Zasady przetwarzania danych osobowych (cz. I)

Punktem wyjścia dla rozważań dotyczących zasad przetwarzania danych osobowych jest art. 26 u.o.d.o. stanowiący nakaz zachowania szczególnej staranności podczas przetwarzania danych osobowych. Art. 26 wprost stanowi, że administrator danych powinien dołożyć „szczególnej staranności”. W literaturze zarysowały się dwa stanowiska dotyczące interpretacji użytego w ustawie pojęcia szczególnej staranności[1]. Zgodnie z pierwszym z nich szczególna staranność to staranność najwyższa od osoby prowadzącej cudze sprawy. Naruszeniem obowiązku jej dołożenia jest najmniejsze choćby niedbalstwo lub opieszałość[2]. Stanowisko konkurencyjne istoty pojęcia szczególnej staranności upatruje w kategorii tzw. staranności zawodowej – administrator danych osobowych jest obowiązany dochować staranności nie tyle w podwyższonym poziomie, ile staranności szczególnej, rozumianej jako staranność związana z jego działalnością[3]. 

Ustawa posługuj się generalnym określeniem „interesy osób których dane dotyczą”, nie precyzując o jakie interesy chodzi. Niewątpliwie należy mieć tu na uwadze przede wszystkim interesy związane z poszanowaniem prywatności czy nawet intymności, z samodzielnym kształtowaniem własnego wizerunku wobec innych ludzi oraz różnych sytuacji niekiedy także z prawem do dobrej sławy. Administrator powinien uwzględniać zarówno niemajątkowe jak i majątkowe interesy osób, których te dane dotyczą[4].

Artykuł wskazuje pięć zasad, które powinien spełnić administrator przetwarzający dane osobowe:

a)     zasada legalności

b)    zasada celowości

c)     zasada merytorycznej poprawności

d)    zasada adekwatności

e)     zasada ograniczenia czasowego[5].

W zasadach tych nie ujęto zasady rzetelności, którą wprowadza dyrektywa 95/46/WE a także Konwencja 108. W nauce prawa zwrócono uwagę, iż wymóg ten w polskim porządku prawnym, chociaż wyraźnie w ustawie nieustanowiony, powinien przybrać postać nakazu przetwarzania danych osobowych zgodnie z zasadami współżycia społecznego, jako że zasady te stanowią część szeroko pojętego porządku prawnego[6].   

Zasada legalności oznacza, że wszelkie czynności dot. przetwarzania danych osobowych muszą być zgodne z prawem. Chodzi tu o zgodność nie tylko z komentowaną ustawą (art. 23) ale także z wszelkimi normami prawa zarówno tymi już istniejącymi w momencie wejścia w życie Wynika stąd konieczność zbierania danych metodami dozwolonymi przez prawo, przestrzegania materialnych przesłanek przetwarzania danych[7], a także istnienia podstawy kompetencyjnej do przetwarzania danych przez podmioty publiczne[8].  Mogą one bowiem działać tylko w wypadku gdy zezwala im na to przepis prawa[9].

Zasada celowości wprowadza obowiązek zbierania danych tylko dla oznaczonych zgodnych z prawem celów. O celu zbierania danych decyduje administrator, jeże jednak administrator jest podmiotem publicznym, wówczas cele przetwarzania danych wyznaczane są każdorazowo przepisami przyznającymi kompetencję do przetwarzania danych[10]. W przypadku zbierania danych od osób których one dotyczą, administrator danych osobowych, w tym należący do sfery publicznej, ma obowiązek zakomunikować cel zbierania danych osobom, których dane dotyczą. Cel przetwarzania danych powinien być zakomunikowany przed ich pozyskaniem; chodzi o to, aby zainteresowani znali go najpóźniej w momencie, w którym zbierane są ich dane osobowe[11]. Poza tym można twierdzić, że z nałożonego w ustawie na administratora danych obowiązku zapewnienia, aby znajdujące się w jego dyspozycji dne nie były przetwarzane dalszemu przetwarzaniu niezgodnemu z cele, w którym zostały zebrane, wynika nakaz sprawdzenia przez administratora, do czego osoba, która zabieg u niego o udostępnienia danych, ma zamiar je wykorzystać, względnie (przynajmniej) nakaz zobowiązania tej osoby do posługiwania się udostępnionymi jej danymi jedynie do tych samych (określonych) celów[12].  Z zasady związania celem wynika także zakaz wykorzystywania danych znajdujących się w różnych zbiorach prowadzonych przez tego samego administratora w sposób niezgodny z celami prowadzenia tych zbiorów[13]. Koniczność przetwarzania danych wyłącznie w celu, dla którego dane te zostały zebrane, pociąga za sobą zakaz zmiany celu w trakcie przetwarzania. Nie jest to jednak zakaz bezwzględny ponieważ ustawa przewiduje dwa wyjątki w art. 26 ust. 2, w których ustawodawca dopuszcza zmianę celu przetwarzania:

a)     w celach badań naukowych, dydaktycznych, historycznych lub statystycznych;

b)    z zachowaniem przepisów art. 23 i 25.

W doktrynie pojawiły się wątpliwości co do spełnienia przesłanek z ust. 2. Janusz Barta, Paweł Fajgielski i Ryszard Markiewicz w swoim komentarzu[14] stoją na stanowisku, że obie przesłanki powinny być spełnione kumulatywnie. Takie samo stanowisko zajął Naczelny Sąd Administracyjny w wyroku z dnia 5.2.2003 r.[15]. Z kolei Wacław Zimny w artykule „Udostępnienie danych osobowych w trybie art. 29 ustawy o ochronie danych osobowych” stoi na stanowisku, że względy celowościowe przemawiają za tym, by między punktami a) i b) postawić stosować łącznik „lub” zamiast „i”.

(w ninjeszym artykule wykorzystano fragmenty pracy magisterskiej autorki)