Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00156 005918 13103562 na godz. na dobę w sumie
RODO. Przewodnik dla adwokatów i aplikantów adwokackich - ebook/pdf
RODO. Przewodnik dla adwokatów i aplikantów adwokackich - ebook/pdf
Autor: , , Liczba stron: 213
Wydawca: C. H. Beck Język publikacji: polski
ISBN: 978-83-812-8772-2 Data wydania:
Lektor:
Kategoria: ebooki >> prawo i podatki
Porównaj ceny (książka, ebook, audiobook).

Praktyczny przewodnik poświęcony ochronie danych osobowych w polskim porządku prawnym, ze szczególnym uwzględnieniem rozwiązań w tym zakresie przyjętych w rozporządzeniu Parlamentu Europejskiego i Rady  (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (określanym powszechnie jako RODO - Rozporządzenie o ochronie danych).

Przewodnik kierowany jest przede wszystkim do adwokatów, aplikantów adwokackich, członków organów samorządu adwokackiego oraz wszystkich pozostałych przedstawicieli zawodów prawniczych. Ponadto przewodnik może okazać się przydatny dla każdej osoby zainteresowanej materią ochrony danych osobowych w polskim porządku prawnym i rozwiązaniami w zakresie ochrony danych osobowych wynikającymi z przepisów RODO.

Dużą wartość publikacji stanowi przedstawienie w przejrzysty sposób metodyki pracy adwokatów, aplikantów adwokackich, kancelarii prawnych oraz organów samorządu adwokackiego w zakresie ochrony danych osobowych w kontekście wymogów wynikających z przepisów RODO. Przewodnik ma charakter praktycznego opracowania, odnoszącego się do kluczowych problemów w zakresie ochrony danych osobowych ujawniających się w praktyce adwokackiej na tle przepisów RODO. Nadrzędnym celem publikacji jest wskazanie adwokatom, aplikantom adwokackim i członkom organów samorządu adwokackiego podstawowych zasad postępowania w zakresie ochrony danych osobowych, które pozostają zgodne z rozporządzeniem RODO. Dodatkową zaletą książki są wzory dokumentów z zakresu ochrony danych osobowych, które uwzględniają wszystkie wymogi wynikające z przepisów RODO oraz wyciągi z wybranych aktów prawnych.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Rozdział I. Konstytucyjne i ustawowe uwarunkowania ochrony danych osobowych w polskim porządku prawnym 1. Wprowadzenie Przedmiotem prezentowanego rozdziału jest określenie, jakie są konstytucyjne i usta- wowe uwarunkowania ochrony danych osobowych w polskim porządku prawnym. Na- leży już w tym miejscu wyraźnie podkreślić, że niniejszy rozdział ukierunkowany jest na przedstawienie ogólnego standardu ochrony danych osobowych w polskim porząd- ku prawnym – wynikającego z polskiej ustawy zasadniczej oraz przepisów ustawowych i europejskich – istniejącego do momentu rozpoczęcia stosowania przepisów rozporzą- dzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobod- nego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE1 (RODO)2. Standard ten – jako mający charakter generalny – dotyczy szerokiego spektrum podmiotów prze- twarzających dane osobowe i odnosi się również do adwokatów i aplikantów adwokac- kich3. Wywód w powyżej wskazanym zakresie stanowi punkt wyjścia do zrekonstru- owania standardu ochrony danych osobowych przewidzianego przez przepisy RODO i do kompleksowego przedstawienia – w dalszych rozdziałach tej książki – metodyki pracy adwokatów, aplikantów adwokackich, kancelarii prawnych i organów samorządu adwokackiego na tle zmian wprowadzanych w polskim porządku prawnym przez prze- pisy RODO. Prowadzone w niniejszym rozdziale rozważania zostają ukierunkowane zarówno na przedstawienie standardu ochrony danych osobowych wyznaczonego przez Konstytu- cję RP z 2.4.1997 r.4, jak i na zrekonstruowanie – szeroko rozumianego – ustawowego stan- dardu ochrony danych osobowych w polskim porządku prawnym, istniejącego do mo- mentu rozpoczęcia stosowania przepisów RODO i wyznaczonego przez różne regulacje 1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochro- ny osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego prze- pływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119/1 z 4.5.2016 r.). 2 W świetle art. 99 ust. 2 RODO ma zastosowanie od 25.5.2018 r. 3 Zob. w tym zakresie m.in. P. Poniatowski, Ochrona danych osobowych przetwarzanych przez adwokatów, SIL 2017, vol. XXVI, 2, s. 87 i n. 4 Konstytucja Rzeczypospolitej Polskiej z 2.4.1997 r. (Dz.U. Nr 78, poz. 483 ze zm. i sprost.). 1 rangi ustawowej. Co przy tym istotne, ustawowy standard ochrony danych osobowych w polskim porządku prawnym istniejący do momentu rozpoczęcia stosowania przepi- sów RODO zostaje zrekonstruowany – na potrzeby tego rozdziału – w oparciu o przepisy ustawy z 29.8.1997 r. o ochronie danych osobowych1 oraz w oparciu o inne, przykładowo wybrane, przepisy ustawowe, stanowiące regulację sektorową w tym zakresie. Ponad- to – dla kompletności wywodu – wskazane powyżej rozważania na temat ustawowego standardu ochrony danych osobowych w polskim porządku prawnym uwzględniają, od- działujące na ten standard, regulacje wynikające z Dyrektywy 95/46/WE Parlamentu Eu- ropejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie prze- twarzania danych osobowych i swobodnego przepływu tych danych2 (dalej także jako „Dyrektywa 95/46/WE”), które zostały uchylone dopiero przez przepisy RODO. 2. Konstytucyjny standard ochrony danych osobowych w polskim porządku prawnym 2.1. Konstytucyjne prawo do prywatności a ochrona danych osobowych Przedstawiając konstytucyjny standard ochrony danych osobowych w świetle prze- pisów Konstytucji RP, należy – w moim przekonaniu – dokonać na wstępie komplekso- wej analizy dogmatyczno­prawnej przepisów polskiej ustawy zasadniczej statuujących prawo do prywatności. Wskazane przepisy – odczytywane w powiązaniu z, wprowadza- jącymi w tym zakresie podobne standardy do konstytucyjnych, innymi regulacjami rangi ponadustawowej odnoszącymi się do tej kwestii i wynikającymi z szeroko rozumianego prawa europejskiego3 (zarówno z ogólnej regulacji prawa do prywatności zagwarantowa- nej w art. 8 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolno- ści4, jak i z regulacji dotyczących zagadnienia ochrony danych osobowych wynikających z art. 8 Karty Praw Podstawowych5 oraz z art. 16 Traktatu o funkcjonowaniu Unii Euro- pejskiej6) – pozwalają bowiem zrekonstruować podstawowe założenia konstytucyjnego 1 Ustawa z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.). 2 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. UE L 281 z 23.11.1995 r.). 3 Na ten temat zob. szerzej m.in. E. Łętowska, Prawo do prywatności w Europie, Materiały edu- kacyjne przygotowane w ramach programu Socrates Gruntvig Action 1 – Law through Expercience, http://www.psep.pl/grundtvig/6/prawo_do_prywatnosci.pdf; dostęp 3.4.2018 r. 4 Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności sporządzona w Rzymie 4.11.1950 r., zmieniona następnie Protokołami nr 3, 5 i 8 oraz uzupełniona Protokołem nr 2 (Dz.U. z 1993 r. Nr 61, poz. 284). Jak wskazuje art. 8 ust. 1 EKPCiPW: „Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji”. 5 Karta praw podstawowych Unii Europejskiej z 7.12.2000 r. (Dz.Urz. UE C 326/391 z 26.10.2012 r.). Stosownie do treści art. 8 ust. 1 Karty Praw Podstawowych: „Każdy ma prawo do ochrony danych osobowych, które go dotyczą”. Równocześnie art. 8 ust. 2 ww. Karty stanowi, że: „Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasad- nionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania”. Ponadto art. 8 ust. 3 przywołanej Karty wskazuje, że: „Przestrzeganie tych zasad podlega kontroli niezależnego organu”. 6 Traktat o funkcjonowaniu Unii Europejskiej (Dz.Urz. UE C 202 z 7.6.2016 r.). Zgodnie z brzmie- niem art. 16 ust. 1 TFUE: „Każda osoba ma prawo do ochrony danych osobowych jej dotyczących”. 2 Rozdział I. Konstytucyjne i ustawowe uwarunkowania ochrony danych osobowych... 2. Konstytucyjny standard ochrony danych osobowych w polskim porządku prawnym standardu ochrony danych osobowych w polskim porządku prawnym. Przepisy te po- zwalają przy tym w kompleksowy sposób ukazać, jakich standardów w zakresie ochro- ny danych osobowych musi przestrzegać ustawodawca zwykły przy regulowaniu ma- terii ochrony danych osobowych, a – tym samym – same per se określają warunki, na jakich powinna być zagwarantowana przez ustawodawcę zwykłego ochrona danych oso- bowych w polskim porządku prawnym. Poza dokonaniem samej tylko analizy dogma- tyczno­prawnej stosownych przepisów Konstytucji RP – odnoszących się do prawa do prywatności – zasadne wydaje się, w mojej ocenie, przywołanie równocześnie wiodą- cych poglądów formułowanych w tym zakresie przez doktrynę oraz judykaturę, w tym przede wszystkim przez Trybunał Konstytucyjny. Na potrzeby dalszych rozważań można sformułować w tym miejscu generalną tezę i wskazać, że konstytucyjne prawo do prywatności wyznacza szerokie gwarancje ochro- ny jednostki przez ingerencją w sferę jej prywatności, również w zakresie ochrony da- nych osobowych, które jej dotyczą. Co przy tym istotne, Konstytucja RP zawiera w swej treści regulacje w sposób bezpośredni i dosłowny odnoszące się do prawa do prywatno- ści, rozumianego jako jedno z praw podmiotowych. Z punktu widzenia systematyki pol- skiej Konstytucji prawo do prywatności stanowi jedno z praw składających się na szero- ki katalog praw i wolności człowieka i obywatela, ujętych w rozdziale II Konstytucji RP1. W odniesieniu do konstytucyjnego prawa do prywatności Trybunał Konstytucyjny w orzeczeniu z 24.6.1997 r. wyraził pogląd, że: „Koncepcja prawa do prywatności zaczę- ła stosunkowo niedawno odgrywać poważniejszą rolę w regulacjach konstytucyjnych i orzecznictwie sądowym. zdołała już jednak zyskać sobie trwałe miejsce we współcze- snych państwach demokratycznych. Stanowią ją zasady i reguły odnoszące się do róż- nych sfer życia jednostki, a ich wspólnym mianownikiem jest przyznanie jednostce pra- wa »do życia własnym życiem układanym według własnej woli z ograniczeniem do niezbędnego minimum wszelkiej ingerencji zewnętrznej« (…)”2. Ponadto w orzeczeniu tym Trybunał uznał, że „(…) prywatność odnosi się też do ochrony informacji dotyczą- cych danej osoby i gwarantuje m.in. pewien stan niezależności, w ramach którego jed- nostka może decydować o zakresie i zasięgu udostępniania i komunikowania innym oso- bom informacji o swoim życiu”3. Warto przy tym poczynić jedną dygresję i wskazać, że w polskim systemie prawnym prawo do prywatności jest elementem nowym, które do momentu uchwalenia Konsty- tucji RP nie było nigdzie sformułowane4. Nie znaczy to jednak oczywiście, że w polskim porządku prawnym prawo do prywatności nie było objęte ochroną prawną jeszcze przed 1997 r. W doktrynie wskazuje się wręcz w tym kontekście, że jeszcze przed 1997 r. – a za- Jak z kolei wskazuje art. 16 ust. 2 ww. Traktatu: „Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów. Zasady przyjęte na podstawie niniejszego artykułu pozostają bez uszczerbku dla zasad szczególnych przewidzianych w artykule 39 Traktatu o Unii Europejskiej”. 1 Rozdział ten jest expressis verbis zatytułowany przez ustrojodawcę „Wolności, prawa i obowiązki człowieka i obywatela”. 2 K 21/96, OTK ZU 1997, Nr 2, poz. 23. Orzeczenie to zostało zatem wydane w stanie prawnym obowiązującym jeszcze przed dniem wejścia w życie Konstytucji z 1997 r. (Konstytucja weszła w ży- cie 17.10.1997 r.). Nie zmienia to jednak faktu, że tezy zawarte w ww. orzeczeniu w pełni zachowują aktualność na gruncie obowiązującej Konstytucji RP. 3 Ibidem. 4 Co przy tym istotne, jedyny wyjątek w tym zakresie stanowiły ówczesne przepisy prawa prasowego, które już wówczas wyraźnie odwoływały się do koncepcji ochrony życia prywatnego. Zob. J. Braciak, Prawo do prywatności, Warszawa 2004, s. 9. 3 tem jeszcze przed wejściem w życie obowiązującej Konstytucji RP – prywatność uzyskała w polskim prawie samodzielny byt1. Początkowo była ona chroniona jako odrębne dobro osobiste, a następnie – po wy- daniu przez Trybunał Konstytucyjny, wskazanego już orzeczenia z 24.6.1997 r. – zaczęła być chroniona jako konstytucyjne prawo do prywatności, które zostało wówczas wypro- wadzone z zasady demokratycznego państwa prawnego2. W przywołanym orzeczeniu Trybunał Konstytucyjny wyraził w tym zakresie między innymi następujący pogląd: „(…) uznanie i zapewnienie należytej ochrony prawu do prywatności jest koniecznym elementem demokratycznego państwa prawa, a tym samym mieści się w ogólnej klauzu- li art. 1 przepisów konstytucyjnych. W dotychczasowym orzecznictwie Trybunału Kon- stytucyjnego ustabilizowało się już przeświadczenie, że zasada demokratycznego pań- stwa prawnego obejmuje swym zakresem także pewne treści materialne, w szczególności powiązane z prawami i wolnościami jednostki. (…) Trybunał Konstytucyjny uważa, że art. 1 przepisów konstytucyjnych daje też podstawy do sformułowania konstytucyjnego prawa do prywatności, rozumianego m.in. jako prawo do zachowania w tajemnicy infor- macji o swoim życiu prywatnym. (…)”3. 2.2. Artykuł 47 Konstytucji RP a ochrona danych osobowych Przedstawiając konstytucyjny standard ochrony danych osobowych – ukształtowany przez przepisy Konstytucji RP, które (w odróżnieniu od wcześniejszych regulacji) zaczęły expressis verbis statuuować prawo do prywatności – zasadne jest, w mojej ocenie, zwróce- nie w pierwszej kolejności uwagi na ogólne regulacje ujęte w art. 47 Konstytucji RP. Sto- sownie do treści tego artykułu: ,,Każdy ma prawo do ochrony prawnej życia prywatne- go, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym”. Trzeba zarazem zaznaczyć, że art. 47 Konstytucji RP gwarantuje wprost prawo do prywatności4. Jednocześnie w doktrynie wyraża się pogląd, że ochronę prywatności (ro- zumianej jako podstawowe prawo człowieka i obywatela) dodatkowo gwarantuje też – na gruncie polskiej ustawy zasadniczej – jej art. 30, stanowiąc, że źródłem wszystkich wolności i praw jest nienaruszalna godność człowieka5. Zgodnie bowiem z brzmieniem prezentowanego artykułu: „Przyrodzona i niezbywalna godność człowieka stanowi źró- dło wolności i praw człowieka i obywatela. Jest ona nienaruszalna, a jej poszanowanie i ochrona jest obowiązkiem władz publicznych”. Mając na względzie użyte przez polskiego ustrojodawcę na gruncie art. 47 Konstytu- cji RP sformułowanie ,,każdy” – oraz uwzględniając charakter prawa do prywatności za- wartego w tym przepisie – można uznać, że prawo do prywatności w ujęciu art. 47 Kon- stytucji RP dotyczy wszystkich osób fizycznych (a nie tylko obywateli polskich). Prawo do prywatności dotyczy – jak należy zarazem podkreślić – tylko osób fizycznych (a nie osób prawnych i innych podmiotów zbiorowych), gdyż tylko one są zdolne do posiada- nia życia prywatnego, rodzinnego, czci i dobrego imienia6. Co więcej, na tej podstawie można też wyciągnąć kolejny – istotny dla prezentowanych rozważań – wniosek i wska- 1 Ibidem. 2 Ibidem. 3 K 21/96, OTK ZU 1997, Nr 2, poz. 23. 4 Zob. Z. Brodzisz, Ochrona prywatności w procesie karnym – porównanie regulacji prawnych polskich i niemieckich, Prok. i Pr. 2013, Nr 4, s. 17. 5 Ibidem. 6 Zob. B. Banaszak, Konstytucja Rzeczypospolitej Polskiej. Komentarz, Warszawa 2012, s. 294. 4 Rozdział I. Konstytucyjne i ustawowe uwarunkowania ochrony danych osobowych... 2. Konstytucyjny standard ochrony danych osobowych w polskim porządku prawnym zać, że skoro każda osoba fizyczna na podstawie tego przepisu ma zagwarantowane pra- wo do prywatności, to już tylko i wyłącznie na tej podstawie jest ona także chroniona przed dowolnym, nieograniczonym procederem przetwarzania danych osobowych jej dotyczących przez wszystkie inne podmioty. W oparciu o utrwalone poglądy doktryny warto równocześnie zwrócić uwagę na okoliczność, że w art. 47 Konstytucji RP uregulowane zostały dwie odrębne sytuacje1. Po pierwsze, zostało w tym przepisie uregulowane prawo jednostki do prawnej ochrony wskazanych w pierwszej części sfer jej życia, a – po drugie – zostało jej przyznane prawo do decydowania w określonych sprawach (wskazanych w drugiej jego części wskazane- go przepisu). Pierwszemu prawu jednostki odpowiada obowiązek władzy państwowej uregulowania w drodze przepisów prawnych tych zagadnień (z czego można wywo- dzić także obowiązek uregulowania zagadnienia ochrony danych osobowych), natomiast drugie prawo posiada w istocie charakter ,,wolności” i polega na wykluczeniu wszelkiej postronnej ingerencji w sferę życia osobistego jednostki2 (a zatem zakłada między inny- mi brak ingerencji w życie osobiste jednostki – wbrew jej woli – poprzez niezgodne z pra- wem przetwarzanie danych osobowych jej dotyczących). W doktrynie prawa konstytucyjnego został ponadto wyrażony pogląd, że art. 47 Konstytucji RP stanowi przepis o pewnym ogólnym zakresie, z kolei kilka następują- cych po nim przepisów konstytucyjnych (art. 48–51) posiada w istocie charakter regulacji szczegółowych, dotyczących poszczególnych aspektów prawa do prywatności3. Można wręcz w tym kontekście uznać za B. Banaszakiem, że art. 47 Konstytucji RP jest swoistą lex generalis dla pozostałych norm konstytucyjnych dotyczących prywatności i regulujących niektóre jej aspekty4. Uwzględniając poczynione w tym miejscu ustalenia, można zauważyć, że generalne stwierdzenia art. 47 Konstytucji RP stanowią wskazówkę, w jaki sposób należy wykła- dać i stosować przepisy odnoszące się do poszczególnych dóbr wchodzących w obręb życia prywatnego5. Artykuł ten stanowi zatem także wskazówkę dla wykładni przepi- sów odnoszących się do tych dóbr wchodzących w obręb życia prywatnego, które do- precyzowują konstytucyjny standard ochrony danych osobowych w polskim porządku prawnym. W odniesieniu do standardu ochrony danych osobowych wyznaczonego przez kon- stytucyjne prawo do prywatności, można przedstawić jednocześnie ogólną tezę i wska- zać, że zaproponowane przez ustrojodawcę uregulowanie prawa do prywatności – po- legające na swoistym rozczłonkowaniu konstytucyjnej regulacji na kilka przepisów i wyszczególnienie poszczególnych komponentów tego prawa – nie jest przypadko- we. Przywołując pogląd orzeczniczy Trybunału Konstytucyjnego wyrażony w wyroku z 12.12.2005 r.6 należy bowiem stwierdzić, że ,,(…) sfera prywatna jest zbudowana z róż- nych kręgów w większym lub mniejszym stopniu otwartych (prawnie) na oddziaływanie zewnętrzne, gdzie konstytucyjna aprobata dla władczego wkroczenia przez władzę nie jest jednakowa. Dzieje się tak dlatego, że konieczna w demokratycznym państwie potrze- ba wkroczenia w różne kręgi prywatności nie jest dla każdego kręgu taka sama. (…)”7. 1 Zob. P. Sarnecki, uwaga 3 do art. 47 Konstytucji RP, [w:] L. Garlicki (red.), Konstytucja Rzeczy- pospolitej Polskiej. Komentarz, Warszawa 2005, s. 1. 2 Ibidem. 3 Ibidem, uwaga 12, s. 4. 4 Zob. B. Banaszak, Konstytucja…, s. 294. 5 Zob. J. Braciak, Prawo…, s. 164. 6 K 32/04, Dz.U. Nr 250, poz. 2116. 7 Zob. w tym kontekście także M. Zubik (red.), Konstytucja III RP w tezach orzeczniczych Trybu- nału Konstytucyjnego i wybranych sądów, Warszawa 2011, s. 285. 5 Uwzględniając zaprezentowany pogląd orzeczniczy, należy zwrócić uwagę na oko- liczność, że rozczłonkowanie konstytucyjnej regulacji odnoszącej się do prawa prywat- ności związane jest w dużym stopniu ze zróżnicowanym poziomem konstytucyjnej aprobaty dla władczego wkroczenia władzy w poszczególne sfery prywatności, a zatem w poszczególne komponenty prawa do prywatności. Na potrzeby prezentowanego roz- działu można przedstawić tezę, że ochrona danych osobowych dotyka tych komponen- tów prawa do prywatności, w stosunku do których wymogi legalności ingerencji władzy postawione są bardzo wysoko (co w pierwszej kolejności ma miejsce w odniesieniu do danych określanych czasem w doktrynie jako „dane wrażliwe”), a konstytucyjna aproba- ta dla takich działań jest z kolei bardzo niska. 2.3. Konstytucyjny standard ochrony danych osobowych wynikający z art. 51 Konstytucji RP Przedstawiając podstawowe założenia konstytucyjnego standardu ochrony danych osobowych wyznaczonego przez konstytucyjne prawo do prywatności, należy także – poza art. 47 – zwrócić szczególną uwagę na art. 51 zasadniczej konstytucji RP. Nawiązu- jąc do ustaleń poczynionych już w prezentowanym rozdziale, można stwierdzić, artykuł ten – składający się (z punktu widzenia jego systematyki) z pięciu ustępów – należy po- strzegać jako jeden z przepisów uszczegóławiających ogólną regulację prawa do prywat- ności z art. 47 Konstytucji RP. Zgodnie z brzmieniem art. 51 ust. 1 Konstytucji RP: „Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby”. Sto- sownie z kolei do treści art. 51 ust. 2 Konstytucji RP: „Władze publiczne nie mogą pozy- skiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w de- mokratycznym państwie prawnym”. Artykuł 51 ust. 3 Konstytucji RP stanowi natomiast, że: „Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa”. Jednocześnie art. 51 ust. 4 Kon- stytucji RP wskazuje, że ,,Każdy ma prawo do żądania sprostowania oraz usunięcia infor- macji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą”. Dodat- kowo – w uzupełnieniu do powyżej wskazanych przepisów – art. 51 ust. 5 Konstytucji RP określa, że „Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa”. Odnosząc się do konstytucyjnego standardu ochrony danych osobowych wynikają- cego z art. 51 Konstytucji RP, warto zwrócić uwagę, w sposób bezpośredni wskazuje on na aspekt ochrony danych osobowych (rozumiany jako jeden z kilku różnych aspektów, poprzez który zagwarantowane jest prawo do prywatności statuowane w art. 47 Konsty- tucji RP). Do powyższej kwestii expressis verbis nawiązał Trybunał Konstytucyjny, który w wyroku z 19.5.1998 r.– wyraził następujący pogląd: „prawo do prywatności, statuowa- ne w art. 47, zagwarantowane jest m.in. w aspekcie ochrony danych osobowych, przewi- dzianej w art. 51. Ten ostatni, rozbudowany przepis, odwołując się aż pięciokrotnie do warunku legalności – expressis verbis w ust. 1, 3, 4 i 5 oraz pośrednio przez powołanie się na zasadę demokratycznego państwa prawnego w ust. 2 – stanowi też konkretyzację pra- wa do prywatności w aspektach proceduralnych”1. Co więcej, wskazany artykuł wprost zapewnia na szczeblu konstytucyjnym konkret- ne gwarancje ochrony danych osobowych. Można przy tym uznać, że gwarancje ochrony danych osobowych na gruncie tego artykułu – za wyjątkiem, odnoszących się wyłącznie do obywateli polskich, gwarancji z art. 51 ust. 2 Konstytucji RP – dotyczą wszystkich osób 1 U 5/97, Dz.U. Nr 67, poz. 444. 6 Rozdział I. Konstytucyjne i ustawowe uwarunkowania ochrony danych osobowych... 2. Konstytucyjny standard ochrony danych osobowych w polskim porządku prawnym fizycznych (a nie tylko obywateli polskich). Pogląd ten wydaje się szczególnie uzasadnio- ny, jeśli gwarancje te odczyta się w powiązaniu z art. 47 Konstytucji RP, dotyczącym pra- wa do prywatności przysługującego wszystkim osobom fizycznym. O tym, że gwarancje ochrony danych osobowych na gruncie art. 51 Konstytucji RP dotyczą wszystkich osób fizycznych przesądzać może też fakt dwukrotnego użycia przez ustrojodawcę na gruncie tego artykułu sformułowania „każdy”. Określenie to wskazuje przy tym wyraźnie, że sformułowane na gruncie art. 51 Konstytucji RP gwarancje ochro- ny danych osobowych (odczytywane w powiązaniu z ogólnymi gwarancjami prawa do prywatności ujętymi w art. 47 Konstytucji RP) powinny być rozpatrywane w kategoriach praw i wolności człowieka i obywatela. Warto zarazem zastrzec, że polski ustrojodawca nie posługuje się wprost w całym art. 51 Konstytucji RP określeniem „każdy”, gdyż w tym artykule ustrojodawca – wska- zując na krąg podmiotów, które mogą być obowiązane w inny sposób niż na podstawie ustawy do ujawniania informacji dotyczących osoby – wprost posłużył się określeniem „nikt”. Nie zmienia to jednak faktu, że również użyte w tym przepisie określenie „nikt” powinno być rozumiane jako „każdy” i odnoszone do wszystkich osób fizycznych. Jedy- ny wyjątek dotyczący zakresu podmiotowego art. 51 Konstytucji RP stanowią przy tym – jak już zasygnalizowano – gwarancje wynikające z art. 51 ust. 2 Konstytucji RP, które do- tyczą wyłącznie obywateli polskich. Z uwagi na swój charakter gwarancje wynikające z art. 51 Konstytucji RP dotyczą zarazem tylko osób fizycznych (a nie osób prawnych czy też innych podmiotów zbioro- wych). Niezależnie do powyższego należy też jednak poczynić dodatkowe zastrzeżenie i wskazać, że art. 51 Konstytucji RP nie ogranicza się wyłącznie do gwarancji ochrony da- nych osobowych, lecz zapewnia on gwarancje ochrony prywatności w szerszym zakresie. W tym kontekście należy podkreślić, że prywatność – chroniona na gruncie konsty- tucyjnym w art. 51 Konstytucji RP – jest pojęciem szerszym niż sama ochrona danych osobowych1. Trybunał Konstytucyjny we wskazanym powyżej wyroku zwrócił w tym kontekście uwagę, że „prywatność odnosi się m.in. do ochrony informacji dotyczących danej osoby i gwarancji pewnego stanu niezależności, w ramach której człowiek może decydować o zakresie i zasięgu udostępniania i komunikowania innym osobom informa- cji o swoim życiu”2. Co zarazem warte podkreślenia, istnieje istotny związek zachodzący pomiędzy prywatnością i ochroną danych osobowych – źródłem obu jest bowiem god- ność ludzka i, co więcej, ich ochrona ma zapewnić nienaruszalność tej godności3. Warto zaznaczyć, że polski ustrojodawca – odnosząc się w art. 51 Konstytucji RP do zagadnienia ochrony danych osobowych – nie posłużył się w sposób bezpośredni takim sformułowaniem, lecz użył on w ustępie pierwszym tego artykułu expressis verbis okre- ślenia „informacje dotyczące osoby”4. Bez względu jednak na powyższe uznać należy, że konstytucyjne gwarancje zawarte w art. 51 Konstytucji RP odnoszą się między innymi do danych osobowych osób fizycznych a sama informacja dotycząca osoby fizycznej (w tym jej dane osobowe) zachowuje swój osobowy charakter do momentu, dopóki możliwe jest ustalenie na jej podstawie tożsamości konkretnej osoby, której ta informacja dotyczy5. W świetle konstytucyjnego standardu ochrony danych osobowych – jak należy wska- zać w oparciu o treść art. 51 ust. 1 Konstytucji RP – „nikt” nie może być obowiązany, co do zasady, do ujawniania informacji dotyczących jego osoby. Wyjątek w tym zakresie 1 Zob. B. Banaszak, Konstytucja…, s. 310. 2 Wyrok TK z 5.5.1998 r. (U 5/97, Dz.U. Nr 67, poz. 444). 3 Ibidem. 4 Na powyższe wskazuje wprost treść art. 51 ust. 1 Konstytucji RP. 5 Zob. B. Banaszak, Konstytucja…., s. 309. 7 wiąże się z zaistnieniem jednej szczególnej przesłanki legalizującej ujawnienie takich da- nych, tj. nastąpi to na podstawie ustawy. Tym samym, na podstawie zaprezentowanego przepisu można uznać art. 51 Konsty- tucji RP – określając konstytucyjny standard ochrony być danych osobowych – wskazu- je na określone uprawnienia osób fizycznych w sferze ochrony ich prywatności (w tym ochrony danych osobowych ich dotyczących). Artykuł 51 ust. 1 Konstytucji RP wprowa- dza mianowicie wymóg zachowania ustawowej formy dla wprowadzenia obowiązku ujawnienia informacji dotyczących osoby (analogiczny wymóg – związany z zachowa- niem ustawowej formy przewiduje też art. 51 ust. 5 Konstytucji RP – dla określenia zasad i trybu gromadzenia oraz udostępniania informacji). Co przy tym istotne, wśród regulacji ustawowych odnoszących się do tych materii należy wspomnieć w szczególności o usta- wie z 29.8.1997 r. o ochronie danych osobowych. W odniesieniu do konstytucyjnego standardu ochrony danych osobowych wynikają- cego z art. 51 Konstytucji RP należy równocześnie zwrócić uwagę, że artykuł ten wska- zuje na szeroki zakres podmiotów zobowiązanych do urzeczywistnienia – przyznanych przez ustrojodawcę – gwarancji ochrony danych osobowych i odnosi się nie tylko do sze- roko rozumianych władz publicznych, ale i do wszelkich podmiotów niepublicznych (podmiotów prywatnych). O powyższym przesądza w szczególności treść art. 51 ust. 1 Konstytucji RP oraz utrwalone poglądy orzecznicze i doktrynalne w tym zakresie1. Trybunał Konstytucyjny w wyroku z 19.2.2002 r. wskazał w tym kontekście, że „Pra- wodawca konstytucyjny w art. 51 ustawy zasadniczej kładzie nacisk przede wszystkim na ochronę jednostki wobec władz publicznych. W ustępie 2 jako podmiot zobowiązany do realizacji prawa, w którym mowa w tym przepisie, wskazane zostały władze publicz- ne. Art. 51 ust. 1 Konstytucji nie określa w sposób jednoznaczny podmiotu zobowiązane- go do realizacji prawa zagwarantowanego w tym przepisie. Oznacza to, że wymieniony przepis konstytucyjny dotyczy wszelkich przypadków, w których jednostka zobowiąza- na zostaje do ujawniania informacji o sobie innym podmiotom, a więc także podmiotom prywatnym. (…) W świetle art. 47 Konstytucji nie ulega jednak wątpliwości, że ustawo- dawca ma konstytucyjny obowiązek zapewnić jednostce odpowiednią ochronę sfery pry- watności nie tylko przed ingerencją ze strony podmiotów publicznych, ale również przed ingerencją ze strony innych jednostek i podmiotów prywatnych” 2. Warto zauważyć, że – w świetle konstytucyjnego standardu ochrony danych osobo- wych – władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać „innych in- formacji o obywatelach niż niezbędne w demokratycznym państwie prawnym”. Na po- wyższe wskazuje wprost art. 51 ust. 2 Konstytucji RP. W tym kontekście – w oparciu o poglądy doktrynalne i orzecznicze – można wskazać, że chociaż nie jest zakazane zbie- ranie przez władze publiczne informacji (nawet bez wiedzy osoby, której te informacje dotyczą), to jednak sposób i zakres pozyskiwanych informacji musi sprostać testowi „ko- nieczności w demokratycznym państwie prawnym”3. W ramach konstytucyjnego standardu ochrony danych osobowych wynikającego z art. 51 Konstytucji RP należy także wspomnieć o – przewidzianym w tym artykule – prawie dostępu przez „każdego” do informacji znajdującej się w posiadaniu organów państwa i samorządu terytorialnego a dotyczącej jego samego (co należy odnosić także do danych osobowych). Na powyższe prawo wskazuje art. 51 ust. 3 Konstytucji RP, któ- 1 Należy przy tym jednak zastrzec, że art. 51 ust. 2 Konstytucji RP – odmiennie niż ma to miejsce w przypadku art. 51 ust. 1 Konstytucji RP – adresowany jest wprost do władz publicznych. 2 Wyr. TK z 19.2.2002 r. (U 3/01, Dz.U. Nr 19, poz. 197). 3 Zob. w tym kontekście w szczególności B. Banaszak, Konstytucja…, s. 313 oraz wyrok TK z 23.6.2009 r. (K 54/07, Dz.U. Nr 105, poz. 880). 8 Rozdział I. Konstytucyjne i ustawowe uwarunkowania ochrony danych osobowych... 2. Konstytucyjny standard ochrony danych osobowych w polskim porządku prawnym ry posługuje się expressis verbis pojęciem „prawa dostępu do dotyczących go urzędowych dokumentów i zbiorów danych”. Ponadto konstytucyjny standard ochrony danych osobowych obejmuje także – ujęte w art. 51 ust. 4 Konstytucji RP – prawo „każdego” do przedstawiania czy też kształtowa- nia swego publicznego obrazu, rysującego się na tle danych (w tym danych osobowych) zebranych przez władzę1. Prawo to wyraża się w możliwości żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 2.4. Regulacja wynikająca z art. 54 ust. 1 Konstytucji RP a ochrona danych osobowych Przedstawiając konstytucyjne uwarunkowania ochrony danych osobowych w pol- skim porządku prawnym – poza dotychczas przedstawionymi przepisami, odnoszą- cymi się do szeroko rozumianego prawa do prywatności (wraz z jego poszczególnymi komponentami, w tym w szczególności z regulacją wynikającą z art. 51 Konstytucji RP) – należy zwrócić uwagę również na art. 54 ust. 1 Konstytucji RP. Przepis ten stanowi, że ,,Każdemu zapewnia się wolność wyrażania swoich poglądów oraz pozyskiwania i roz- powszechniania informacji”. Należy zaznaczyć, że art. 54 ust. 1 Konstytucji RP doprecyzowuje konstytucyjny stan- dard ochrony danych osobowych w polskim porządku prawnym. Co więcej, przepis ten pozwala dookreślić – wynikające z art. 47 i 51 Konstytucji RP – warunki, na jakich po- winna być zagwarantowana przez ustawodawcę zwykłego ochrona danych osobowych w polskim porządku prawnym. Co przy tym istotne, art. 54 ust. 1 Konstytucji RP – w zakresie, w jakim gwarantuje on wolność pozyskiwania i rozpowszechniania informacji – pozostaje niejako w opozy- cji do dotychczas omówionych regulacji konstytucyjnych i na jego podstawie prima fa- cie wydawać się może również dopuszczalne pozyskiwanie i przetwarzanie wszelkich danych osobowych dotyczących osób fizycznych. Analizując jednak omawianą regula- cję w kontekście całokształtu regulacji konstytucyjnych wskazujących na konstytucyj- ny standard ochrony danych osobowych w polskim porządku prawnym, należy w tym miejscu wyraźnie podkreślić, że wolność pozyskiwania i rozpowszechniania informacji – wynikająca z art. 54 ust. 1 Konstytucji RP – nie może być absolutyzowana, zwłaszcza gdy prowadziłoby to do naruszenia innych wartości gwarantowanych konstytucyjnie oraz praw i wolności jednostki2. W tym świetle można wyciągnąć wniosek, że na pod- stawie art. 54 ust. 1 Konstytucji RP nie jest prawnie dopuszczalna zupełna dowolność w procesie pozyskiwania i przetwarzania danych osobowych osób fizycznych, gdyż na- ruszyłoby to szereg innych standardów konstytucyjnych (w tym w szczególności – omó- wione już w tym rozdziale – gwarancje ochrony danych osobowych wynikające z art. 47 oraz art. 51 Konstytucji RP). 1 Zob. B. Banaszak, Konstytucja…, s. 314–315. 2 Ibidem, s. 333. 9 2.5. Przesłanki ograniczeń praw i wolności w ujęciu art. 31 ust. 3 Konstytucji RP a ochrona danych osobowych Rozważając konstytucyjne uwarunkowania ochrony danych osobowych – poza do- tychczas omówionymi regulacjami konstytucyjnymi gwarantującymi prawo do prywat- ności (zarówno w jego ogólnym wymiarze, jak i dotyczącymi jego szczegółowych kom- ponentów) oraz poza regulacją wynikającą z art. 54 ust. 1 Konstytucji RP – warto zwrócić także uwagę na treść jej art. 31 ust. 3. Jest to przepis o charakterze lex generalis, który wskazuje na przesłanki dopuszczalności ograniczeń wszystkich praw i wolności konsty- tucyjnych (niezależnie od tego, czy przepisy szczegółowe odrębnie określają przesłan- ki ograniczania danego prawa i wolności)1. Stosownie do treści przywołanego przepisu: ,,Ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być usta- nawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdro- wia i moralności publicznej, albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw”. W kontekście rozważań na temat konstytucyjnych i ustawowych uwarunkowań ochrony danych osobowych w polskim porządku prawnym należy zwrócić uwagę na okoliczność, że skoro z art. 31 ust. 3 Konstytucji RP wynika założenie, iż w przepisie tym muszą znaleźć swoje uzasadnienie ograniczenia wszystkich praw i wolności konstytu- cyjnych2, to w tym przepisie muszą także znaleźć swoje uzasadnienie ograniczenia tych praw i wolności konstytucyjnych, które wyznaczają konstytucyjny standard ochrony da- nych osobowych. Dotychczas poczynione w tym rozdziale ustalenia wskazują, że cho- dzi w tym przypadku przede wszystkim o – wynikające z polskiej ustawy zasadniczej – gwarancje prawa do prywatności i poszczególnych jego komponentów. W konsekwencji można też wygłosić pogląd, iż art. 31 ust. 3 Konstytucji RP doprecyzowuje konstytucyjne uwarunkowania ochrony danych osobowych w polskim porządku prawnym w ten spo- sób, iż wyznacza on przesłanki dopuszczalności ograniczeń konstytucyjnego prawa do prywatności (czyli prawa określającego podstawowe założenia konstytucyjnego standar- du ochrony danych osobowych). Co więcej, art. 31 ust. 3 Konstytucji RP wyznacza rów- nież przesłanki dopuszczalności ograniczeń wolności pozyskiwania i rozpowszechniania informacji wynikającej z – przywołanego już powyżej – art. 54 ust. 1 Konstytucji RP. Chcąc w sposób skrótowy określić katalog przesłanek dopuszczalności ograniczeń praw i wolności wynikający z art. 31 ust. 3 Konstytucji RP (wpływający na sposób po- strzegania konstytucyjnego standardu ochrony danych osobowych w polskim porząd- ku prawnym), można wskazać, że z przepisu tego wynika zarówno przesłanka formalna (wymóg ustawy), jak i przesłanki materialne (wartości i dobra, których ochrona przema- wia za dopuszczalnością ingerencji w prawa i wolności konstytucyjne: bezpieczeństwo państwa, porządek publiczny, ochrona środowiska, zdrowia i moralności publicznej oraz wolności i praw innych osób). Ponadto art. 31 ust. 3 Konstytucji RP wskazuje na jesz- cze dwie inne przesłanki, stanowiące zakreślenie maksymalnej granicy ingerencji prawo- 1 Zob. L. Garlicki, uwaga 17 do art. 31 Konstytucji, [w:] L. Garlicki (red.), Konstytucja…, s. 16. Zob. w tym zakresie także M. Pisz, Ograniczenia własności i gwarancje jej ochrony w polskim prawie konstytucyjnym, Warszawa 2016, s. 116 i n. 2 Zob. pogląd na ten temat wyrażony przez TK w wyroku z 20.10.2010 r. (P 37/09, Dz.U. Nr 201, poz. 1335). 10 Rozdział I. Konstytucyjne i ustawowe uwarunkowania ochrony danych osobowych... 3. Ustawowy standard ochrony danych osobowych w polskim porządku prawnym... dawcy w prawa i wolności konstytucyjne (do nich zaliczają się konieczność ograniczenia w demokratycznym państwie oraz zakaz naruszania istoty wolności i praw). Mając powyższe na względzie, można stwierdzić, że gwarancje konstytucyjne do- tyczące prawa do prywatności i poszczególnych jego komponentów (a w szczególności wskazane w art. 47 i 51 Konstytucji RP) oraz gwarancje konstytucyjne dotyczące wolności pozyskiwania i rozpowszechniania informacji (wskazane w art. 54 ust. 1 Konstytucji RP) – wyznaczające konstytucyjny standard ochrony danych osobowych w polskim porząd- ku prawnym i określające same per se warunki, na jakich powinna być zagwarantowana przez ustawodawcę zwykłego ochrona danych osobowych w polskim porządku praw- nym – mogą ulec ograniczeniu w konkretnym przypadku tylko przy uwzględnieniu wszystkich przesłanek przewidzianych w art. 31 ust. 3 Konstytucji RP. Ponadto – w za- kresie możliwości pozyskiwania, gromadzenia i udostępniania danych osobowych przez władze publiczne – trzeba pamiętać także i o tym, iż nie mogą być to „inne informacje o obywatelach niż niezbędne w demokratycznym państwie prawnym” (czyli że sposób oraz zakres pozyskiwanych, gromadzonych i udostępnianych informacji musi sprostać testowi „konieczności w demokratycznym państwie prawnym”). Na powyższe wskazuje wprost – omówiony już w tym rozdziale – art. 51 ust. 2 Konstytucji RP. 3. Ustawowy standard ochrony danych osobowych w polskim porządku prawnym obowiązujący do momentu rozpoczęcia stosowania przepisów RODO 3.1. Standard prawny ochrony danych osobowych w polskim porządku prawnym na gruncie przepisów ustawy z 29.8.1997 r. o ochronie danych osobowych Rekonstruując – szeroko rozumiany – ustawowy standard ochrony danych osobo- wych w polskim porządku prawnym, wyznaczony przez różne regulacje rangi usta- wowej, należy w pierwszej kolejności zwrócić uwagę na przepisy ustawy z 29.8.1997 r. o ochronie danych osobowych, stanowiące podstawową i ogólną regulację w tym zakre- sie. Należy wyraźnie zastrzec, że w niniejszym rozdziale zostaną w ogólny sposób wska- zane wyłącznie wybrane przepisy ustawy o ochronie danych osobowych obowiązujące do momentu rozpoczęcia stosowania przepisów RODO, tj. do 25.5.2018 r. Uprzedzając rozważania zawarte w następnym rozdziale, należy przy tym wskazać, że – w związku z wejściem w życie i rozpoczęciem stosowania przepisów RODO – zaczęły być prowa- dzone w polskim porządku prawnym prace legislacyjne nad projektem nowej ustawy o ochronie danych osobowych i przepisów wprowadzających tę ustawę1. Warto zauważyć, że ustawa z 29.8.1997 r. o ochronie danych osobowych expressis ver- bis zagwarantowała prawo do ochrony danych osobowych, przyznając je „każdemu”. Re- gulacja ta – jak można uznać – pozostaje zatem w pełni spójna z konstytucyjnym stan- dardem ochrony danych osobowych, wyznaczonym przez art. 47 i art. 51 Konstytucji RP. 1 Zob. w tym zakresie szerzej rozważania zawarte w następnym rozdziale tej pracy. 11 Na prawo do ochrony danych osobowych wskazuje art. 1 ust. 1 OchrDanychU zgod- nie z brzmieniem którego: „Każdy ma prawo do ochrony dotyczących go danych osobo- wych”. Co więcej, „przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą” (art. 1 ust. 2 OchrDanychU ). Artykuł 2 OchrDanychU wyznacza jej zakres przedmiotowy. Stosownie do treści art. 2 ust. 1 OchrDanychU: „Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych”. Warto jednocześnie podkreślić, że ustawa przewiduje wprost wyłączenie jej zastosowania w odniesieniu do osób fizycznych, które przetwarza- ją dane wyłącznie w celach osobistych lub domowych. Z ustawy z 29.8.1997 r. o ochronie danych osobowych wynika szereg definicji legal- nych – dotyczących takich pojęć, jak choćby „zbiór danych” (art. 7 pkt 1 OchrDanychU1), „przetwarzanie danych” (art. 7 pkt 2 OchrDanychU 2), „administrator danych” (art. 7 pkt 4 OchrDanychU 3), „zgoda osoby, której dane dotyczą” (art. 7 pkt 5 OchrDanychU4) – czy też definicja samego pojęcia danych osobowych. W świetle art. 6 ust. 1 OchrDanychU „(…) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Ustawa z 29.8.1997 r. przewidziała także istnienie specjalnego organu do spraw ochrony danych osobowych. Organem tym jest Generalny Inspektor Ochrony Danych Osobowych (rozdział drugi ustawy). Ponadto – w rozdziale trzecim ustawy z 29.8.1997 r. o ochronie danych osobowych – zostały szczegółowo uregulowane zasady przetwarzania danych osobowych. Z roz- działu tego wynikają między innymi przesłanki legalności przetwarzania danych oso- bowych (ze szczególnym uwzględnieniem przesłanki zgody osoby, której dane doty- czą; art. 23 OchrDanychU 5), obowiązki informacyjne administratora danych (art. 24 i n. OchrDanychU6) czy też instytucja tzw. „danych wrażliwych” (art. 27 OchrDanychU). 1 W rozumieniu ustawy „zbiór danych” jest to „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. 2 W rozumieniu ustawy „przetwarzanie danych” są to „jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”. 3 W rozumieniu ustawy „administrator danych” jest to „”organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych. 4 W rozumieniu ustawy „zgoda osoby, której dane dotyczą” jest to „oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie”. 5 Stosownie do treści art. 23 ust. 1 OchrDanychU: „Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczą- cych jej danych; 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wyni- kającego z przepisu prawa; 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizo- wanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą”. 6 Zgodnie z brzmieniem art. 24 ust. 1 OchrDanychU: „W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) ad- resie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku; 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach od- 12 Rozdział I. Konstytucyjne i ustawowe uwarunkowania ochrony danych osobowych... 3. Ustawowy standard ochrony danych osobowych w polskim porządku prawnym... W świetle art. 27 ust. 1 OchrDanychU: „Zabrania się przetwarzania danych ujawniają- cych pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub fi- lozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych do- tyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wy- danych w postępowaniu sądowym lub administracyjnym”. Poza przywołanymi powyżej regulacjami ustawa z 29.8.1997 r. o ochronie danych osobowych określa także między innymi prawa osoby, której dane osobowe dotyczą (rozdział czwarty ustawy) oraz procedurę zabezpieczenia danych osobowych (rozdział piąty ustawy). Co więcej, z omawianej ustawy wynika także generalny obowiązek re- jestracji zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji, ujęty w jej rozdziale szóstym. Z ustawy wynikają również przepisy karne dotyczące na- ruszenia – wynikających z ustawy – zasad przetwarzania danych osobowych (rozdział ósmy ustawy). 3.2. Standard prawny ochrony danych osobowych w polskim porządku prawnym w świetle innych przepisów ustawowych W celu uzupełnienia, poczynionego powyżej, wywodu na temat ustawowego stan- dardu ochrony danych osobowych w polskim porządku prawnym – istniejącego w dacie rozpoczęcia stosowania przepisów RODO – należy podkreślić, że standard ten został wy- znaczony nie tylko przez ustawę z 29.8.1997 r. o ochronie danych osobowych (stanowią- cą, jak już wskazano, podstawową i ogólną regulację w tym zakresie), ale także przez róż- ne inne regulacje ustawowe, stanowiące tzw. regulacje sektorowe. Regulacje sektorowe odznaczają się tym, że w określonej dziedzinie – regulowanej przez takie ustawy – stano- wią one uzupełnienie ogólnej regulacji ustawowej (czyli ww. ustawy o ochronie danych osobowych) w zakresie różnego rodzaju rozwiązań dotyczących ochrony danych osobo- wych. Egzemplifikując, można wskazać, że jedną z regulacji sektorowych dotyczących ochrony danych osobowych są przepisy ustawy z 26.6.1974 r. – Kodeks pracy1. W tym kontekście należy przede wszystkim zwrócić uwagę na art. 221 KP, który określa, jakich danych osobowych ma prawo żądać pracodawca od osoby ubiegającej się o zatrudnienie i od pracownika. Warto przy tym zauważyć, że zakres danych osobowych, których pracodawca może zażądać od pracownika, jest szerszy niż zakres danych osobowych pozyskiwany od kan- dydata do pracy. Jak bowiem wskazuje art. 221 § 1 KP: „Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) imiona rodziców; 3) datę urodzenia; 4) miejsce zamieszkania (ad- res do korespondencji); 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia”. Jednocześnie art. 221 § 2 stanowi, że: „Pracodawca ma prawo żądać od pracownika poda- nia, niezależnie od danych osobowych, o których mowa w § 1, także innych danych oso- bowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, je- żeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; 2) numeru PESEL pracow- biorców danych; 3) prawie dostępu do treści swoich danych oraz ich poprawiania; 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej”. 1 T.j. Dz.U. z 2018 r. poz.108 ze zm. 13 nika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL)”. Co przy tym istotne, w związku z dokonaną zmianą legislacyjną – wchodzącą w życie 1.1.2019 r. – do art. 221 § 2 KP został także do- dany pkt 3, zgodnie z brzmieniem którego: „Pracodawca ma prawo żądać od pracowni- ka podania, niezależnie od danych osobowych, o których mowa w § 1, także numeru ra- chunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych”. W uzupełnieniu do powyższej regulacji Kodeks pracy wskazuje także, że: „Udostęp- nienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 2” (art. 221 § 3 KP). Ponadto w świetle art. 221 § 4 KP „Pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów”1. 3.3. Ustawowy standard ochrony danych osobowych w polskim porządku prawnym a Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych Nawiązując do uwagi poczynionej we wprowadzeniu do rozważań prowadzo- nych w tym rozdziale, należy podkreślić, że – do momentu wejścia w życie oraz roz- poczęcia stosowania przepisów RODO – na ustawowy standard ochrony danych osobo- wych w polskim porządku prawnym oddziaływały regulacje wynikające z Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fi- zycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. W związku z powyższym należy zaznaczyć, że dalsze rozważania mają na celu przedstawienie kilku podstawowych założeń Dyrektywy 95/46/WE, mających znaczenie dla standardu ochrony danych osobowych istniejącego w polskim porządku prawnym. Warto równocześnie dla przejrzystości wywodu jeszcze raz wyraźnie odnotować, że Dy- rektywa 95/46/WE – po wielu latach obowiązywania w porządkach prawnych państw członkowskich Unii Europejskiej (w tym w polskim porządku prawnym) – została uchy- lona dopiero przez przepisy RODO. W świetle rozważań zawartych w tym rozdziale – zarówno dotyczących RODO, jak i Dyrektywy 95/46/WE – zasadne jest, w moim przekonaniu, poczynienie formalnej dy- gresji i wskazanie miejsca obu regulacji w polskim porządku prawnym. Należy pod- kreślić, że RODO oraz Dyrektywa 95/46/WE stanowią źródła prawa wtórnego Unii Eu- ropejskiej (klasyfikowane, gwoli ścisłości, odpowiednio jako rozporządzenie unijne i dyrektywa unijna) i są one jednocześnie uznawane za część porządku prawnego po- szczególnych państw członkowskich Unii Europejskiej (w tym polskiego porządku prawnego). Warto zwrócić uwagę, że miejsce prawa wtórnego Unii Europejskiej w pol- skim porządku prawnym wyznacza art. 91 ust. 3 Konstytucji RP2. Mając na względzie 1 Co więcej, art. 221 § 5 KP stanowi, że: „W zakresie nieuregulowanym w § 1–4 do danych osobo- wych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych”. 2 Zob. M. Pisz, P. Ochmann, R. Piotrowski (red.), Prawo konstytucyjne. Kompendium, Warszawa 2014, s. 28–29. 14 Rozdział I. Konstytucyjne i ustawowe uwarunkowania ochrony danych osobowych... 3. Ustawowy standard ochrony danych osobowych w polskim porządku prawnym... wskazany przepis1, należy uznać, że zarówno RODO (jako rozporządzenie unijne), jak i Dyrektywa 95/46/WE (jako dyrektywa unijna) stanowią – z perspektywy polskiego po- rządku prawnego – takie źródła prawa powszechnie obowiązującego, które mają szcze- gólną rangę w hierarchii źródeł prawa i pierwszeństwo w przypadku kolizji z ustawami. Co przy tym istotne, RODO – tak jak i wszystkie inne rozporządzenia unijne – dla swojej skuteczności nie wymaga uchwalenia żadnej ustawy implementującej i może być w peł- nym zakresie bezpośrednio stosowane. Dyrektywy unijne z kolei (również Dyrektywa 95/46/WE) wymagają z założenia uchwalenia odpowiednich ustaw implementujących, odzwierciedlających ogólny standard regulacji w nich zawarty. Dokonując przedstawienia podstawowych założeń Dyrektywy 95/46/WE, warto w pierwszej kolejności zasygnalizować, że kluczowym celem jej przyjęcia była harmo- nizacja prawa o ochronie danych osobowych na szczeblu krajowym (w poszczególnych państwach członkowskich Unii Europejskiej). Co przy tym istotne, przepisy Dyrektywy 95/46/WE cechowały się stopniem szczegółowości porównywalnym do obowiązujących wówczas krajowych przepisów dotyczących ochrony danych2 i – równocześnie – z za- łożenia zakładały współistnienie ww. Dyrektywy i – odzwierciedlających jej standardy w zakresie ochrony danych osobowych – regulacji krajowych. Po akcesji Polski do Unii Europejskiej regulacją prawa krajowego – współistniejącą w polskim porządku prawnym z przepisami Dyrektywy 95/46/WE i odzwierciedlającą standardy zawarte w ww. Dyrek- tywie – stała się, przywołana już w tym rozdziale, ustawa z 29.8.1997 r. o ochronie da- nych osobowych. Co przy tym istotne, instytucją właściwą do ustalenia, czy państwo członkowskie wy- pełnia swoje zobowiązania na mocy Dyrektywy 95/46/WE oraz instytucją właściwą do orzekania w trybie prejudycjalnym o ważności i wykładni ww. Dyrektywy w celu za- pewnienia jej skutecznego i jednolitego stosowania w państwach członkowskich stał się Trybunał Sprawiedliwości Unii Europejskiej3. Kognicja wskazanego Trybunału objęła również – co oczywiste – Polskę (po jej akcesji do Unii Europejskiej). Warto ponadto zauważyć, że – w świetle przepisów Dyrektywy 95/46/WE – w za- kresie przyjętych w niej standardów ochrony danych osobowych zostało przewidzia- ne tzw. zwolnienie dotyczące danych o charakterze domowym (odnoszące się do prze- twarzania danych osobowych przez osoby prywatne wyłącznie w celach osobistych lub domowych)4. Innymi słowy, przetwarzanie tego typu danych osobowych – generalnie uznawanych za element wolności osoby prywatnej – nie zostało objęte przepisami ww. Dyrektywy5. A contrario, ochrona danych osobowych – zagwarantowana przez Dyrek- tywę 95/46/WE – odniosła się do szeroko rozumianego procesu ich przetwarzania przez różnego rodzaju podmioty (np. przedsiębiorców) w celach wykraczających poza cele osobiste lub domowe. 1 Przepis ten stanowi, że: „Jeżeli wynika to z ratyfikowanej przez Rzeczpospolitą Polską umowy konstytuującej organizację międzynarodową, prawo przez nią stanowione jest stosowane bezpośred- nio, mając pierwszeństwo w przypadku kolizji z ustawami”. 2 Tak Podręcznik europejskiego prawa o ochronie danych, Luksemburg 2014; http://fra.europa. eu/en/publication/2014/handbook­european­data­protection­law, s. 18; dostęp 6.4.2018 r. 3 Ibidem, s. 19. 4 Ibidem. 5 Analogiczne rozwiązanie zostało przewidziane również na gruncie przepisów RODO. 15
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

RODO. Przewodnik dla adwokatów i aplikantów adwokackich
Autor:
, ,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: