Sakowska-Baryła Marlena, Prawo do ochrony danych osobowych

Możliwe do zaobserwowania u schyłku XX w. postępujące w skali światowej wzajemne przenikanie się technik telekomunikacyjnych, informatycznych i mass mediów przyniosło ten skutek, że epoka cywilizacji przemysłowej zaczęła ustępować miejsca cywilizacji informacyjnej. Jej podstawowym elementem jest globalne społeczeństwo informacyjne. Pojęcie to utożsamia się często z samym tylko rozwojem informatyki, choć ma ono o wiele szersze znaczenie. Decydujący dla rozwoju społeczeństwa informacyjnego pozostaje fakt, że w jego obrębie podstawowym zasobem produkcyjnym, obok surowców, kapitału, pracy, stała się informacja. Wykorzystanie przy tym technik informatycznych jest tylko kwestią narzędziową. Wykształca się nowa formacja cywilizacyjna, z nowym sposobem postrzegania świata i zmodyfikowanym systemem wartości społecznych. Mamy do czynienia z nową epoką, w której rozbudowane systemy informatyczne i informacyjne występują jako jej podstawowa technologia. Rosnące znaczenie informacji wywiera istotny wpływ także na rozwój prawa, powstawanie nowych rodzajów jego gałęzi oraz próby redefinicji lub nowego spojrzenia na dziedziny już istniejące. Za taką nową, ale jednocześnie wywodzącą się z ugruntowanej już tradycji prawa do prywatności, należy uznać dziedzinę określaną jako prawo do ochrony danych osobowych.

Prawo do ochrony danych osobowych pojawiło się wraz z osiągnięciem pewnego szczebla rozwoju cywilizacyjnego, w odpowiedzi na zagrożenia dla prywatności jednostki wynikające z nasilającego się zjawiska gromadzenia – zwłaszcza przy użyciu technik informatycznych – informacji dotyczących osób fizycznych, które powszechnie określa się jako „dane osobowe”. Prawo to jest specyficzne o tyle, że jego wykreowanie stanowi oczywistą konsekwencję rozwoju technicznego oraz tendencji do pozyskiwania informacji o jednostce, która rysuje się wyraźnie po stronie i władz publicznych (jak choćby w przypadku problemu kontroli operacyjnej lub retencji danych), i podmiotów prywatnych występujących w obrocie prawnym, zainteresowanych uzyskaniem optymalnej (zwykle jak największej) liczby informacji o kliencie pozyskanym lub potencjalnym. Dane osobowe są dziś cennym towarem, mającym nie mniejszą wartość niż dobra materialne.

Konstytucja RP z 1997 r. prawo do ochrony danych osobowych ustanawia w art. 51. Żadna z wcześniejszych polskich ustaw zasadniczych nie odnosiła się do tego zagadnienia. Prawo do ochrony danych osobowych w polskim porządku prawnym jest nowe, dlatego wiele jego aspektów jeszcze budzi wątpliwości. Z jednej strony bywa ono traktowane jako swego rodzaju emanacja prawa do prywatności, ale z drugiej postrzega się je jako zespół instrumentów prawnych o charakterze administracyjnym, służących ochronie informacji dotyczących jednostki, zwłaszcza gdy poddawane są one procesom automatycznego przetwarzania danych. Moim zdaniem najbardziej uzasadnione jest przyjmować, że prawo do ochrony danych osobowych jest odrębnym prawem podmiotowym jednostki. Jego zakres obejmuje wprawdzie dwa wskazane wyżej elementy, ale jest kształtowany również przez szereg czynników specyficznych dla tego prawa. Jego konstytucjonalizacja oznacza wprowadzenie do polskiego porządku prawnego zespołu mechanizmów publicznoprawnej ochrony autonomii informacyjnej jednostki mających podstawę w postanowieniach ustawy zasadniczej. Należy przyjrzeć się bliżej tym mechanizmom, by zrozumieć, na czym polega ochrona danych osobowych i jak zapewnić prawo do ochrony danych każdej z osób, których one dotyczą.

W praktyce pojawiają się wątpliwości co do zakresu tego prawa, a także zasad stosowania uodo, która w głównej mierze konkretyzuje regulację konstytucyjną. Często zapewnienie prawa do ochrony danych osobowych jest błędnie rozumiane wyłącznie jako zachowywanie danych osobowych w tajemnicy lub ich prewencyjne niepozyskiwanie i nieujawnianie. Tymczasem ochrona danych osobowych polega na przestrzeganiu procedur postępowania z danymi osobowymi przewidzianych w przepisach prawa. Procedury te wprawdzie statuują tajemnicę danych osobowych i sposobów ich zabezpieczenia, ale jednocześnie określają wiele innych zasad postępowania z danymi osobowymi, począwszy od wskazania przypadków, w których dopuszczalne jest przetwarzanie danych, przez wymogi co do celu, treści, czasu przetwarzania lub zabezpieczania, po prawa osób, których dane dotyczą. Warto podkreślić, że te procedury ogólnie określone zostały już w Konstytucji RP, a rozwinięte w przepisach ustaw, w tym zwłaszcza uodo, która – jak zwykło się mawiać – określa minimalne standardy ochrony uzupełniane przez przepisy szczególne.

Konstytucja oraz uodo kreują model publicznoprawnej ochrony danych osobowych, określający uprawnienia jednostki oraz precyzujący obowiązki podmiotów wykorzystujących jej dane osobowe. Ponieważ standard ochrony interesów jednostki wyznacza to rozwiązanie modelowe, przedmiotem analizy w tej publikacji są właśnie rozwiązania normatywne, które stanowią jego trzon – przepisy Konstytucji oraz odczytywane w jej kontekście unormowania uodo. Zapoznanie się z nimi oraz zrozumienie istoty systemu ochrony danych osobowych pozwala uniknąć błędów w praktyce. Prawidłowe zastosowanie uodo wymaga znajomości konstytucyjnego wzorca oraz międzynarodowych standar-dów ochrony danych osobowych. Właśnie te zagadnienia zostały szczegółowo omówione w książce. Dokonana w niej analiza umożliwia czytelnikowi uzyskanie ugruntowanej wiedzy o prawie do ochrony danych osobowych: jego specyfice, genezie, regulacji w prawie polskim, międzynarodowym i europejskim, o poszczególnych uprawnieniach kształtujących to prawo, jego ograniczeniach i gwarancjach. Niniejsza publikacja stanowi kompleksowe opracowanie odnoszące się do wszystkich aspektów realizacji prawa do ochrony danych osobowych, z szeroko zaprezentowanym dorobkiem literatury i orzecznictwa, a także przykładami z praktyki. Na podkreślenie zasługuje zwłaszcza wnikliwe omówienie podmiotowego zakresu tego prawa oraz uodo, które pozwoli precyzyjnie określić podmiot danych. Ułatwi także wskazanie administratora danych, określenie statusu innych podmiotów uczestniczących w ich przetwarzaniu, a także zdecydowanie o powołaniu (lub nie) administratora bezpieczeństwa informacji. W książce szczegółowo zaprezentowano jego sytuację prawną po nowelizacji uodo, która weszła w życie 1 stycznia 2015 r. Istotny walor poznawczy i praktyczny przypisywać można również tej części publikacji, w której zaprezentowano powiązania między poszczególnymi konstytucyjnymi unormowaniami oraz procedurami przetwarzania danych osobowych wynikającymi z uodo, ze szczegółowym ich omówieniem, jak i tej części książki, w której opisano relacje prawa do ochrony danych osobowych i wolności wypowiedzi oraz prawa dostępu do informacji publicznej.

Książka jest adresowana do osób zainteresowanych prawem do ochrony danych osobowych oraz praktyków stosujących przepisy z zakresu ochrony danych osobowych. Zwłaszcza do odpowiedzialnych za organizację systemu ochrony danych osobowych oraz uczestniczących w przetwarzaniu danych osobowych, osób pełniących funkcję administratorów danych, administratorów bezpieczeństwa informacji, specjalistów ds. ochrony danych osobowych, zarówno z sektora publicznego, jak i prywatnego, a także sędziów, radców prawnych, adwokatów oraz wszystkich osób pragnących poszerzyć swoją wiedzę na temat ochrony danych osobowych.