Ochrona dóbr osobistych i danych osobowych
Piotr Waglowski
1. Dobra osobiste
Dobra osobiste przysługują wszystkim osobom fizycznym.
Mają charakter niemajątkowy, nie mogą być przenoszone (są niezbywalne), nie można się ich zrzec, a gasną wraz ze śmiercią podmiotu uprawnionego.
Kodeks cywilny wymienia pewien przykładowy katalog takich dóbr: zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska.
Dobra te chronione są przez prawo cywilne niezależnie od ochrony przyznanej im na podstawie innych przepisów.
Otwarty katalog dóbr osobistych powiększa się m.in. w wyniku orzecznictwa sądowego. Obejmuje - poza wskazanym katalogiem – również dobra osobiste związane ze sferą życia prywatnego, rodzinnego i strefą intymności.
Dobra osobiste przysługują odpowiednio również osobom prawnym.
Sformułowanie „odpowiednio” oznacza, że osoby prawne nie są chronione dokładnie tak samo, jak osoby fizyczne. Osoba prawna nie ma np. wizerunku, które to pojęcie odpowiada - w pewnym uproszczeniu - temu, co można zarejestrować (wizerunek to prawie tyle, co zdjęcie, rysunek danej osoby fizycznej, czasem mowa o innych rodzajach wizerunku, np. w przypadku, gdy rejestrujemy czyjąś wypowiedź).
Dobra osobiste osób prawnych to „wartości niemajątkowe, dzięki którym osoba prawna może funkcjonować zgodnie ze swym zakresem działań”.
Ochrona dóbr osobistych obejmuje zarówno ochronę w przypadku naruszenia dóbr, ale również w przypadku ich zagrożenia. Ochrona przysługuje jednak tylko w przypadku zagrożenia lub naruszenia bezprawnego. Istnieją pewne przesłanki, które wyłączają bezprawność. Można tu wymienić zgodę uprawnionego, działanie oparte na przepisie prawnym lub realizujące prawo podmiotowe, działanie w obronie uzasadnionego interesu społecznego Działanie zagrażające lub naruszające czyjeś dobra osobiste może również polegać na zaniechaniu.
Ochrona danych osobowych
Problematyka ochrony danych osobowych regulowana jest w Polsce przepisami Konstytucji RP
(m.in. w zakresie prawa do prywatności), ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Ustawa o ochronie danych osobowych i akty wykonawcze
Ustawa o ochronie danych osobowych reguluje: zasady postępowania przy przetwarzaniu danych osobowych, prawa osób fizycznych, których dane są lub mogą być przetwarzane, wprowadza też zasady zabezpieczania przetwarzanych danych osobowych, procedurę rejestracji zbiorów danych osobowych, procedurę przekazywania danych osobowych do państw trzecich oraz sankcje karne związane z naruszeniami prawa o ochronie danych osobowych.
Ustawa również ustanawia Generalnego Inspektora Danych Osobowych jako naczelny organ ochrony danych osobowych oraz określa jego kompetencje.
Pojęcie danych osobowych
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zgodnie z ustawą o ochronie danych osobowych osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilku specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości konkretnej osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Danymi osobowymi będą zarówno dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i dane, które są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia, pomimo że nie pozwalają na jej natychmiastową identyfikację.
W jednej z decyzji, które dotyczyły danych udostępnionych przez użytkowników serwisu internetowego nasza-klasa.pl, a które dotyczyły skarżącego, Generalny Inspektor Ochrony Danych Osobowych zakwestionował uznanie za dane osobowe informacji o imieniu i nazwisku skarżącego, w połączeniu z informacjami o nazwie i adresie szkoły podstawowej oraz oznaczeniu klasy, do której uczęszczał, wraz z jego wizerunkiem z 1978/1979 roku.
Dane osobowe można podzielić na dane osobowe zwykłe i dane osobowe wrażliwe.
Przepisy ustawy o ochronie danych osobowych wprowadzają w stosunku do pewnych kategorii danych zakaz ich przetwarzania
Katalog danych wrażliwych jest katalogiem zamkniętym i obejmuje on:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub filozoficzne,
- przynależność wyznaniową, partyjną lub związkową,
- dane o stanie zdrowia,
- kodzie genetycznym,
- nałogach,
- życiu seksualnym,
- dane dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Przetwarzanie danych
Ustawa definiuje pojęcie przetwarzania danych osobowych, które rozumie jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się
w systemach informatycznych.
Ustawa nie definiuje poszczególnych form przetwarzania danych (z jednym wyjątkiem),
w związku z czym należy w stosunku do nich stosować właściwe definicje słownikowe.
Wyjątkową formą przetwarzania danych jest usuwanie danych.
Usuwanie danych jest jedyną formą przetwarzania, która nie wymaga wyrażenia zgody przez osobę, której dane dotyczą.
Zbiór danych podlega zgłoszeniu celem rejestracji w Biurze Generalnego Inspektora Ochrony Danych Osobowych z wyjątkami, które wprost wynikają z przepisów ustawy.
Takim wyjątkiem objęty jest m.in. zbiór danych osobowych przetwarzanych w związku
z zatrudnieniem u administratora danych (tj. zbiorów obecnych i byłych pracowników, a także kandydatów do pracy) oraz świadczeniem administratorowi danych usług na podstawie umów cywilnoprawnych (np. na podstawie umowy zlecenia, umowy o dzieło).
Przepisy zwalniające z obowiązku rejestracji zbiorów nie zwalniają administratora z innych obowiązków, takich jak np. stosowanie wymaganych prawem środków bezpieczeństwa związanych z przetwarzaniem danych, oraz obowiązków informacyjnych.
Z przetwarzaniem danych związane jest również pojęcie administratora danych, czyli m.in. organu, jednostki organizacyjnej, a także niektórych innych podmiotów wymienionych w ustawie, które decydują o celach i środkach przetwarzania danych.
Administratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest sam przedsiębiorca, a nie jego organy, czy osoby fizyczne zasiadające
w organach przedsiębiorcy
Jedną z przesłanek pozwalających na przetwarzanie danych, jest zgoda osoby, której dane dotyczą.
Zgody na przetwarzanie danych osobowych nie wolno domniemywać lub dorozumiewać
z oświadczeń woli o innej treści. Przetwarzanie danych osobowych jest dopuszczalne jedynie wtedy, gdy osoba, której te dane dotyczą, wyrazi na to zgodę (wyjątkiem jest przetwarzanie danych osobowych polegające na usunięciu dotyczących jej danych). Z treści oświadczenia woli o wyrażeniu zgody na przetwarzanie danych osobowych powinno wynikać, iż wyrażający zgodę z pełną świadomością godzi się na to, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażenie zgody na przetwarzanie danych może obejmować również przetwarzanie w przyszłości, o ile cel przetwarzania nie ulegnie zmianie.
Zgoda na przetwarzanie danych, wyrażona w formie pisemnej przez osobę, której dane dotyczą, stanowi jedną z przesłanek umożliwiających przetwarzanie danych „wrażliwych”.
Obowiązek informacyjny
Poinformowanie o fakcie przetwarzania danych osobowych jest jednym z obowiązków ciążących na podmiocie przetwarzającym dane osobowe (administratorze danych).
Zagadnienia organizacyjne i techniczne przetwarzania danych
Administrator danych obowiązany jest zastosować środki techniczne i organizacyjne, które,
w zależności od kategorii przetwarzanych danych oraz zagrożeń, zapewnią odpowiednią ochronę przetwarzanym danym. Administrator danych prowadzi dokumentację, opisującą sposób
przetwarzania danych oraz środki podjęte w celu ich ochrony. W szczególności, administrator danych powinien zabezpieczyć dane przed:
- udostępnieniem osobom nieupoważnionym,
- zabraniem przez osobę nieuprawnioną,
- przetwarzaniem z naruszeniem ustawy,
- zmianą, utratą, uszkodzeniem lub zniszczeniem.
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby upoważnione przez administratora danych. Administrator obowiązany jest prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych. Ma również obowiązek zapewnienia kontroli nad tym, kto, kiedy i jakie dane wprowadził do systemu przetwarzającego dane osobowe oraz komu są one przekazywane.
Na dokumentację, prowadzoną przez administratora danych, opisującą sposób przetwarzania
danych oraz środki podjęte w celu ich ochrony, składa się: polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.
Polityka bezpieczeństwa powinna obejmować swoim zakresem wszystkie aspekty zabezpieczania danych osobowych (zarówno dane przetwarzane w systemach informatycznych, jak i w sposób tradycyjny).
W ramach przygotowania polityki bezpieczeństwa administrator powinien przypisać poszczególnym osobom zakres obowiązków związanych z przetwarzaniem danych osobowych, oraz określić: zasoby danych osobowych, procesy istotne dla ciągłości funkcjonowania administratora danych (związane z przetwarzaniem danych osobowych), zagrożenia mające wpływ na zabezpieczanie przetwarzanych danych, podatność systemu informatycznego na zagrożenia, mechanizmy zabezpieczania przetwarzania danych osobowych (w systemie informatycznym i poza takim systemem), ryzyko po wdrożeniu mechanizmów
zabezpieczających.
Polityka bezpieczeństwa przetwarzania danych osobowych powinna zawierać m.in. określenie obszaru przetwarzania danych osobowych poprzez przygotowanie wykazu budynków, pomieszczeń, części pomieszczeń, w których dane te są przetwarzane (niezależnie od tego, czy przetwarzanie prowadzone jest w sposób tradycyjny, czy też w systemie informatycznym), wykaz zbiorów danych osobowych oraz wskazanie programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych, wskazujący zawartość poszczególnych pól informacyjnych oraz wzajemne ich powiązania, sposób przepływu danych pomiędzy poszczególnymi systemami, określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia danym poufności, integralności oraz rozliczalności (tzn. możliwości przypisania działań podmiotu w sposób jednoznaczny wyłącznie temu podmiotowi).
Instrukcją zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, można m.in. określić procedury przyznawania użytkownikowi identyfikatora
w systemie informatycznym lub przyznania uprawnień do przetwarzania informacji, metody
i środki uwierzytelniania użytkowników takiego systemu, procedury tworzenia kopii zapasowych, itp. Instrukcja może również zawierać procedurę postępowania w przypadku stwierdzenia naruszenia bezpieczeństwa systemu informatycznego, przetwarzającego dane osobowe.
Wskazaną wyżej dokumentację prowadzi (w formie pisemnej) oraz wdraża administrator danych. Przez wdrożenie należy rozumieć opublikowanie dokumentacji i zapoznanie z nią osób upoważnionych do przetwarzania danych osobowych oraz osób, mogących mieć wpływ na bezpieczeństwo przetwarzanych danych. Administrator danych powinien również zorganizować szkolenia dla osób upoważnionych do przetwarzania danych osobowych, które swoim zakresem obejmowałyby kwestie zawarte w polityce bezpieczeństwa i instrukcji.
Poziomy bezpieczeństwa przetwarzania danych
Poziom podstawowy stosuje się, gdy w systemie informatycznym nie przetwarza się danych „wrażliwych”, a także, gdy żadne z urządzeń należących do systemu nie jest połączone z siecią publiczną. W takim systemie stosuje się następujące środki bezpieczeństwa:
obszar, w którym przetwarza się dane osobowe, zabezpiecza się przed dostępem osób nie-
uprawnionych; osoby nieuprawnione mogą przebywać w tym obszarze jedynie za zgodą administratora danych lub w obecności osoby upoważnionej,
system informatyczny przetwarzający dane osobowe wyposażony jest w mechanizm kontroli dostępu do tych danych, system informatyczny służący do przetwarzania danych osobowych zabezpiecza się przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego oraz utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej, identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie, w przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni; hasło składa się co najmniej z 6 znaków, dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych; kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem i usuwa niezwłocznie po ustaniu ich użyteczności.
Jeśli w systemie przetwarza się dane „wrażliwe”, ale nadal żadne z urządzeń należących do systemu nie jest połączone z siecią publiczną, wówczas mamy do czynienia z poziomem podwyższonym, w którym należy za...
gosia1984_22