Fleszer Dorota, Zakres przetwarzania danych osobowych w działalności gospodarczej

Problematyka ochrony danych osobowych jest stosunkowo nową dziedziną prawa. Jej powstanie wiąże się z coraz większym i powszechniejszym wykorzystywaniem systemów informatycznych praktycznie w każdej dziedzinie życia. Najwięcej obaw rodził fakt stosunkowo łatwego gromadzenia w nich ogromnych ilości danych, informacji i następnie ich dowolnego zestawiania.

W Polsce do czasu wejścia w życie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie było aktu prawnego, który w sposób kompletny regulowałby kwestie związane z ochroną danych osobowych osoby fizycznej. Wobec tego zastosowane w niej rozwiązania prawne nie mogły mieć oparcia w polskich doświadczeniach i powstałym w tym zakresie orzecznictwie. Wpływ na treść ustawy miały więc przede wszystkim odpowiednie regulacje międzynarodowe, a zwłaszcza Konwencja Nr 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr 3, poz. 25) oraz Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE L Nr 281 z dnia 23 listopada 1995 r.).

W ustawie zostały zdefiniowane nie tylko prawa osób, których dane są przetwarzane, ale także szczegółowo określone zasady postępowania przy przetwarzaniu danych osobowych.

Niezależnie od tego został powołany organ państwowy do spraw ochrony danych osobowych - Generalny Inspektor Ochrony Danych Osobowych. Do jego zadań należy m.in. kontrola zgodności przetwarzania danych z przepisami ustawy o ochronie danych osobowych oraz inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.

Ustawodawca dostrzegł konieczność wyraźnego określenia obowiązków administratorów danych związanych z prowadzonym przez nich procesem przetwarzania danych. Wyznaczył tym samym zasady postępowania z danymi osobowymi, które zawsze muszą być przez administratora danych przestrzegane. Obejmują one nie tylko samo przetwarzanie danych, ale także dbałość o ich jakość i przekazanie osobie, której dane podlegają przetwarzaniu, odpowiednich informacji z nim związanych. Tym samym, opierając się na stosownych regulacjach ustawowych, można określić obiektywnie model postępowania administratora danych z danymi osobowymi. Podejmowanie działań z nim sprzecznych oznacza naruszenie przepisów ustawy o ochronie danych osobowych. Przedmiot obowiązków administratorów danych ani sposób ich realizacji nie zostały zróżnicowane ze względu na kategorię podmiotu będącego administratorem danych. W równym stopniu zobowiązanymi do ich wykonania są podmioty publiczne, jak i prywatne.

Dla dokonania wyczerpującej analizy problematyki zakresu przetwarzania danych osobowych w działalności gospodarczej konieczne jest wcześniejsze wyjaśnienie głównych założeń publicznoprawnej ochrony danych osobowych w obowiązującym stanie prawnym. Omówione zostaną podstawowe założenia ustawy, jej terminologia oraz zasady szczególnej staranności, którymi kierować się ma administrator danych, wyznaczając zakres przetwarzanych danych osobowych i wykonując operacje na nich. Wpływ na treść i zakres przetwarzanych danych ma również osoba, której dane dotyczą, dzięki realizacji przyznanych jej praw do kontroli przetwarzania danych.

W sferze działalności gospodarczej informacje o charakterze osobowym mają coraz większe znaczenie. Przedsiębiorcy zainteresowani są nimi z dwóch powodów. Po pierwsze, postępująca globalizacja i konieczność zdobywania nowych rynków zbytu oraz ciągła walka o uzyskanie i podtrzymanie pozycji na rynku czyni wręcz niezbędnym posiadanie jak największej ilości i kategorii danych osobowych potencjalnych klientów celem poznania ich preferencji i dostosowania do nich oferty. Takie wykorzystywanie danych jest powszechnie utożsamiane z prowadzeniem marketingu bezpośredniego czy też z obrotem zbiorami danych, co budzi negatywne skojarzenia. Znajomość danych osobowych konsumentów jest niezbędna także choćby dla przewidzianej prawem realizacji nawiązanych zobowiązań umownych czy też wyegzekwowania roszczeń z tytułu prowadzenia działalności gospodarczej. Po drugie, odgrywa ona zasadniczą rolę w uzyskaniu przewagi na rynku i tym samym przyczynia się do powstania sukcesu gospodarczego; znajomość danych dotyczących innych przedsiębiorców działających na rynku jako potencjalnych konkurentów ułatwia poznanie ich słabych i mocnych stron. Niezależnie od powyższego przedsiębiorca to także kontrahent, od którego oczekujemy sprawnego i szybkiego zrealizowania transakcji gospodarczej i który powinien dawać rękojmię uczciwości i pewności. Wobec tego niezwykle istotną sprawą staje się możliwość uzyskania o nim określonych informacji w tym zakresie.

Problemem związanym z ustaleniem zakresu przetwarzania danych osobowych przedsiębiorcy jest stały wzrost liczby informacji, które w myśl stosownych przepisów szczególnych są danymi jawnymi, powszechnie dostępnymi. Nie oznacza to jednak, że wszystkie dane osobowe przedsiębiorcy będącego osobą fizyczną są dostępne i wyłączona jest możliwość zachowania prywatności w takim zakresie, w jakim związana jest ona z prowadzeniem działalności gospodarczej. Jawność danych osobowych przedsiębiorcy wyłączona została ze względu na tajemnicę bankową, tajemnicę przedsiębiorcy, tajemnicę skarbową i tajemnicę postępowania administracyjnego.

Zagadnienie zakresu przetwarzania danych osobowych konsumenta wiąże się z kolei z koniecznością zachowania proporcjonalności pomiędzy koniecznością skutecznego zrealizowania transakcji gospodarczej a nadmiernym i zbędnym ingerowaniem w prywatność. Wyznaczanie zakresu przetwarzania danych konsumenta jest ściśle związane z okolicznością przetwarzania danych osobowych, na podstawie której następuje legalizowanie operacji przetwarzania danych osobowych.

Zakres przetwarzanych danych osobowych podlega stałemu rozszerzaniu. Dotyczy to zarówno podmiotów działających w sferze publicznej, jak i prywatnej. Brak jednocześnie jasno określonych unormowań mających wpływ na ograniczanie tego negatywnego zjawiska. Również przepisy ustawy o ochronie danych osobowych nie zawierają norm, które w sposób kompletny i wyczerpujący odnosiłyby się do zasad ustalania zakresu przetwarzania danych osobowych w działalności gospodarczej. W powstałym do tej pory dorobku doktryny i orzecznictwa fragmentarycznie analizowano poszczególne elementy mające wpływ na ustalenie zakresu przetwarzania danych osobowych w działalności gospodarczej. Brak natomiast całościowego opracowania, w którym zostałyby omówione wszystkie aspekty wpływające na ustalenie kategorii danych osobowych, które powinny być przetwarzane w działalności gospodarczej, i reguł ich wyznaczania. Ze względu na szeroki zakres zagadnienia oraz różnorodność jego aspektów podstawowym problemem badawczym będzie usystematyzowanie pod względem przedmiotowym powstałego orzecznictwa sądów i Generalnego Inspektora Ochrony Danych Osobowych.

Podstawowa metoda badawcza zastosowana w pracy to metoda dogmatyczna. Podsumowaniem pracy są wnioski de lege lata i de lege ferenda, w których wskazano na konieczność dalszej modyfikacji systemu prawnego dotyczącego zakresu przetwarzania danych osobowych w działalności gospodarczej.