Ograniczenia i wyłączenia stosowania ustawy cz. II

Przypadki kiedy ustawa o ochronie danych osobowych w ogólne nie znajduje zastosowania zostały wskazane w art. 3a, 4 i 5.

Osoby fizyczne przetwarzające dane w celach osobistych lub domowych

Zgodnie z art. 3a ust. 1 pkt 1) ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych. Ustawa nie definiuje przy tym, na czym mają polegać te dwa cele przetwarzania danych osobowych. Należy je więc interpretować w powiązaniu z treścią art. 3 OchrDanOsU – jako wyjątek od wskazanej tam zasady ogólnej[1]. Poza regulacją ustawową pozostawiono przetwarzanie danych przez osoby fizyczne, dokonywane wyłącznie w celach osobistych lub domowych; najbardziej typowe przykłady to gromadzenie danych w osobistych notatnikach, notebookach i domowych komputerach. Jeżeli te warunki dotyczące celu przetwarzania danych są spełnione, to nie ma istotnego znaczenia, czy zbieranie, przetwarzanie dokonywane jest "osobiście" czy przez inną osobę. Nie ma również znaczenia sposób pozyskania danych oraz ich rodzaj, np. czy są to dane sensytywne[2].

Celem osobistym i domowym nie jest na pewno realizacja celów statutowych (gdyż nie są one realizowane przez osoby fizyczne jako takie). Pewne wątpliwości wzbudzać może jednak określenie działalności zawodowej i zarobkowej, gdyż jak już wskazano (por. komentarz do art. 3), pojęcia te, odmiennie od pojęcia działalności gospodarczej, nie zakładają wykonywania czynności w sposób ciągły i zorganizowany. Czynności zarobkowe (a więc zakładające zysk) lub też zawodowe (wykorzystujące profesjonalizm) dokonywane okazjonalnie mogą mieć charakter osobisty lub domowy[3]. W związku z powyższymi uwagami, nie można z góry wykluczyć sytuacji, w której działalność zarobkowa, niebędąca działalnością gospodarczą, będzie miała charakter osobisty lub domowy[4]. Jako przykład działalności zarobkowej, mającej cechy realizacji celów osobistych można wskazać przetwarzanie danych osobowych w związku z uczestniczeniem w aukcjach elektronicznych, jeżeli nie jest dokonywane w związku z prowadzoną działalnością gospodarczą[5].

W odniesieniu do "celów domowych", zdaniem autorów (przyp. autorzy komentarza do ustawy o ochronie danych osobowych - P. Barta, P. Litwiński) , należy się opowiedzieć za wykładnią wskazującą, że chodzi o cele domowe nie tylko osoby fizycznej przetwarzającej dane osobowe, lecz także o cele jej "domostwa", wspólnoty domowej. Na takie rozumienie tego przepisu wskazuje brzmienie dyrektywy 95/46/WE, która w angielskiej wersji językowej posługuje się pojęciem household activities[6].

Podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujące środki techniczne znajdujące się na terytorium RP wyłącznie do przekazywania danych

Ustawy nie stosuje się do tzw. transferu (tranzytu) danych przez terytorium Polski dokonywanego przez podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim. Warunkiem wyłączenia stosowania polskich przepisów jest to, aby środki techniczne znajdujące się na terytorium RP były wykorzystywane wyłącznie do przekazywania danych. Wyłączenie to odpowiada regule określonej w art. 4 ust. 1 lit. c in fine dyrektywy 95/46/WE. Chodzi tu o przekaz danych bez ingerowania w treść przekazywanych informacji. Omawiane wyłączenie nie obejmuje sytuacji, w których przekazywane przez terytorium naszego kraju dane podlegają w trakcie przekazu jakimkolwiek modyfikacjom czy też są w jakikolwiek sposób wykorzystywane[7]. Nie jest istotne, czy podmiot przekazujący czy odbierający dane ma siedzibę w państwie trzecim, istotna jest okoliczność, że podmiot będący dysponentem środków technicznych znajdujących się na terenie RP był podmiotem z siedzibą lub miejscem zamieszkania w państwie trzecim[8].