Nieuzasadniona fetyszyzacja „blaszaka”(1)

Witold Rygiel

Marzec 2005
 

Pogadanki o przetwarzaniu danych osobowych



Ewie, przesympatycznej “forumowiczce”, poświęcam

 

Zasadniczym błędem jest postrzeganie przepisów ustawy o ochronie danych osobowych wyłącznie w technokratycznym aspekcie przetwarzania takich informacji. Ignorowanie określonych w ustawie generalnych zasad przetwarzania danych, praw osób których dane dotyczą, obowiązku rejestracji prowadzonych zbiorów lub powinności organizacyjnych i personalnych grozi administratorowi danych odpowiedzialnością karną.

W latach 70. i 80. ubiegłego stulecia dostrzeżono w Europie Zachodniej, że gromadzenie
i wykorzystywanie wiedzy o obywatelach przez organy władzy państwowej przy wykorzystaniu błyskawicznie rozwijających się technik informatycznych powodować może zagrożenia dla praw człowieka, całkowicie bezbronnego wobec ogromu wiedzy o nim posiadanego zarówno przez władzę, jak i podmioty sfery prywatnej. Zaistniała zatem konieczność zagwarantowania jednostce, ograniczonego wszakże, minimum komfortu psychicznego w tym zakresie. W efekcie, w porządku prawnym państw Unii Europejskiej pojawiły się regulacje, zwane potocznie przepisami o ochronie danych osobowych.

Sejf, hasło i wartownik

Prawo do ochrony prywatności - w tym danych osobowych (nie są to pojęcia tożsame) - znajdziemy w dwóch artykułach Konstytucji Rzeczypospolitej Polskiej. Art. 47 gwarantuje nam prawo do prywatności [1], natomiast art. 51, odnoszący się do ochrony danych osobowych, jak też przynależnego nam prawa do informacji publicznej, godny jest pełnego zacytowania:

  1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.

  2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.

  3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.

  4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.

  5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

W dniu 30 kwietnia 1998 roku weszła w życie polska ustawa o ochronie danych osobowych [2] (dalej: uodo). W zasadzie już sam tytuł omawianego aktu prawnego budzi kontrowersje. W rzeczywistości jego poprawna, lecz trudna do zapamiętania, powtórzenia i rozbioru logicznego nazwa [3], winna brzmieć: ustawa określająca zasady przetwarzania danych osobowych oraz prawa osób, których dane osobowe poddawane są takiemu przetwarzaniu. Niestety większość społeczeństwa, czerpiąc wiedzę z doniesień medialnych [4], a nie z lektury aktów prawnych, orzecznictwa sądów i fachowego piśmiennictwa, tkwi w przekonaniu, że przetwarzane przez dowolny podmiot dane osobowe podlegają surowemu, jak w łagrze, reżimowi nadzoru, polegającemu na przechowywaniu papierzysk z informacjami osobopoznawczymi w opancerzonych szafach (na straży których dodatkowo stoi uzbrojony po zęby wartownik) lub w pamięciach komputerów zabezpieczonych w sposób budzący bezsilność sieciowych włamywaczy.

W praktyce od tego zaczyna się i na tym się kończy ogólnospołeczne postrzeganie ustawy. Prawda o przetwarzaniu danych jest jednak bardziej skomplikowana, co spróbuję udokumentować w dalszych częściach cyklu „Pogadanek”, pisanych obecnie dla serwisu www.iniejawna.pl . Warto podkreślić, że ustawa poddana została w ubiegłym roku obszernej i znaczącej merytorycznie nowelizacji, ukierunkowanej na zapewnienie rodzimym przepisom zgodności z Dyrektywą 94/46/EC Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych.

Dane błahe, dane wrażliwe

Art. 6 ust. 1 uodo stanowi, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zasadne jest więc twierdzenie, że danymi osobowymi są „informacje odnoszące się do każdego aspektu osoby, jej stosunków osobistych i rzeczowych, jej życia zawodowego, prywatnego, wykształcenia, wiedzy czy cech charakteru. Nie ma znaczenia, w jakiej roli występuje danym przypadku osoba (np. członka rodziny, członka grupy zawodowej, czy przedsiębiorcy)” [5]. Definicyjne zawężenie omawianego pojęcia do „osoby fizycznej” bezspornie wskazuje, że przepisów uodo nie stosuje się do przetwarzania informacji o podmiotach innych niż osoby fizyczne oraz osób zmarłych.

Podkreślenia wymaga okoliczność, że zasadniczym warunkiem uznania informacji, jako danych osobowych w rozumieniu ustawy, jest możliwość zidentyfikowania osoby, czyli –
w myśl art. 6 ust. 2 uodo – określenia jej tożsamości „bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.” Stosunkowo prosta i nieskomplikowana jest kwestia codziennego, powszechnego posługiwania się nadanymi nam numerami identyfikacyjnymi (PESEL, NIP, numery dowodu osobistego, paszportu, prawa jazdy) - w wielu życiowych sytuacjach nie zastanawiamy się nawet nad zasadnością żądania od nas takich informacji przy załatwianiu spraw w urzędach, zawieraniu umów, podczas wizyt u lekarza, czy prośby o wystawienie faktury za nabywany produkt lub usługę. Natomiast do „nienumerycznych” wyznaczników określających tożsamość osoby zaliczyć można tak wieloraką ilość informacji, że nie podejmuję się ich wyliczania. Zwracam jedynie uwagę na wzrastające niebezpieczeństwo dla interesów jednostki, wynikające z coraz powszechniejszego przetwarzania ludzkich danych biometrycznych (barwa głosu, wzór siatkówki oka, kształt linii papilarnych, geometria ręki), co pomóc ma rzekomo w zwalczaniu terroryzmu, a w rzeczywistości służyć może wdrożeniu totalnej inwigilacji zachowań człowieka.

Fundamentalna dla stosowania przepisów uodo kwestia zidentyfikowania lub możliwości identyfikacji osoby na podstawie określonych informacji znalazła niedawno na naszym polskim gruncie swój praktyczny wymiar z chwilą bezprawnego (moim zdaniem) opublikowania w Internecie listy inwentarzowej zasobów archiwalnych Instytutu Pamięci Narodowej. Przypomnijmy, że rzeczona, upubliczniona lista, zawiera imiona, nazwiska oraz numery akt tych osób w IPN. Pozornie więc, możliwość zidentyfikowania konkretnej osoby, w gąszczu ponad 160 000 pozycji, uznać należałoby za wysoce nieprawdopodobną. Pozornie, bo okolicznościami przesądzającymi, że mamy w tym przypadku do czynienia a danymi podlegającymi ustawie o ochronie danych osobowych są:

  • znaczne prawdopodobieństwo zidentyfikowania na tej liście osób mających rzadkie nazwiska, względnie dwa lub trzy imiona;

  • lista stanowi część zbioru danych osobowych IPN. Wobec powyższego pracownicy Instytutu mogą na podstawie sygnatur przyporządkowanych nazwisku dotrzeć do innych szczegółowych informacji o określonej osobie;

  • ilość zer zawartych w sygnaturach to też dane osobowe, bo ten zapis numeryczny jest powiązany z konkretną osobą. Jeśli ta osoba jest identyfikowalna poprzez imię i nazwisko, to skuteczność tej identyfikacji jest jeszcze wyższa. Dodanie zera lub dwóch do nazwiska zawęża pole poszukiwania konkretnej osoby [6];

  • określone grono osób przekazało opinii publicznej poprzez media, że na liście znajdują się ich dane.

Warto też przeciwstawić się powszechnie spotykanym opiniom, że numeru rejestracyjnego samochodu lub numeru indeksu studenta nie można uznawać za dane osobowe. Uważam, że jeśli istnieją możliwości powiązania tych typów informacji z określoną osobą fizyczną, co w praktyce nie jest aż tak trudne, to w takich przypadkach mamy do czynienia z danymi chronionymi na podstawie przepisów uodo. Wypływa stąd kolejny wniosek o niebagatelnym znaczeniu kontekstu w jakim przetwarzane są informacje, będącym częstokroć istotniejszym warunkiem uznania określonych danych za podlegające przepisom omawianej ustawy, niż „surowe” identyfikatory, względnie imiona i nazwiska.

Ustawodawca wyróżnił w omawianych przepisach kategorię danych o szczególnym charakterze, określanych w piśmiennictwie mianem danych „wrażliwych” lub „sensytywnych”, których zasadniczą cechą jest przynależność do sfery naszej prywatności (intymności). Zamknięty ustawowo katalog danych osobowych „wrażliwych” znajdziemy w art. 27 ust. 1 uodo. Za dane tego rodzaju ustawodawca uznał informacje dotyczące:

  • pochodzenia rasowego lub etnicznego,

  • poglądów politycznych,

  • przekonań religijnych lub filozoficznych,

  • przynależności wyznaniowej, partyjnej lub związkowej,

  • stanu zdrowia,

  • kodu genetycznego,

  • nałogów,

  • życia seksualnego,

  • skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

W ustawie mamy zatem do czynienia z danymi „zwykłymi”, wobec których stosuje się stosunkowo złagodzony reżim zasad i warunków przetwarzania, jak też w danymi „wrażliwymi”, których przetwarzanie dozwolone jest wyłącznie na podstawie wyjątków enumeratywnie określonych w art. 27 ust. 2 uodo. Podział ten nie powinien wzbudzać szczególnego zdziwienia. Istnieje wszak niebezpieczeństwo, że podmioty, które mogłyby bezprawnie wejść w posiadanie dotyczących nas danych wrażliwych, miałyby możliwość stosowania wobec nas praktyk dyskryminacyjnych (kwestie zatrudnienia, ubezpieczeń, kredytowania itp.). Pojęcie danych „zwykłych” ma charakter nieostry i otwarty - w odróżnieniu od zamkniętego katalogu danych „wrażliwych”. Warto dodać, że w stosunku do postanowień unijnej Dyrektywy 95/46/EC, polski ustawodawca wykazał się większą wyobraźnią, kwalifikując do katalogu danych „wrażliwych” informacje o przynależności partyjnej, wyznaniowej, kodzie genetycznym i nałogach. Obserwując polskie realia prywatnie przyznaję rację rodzimemu ustawodawcy.

Kiedy powinniśmy sięgnąć po tekst ustawy?

Zazwyczaj wtedy, gdy przyjdzie nam ochota posłużyć się w jakiejś sprawie cudzymi danymi osobowymi lub gdy nasuną nam się wątpliwości, czy zgodnie z prawem KTOŚ przetwarza dotyczące nas informacje. Zapamiętajmy przy okazji, że przetwarzanie danych to „jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”.

Warto też wiedzieć, że omawiana ustawa nie ma zastosowania do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych (art. 3a ust. 1 pkt 1). Wypada sformułować też pewne zastrzeżenie odnośnie zasad przetwarzania danych osobowych dla celów osobistych lub domowych. Jeżeli posługujemy się takimi informacjami wyłącznie w granicach zakreślonych przywołanym przepisem, to nie musimy obawiać się interwencji Generalnego Inspektora Ochrony Danych Osobowych, ani armii potencjalnych pieniaczy (np. kuzyna, nadwrażliwego na punkcie ochrony swojej prywatności, czy byłej sympatii, którą jakiś czas temu porzuciliśmy, ale adres i numer telefonu skrzętnie zachowaliśmy w domowych ewidencjach). Jeśli jednak zgromadzone w domowych archiwach informacje o naszej szeroko rozumianej rodzinie, czy też bliższych lub dalszych znajomych, zamierzalibyśmy wykorzystać w uruchamianej właśnie działalności gospodarczej, to niestety – sięgamy po ustawę i krok po kroku ustalamy, jakich obligacji musimy dochować, by nie spotkać się z zarzutem nieprawnego przetwarzania cudzych danych osobowych.

Przepisów uodo (z pewnymi ograniczeniami) nie stosuje się ponadto do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.

Zakres przedmiotowy ustawy o ochronie danych osobowych określa jej art. 2:

  1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.

  2. Ustawę stosuje się do przetwarzania danych osobowych:

1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,

2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.

Konieczne są w tym przypadku dwie uwagi. Po pierwsze dane osobowe korzystają z ochrony przewidzianej ustawą o ochronie danych osobowych już wówczas, jeżeli tylko mogą znaleźć się w zbiorze, bez względu na to, czy się w nim ostatecznie znalazły, a ustawa w odniesieniu do różnych etapów i rodzajów przetwarzania danych określa jeszcze dodatkowe uprawnienia osób, których dane te dotyczą. Rzecz bowiem w tym, że każdy ma prawo do ochrony dotyczących go danych osobowych, a nie jedynie ten, czyje dane znalazły się już w zbiorze [7]. Po drugie w piśmiennictwie wiele kontrowersji wzbudza rozumienie pojęcia „zbiór danych osobowych”. Zgodnie z art. 7 pkt 1 uodo przez zbiór danych rozumie się „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Wszelkie cechy zbioru danych, według jego ustawowej definicji, spełnia dla przykładu oprogramowanie bazodanowe wykorzystywane przy przetwarzaniu danych z wykorzystaniem komputera. Natomiast uzasadnione wątpliwości towarzyszą traktowaniu, jako zbioru danych osobowych, ewidencji, wykazów, spisów, kartotek lub akt, do których dostęp zapewnia tylko jedno kryterium wyszukiwawcze – skorowidz alfabetyczny lub numeryczny. Gdy dokonamy rozproszenia akt zgromadzonych w szafach komórki kadrowej, ułożonych w porządku alfabetycznym, niespełniony będzie wszakże ustawowy warunek ich dostępności. Analogicznie ma się sytuacja w przypadku rozproszenia fiszek kartotecznych lub ułożonych w pewnym określonym porządku list, wykazów i innej „papierologii stosowanej”. Są to w rzeczywistości ZESTAWY, a nie ZBIORY danych.

Niestety, Generalny Inspektor Ochrony Danych Osobowych nieugięcie obstaje przy stanowisku, że tego rodzaju zestawy są zbiorami danych. A skutki tej gry słów są niebagatelne, bo na administratorach danych ciążą bardziej dolegliwe obowiązki wobec zbioru, niż zestawu danych osobowych [8].

¨¨Witold Rygiel

W następnym odcinku między innymi:

· Na czym polega obowiązek informacyjny administratora danych?
· Czy ustawa o ochronie danych osobowych dotyczy wojska?
· Zasady przetwarzania danych osobowych.

Przypisy:

[1] „Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym”
[2] Tekst pierwotny: ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 113, poz. 883).
[3] O poprawności językowej nie wspomnę.
[4] Ze szczególnym uwzględnieniem teleogłupiacza.
[5] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Zakamycze 2004.
[6] „Wildstein złamał prawo”. Wywiad z Wacławem Zimnym, „Trybuna” z dnia 4 lutego 2005r.
[7]Postanowienie Sądu Najwyższego - Izba Karna z 2000-12-11, II KKN 438/00, OSNKW 2001, Nr 3, poz. 33.
[8] Jest to temat na kolejną pogadankę.