Szczególne przesłanki przetwarzania danych II
2) Podejmowanie automatycznych rozstrzygnięć w indywidualnej sprawie
Zgodnie z art. 26a ust. 1 Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym. Innymi słowy, zakaz sformułowany w art. 26a dotyczy sytuacji, w których:
a) zostało podjęte ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą;
b) jest to rozstrzygnięcie automatyczne, tj. jego treść jest wyłącznie wynikiem operacji na danych osobowych prowadzonych w systemie informatycznym;
c) nie jest to rozstrzygnięcie sprawy indywidualnej podjęte podczas zawierania lub wykonywania umowy, uwzględniające wniosek osoby, której dane dotyczą (A. Drozd, Ustawa, s. 156), lub rozstrzygnięcie, które nastąpiło na podstawie przepisów prawa, które przewidują również środki ochrony uzasadnionych interesów osoby, której dane dotyczą[1].
Z kolei zgodnie z ust 2 administrator nie jest zobowiązany powyższym zakazem jeśli:
a) rozstrzygnięcie zostało podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą;
b) zezwalają na to przepisy prawa, które przewidują również środki ochrony uzasadnionych interesów osoby, której dane dotyczą;
Ponadto zakaz z ust. 1 nie ma zastosowania jeżeli podejmowane rozstrzygnięcie nie jest ostateczne tj. niewywołujące skutków prawnych bądź innych istotnych konsekwencji dla osoby, której dane dotyczą, np. automatyczny wybór adresatów przesyłek reklamowych[2] a także kiedy rozstrzygnięcie jest ostateczne, ale zostało podjęte nie tylko w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym (np. rozstrzygnięcie tylko w części zostało "zautomatyzowane")[3].
Bardzo ciekawa jest sama geneza wprowadzenia tego artykułu. Komentowany przepis został wprowadzony nowelą z dnia 25 sierpnia 2001 r. Jest on wzorowany (choć niezbyt dokładnie) na regulacji przyjętej w dyrektywie 95/46/WE (art. 15) i ma neutralizować niebezpieczeństwa wynikające - jak to podkreślono w uzasadnieniu rządowym ustawy nowelizacyjnej - z rozwoju informatyki, a w szczególności jego konsekwencje w postaci zagrożenia praw jednostki w procesie podejmowania decyzji w sprawach indywidualnych wyłącznie na podstawie automatycznego przetwarzania danych osobowych. Chodzi tu o sytuacje, gdy pewien stopień swobody i ryzyka zarazem, jaki związany jest z ocenianiem przez człowieka innej osoby, zostaje usunięty i zastąpiony przez komputerowo sterowane systemy rozstrzygania (systemy eksperckie) oraz ocenę wystawianą wyłącznie przez komputer. Można twierdzić, że u podstaw regulacji wyrażonej w art. 26a u.o.d.o. leży myśl, że wydawanie rozstrzygnięć zawierających ocenę osoby i przez to dotykających jej praw osobistych nie powinno być przekazywane komputerom; za tego rodzaju decyzje powinien być zawsze odpowiedzialny człowiek. Przyjęte w dyrektywie i polskiej ustawie rozwiązanie odpowiada też koncepcji "prawa do informatycznego samookreślenia się" i sprzeciwia się ignorowaniu indywidualności jednostki ludzkiej, degradowaniu jej do roli obiektu komputerowych operacji[4].
3) Numerowanie
Bardzo często administratorzy prowadzący zbiory danych numerują zestawy danych, dotyczących poszczególnych osób – samodzielnie albo na podstawie ustaw; słowem nadają im numery porządkowe. Numer taki określa więc miejsce danych dotyczących konkretnej osoby w systemie ewidencjonującym osoby fizyczne. Można wyróżnić:
- numery stosowane w ewidencji ludności,
- pozostałe numery porządkowe[5].
Zgodnie z art. 28 ust. 2 Numery porządkowe stosowane w ewidencji ludności mogą zawierać tylko oznaczenie płci, daty urodzenia, numer nadania oraz liczbę kontrolną. W Polsce takim numerem jest PESEL.
Do pozostałych numerów porządkowych można zaliczamy np. NIP, NUSP, REGON. Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w tych systemach ewidencjonujących osoby fizyczne (art. 28 ust. 3).
4) Udostępnianie danych
Z dniem 7.3.2011 r. ustawodawca uchylił przepisy art. 29 i 30 regulujące udostępnianie danych osobowych. Tym samym te formy zaczęły podlegać ogólny zasadom i wymagają spełnienia przesłanek wynikających bądź z art. 23 bądź z art. 27[6].
Szukając odpowiedzi związanych z udostępnianiem danych (choć nie tylko) warto zajrzeć na stronę GIODO http://www.giodo.gov.pl/1520007/ można tam znaleźć wiele ciekawych case’ów np.
- Czy za nieuprawnione udostępnienie danych osobowych odpowiedzialność ponosi administrator danych, czy osoba, która faktycznie do tego dopuściła (np. pracownik firmy)?
- Czy Generalny Inspektor Ochrony Danych Osobowych może nakazać udostępnienie dokumentów zawierających dane osobowe?
- Czy na podstawie ustawy o ochronie danych osobowych można żądać udostępnienia informacji z gminnego zbioru meldunkowego?
[1] P. Barta, P. Litwiński, Ustaw o ochronie danych osobowych, Warszawa 2015, s. 302-303.
[2] E. Ehmann, M. Helfrich, Dateschutzrichtlinie. Kurzkommentar, Koln 1999, s. 321.
[3] Por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 565.
[4] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 480.
[5] S. Hoc, T. Szewc, Ochrona danych osobowych i informacji niejawnych, Warszawa 2014, s. 53
[6] Ibidem, s. 54.