ebooki >> prawo i podatki >> europejskie
Porównaj ceny (książka, ebook, audiobook).
Książka poświęcona jest problematyce ochrony danych osobowych. Jej zakres tematyczny wyznaczają dwa założenia. Po pierwsze, omawiane zagadnienia zaprezentowane są z perspektywy doktryny praw człowieka: celem pracy jest ukazanie sytuacji jednostki w związku z przetwarzaniem jej danych osobowych. Po drugie, zadaniem, jakie postawił sobie Autor, jest prezentacja europejskiego dorobku w zakresie ochrony danych osobowych: w pracy przeanalizowane zostały akty prawne i dokumenty wydane w ramach systemu prawnego Unii Europejskiej, Rady Europy oraz Organizacji Współpracy Gospodarczej i Rozwoju, a także orzecznictwo Europejskiego Trybunału Sprawiedliwości oraz Europejskiego Trybunału Praw Człowieka, jak również oparta na nich doktryna. Autor podejmuje problematykę określenia pojęcia i granic ochrony danych osobowych, przedstawia zasady przewodnie tej ochrony oraz mechanizmy kontrolne i nadzorcze wypracowane w tym zakresie. Szczególną uwagę poświęca uprawnieniom podmiotowym, jakie zapewnia się osobom, których dane dotyczą. W książce Czytelnik odnajdzie także omówienie celów ochrony danych osobowych, jak również analizę zagadnienia przekazywania danych osobowych za granicę oraz ustalenia prawa właściwego i jurysdykcji.
Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Prawo do ochrony danych osobowych Standardy europejskie Mariusz Jagielski Warszawa 2010 Recenzent: Prof. dr hab. Andrzej Sylwestrzak Wydawca: Magdalena Przek Redaktor prowadzący: Joanna Cybulska Opracowanie redakcyjne: Jerzy Domagała Sk³ad, ³amanie: Marta Krysińska © Copyright by Wolters Kluwer Polska Sp. z o.o., 2010 ISBN 978-83-264-0241-8 ISSN 1897-4392 Wydane przez: Wolters Kluwer Polska Sp. z o.o. Redakcja Książek 01-231 Warszawa, ul. Płocka 5a tel. (022) 535 80 00, (022) 535 82 00 31-156 Kraków, ul. Zacisze 7 tel. (012) 630 46 00 e-mail: ksiazki@wolterskluwer.pl www.wolterskluwer.pl Księgarnia internetowa www.profinfo.pl Spis treści Wykaz ważniejszych skrótów ........................................................................... 7 Wprowadzenie ..................................................................................................... 9 Rozdział I Cele ochrony danych osobowych .................................................................. 21 A. Ochrona jednostki ................................................................................... 21 B. Ochrona interesów zbiorowych ............................................................. 29 C. Kontekst międzynarodowy .................................................................... 36 Rozdział II Wyznaczenie zakresu ochrony danych osobowych ................................... 41 A. Pojęcie danych osobowych ..................................................................... 41 B. Granice ochrony ....................................................................................... 56 Rozdział III Zasady przewodnie........................................................................................... 78 A. Zasada rzetelności i legalności przetwarzania .................................... 78 B. Zasada minimalizmu ............................................................................... 87 C. Zasada określoności celu......................................................................... 89 D. Zasady dotyczące jakości danych ......................................................... 92 E. Zagwarantowanie wpływu i kontroli osobie, której dane dotyczą .................................................................................. 94 F. Bezpieczeństwo danych ........................................................................... 97 G. Dane wrażliwe .......................................................................................... 99 Rozdział IV Uprawnienia osoby, której dane dotyczą ................................................... 103 A. Zgoda osoby, której dane dotyczą ....................................................... 103 B. Uprawnienia informacyjne podmiotu danych ................................. 119 C. Uprawnienia co do wpływu na treść przetwarzania ....................... 135 5 Spis treści D. Prawo sprzeciwu wobec przetwarzania ............................................ 139 E. Prawa związane z podejmowaniem zautomatyzowanych decyzji ................................................................ 147 F. Indywidualne środki prawne ................................................................ 153 Rozdział V Mechanizmy kontrolne i nadzorcze ............................................................ 164 A. Organy ochrony danych osobowych ................................................. 164 B. Monitorowanie procesu przetwarzania danych ............................... 173 C. Uprawnienia dochodzeniowe i interwencyjne................................. 181 D. Rola „postępowań prawnych” ............................................................. 184 E. Sankcje ...................................................................................................... 186 Rozdział VI Transgraniczny przepływ danych oraz ustalenie prawa właściwego i jurysdykcji ............................................................................... 190 A. Przekazywanie danych za granicę ...................................................... 190 B. Prawo właściwe i jurysdykcja .............................................................. 214 Konkluzje.......................................................................................................... 224 Bibliografia ....................................................................................................... 230 I. Literatura ................................................................................................... 230 II. Orzecznictwo .......................................................................................... 243 III. Akty prawne i dokumenty .................................................................. 247 COM Dz. Urz. UE Dz. Urz. WE Dz. U. EC ed. eds. EEC Treaty ETPC ETS GATS GIODO hrsg. ICC IP Iss. OECD OJ OTK ZU red. SEC WE WIPO WP Wykaz ważniejszych skrótów – Dokumenty COM Komisji Europejskiej – Dziennik Urzędowy Unii Europejskiej – Dziennik Urzędowy Wspólnot Europejskich – Dziennik Ustaw – European Commission (Komisja Europejska) – editor (pod redakcją) – editors (pod redakcją) – The Treaty establishing the European Economic Com- munity – Europejski Trybunał Praw Człowieka – Europejski Trybunał Sprawiedliwości – General Agreement on Trade in Services (Ogólny Układ w sprawie Handlu Usługami) – Generalny Inspektor Ochrony Danych Osobowych – herausgegeben (pod redakcją) – International Chamber of Commerce (Międzynarodowa Izba Handlowa) – Internet Protocol – issue (wydanie) – Organization for Economic Co-operation and Develop- ment (Organizacja Współpracy Gospodarczej i Rozwoju) – Official Journal of the European Union – Orzecznictwo Trybunału Konstytucyjnego Zbiór Urzę- dowy – pod redakcją – Dokumenty SEC Sekretariatu Generalnego Komisji Eu- ropejskiej – Wspólnota Europejska – World Intellectual Property Organization (Światowa Or- ganizacja Własności Intelektualnej) – Working Party (grupa robocza) 7 Wykaz ważniejszych skrótów WPZiB WSiSW WTO W3C – Wspólna polityka zagraniczna i bezpieczeństwa – Wymiar sprawiedliwości i sprawy wewnętrzne – World Trade Organization (Światowa Organizacja Handlu) – World Wide Web Consortium Wprowadzenie 1. Uważa się, że początki prawnej ochrony danych osobowych sięga- ją drugiej połowy XIX wieku. Problematyka ta pojawiła się jako element wypracowanej w tym czasie koncepcji prawa do prywatności (the right to privacy) i przez pierwszych kilkadziesiąt lat swojego istnienia ewoluowała w podobny sposób. W ramach takiej właśnie konstrukcji ochrona danych osobowych ulegała stopniowej jurydyzacji i jako dobro jednostkowe uzy- skała ochronę za pomocą instrumentów prawnych, głównie z zakresu pra- wa cywilnego. W ten sposób żądanie ochrony danych osobowych przybra- ło postać indywidualnego prawa podmiotowego o charakterze ochronnym, którego można było dochodzić przed sądem. W ramach procesu włącza- nia prawa do ochrony prywatności w zakres konstytucyjnych praw czło- wieka ochrona danych osobowych zyskała także ochronę za pomocą in- strumentów konstytucyjno-prawnych1. Ten stan rzeczy zaczął ulegać zmianie na przełomie lat 60. i 70. XX wie- ku. Czynnikiem, który doprowadził do wydzielenia się ochrony danych osobowych jako odrębnej dziedziny prawa, był rozwój technologiczny w zakresie przetwarzania informacji. Pojawienie się urządzeń pozwalają- cych za pomocą metod o charakterze zautomatyzowanym na katalogowa- nie dużej ilości danych, ich swobodne zestawianie i opracowywanie, a tak- że na zautomatyzowane wyszukiwanie jednostkowych informacji w zbio- rach oraz ich przesyłanie na odległość, stworzyło nową sytuację. Z jednej 1 Na temat różnic między tymi dwoma modelami ochrony prywatności zob. bliżej R.E. Aebi-Mül- ler, Personenbezogene Informationen in System des zivilrechtlichen Persönlichkeitsschutzes. Unter besonderer Berücksichtigung der Rechtslage in der Schweiz und in Deutschland, Bern 2005, s. 169–170; M. Kloepfer, Da- tenschutz als Grundrecht: Verfassungsprobleme der Einführung eines Grundrechts auf Datenschutz, Königs- stein/Ts. 1980, s. 20 i n.; K. Lemmens, The Protection of Privacy between a Rights-Based and a Freedom- -Based Approach: What the Swiss Example can teach us, Maastricht Journal of European and Comparative Law 2003, vol. 10, s. 381–403; F. Neunhoeffer, Das Presseprivileg im Datenschutzrecht. Eine rechtsvergle- ichende Betrachtung des deutschen und des englischen Rechts, 2005, s. 63 i n. 9 Wprowadzenie strony powstały nieznane dotychczas możliwości rozwoju takich dziedzin, jak działalność gospodarcza czy administracyjna, z drugiej zaś pojawiły się nowe zagrożenia, w tym istotne niebezpieczeństwo dla interesów jednost- ki, informacje na temat której miały być przetwarzane. Dotychczasowe roz- wiązania prawne okazały się niewystarczające, należało stworzyć mecha- nizmy regulacyjne lepiej odpowiadające nowym wyzwaniom2. Cechą charakterystyczną procesu kształtowania się nowych mecha- nizmów ochrony danych osobowych był równoległy przebieg tego pro- cesu na dwóch płaszczyznach: krajowej – w poszczególnych państwach – oraz międzynarodowej. Jeśli chodzi o płaszczyznę krajową, to pierwsza ustawa o ochronie danych osobowych została uchwalona w Hesji (kraju związkowym RFN) w 1970 r. Następna analogiczna regulacja pojawiła się w Szwecji (1973 r.), a potem w Republice Federalnej Niemiec na poziomie ogólnopaństwowym (1977 r.). Za tymi państwami szybko podążyły kolejne (Francja, Austria, Dania i Norwegia w 1978 r., Luksemburg w 1979 r.), tak że do końca dekady posiadanie ustawy o ochronie danych osobowych sta- ło się standardem w Europie Zachodniej. W tym samym okresie specjalne postanowienia ochronne w zakresie ochrony informacji osobowych poja- wiły się też po raz pierwszy w konstytucjach krajowych (konstytucja Por- tugalii w 1976 r., art. 35; Austrii w 1978 r., art. 1 ustawy o ochronie danych osobowych3, konstytucja Hiszpanii w 1978 r., art. 18)4. Na płaszczyźnie międzynarodowej prace toczyły się równolegle w ra- mach systemów Rady Europy oraz Organizacji Współpracy Gospodar- czej i Rozwoju. Wymiar normatywny na tej płaszczyźnie ochrona da- nych zyskała po raz pierwszy na początku lat 70. w ramach systemu Rady Europy, gdy jej Komitet Ministrów przyjął dwie rezolucje: rezolucję 22 z 1973 r. o zasadach ochrony danych w sektorze prywatnym oraz rezolu- cję 29 z 1974 r. o zasadach ochrony danych w sektorze publicznym5. W tym samym czasie uznano konieczność opracowania bardziej szczegółowego 2 P.K. Donos, Datenschutz – Prinzipien und Ziele. Unter besonderer Berücksichtigung der Entwicklung der Kommunikations- und Systemtheorie, Baden-Baden 1998, s. 105–108; B. Perovic, An analysis of the EC draft directive on data protection and its impact on the protection of privacy and the free movement of in- formation, Florence 1993, s. 4 i n. 3 Artykuł ten nadał prawu do ochrony danych osobowych rangę prawa zasadniczego. Por. G. Stadler, Das Österreichische Datenschutzrecht (w:) G.J. Pawlikowsky (hrsg.), Datenschutz. Leitfaden Materialien, Wien 1979, s. 51–52. 4 Raport wyjaśniający do konwencji Rady Europy nr 108, pkt 5; H. Auernhammer, Bundesda- tenschutzgesetz: Kommentar, Köln–Berlin–Bonn–München 1993, s. 8–10; A. Di Martino, Datenschutz im europäischen Recht, Baden-Baden 2005, s. 17–18. 5 Raport wyjaśniający do konwencji Rady Europy nr 108, pkt 4. 10 Wprowadzenie aktu w tym względzie o wiążącym charakterze6. Prace nad nim toczyły się przez całe lata 70. w ścisłej kooperacji z prowadzonymi w tym samym cza- sie analogicznymi pracami studyjnymi w ramach Organizacji Współpracy Gospodarczej i Rozwoju7. Te ostatnie zostały ukończone nieco wcześniej przyjęciem rekomendacji Organizacji Współpracy Gospodarczej i Rozwo- ju (OECD) z dnia 23 września 1980 r. w sprawie wytycznych regulujących ochronę prywatności i przepływ danych osobowych przez granice. Pra- ce w ramach systemu Rady Europy przyjęły ostatecznie kształt konwencji Rady Europy nr 108 o ochronie osób w związku z automatycznym prze- twarzaniem danych osobowych. Została ona przyjęta i otwarta do podpi- su 28 stycznia 1981 r., a weszła w życie cztery lata później – 1 październi- ka 1985 r.8. Lata 80. przyniosły dalszy rozwój instrumentów ochronnych tak na płaszczyźnie krajowej, jak i ponadnarodowej. Kolejne kraje przyjmowały ustawy w tym zakresie (Islandia w 1981 r., Wielka Brytania w 1984 r., Fin- landia w 1987 r., Irlandia i Holandia w 1988 r., Portugalia w 1991 r., Belgia, Szwajcaria i Hiszpania w 1992 r.). Kraje, które stosowne ustawy posiada- ły wcześniej, podnosiły poziom ochrony, natomiast Rada Europy przygo- towywała kolejne rekomendacje dotyczące przetwarzania danych osobo- wych w poszczególnych dziedzinach. Zasadniczy ciężar wypracowywania nowych standardów zaczął się jednak stopniowo przenosić na płaszczyznę współpracy w ramach Wspólnot Europejskich. Pierwsze prace w tej dzie- dzinie w ramach struktur wspólnotowych rozpoczęły się jeszcze pod ko- niec lat 70.9, przyspieszeniu uległy jednak dopiero wraz z wejściem w ży- cie w 1987 r. Jednolitego aktu europejskiego10, który deklarował powstanie wspólnego rynku, gwarantującego wolny przepływ towarów, usług i kapi- tału, a zwłaszcza traktatu z Maastricht z 1992 r.11, który założenia wspólnego rynku wprowadzał w życie. Dla ich urzeczywistnienia stało się konieczne wypracowanie jednolitych standardów ochrony danych osobowych na po- ziomie unijnym. Prace podjęte w tym zakresie ostatecznie przybrały postać dyrektywy Parlamentu Europejskiego i Rady 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobod- 6 Tamże, pkt 12. 7 Por. memorandum wyjaśniające do wytycznych OECD z 1980 r., pkt 18; raport wyjaśniający do konwencji Rady Europy nr 108, pkt 14 i 15. 8 H. Auernhammer, Bundesdatenschutzgesetz..., s.10–11. 9 Prace takie zapoczątkował w latach 1978–79 Parlament Europejski. 10 O.J. L 169, 29.06.1987. 11 Traktat o Unii Europejskiej, wszedł w życie 1 listopada 1993 r. 11 Wprowadzenie nego przepływu tych danych. Została ona przyjęta 24 października 1995 r. i dała państwom członkowskim trzy lata na implementację jej postanowień na grunt prawa krajowego. Termin ów upłynął 24 października 1998 r.12. Od tego momentu możemy obserwować wielowątkowy, choć kom- plementarny rozwój rozwiązań z dziedziny ochrony danych osobowych zarówno na płaszczyźnie krajowej, jak i ponadnarodowej. Najważniej- szym elementem tego procesu wydaje się być geograficzna ekspansja ob- szaru zastosowania europejskich standardów ochrony danych – głównie13 w związku z procesami poszerzania Unii Europejskiej o nowe kraje, oraz dostosowywanie do wymogów europejskich mechanizmów ochrony da- nych w krajach chcących rozwijać stosunki gospodarcze z UE14. Nie ustały także prace koncepcyjne zmierzające w kierunku dostosowania ochrony do nowych wyzwań, związanych z ciągłym rozwojem technologicznym w dziedzinie przetwarzania informacji15. Ten ostatni proces został niemal w pełni umiędzynarodowiony i aktualnie wypracowywanie nowych me- chanizmów ochrony odbywa się głównie w ramach współpracy na pozio- mie Rady Europy oraz Unii Europejskiej. Symbolicznym16 ukoronowaniem ochrony danych osobowych jako istotnego elementu systemu ochrony praw człowieka stało się wprowadzenie prawa do ochrony danych oso- bowych do Karty Praw Podstawowych Unii Europejskiej17. 2. Ta krótka i z założenia schematyczna prezentacja rozwoju prawa ochro- ny danych osobowych18 pokazuje pewien szczególny rys procesu kształto- 12 A. Di Martino, Datenschutz..., s. 18–19; B. Marcinkowski, Wpływ prawodawstwa unijnego na polską regulację ochrony danych osobowych (w:) I. Lipowicz (red.), Europeizacja administracji publicznej, Warszawa 2008, s. 224–226; S. Simitis, Data Protection in the European Union – the Quest for Common Rules, Collected Courses of the Academy of European Law, Academy of European Law (ed.), vol. VIII, book 1, 2001, s. 101–106. 13 Choć nie tylko. Włochy przyjęły odpowiednią ustawę dopiero w 1996 r., a Grecja w 1997 r. 14 O początkach ochrony danych w Polsce zob. B. Banaszak, Prawo do ochrony danych osobowych w Polsce (w:) T. Jasudowicz, C. Mik (red.), O prawach człowieka w podwójną rocznicę paktów. Księga pamiąt- kowa w hołdzie profesor Annie Michalskiej, Toruń 1996, s. 249 i n.; B. Marcinkowski: Wpływ..., s. 266–229. 15 A. Di Martino: Datenschutz..., s. 19–20. 16 Choć także praktycznym. Europejski Trybunał Sprawiedliwości niejeden raz traktował już art. 8 karty jako wskazówkę interpretacyjną. Por. wyrok ETS w sprawie C-540/03 Parlament v. Rada, 27.06.2006; wyrok ETS w sprawie C-432/05 Unibet, 13.03.2007, pkt 37; wyrok ETS w sprawie C-303/05 Advocaten voor de Wereld, 03.05.2007, pkt 46; wyrok ETS w sprawie C-402/05 i C-415/05 Kadi v. Rada i Komisja, 03.09.2008, pkt 335. 17 Przyjęta 7 grudnia 2000 r., weszła w skład traktatu konstytucyjnego z 2004 r., a po zaniecha- niu prób jego wprowadzenia w życie – traktatu lizbońskiego z 2007 r. 18 Niektórzy porządkują ten rozwój, odwołując się do koncepcji kolejnych generacji rozwiązań z zakresu ochrony danych osobowych. W tym ujęciu wyróżnia się trzy generacje danych osobo- wych (por. H. Bäumler, Datenschutzgesetze der dritten Generation. Einleitung (w:) H. Bäumler, A. Von 12 Wprowadzenie wania się ochrony praw jednostki w związku z przetwarzaniem informa- cji osobowych na jej temat. Otóż proces ten różni się znacznie od sposobu kształtowania wcześniej wypracowanych praw i wolności człowieka. Prawa człowieka – zwłaszcza te o charakterze osobistym i politycznym – kształtowa- ły się zazwyczaj na gruncie prawa wewnętrznego poszczególnych państw. Tam właśnie dochodziło do wypracowania wszystkich istotnych koncepcyj- nie elementów ich konstrukcji, tam też następowało doktrynalne uznanie ich społecznej doniosłości – oraz wreszcie tam dokonywał się proces ich ju- rydyzacji i konstytucjonalizacji. Dopiero gdy prawo lub wolność zyskiwało odpowiednią rangę na gruncie prawa konstytucyjnego wiodących państw, wówczas rozpoczynał się proces internacjonalizacji. Tak więc trafiało ono na poziom międzynarodowy już jako okrzepła koncepcja, z wypracowany- mi założeniami teoretycznymi, mechanizmami ochrony i granicami. Wpływ rozwiązań międzynarodowych na takie prawa był raczej niewielki; istotne oddziaływanie rozwiązań wypracowywanych na poziomie międzynarodo- wym na praktykę ochrony praw człowieka to zjawisko stosunkowo niedaw- ne, obejmujące ostatnie półwiecze. Internacjonalizacja stanowiła zatem gest bardziej o znaczeniu symbolicznym niż praktycznym. Z ochroną danych osobowych było inaczej. Prawo to pojawia się w okre- sie, gdy wpływ uzgodnień międzynarodowych na rozwój praw człowieka jest już znaczący. W efekcie możemy zaobserwować równoległe wypra- cowywanie koncepcji ochrony jednostki w tym zakresie – tak na pozio- mie krajowym, jak i ponadnarodowym. Istotnym czynnikiem wpływają- cym na wzmocnienie znaczenia płaszczyzny międzynarodowej w ramach tego procesu jest obserwowany współcześnie rozwój współpracy między- narodowej we wszystkich w zasadzie dziedzinach aktywności państwa. W konsekwencji wszędzie tam, gdzie współpraca wiąże się z przesyłaniem informacji osobowych, znaczenie uzgodnień międzynarodowych jest bar- dzo duże19. Widoczne jest to szczególnie w Europie, gdzie współpraca ta Mutius (hrsg.), Datenschutzgesetze der dritten Generation, Neuwied, Kriftel 1999, s. 1–9), lub cztery (U. Brühann, Die Anforderungen der Europäischen Datenschutzrichtlinie (w:) H. Bäumler, A. Von Mu- tius (hrsg.), Datenschutzgesetze der dritten Generation, Neuwied, Kriftel 1999, s. 11–12; A. Di Martino, Datenschutz..., s. 33–34; V. Mayer-Schönberger, E.O. Brandl, Datenschutzgesetz. Grundsätze und euro- parechtliche Rahmenbedinungen Gesetzestext mit Materialien Datensuchutz-Verordnungen und Rechtlinien im Anhang, Wien 2006, s. 2–3). Przy czym kryterium podziału odzwierciedla z jednej strony proces ekspansji ochrony na kolejne obszary prawa: legislacja, konstytucjonalizacja, internacjonalizacja, europeizacja, zaś z drugiej rozwój technik przetwarzania i instrumentów ochronnych. 19 Por. E. Wanckel, Persönlichkeitsschutz in der Informationsgesellschaft. Zugleich ein Beitrag zum Entwicklungsstand des allgemeinen Persönlichkeitsrechts, Frankfurt am Main–Berlin–Bern–New York– –Paris–Wien 1999, s. 209. 13 Wprowadzenie została zinstytucjonalizowana w ramach procesu integracji kontynentu. A zatem nawet jeśli formalnym zwieńczeniem uznania wagi problema- tyki ochrony danych osobowych w ramach porządku konkretnego kraju jest jej konstytucjonalizacja, czyli wprowadzenie ochrony danych osobo- wych do konstytucyjnego katalogu praw człowieka, to nadanie konkret- nych treści postanowieniom konstytucji stanowi dziś w dużym stopniu efekt pracy na poziomie międzynarodowym i europejskim. Tak więc nie można w sposób właściwy przedstawić obowiązujących współcześnie za- sad ochrony jednostki w związku z przetwarzaniem danych osobowych na jej temat, nie uwzględniając wypracowanych w tym zakresie standar- dów międzynarodowych i europejskich. Przedstawienie owego ponadnarodowego dorobku – zarówno dok- trynalnego, jak i normatywnego – stanowi cel niniejszej pracy. Przy czym ramy opracowania wyznaczają dwa ograniczenia. Po pierwsze nie jest moją ambicją pokazanie całości problematyki ochrony danych osobowych w ak- tach międzynarodowych i wspólnotowych. Rozwój cywilizacyjny prowa- dzi do szybkiego rozwoju tej dziedziny, obejmuje ona coraz to nowe ma- terie – i w konsekwencji staje się przedmiotem zainteresowania różnych dziedzin prawa. Praca niniejsza pisana jest z perspektywy doktryny praw człowieka i prawa konstytucyjnego, dlatego koncentruje się ona na kwe- stiach sposobu ochrony jednostki w związku z przetwarzaniem danych osobowych. Poszczególne materie analizowane są właśnie z takiej podmio- towej perspektywy. W efekcie sposób przedstawienia tych materii, a tak- że ich zakres i stopień szczegółowości uzależnione są od wpływu, jaki wy- wierają one na pozycję jednostki. Po drugie celem niniejszej pracy jest przedstawienie głównego nurtu rozwiązań z zakresu ochrony danych osobowych. Chodzi o rozwiązania standardowe, znajdujące zastosowanie z założenia do nieokreślonego adre- sata i do nieokreślonych przedmiotowo materii. Mówimy tu zatem o dzie- dzinie, która ugruntowała już sobie miejsce pośród innych gałęzi prawa jako prawo ochrony danych osobowych. Poza zakresem pracy pozostają natomiast rozwiązania szczególne wypracowane dla specyficznych obsza- rów przetwarzania danych, takich jak bezpieczeństwo państwa, ochrona porządku publicznego, prawo finansowe, prawo pracy, prawo telekomu- nikacyjne czy ochrona zdrowia. Będą one uwzględnione w takim stopniu, w jakim stosuje się do nich rozwiązania ogólne oraz w jakim ich prezen- tacja będzie istotna dla właściwego ukazania zasadniczego nurtu prawnej ochrony jednostki w omawianym zakresie. 14 Wprowadzenie W tym miejscu wyjaśnienia wymaga podtytuł pracy „standardy europej- skie”. Jak powiedziano wcześniej, mechanizm ochrony danych osobowych kształtował się na płaszczyźnie co najmniej trzech systemów prawnych: Organizacji Współpracy Gospodarczej i Rozwoju, Rady Europy oraz Unii Europejskiej. Pewne znaczenie dla jego wypracowania ma też system praw- ny Organizacji Narodów Zjednoczonych. Praca zbiera dorobek wypraco- wany na gruncie wszystkich tych systemów, starając się uporządkować go, dokonać jego generalizacji i wyciągnąć wnioski na temat zastosowanych mechanizmów ochrony jednostki. Określenie „europejski” ma zatem cha- rakter umowny. Odzwierciedla jednak wkład, jaki do wypracowania standardów ochrony jednostki w omawianym zakresie wniosły prace pro- wadzone na naszym kontynencie – można go bez wątpienia określić jako dominujący. Jednocześnie określenie to akcentuje znaczenie, jakie w za- kresie ochrony danych osobowych odgrywa aktualnie prawo europejskie, nie zawężając tematyki pracy do tego tylko systemu prawnego. Podstawowymi dokumentami, które w ramach tego opracowania zo- staną poddane analizie, będą: 1. Rekomendacja Organizacji Współpracy Gospodarczej i Rozwoju (OECD) z dnia 23 września 1980 r., w sprawie wytycznych regulują- cych ochronę prywatności i przepływ danych osobowych przez grani- ce (dalej: wytyczne OECD z 1980 r.). 2. Konwencja nr 108 Rady Europy o ochronie osób w związku z automa- tycznym przetwarzaniem danych osobowych (dalej: konwencja Rady Europy nr 108). 3. Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 paź- dziernika 1995 r. w sprawie ochrony osób fizycznych w zakresie prze- twarzania danych osobowych i swobodnego przepływu tych danych (dalej: dyrektywa 95/46). W celach porównawczych uwzględnione zostały także wytyczne Orga- nizacji Narodów Zjednoczonych w sprawie regulacji skomputeryzowanych zbiorów danych osobowych20 (dalej: wytyczne ONZ z 1990 r.). Rzecz jasna opracowanie nie ogranicza się do analizy tylko tych aktów prawnych. Bar- dzo ważną rolę w zakresie interpretacji tych aktów odgrywają dokumenty wyjaśniające do nich. W szczególności chodzi o memorandum wyjaśniają- ce do wytycznych OECD z 1980 r. oraz raporty wyjaśniające do konwencji Rady Europy nr 108 (do podstawowego jej tekstu z 1980 r. oraz do proto- 20 Rezolucja 45/95 Zgromadzenia Ogólnego Narodów Zjednoczonych z dnia 14 grudnia 1990 r. 15 Wprowadzenie kołu dodatkowego do konwencji dotyczącego organów nadzoru i trans- granicznych przepływów danych z 2001 r.). W zakresie interpretacji dy- rektywy 95/46 duże znaczenie mają dokumenty Komisji Europejskiej oraz grupy roboczej ds. ochrony osób fizycznych w zakresie przetwarzania da- nych osobowych, powołanej na podstawie art. 29 dyrektywy 95/46 (dalej: grupa robocza). Nie można zapominać także o orzecznictwie, zwłaszcza Europejskiego Trybunału Praw Człowieka oraz Europejskiego Trybunału Sprawiedliwości. Na zakończenie dla pokazania całości problematyki na- leży dołączyć do powyższego także wybrane rekomendacje Komitetu Mi- nistrów Rady Europy oraz niektóre – inne niż dyrektywa 95/46 – dyrekty- wy europejskie odnoszące się do ochrony danych osobowych. Wszystkie te elementy zostaną uwzględnione w niniejszym opracowaniu. 3. Praca przedstawia zatem te podstawowe rozwiązania z zakresu ochrony danych osobowych, które wyznaczają sytuację jednostki w związ- ku z przetwarzaniem informacji na jej temat. W celu właściwego ukazania tej sytuacji omówione zostaną następujące zagadnienia: Po pierwsze należy ustalić, jakie znaczenie ma ochrona jednostki w ra- mach prawa ochrony danych osobowych. Aby zrealizować to zadanie, akty prawne wyznaczające standardy ochrony danych osobowych zostaną prze- analizowane pod kątem celów, jakie stawia się rozwiązaniom prawnym w tej dziedzinie prawa. Zobaczymy, jakie miejsce w ich ramach zajmuje ochrona jednostki, a także jak jest ona skonstruowana na płaszczyźnie ak- sjologicznej. Szczególne znaczenie ma tu ustalenie, które prawa jednostki potraktowane są jako przedmiot ochrony w kontekście ochrony danych osobowych. Zobaczymy też, jakie cele są uznane za konkurencyjne w sto- sunku do ochrony jednostki. Po drugie wyznaczony zostanie zakres ochrony jednostki w ramach ochrony danych osobowych. Kluczowe znaczenie ma tutaj zdefiniowanie pojęcia „dane osobowe”. Dowiemy się więc, jakie warunki muszą być speł- nione, aby dane podlegały ochronie. Dowiemy się także, jak ukształtowane są aksjologiczne granice ochrony danych, a zatem jak na poziomie europej- skim próbuje się kształtować relacje pomiędzy ochroną danych osobowych a konkurencyjnymi względem niej wartościami, takimi jak bezpieczeństwo państwa, ochrona porządku publicznego czy też inne prawa i wolności, w szczególności powiązane z ochroną danych osobowych przedmiotowo: swoboda wypowiedzi oraz prawo do informacji. Dla zobrazowania pozycji podmiotu danych w ramach ochrony danych osobowych konieczne jest przedstawienie zasad przewodnich ochrony da- 16 Wprowadzenie nych osobowych. Pewną trudność w tym względzie powoduje fakt, że do- tychczas nie został wypracowany powszechnie uznany katalog tych zasad. Poszczególne akty różnią się zarówno co do sposobu jego ukształtowania, jak też zasad, które wymieniają; różnymi katalogami operuje też doktry- na. W tej sytuacji, przy uwzględnieniu pewnych wypracowanych w tym względzie generalnych schematów, zastosowany w pracy układ zasad zo- stał podporządkowany celowi opracowania. I tak kolejno zaprezentowane będą zasady: rzetelności i legalności przetwarzania, minimalizmu, określo- ności celu przetwarzania, zasady co do jakości danych, zagwarantowania wpływu i kontroli osobie, której dane dotyczą, zasady co do bezpieczeń- stwa danych oraz co do uznania pewnych kategorii danych za szczegól- nie godne ochrony (wrażliwe). Zasadnicze znaczenie dla problematyki ochrony jednostki w związku z przetwarzaniem danych osobowych ma kwestia podmiotowych upraw- nień, jakie są zagwarantowane podmiotowi danych w zakresie ochrony. Praca analizuje wszystkie formy wpływu i kontroli przewidziane przez akty na poziomie międzynarodowym i europejskim. W pierwszej kolejności jest to zgoda osoby, której dane dotyczą, następnie uprawnienia informacyj- ne gwarantujące wpływ na treść przetwarzania i związane z podejmowa- niem zautomatyzowanych decyzji, wreszcie indywidualne środki prawne. Rozdział kolejny poświęcony został tym rozwiązaniom, które wpraw- dzie bezpośrednio nie są ukierunkowane na ochronę jednostki, ale pośred- nio w ten właśnie sposób oddziałują. Chodzi tutaj o mechanizmy nadzor- cze i kontrolne, realizowane przez organy ochrony danych osobowych i sądy. Szczególnie te pierwsze mają istotne znaczenie w ramach koncep- cji ochrony danych osobowych, gdyż tworzą najszybszą ścieżkę reagowa- nia na ewentualne nieprawidłowości w ramach procesów przetwarzania. Tak więc praca ukazuje paneuropejskie wymogi co do wprowadzenia me- chanizmów nadzorczych (procedury notyfikacyjne i rejestracyjne, upraw- nienia dochodzeniowe i interwencyjne), jak też współuczestnictwo w tym zakresie organów sądowniczych (procedury prawne i sankcje). Ostatnia część pracy poświęcona jest zagadnieniu transgranicznego przesyłania informacji osobowych oraz ustaleniu prawa właściwego i ju- rysdykcji. Formalnie problematyka ta powinna zostać uwzględniona w ra- mach wcześniejszych rozdziałów (przekazywanie danych osobowych za granicę – w ramach prezentacji zasad ochrony danych osobowych oraz uprawnień podmiotów danych i organów nadzorczych, natomiast kwestia prawa właściwego i jurysdykcji – jako element wyznaczenia granic obo- 17 Wprowadzenie wiązywania ochrony danych osobowych). Taki podział tej problematyki byłby jednak niekorzystny z co najmniej dwóch względów. Po pierwsze ze względu na specyfikę aktów określających standardy ochrony da- nych osobowych – czyli ich międzynarodowego i europejskiego charak- teru – problematyce tej poświęcają one nieproporcjonalnie dużo miejsca. Prezentacja tych zagadnień w ramach omawiania konkretnych rozwią- zań ochronnych wypaczałaby zatem istotę tych rozwiązań, tworząc myl- ne wrażenie, że zostały one opracowane głównie dla zapewnienia ochro- ny w kontekście międzynarodowym. Po drugie funkcjonalne podzielenie materii objętych omawianym rozdziałem pomiędzy różne części pracy utrudniałoby ukazanie spójności tych rozwiązań, a w szczególności właści- we ukazanie mechanizmu, jaki został opracowany dla ochrony interesów jednostki w tym zakresie. Dlatego też mimo świadomości pewnej niedo- skonałości tego zabiegu zdecydowałem, aby problematykę przekazywania danych za granicę oraz ustalenia prawa właściwego i jurysdykcji wydzie- lić i uwzględnić w odrębnej, końcowej części pracy. Zakończenie pracy jest w istocie podsumowaniem analiz przeprowa- dzonych w jej ramach. Zawiera wnioski oraz zbiorcze przedstawienie naj- ważniejszych cech koncepcji i mechanizmów zastosowanych w celu ochro- ny jednostki w związku z przetwarzaniem danych osobowych na jej temat. 4. Na koniec kilka uwag o charakterze redakcyjnym. W opracowaniu używam określenia Komisja Europejska, mimo że ofi- cjalna nazwa tego organu brzmi: Komisja Wspólnot Europejskich. Okre- ślenie to jest jednak powszechnie przyjęte i zrozumiałe. W przypadku aktów i dokumentów powstałych oryginalnie w języ- kach obcych posługuję się ich tłumaczeniami na język polski zawartymi w Dzienniku Ustaw, a w przypadku aktów i dokumentów europejskich – tłumaczeniami zamieszczonymi na stronie internetowej Urzędu Oficjal- nych Publikacji Wspólnot Europejskich EUR-Lex© Wspólnoty Europej- skie, http://eur-lex.europa.eu/. Wersje takie określam mianem „oficjalne”. Tam gdzie uznałem, że polskie tłumaczenie nie oddaje istotnych elemen- tów danego rozwiązania, zamieszczam tłumaczenie własne z dopiskiem „tłumaczenie moje”. Chcąc ująć w jednym wyrażeniu akty prawne z systemu OECD, Rady Europy i prawa europejskiego, które omawiają standardy ochrony danych osobowych, używam określeń „prawo międzynarodowe i europejskie” lub „prawo ponadnarodowe”. Zdając sobie sprawę z prawnej nieprecyzyjno- ści powyższych określeń, posługuję się nimi jako najlepiej oddającymi isto- 18 Wprowadzenie tę tych regulacji z perspektywy tematyki pracy: są to akty wypracowane na poziomie wyższym niż krajowy, stanowią wyraz uzgodnionych w tym względzie ponadnarodowych koncepcji i ustaleń oraz – z uwagi na domi- nację państw europejskich – wyznaczają standard, który z krajowej per- spektywy można określić mianem europejskiego. Rozdział I Cele ochrony danych osobowych A. Ochrona jednostki 1. Podstawowy cel (wartość) przyświecający ochronie danych osobowych sta- nowi ochrona prywatności jednostki. Cel ten jednoznacznie określają zarówno akty międzynarodowe i europejskie wyznaczające standardy ochrony danych, jak też akty prawa wewnętrznego. Za wzorcowe w tym względzie można uznać odwołanie zawarte w konwencji Rady Europy nr 108, która stanowi, że jej celem jest „zapewnienie każdej osobie fizycznej, bez względu na narodowość lub miejsce zamieszkania, poszanowania jej praw i podstawowych wolności na terytorium każdej ze stron konwencji, a w szczególności jej prawa do prywatności w związku z automatycznym przetwarzaniem dotyczących jej danych osobowych («ochrona danych»)”21. Podobne sformułowanie celu możemy odnaleźć także w dy- rektywie 95/46: „zgodnie z przepisami niniejszej dyrektywy, Państwa Człon- kowskie zobowiązują się chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w odniesieniu do prze- twarzania danych osobowych”22. Prywatność i jej ochrona w kontekście celu dyrektywy jest też wielokrotnie wspomniana w jej preambule23. Ten ostatni schemat przyjęły także wytyczne OECD z 1980 r., które cele regulacji określa- ją w preambule i rekomendacjach24. Analogiczne postanowienia możemy 21 Konwencja Rady Europy nr 108, art. 1. 22 Dyrektywa 95/46, art. 1 ust. 1. 23 Zob. preambuła do dyrektywy 95/46, pkt 2, 7, 9, 11, 33, 68. Konwencja Rady Europy nr 108 w swojej preambule zawiera analogiczne odwołanie (zob. zdanie trzecie). 24 W preambule ochrona prywatności wspomniana jest dwukrotnie. Wartość ta wymieniona jest też w rekomendacjach 1 i 2. 21 Rozdział I znaleźć także w aktach prawnych poświęconych ochronie danych osobo- wych na szczeblu państwowym25. Szczególnie wymowne w tym wzglę- dzie są akty prawne kręgu kultury anglosaskiej, gdzie ów szczególny cel niejednokrotnie wyraża się już w samym tytule aktu26, co rzecz jasna nie przeszkadza w zawarciu odpowiednich postanowień także w ich treści27. Ochrona prywatności znalazła się też w tytule wspomnianych wyżej wy- tycznych OECD z 1980 r.28 Całkowite pominięcie odwołania do prywatności jako celu ochrony – chociażby w ujęciu negatywnym29 – jest dość rzadkie, niemniej występu- je. Odpowiednich postanowień nie znajdziemy w brytyjskich aktach praw- nych30 oraz niektórych starszych aktach skandynawskich31. Nie ma ich także w wytycznych ONZ z 1990 r.32. Warto jednak zauważyć, że brak bezpo- średniego odwołania w ustawie nie oznacza automatycznie braku trakto- wania prywatności jako „wartości przewodniej” w doktrynie i judykaturze. Mimo swej ugruntowanej obecności w dziedzinie ochrony danych oso- bowych pojęcie „prywatność” pozostaje dalekie od jednoznaczności33. Jak 25 Zob. Belgia, art. 2; Portugalia, art. 2. 26 Zob. USA (Privacy Act, 1974), Kanada (Privacy Act, 1982). 27 Kanada art. 2; USA art. 2 ust. 2. Analogiczne rozwiązania zawierają odpowiednie ustawy w Australii i Nowej Zelandii, przy czym ochrona prywatności jako cel ustawy określona jest w pre- ambułach. 28 Przypomnijmy, że pełny tytuł aktu to: rekomendacja Organizacji Współpracy Gospodarczej i Rozwoju (OECD) z dnia 23 września 1980 r., w sprawie wytycznych regulujących ochronę pry- watności i przepływ danych osobowych przez granice. 29 Francja, 1978, art. 1, o czym szerzej dalej. 30 Należy to potraktować jako wyraz niechęci do uznania ogólnej koncepcji prywatności w ra- 33 Por. S. Balthazar, Der Schutz der Privatsphäre im Zivilrecht, Eine historisch-vergleichende Unter- suchung zum deutschen, französischen und englischen Recht vom ius commune bis heute, Tübingen 2006, s. 7 i n.; J. Braciak, Prawo do prywatności, Warszawa 2004, s. 28 i n.; C.J. Bennett, Ch.D. Raab, The go- vernance of privacy. Policy Instruments In Global Perspective, Cambridge, Mass.–London 2006, s. 3 i n.; C. Doyle, M. Bagaric, The Right to Privacy: Appealing, but Flawed, International Journal of Human Rights 2005, vol. 9, No 1, s. 4 i n.; D.Q.C. Eady, Opinion: A Statutory Right to Privacy, European Hu- man Rights Law Review 1996, Issue 3, vol. 1, s. 242–253; S.D. Gerber, Privacy and Constitutional Theory (w:) E.F. Paul, F.D. Miller, Jr., J. Paul (red.), The Right to Privacy, Cambridge, England–New York 2000, s.164 i n.; R. Jay, A. Hamilton, Data protection law and practice, London 2003, s. 35; A. Etzioni, The Li- mits of Privacy, New York 1999, s. 183 i n.; P. Jaffey, Rights of Privacy, Confidentiality, and Publicity, and Related Rights (w:) P.L.C. Torremans, Copyright and Human Rights. Freedom of Expression – Intellectu- al Property – Privacy, The Hague–London–New York 2004, s. 157 i n.; S. Le Bris, M. Knappers, Inter- national and Comparative Concepts of Privacy (w:) M. Rothstein (ed.), Genetic secrets: protecting privacy 22 mach prawa angielskiego. –London–New York 2002, s. 38. jego cele. 31 Za L.A. Bygrave, Data protection law. Approaching its Rationale, Logic and Limits, The Hague– 32 Twórcy tego aktu zrezygnowali z jakiejkolwiek klauzuli określającej w sposób generalny dotąd, mimo już ponad stuletniej tradycji posługiwania się nim, nie ma zgo- dy ani co do jego granic, ani co do treści34. Wystarczy w tym miejscu wspo- mnieć, że istnieje kilkaset definicji prywatności i wciąż pojawiają się nowe35. Cele ochrony danych osobowych and confidentiality in the genetic era, New Haven–London 1997, s. 418 i n.; A. Mednis, Prawo do pry- watności a interes publiczny, Kraków 2006, s. 55 i n.; J. Michael, Privacy and Human Rights: Internatio- nal and Comparative Study, with Special Reference to Developments in Information Technology, Hampshi- re, GB 1994, s. 13 i n.; K. Motyka, Prawo do prywatności i dylematy współczesnej ochrony praw człowie- ka, Lublin 2006; s. 137 i n.; W.A. Panagiotides, Der Data Protection Act 1984: zur Geschichte der Daten- schutzgesetzgebung in Grossbritannien, Baden-Baden 1998, s. 31 i n.; M. Puwalski, Prawo do prywatno- ści osób publicznych, Toruń 2003, s. 13 i n.; A. Sakowicz, Prywatność jako samoistne dobro prawne (per se), Państwo i Prawo 2006, z. 1, s. 20 i n.; A. Sakowicz, Prawnokarne gwarancje prywatności, Kraków 2006, s. 70 i n.; J.H.F. Shattuck, Rights of Privacy, New York 1977, s. 145 i n.; J.D. Sieńczyło-Chlabicz, Naru- szenie prywatności osób publicznych przez prasę. Analiza cywilnoprawna, Kraków 2006, s. 25 i n.; R.Q.C. Singh, J. Strachan, The Right to Privacy in England, European Human Rights Law Review 2002, iss. 2, s. 129 i n.; P. Szwedo, Pojęcie prawa do prywatności w orzecznictwie Europejskiego Trybunału Praw Czło- wieka i Europejskiego Trybunału Sprawiedliwości, Transformacja Prawa Prywatnego 2004, nr 1–2, s. 4–7; F. Volio, Legal Personality, Privacy, and the Family (w:) LO. Henkin (ed.), The International Bill of Rights. The Convenant on Civil and Political Rights, New York 1981, s. 185 i n.; J. Weintraub, The Theory and Politics of the Public/Private Distinction (w:) J. Weintraub, K. Kumar (ed.), Public and private in thought and practice: perspectives on a grand dichotomy, Chicago–London 1997, s.1 i n. 34 Kilkanaście najbardziej znanych artykułów wyznaczających kierunki w tym względzie zbie- ra F.D. Schoeman (ed.), Philosophical Dimensions of Privacy: An Anthology, Cambridge–London–New York–New Rochelle–Melbourne–Sydney 1984, s. 1 i n. 35 Przyjęło się porządkować te definicje, grupując je w cztery podstawowe typy: A. Pry- watność jako prawo do bycia pozostawionym w spokoju; B. Prywatność jako prawo do kontroli informacji na swój temat; C. Prywatność jako kontrola dostępu do osoby; D. Prywatność jako au- tonomia jednostki. Do tego należy dodać komplementarne względem powyższych tzw. redukcjo- nistyczne podejście do prywatności – E. A. Prawo do bycia pozostawionym w spokoju. Jedna z najstarszych definicji prywatności, po- jawiająca się już w tekstach z XIX wieku (najstarszy z 1832 r.) i spopularyzowana w słynnym arty- kule Warrena i Brandeisa. Ze względu na jej historyczny charakter, a zapewne także swoistą me- dialność (sloganowość), jest ona bardzo chętnie przywoływana po dzień dzisiejszy nie tylko w USA (Sąd Najwyższy USA ostatnio posłużył się nią w 1992 r.), ale także w Europie. Trafiła też do tekstu co najmniej jednej konstytucji (§ 23 konstytucji Florydy). Krytyka podkreśla, że definicja powyż- sza jest jednak z jednej strony zbyt szeroka (stanowi właściwie synonim wolności), z drugiej – pa- radoksalnie – za wąska (nie obejmuje tzw. prywatności informacyjnej). B. Prawo do kontroli informacji na swój temat – tzw. prywatność informacyjna. Utożsamia ona prawo do prywatności z prawem do decydowania o tym „kiedy, jak i w jakim zakresie informacja o kimś ma być komunikowana innym”. Ten typ definiowania prywatności również można odna- leźć w tekstach XIX wieku (1880 r., E.L. Godzin), przy czym w związku z rozwojem społeczeństwa informacyjnego w XX wieku nie traci on, lecz tylko zyskuje na popularności. Krytycy podkreślają, że definicje tego typu nie definiują prywatności, lecz uprawnienia jednostki do obrony przed jej naruszeniem. Podkreślają też, że definicje te są za wąskie (obejmują tylko ujawnienie informacji), przez co nie odpowiadają potocznemu rozumieniu prywatności. C. Prywatność jako kontrola dostępu do osoby. W porównaniu do wyżej omówionych definicje tego typu przesuwają akcent na dostępność do osoby w ogóle – a zatem nie tylko do informacji o niej, ale także do niej samej (w sensie fizycznym), do tego co robi, co przeżywa. W ten sposób prawo do prywatności staje się prawem pozbawienia innych wpływu na nas w pewnych sferach. Zwolenni- 23 Rozdział I Nic zatem dziwnego, że akty prawne z zakresu ochrony danych osobo- wych unikają prób tworzenia własnych definicji, z rzadka tylko podając wyjaśnienie, czym w rozumieniu danego aktu prawnego jest naruszenie prywatności36. Warto zauważyć, że wcale nie musi to oznaczać deprecja- cji prywatności jako kryterium ocennego. Gdy brak powszechnie przyjętej definicji, znaczenie prywatności w rozumieniu danego aktu będzie bo- wiem dekodowane w kontekście zawartych w jego treści zasad przewod- nich37 (tak ich materialnej treści, jak też sposobu ich urzeczywistnienia)38, cy tego typu koncepcji koncentrują się zazwyczaj na określeniu poszczególnych sfer prywatności i stopnia „dostępności” do osoby w ich obrębie. Jak jednak podkreślają krytycy, trudno ustalić, jakie „sfery” taka prywatność obejmuje. W efekcie ochrona prywatności stanowi tylko formalne roszcze- nie o zaniechanie dostępu do nas – nie określa jednak materialnego przedmiotu tego roszczenia. D. Prywatność jako autonomia jednostki. Z problemem powyższym starają się uporać de- finicje traktujące prywatność w kategorii autonomii jednostki. Jak głosi jedna z nich, prywat- ność to „prawo do pewnych społecznie określonych «obszarów»”, w ramach których jednostka ma zagwarantowaną swobodę. W tym ujęciu prywatność nie tylko gwarantuje brak ingeren- cji innych, ale także zapewnia jednostce swobodę podejmowania samodzielnych decyzji. Jest to zarazem największa zaleta, jaki i wada tej definicji. Zaleta, gdyż zbliża definicję do potocz- nego rozumienia prywatności (traktuje prywatność jako „sprawy prywatne”), wada, gdyż po- jęcia prywatności – podobnie jak w przypadku pierwszego typu definicji – także nie daje się odróżnić od pojęcia wolności. E. Podejście redukcjonistyczne. Zakłada ono, że prywatność jako kategoria prawnicza jest po- jęciem zbędnym. Pod pojęciem prywatności (lub prawa do prywatności) rozumie się tak różne zja- wiska, że poza ową wspólną nazwą nie mają one ze sobą wiele wspólnego. W istocie wszystkie mają charakter samodzielny i podlegają ochronie bez potrzeby wykorzystywania kategorii prywat- ności. Gdyby je wszystkie wyprowadzić z zakresu tego pojęcia, prywatność stałaby się zbiorem pu- stym. Innymi słowy prywatność można zredukować do konkretnych uprawnień jednostki, a samo to pojęcie wyeliminować z języka prawnego. A zatem żadne powoływanie się na prywatność nie jest nam potrzebne, skoro możemy odwołać się do dawno już utrwalonych pojęć – powołać się na ochronę tajemnicy korespondencji, nietykalność mieszkania, na prawa autorskie, ochronę własno- ści, nietykalność osobistą, ochronę dobrego imienia, nazwiska itd. Bez wątpienia podejściu takie- mu nie można odmówić racjonalności – po co tworzyć konstrukcje bezużyteczne – niemniej nale- ży podkreślić, że zupełnie ignoruje ono fakt, iż pojęcie prywatności zdążyło już zadomowić się tak w języku potocznym, jaki i prawnym, a zatem jego usuwanie byłoby zabiegiem całkowicie sztucz- nym. Zob. dokładniej M. Jagielski, Konstytucjonalizacja ochrony prywatności (w:) R.M. Małajny (red.), Konstytucjonalizm a doktryny polityczno-prawne. Najnowsze kierunki badań, Katowice 2008. 36 Por. australijska Federal Privacy Act, art. 13; izraelska Protection of Privacy Law, art. 2. Warto za- uważyć, że niechęć do definiowania prywatności dotyczy także sądów. Por. wydane na gruncie bry- tyjskim orzeczenie A v. B C (2002) 3 WLR 542; (2002) EWCA Civ 337; (2003) QB 195; (2002) EMLR 371; (2002) 3 WLR 542; (2002) 2 All ER 545 11 March 2002 UK. 37 A zatem w kontekście wymogu działania w sposób rzetelny i zgodny z prawem, zasady mi- nimalizmu, zasady określoności celu, zasad odnoszących się do jakości danych i ich zabezpiecze- nia czy też zasad określających zakres wpływu i kontroli osoby, której dane dotyczą, nad procesem przetwarzania. Dokładniej zob. s. 78 i n. 38 L.A. Bygrave, Data..., s. 127. 24 Cele ochrony danych osobowych a zatem zostanie lepiej dostosowane do specyfiki przedmiotu ochrony39. Ponadto ów brak skutkuje większą swobodą interpretacyjną, pozwalającą na lepsze dostosowanie wykładni omawianego pojęcia do zagrożeń i wy- zwań, które niesie z sobą tak dynamicznie rozwijająca się dziedzina życia, jaką jest przetwarzanie informacji40 – a zatem zapewni większą elastycz- ność. Wszystko to powoduje, że paradoksalnie brak doprecyzowania poję- cia „prywatność” będzie bardziej sprzyjać podniesieniu poziomu jej ochro- ny niż jej zmniejszeniu41. 2. Warto zauważyć, że w niektórych państwach dla wyrażenia celu, ja- kim jest ochrona prywatności, używa się innych sformułowań. W kręgu kultury germańskiej możemy spotkać odwołanie do pojęcia „osobowo- ści”42, natomiast szwedzka ustawa o ochronie danych osobowych posłu- guje się pojęciem „integralności osobowej”43. Określenia powyższe w od- niesieniu do celu ochrony danych należy potraktować jako funkcjonalne odpowiedniki prywatności44. Niekiedy również doktryna posługuje się in- nymi określeniami wyrażającymi wartości powiązane bezpośrednio z pry- watnością. Jakkolwiek sposób owego powiązania, a co za tym idzie, relacje pomiędzy tymi wartościami a prywatnością w kontekście ochrony danych osobowych mogą być ukształtowane różnie, to jednak należy je potrakto- wać jako komplementarne – przynajmniej w tym sensie, że poprzez wspól- ne oddziaływanie wzajemnie wpływają one na swą treść. W konsekwencji ich realizacja doprowadza z jednej strony do uszczegółowienia, a z dru- giej do poszerzenia celu ochrony. Na pierwszym miejscu wśród tych wartości wymieńmy poczucie indy- widualności jednostki45. Prywatność i ochrona danych osobowych chronią tę wartość wytyczając, granice dostępu do jednostki, przez co wzmacniają po- czucie jej odrębności i ugruntowują jej traktowanie w życiu społecznym 39 Element ten podkreśla D. Elgesem, The structure of rights in Directive 95/46/EC on the protec- tion of individuals with regard to the processing of personal data and the free movement of such data, Ethics and Information Technology 1999, vol.1, s. 291. 40 Zob. P.A. Freund, Privacy: One Concept or Many (w:) praca zbior. pod red. J.R. Pennock, J.W. Chapman, Privacy: Nomos XIII, New York 1971, s. 193–194. 41 Jak się zatem wydaje, pojawiające się czasem w literaturze próby dokonywania ocen istnie- jących definicji prywatności z punktu widzenia potrzeb ochrony danych osobowych mijają się z ce- lem (zob. np. L.A. Bygrave, Data..., s. 128–133). 42 Niem. Persönlichkeit – ustawa szwajcarska z 1992 r., art. 1; ustawa niemiecka z 2003 art. 1 ust. 1. 43 Szwecja z 1998 r., art. 1 (Personuppgriftslagen; personlig integritet). 44 Tak: np. L.A. Bygrave, Data..., s. 125. 45 Ang. individuality. 25 Rozdział I jako indywidualnej osoby46. Podobnie druga wartość: autonomia jednostki. Jest ona wzmacniana poprzez wyznaczenie granic wpływu i kontroli nad jednostką, co zapewnia jej uzyskanie sfery decyzyjnej samodzielności47. Szczególne znaczenie tego pojęcia związane jest z jego konstytucyjnym uznaniem na gruncie prawa48 i nauki49 niemieckiej, skąd rozprzestrzenia- ło się na inne państwa50. Jako kolejną wartość wymieńmy godność człowieka, w odniesieniu do której ochrona prywatności i ochrona danych osobo- wych odgrywają rolę protekcyjną – w tym sensie, że stanowią barierę wo- bec pewnych zachowań, które mogą godności człowieka ubliżyć51. Ana- logicznie sprawa przedstawia się w odniesieniu do wartości określanej jako integralność jednostki52. Gdy wartości te zostaną wzmocnione poprzez 46 J.H. Reiman, Privacy, Intimacy, and Personhood, Philosophy Public Affairs 1976, nr 6, s. 26–44. 47 A.F. Westin, Privacy and Freedom, New York 1967, s. 335. 48 Wyprowadził je (niem. wersja: Informationelle Selbstbestimmung) z konstytucji RFN Federalny Trybunał Konstytucyjny w tzw. Volkszählungsurteil z 15.12.1983 (BverfGE 65, 1). Zob. bliżej M. Knot, Inhalt und Schranken des Rechts auf „Informationelle Selbstbestimmung” nach dem Urteil des Bundesverfas- sungsgerichts zum Volkszählungsgesetz (w:) M. Volkommer (hrsg.), Datenverarbeitung und Persönlichke- itsschutz. Beitr. zu aktuellen Problemen des Datenschutzes in Recht und Praxis, Erlangen–Nürnberg 1986, s. 45 i n.; S. Simitis (hrsg.), Kommentar zum Bundesdatenschutzgesetz, Baden-Baden, 2003, s. 14 i n. 49 M. Albers, Informationelle Selbstbestimmung, Baden-Baden 2005, s. 149 i n.; E. Beckmann, Der Schutz personenbezogener Daten im sozialen Sicherungssystem. Auf der Basis des deutschen, österreichi- schen und europäischen Rechts, Baden-Baden 2000, s. 24 i n.; H. Garstka, Informationelle Selbstbestim- mung – ein Menschenrecht? (w:) T. Heymann (hrsg.), Informationsmarkt und Informationsschutz in Eu- ropa. Rechtliche Fragen – Europäische Harmonisierung, Köln 1995, s. 118 i n.; D. Grimm, Persönlichkeits- schutz im Verfassungsrecht (w:) D. Grimm, P. Schwerdtner, E. Lorenz (hrsg.), Schutz der Persönlichke- it. Karlsruher Forum 1996, Karlsruhe 1997, s. 3 i n.; W. Hoffmann-Riem, Rechtliche Rahmenbedinungen. Informationelle Selbstbestimmung als Grundrecht kommunikativer Entfaltung (w:) H. Bäumler (hrsg.), „Der neue Datenschutz” – Datenschutz in der Informations-gesellschaft von morgen, Kriftel 1998, s. 11 i n.; G. Hornung, Ch. Schnabel, Data protection in Germany I: The population census decision and the right to informational self-determination, Computer Law Security Review 2009, vol. 25, s. 84–88; J. Merati- -Kashani, Der Datenschutz im E-Commerce. Die rechtliche Bewertung der Erstellung von Nutzerprofilen durch Cookies, München 2005, s. 26 i n.; T.W. Schrepfer, Datenschutz und Verfassung. Eine Untersuchung zur verfassungsrechtlichen Relevanz der Erfassung, Aufbewahrung und Weitergabe personenbezogener Da- ten, Bern–Frankfurt am Main–New York 1985, s. 62 i n.; K. Vogelgesang, Grundrecht auf informatio- nelle Selbstbestimmung?, Baden-Baden 1987, s. 17 i n. 50 Por. np. orzeczenia polskiego Trybunału Konstytucyjnego: wyrok z 19.02.2001 U 3/01 (OTK ZU 2002, Nr 1A, poz. 3) i wyrok z 12.12.2005 K 32/04 (OTK ZU 2005, Nr 9A, poz. 107). W literatu- rze polskiej pojęciem tym posługuje się M. Safjan. Por. M. Safjan, Ochrona danych osobowych – gra- nice autonomii informacyjnej (w:) M. Wyrzykowski (red.), Ochrona danych osobowych, Warszawa 1999, s. 9 i n.; M. Safjan, Refleksje wokół konstytucyjnych uwarunkowań rozwoju ochrony dóbr konstytucyjnych, Kwartalnik Prawa Prywatnego 2002, z. 1, s. 233–237; M. Safjan, Wyzwania dla państwa prawa, Kra- ków 2007, s. 101–103. 51 E.J. Bloustein, Privacy as an Aspect of Human Dignity: An Answer to Dean Prosper, New York University Law Review 1964, nr 39, s. 96. 52 O poszanowaniu godności oraz psychicznej i fizycznej integralności człowieka jako celu re- gulacji wspomina Recommendation no. R (81) 1 of the Committee of Ministers to Member States 26
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Prawo do ochrony danych osobowych. Standardy europejskie
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: