Cenne dane

Często zdarza się nam znajdować w skrzynce pocztowej ulotki reklamowe zaadresowane bezpośrednio do nas, choć nigdy nie udostępnialiśmy naszych danych osobowych firmie-nadawcy. Prawdopodobnie jakaś instytucja lub firma, która nasze dane posiadała, sprzedała je bez naszej wiedzy innej. To jeden z wielu przykładów naruszenia obowiązującej od czterech lat ustawy o ochronie danych osobowych. Czy ta ustawa rzeczywiście chroni nasze prawo do prywatności?

Niechciane ulotki to jedno z mniej uciążliwych naruszeń ustawy, bo przecież reklamówki można wyrzucić bez czytania. Gorzej, gdy instytucja, która posiada nasze chronione poufnością dane, wyrzuca na śmietnik tony dokumentów bez ich obowiązkowego zniszczenia. Takie przypadki już się zdarzały: a to bank robił porządki, a to urząd miejski przy okazji remontu pozbył się „niepotrzebnych” papierów. Inne przykłady naruszania naszych praw to np. przetwarzanie danych osobowych bez naszej zgody, ujawnianie ich niepowołanym osobom, odmowa wglądu do nich, czy wreszcie – patrząc od drugiej strony – odmowa udzielenia jawnych informacji przez urzędników, będąca nadinterpretacją ustawy o ochronie danych osobowych (kiedy np. nie możemy się dowiedzieć adresu poszukiwanej przez nas osoby).

Każdy obywatel ma prawo do ochrony swojej prywatności. Sprawa ochrony danych została w Polsce uregulowana dopiero w drugiej połowie lat 90. Przesłanką do uchwalenia osobnej ustawy był art. 51 Konstytucji, który mówi, że nikt nie może być zmuszony do ujawniania informacji dotyczących swojej osoby inaczej niż na podstawie ustawy oraz, że władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie. Wg Konstytucji każdy ma też prawo do wglądu i możliwości sprostowania danych dotyczących jego osoby. Na tej bazie zbudowano osobną ustawę, która weszła w życie 30 kwietnia 1998 r. Ustawa miała na celu swego rodzaju „ucywilizowanie” obrotu danymi i ochronę prawną obywateli przed nadużyciami ze stronę podmiotów tymi danymi operującymi..

Podstawowym pojęciem są same „dane osobowe”. W myśl ustawy jest to każda informacja, dotycząca osoby fizycznej, pozwalająca na określenie tożsamości tej osoby. Drugim ważnym pojęciem jest „przetwarzanie danych”, czyli operacje polegające na zbieraniu, utrwalaniu, przechowywaniu, opracowywaniu, zmienianiu, udostępnianiu i usuwaniu wszelkich informacji o osobach prywatnych. Dotyczy to wszelkich danych i zbiorów danych w systemach informatycznych oraz kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.

Instytucje i podmioty dysponujące danymi określa się w ustawie mianem administratorów. Można ich podzielić na dwie grupy:

1. organy państwowe i samorządowe oraz niepaństwowe podmioty realizujące zadania publiczne, przetwarzające dane niezbędne do wykonywania określonych przez prawo zadań realizowanych dla dobra publicznego
2. osoby fizyczne i prawne, które przetwarzają dane w celach zarobkowych, zawodowych lub dla realizacji celów statutowych.

Na każdym administratorze spoczywa obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Muszą dbać o to, by dane były przetwarzane zgodnie z prawem, zbierane jedynie dla oznaczonych i zgodnych z prawem celów i nie poddawane dalszemu wykorzystaniu po realizacji tych celów. Ustawa nakłada na administratora szereg obowiązków wobec osoby, której dane zbiera i przetwarza. M.in. musi on poinformować ją o celu zbierania danych, prawie do ich wglądu i dobrowolności (lub obowiązku) ich podania, musi też podać swoje dane adresowe. Administrator ma też obowiązek zgłosić prowadzenie zbioru danych do Generalnego Inspektoratu Ochrony Danych Osobowych. Rozporządzenie MSWiA z 30 czerwca 1998 (Dz.U. 98.80.521) nakłada na administratora posługującego się systemem komputerowym szereg zabezpieczeń, np. zabezpieczenie komputerów (hasła, zasilanie awaryjne), rejestrowanie wszystkich operacji na danych, wyznaczenie osoby dbającej o bezpieczeństwo danych itp.

Szczególną ochroną otoczone są tzw. dane wrażliwe, dotyczące np. preferencji seksualnych, poglądów politycznych, wyznania, stanu zdrowia, pochodzenia etnicznego. Ich przetwarzanie jest możliwe tylko w określonych sytuacjach, tzn. gdy osoba, której dane dotyczą, wyrazi na to pisemną zgodę, gdy przepis szczegółowy innej ustawy zezwala na przetwarzanie takich danych bez jej zgody, ale stwarza pełną gwarancję ich ochrony, jest to niezbędne do wykonywania zadań statutowych kościołów lub organizacji, których członkiem jest dana osoba lub przetwarzanie danych dotyczy informacji, które są niezbędne do dochodzenia praw przed sądem.

Jeszcze bardziej rygorystycznie chronione są dane dotyczące skazań, orzeczeń o ukaraniu, mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Takie dane można przetwarzać wyłącznie na podstawie przepisów szczegółowych innej ustawy.

Kary za naruszanie ustawy są dość rygorystyczne, np. za przetwarzanie danych w sposób sprzeczny z ustawą grozi nawet do 2 lat więzienia (jeśli dotyczy to „danych wrażliwych”, do 3 lat), za nielegalne udostępnianie danych osobom nieupoważnionym przewidziano do 2 lat pozbawienia wolności.

Dla sprawowania kontroli nad realizacją ustawy powołano urząd Generalnego Inspektoratu Ochrony Danych Osobowych. Generalny Inspektor jest wybierany na czteroletnią kadencję, a do jego zadań należy kontrola przetwarzania danych, wydawanie decyzji administracyjnych, rozpatrywanie skarg i prowadzenie rejestru zbiorów danych. Inspektorzy GIODO mają prawo kontroli zbiorów danych, żądania wyjaśnień, a nawet przesłuchiwania osób odpowiedzialnych za przetwarzanie danych.

Przez cztery lata funkcjonowania ustawy na jaw wyszły jej mankamenty, m.in. niezgodność z dyrektywą Unii Europejskiej 95/46/EC, brak tzw. klauzuli prasowej ułatwiającej dostęp do pewnych informacji dla dziennikarzy. Ustawa utrudnia też pracę naukowcom, którzy mają problem z uzyskaniem danych statystycznych (np. zachorowalność na różne choroby w danej grupie wiekowej). Drażni też nadinterpretacja przepisów przez urzędników, którzy często zupełnie bez powodu powołują się na przepisy. Mimo wszystko widać ogromny postęp na drodze do cywilizowania stosunków na linii obywatel-państwo (instytucja, firma). Kilka procesów za złamanie przepisów pokazało, że należy się z ustawą liczyć i że zwykły szary człowiek ma coraz większą pewność, że jego interesy są chronione. Zbliża nas to do Europy, choć ustawodawców czeka jeszcze wiele pracy, by wyłapać wszystkie błędy.