Prawa przysługujące administratorowi danych osobowych

1.          Uprawnienie wynikające z art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[1]

Uprawnienie wynikające z art. 7 pkt 4 ustawy, czyli z samej już definicji administratora danych, wskazuje na samodzielność administratora danych przy podejmowaniu decyzji w stosunku do danych podlegających przetwarzaniu. Administrator danych bowiem musi we własnym imieniu decydować o celach i środkach przetwarzania danych osobowych. Oznacza to, że administratorowi powinna przysługiwać nie tylko faktyczna, ale i prawna niezależność przy podejmowaniu tych decyzji.

2.          Uprawnienie wynikające z art. 23 ust. 1 i art. 27 ust. 2 ustawy

Przedmiotowe uprawnienie daje administratorowi danych możliwość przetwarzania danych osobowych po wypełnieniu choćby jednej przesłanki dopuszczającej przetwarzanie danych osobowych.

Zgodnie z art. 23 ustawy przetwarzanie, tzw. „zwykłych” danych osobowych (w odróżnieniu od tzw. „wrażliwych”, dla których przesłanki przetwarzania określa art. 27 ustawy) dopuszczalne jest gdy:

1. następuje za zgodą osoby zainteresowanej;
2. oparte jest o uprawnienie lub obowiązek wynikający z przepisów prawa;
3. jest niezbędne w celu realizacji umowy, której stroną jest osoba, której dane dotyczą;
4. jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
5. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
6. jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, a nie jest możliwe uzyskanie zgody osoby zainteresowanej;
7. jest niezbędne do wypełnienia prawnie usprawiedliwionych celów (takich jak np. marketing bezpośredni własnych produktów lub usług lub dochodzenia roszczeń z tytułu prowadzenia działalności gospodarczej) przez administratorów danych lub odbiorców danych; ustawa zastrzega jednak w tym przypadku, że warunkiem dopuszczalności przetwarzania danych jest to, aby przetwarzanie takie nie naruszało praw i wolności osoby, której dane dotyczą.

Zgodnie natomiast z art. 27 ust. 1 ustawy zabrania się przetwarzania tzw. „danych wrażliwych”[2]. Jednakże zgodnie z art. 27 ust. 2 ustawy, przetwarzanie przedmiotowych danych jest dopuszczalne m.in. jeżeli:

1. osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych;
2. przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony;
3. przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora;
4. przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;
5. przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.

W doktrynie prawniczej[3], orzecznictwie[4]oraz w opiniach Generalnego Inspektora Ochrony Danych Osobowych, dostępnych na stronie internetowej Biura Generalnego Inspektora Ochrony Danych Osobowych, podkreśla się, że każda z tych przesłanek jest równoprawna, a spełnienie każdej z nich legalizuje przetwarzanie danych i stanowi samodzielną podstawę do przetwarzania danych, co oznacza, że jeśli zachodzi choć jedna przesłanka przetwarzania danych osobowych opisana, w przypadku danych „zwykłych” – w art. 23 ust. 1 pkt 1 – 5, a w przypadku danych „wrażliwych” – w art. 27 ust. 2 ustawy, zbędne jest wskazywanie posiłkowo innej i np. żądanie zgody od osoby, której dane dotyczą.

3.          Uprawnienie wynikające z art. 26 ust. 2 ustawy

Omawiane uprawnienie jest wyjątkiem od zasady ścisłego związania możliwości przetwarzania danych z celem zbierania danych osobowych. Uprawnienie wynikające z art. 26 ust. 2 ustawy dotyczy przetwarzania danych osobowych w celu innym niż ten, dla którego zostały zebrane, o ile nie narusza to praw i wolności osoby, której dane dotyczą, oraz następuje w celach badań naukowych, dydaktycznych, historycznych lub statystycznych. Administrator musi jednak zachować przepisy art. 23 i 25 ustawy.

Warto zauważyć, że zasady związania z celem nie narusza również przetwarzanie danych osobowych (zebranych w celu wykonania zobowiązania) po wykonaniu zobowiązania, jeśli administrator danych przetwarza je ze względów dowodowych, przez okres przedawnienia roszczeń[5].

4.          Uprawnienie wynikające z art. 31 ustawy

Administrator danych ma prawo powierzyć przetwarzanie danych innemu podmiotowi na mocy art. 31 ustawy. Powierzenie przetwarzania danych może nastąpić tylko na mocy umowy. Zawarcie takiej umowy leży przede wszystkim w interesie administratora danych, ponieważ to on ponosi największą odpowiedzialność za przetwarzane, we własnym zakresie lub powierzone innym podmiotom, dane osobowe. O powierzeniu przetwarzania danych mówimy, też w sytuacjach gdy administrator chce przechowywać dane osobowe na serwerach należących do podmiotów zewnętrznych, czy powierza prowadzenie kadr, księgowości itp. zewnętrznym firmom. Powierzenie przetwarzania danych na podstawie umowy, o której stanowi art. 31 ustawy, w określonym w niej celu nie stanowi nieuprawnionego udostępnienia danych przez ich administratora innemu podmiotowi. Powierzenie przetwarzanych danych nie wymaga zgody osoby, której dane dotyczą.

Administrator danych powinien przy sporządzaniu umowy powierzenia przetwarzania danych zwrócić szczególną uwagę, żeby umowa gwarantowała przetwarzanie danych w zgodzie z Uodo i aktami wykonawczymi do ustawy. Ponadto administrator powinien zapewnić sobie możliwość kontrolowania sposobu przetwarzania danych osobowych. Niezbędnymi elementami tej umowy jest określenie w jakim celu podmiot, któremu powierzono przetwarzanie danych, może je przetwarzać oraz w jakim zakresie. Podmiot ten może bowiem przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

Należy zauważyć, że, stosownie do art. 31 ust. 3 ustawy, podmiot podejmujący się przetwarzania danych na podstawie umowy powierzenia obowiązany jest zastosować środki zabezpieczające powierzony zbiór danych, ponieważ to on ponosi odpowiedzialność w zakresie zabezpieczenia danych osobowych jak administrator danych. Musi zatem dbać o to, aby powierzone mu dane osobowe nie dostały się w ręce osób nieupoważnionych, bądź nie zostały uszkodzone lub zniszczone. Ponadto, podmiot, któremu administrator danych powierzył ich przetwarzanie, odpowiada wobec administratora danych, za przetwarzanie danych niezgodnie z zawartą umową.

5.          Uprawnienie wynikające z art. 34 ustawy

Administrator danych ma prawo odmówić informacji, o której mowa w art. 32 ust. 1 pkt 1 – 5a osobie, której dane dotyczą w następujących sytuacjach:

1. ujawnienie wiadomości zawierających informacje niejawne,
2. zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,
3. zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,
4. istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.

6.          Uprawnienie wynikające z art. 47 ustawy

Administrator ma prawo w oparciu o art. 47 ustawy do przekazywania danych osobowych do państwa trzeciego. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej. Wyjątek tutaj stanowią zaistniałe zdarzenia, w przypadku których ustawa zezwala na przekazanie danych do państwa trzeciego nie gwarantującego ochrony danych osobowych takich jak na terytorium RP:

1. przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej,
2. osoba, której dane dotyczą, udzieliła na to zgody na piśmie,
3. przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
4. przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,
5. przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
6. przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
7. dane są ogólnie dostępne,
8. administrator danych uzyskał zgodę Generalnego Inspektora i jest w stanie zapewnić odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz  i wolności osoby, której dane dotyczą.

Ustawa o ochronie danych osobowych, nie reguluje odrębnie przekazywania danych osobowych do państw należących do Europejskiego Obszaru Gospodarczego (EOG). Należy bowiem podkreślić, że zgodnie z definicją ujętą w art. 7 pkt 7 ustawy, przez państwo trzecie rozumie się państwo nienależące do EOG. Oznacza to, że przepływ danych w obrębie Europejskiego Obszaru Gospodarczego jest traktowany tak samo, jak przekazywanie danych na terytorium Polski. Zasada ta dotyczy wszystkich państw członkowskich Unii Europejskiej oraz tych państw członkowskich EOG, które nie są członkami UE (obecnie to: Norwegia, Islandia i Lichtenstein)[6].

Zgodnie z art. 25 i 26 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych[7], należy podkreślić, że aby stwierdzić, iż państwo trzecie daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej należy stwierdzić czy zasady dotyczące przetwarzania danych osobowych oraz środki zapewniające skuteczne zastosowanie tych zasad są wystarczające. Wśród podstawowych zasad przetwarzania danych osobowych, które powinny być zapewnione w państwie trzecim należy wymienić:

1. zasadę celowości – dane powinny być przetwarzane dla określonych celów; ich dalsze wykorzystywanie jest jedynie możliwe, jeżeli jest zgodne z pierwotnym celem przekazywania danych,
2. zasadę jakości danych oraz ich adekwatności – dane powinny być dokładne i aktualne oraz powinny być adekwatne do celu ich przekazywania,
3. zasadę zapewnienia obowiązku informacyjnego – osoby, których dane dotyczą powinny mieć zapewnioną odpowiednią informację o celu przetwarzania danych osobowych oraz o administratorze danych w państwie trzecim,
4. zasadę zapewnienia zabezpieczenia danych – powinny być podjęte odpowiednie do istniejącego ryzyka środki techniczne i organizacyjne mające na celu zabezpieczenie danych osobowych,
5. zasadę zapewnienia prawa dostępu do danych, poprawiania oraz prawa sprzeciwu – osoba, której dane dotyczą powinna mieć zapewnione prawo dostępu do informacji o przetwarzanych o niej danych, prawo do ich poprawiania, a także w określonych sytuacjach prawo sprzeciwu wobec ich przetwarzania,
6. zasadę ograniczenia dalszego przekazywania danych – co do zasady dalsze przekazywanie danych przez podmiot w państwie trzecim powinno być dopuszczalne jedynie w sytuacji, gdy następny podmiot otrzymujący dane jest również związany zasadami zapewniającymi odpowiednią ochronę danych osobowych.

Ponadto system przetwarzania danych powinien zapewniać wysoki poziom zgodności z zasadami przetwarzania danych osobowych, tj. powinien być on efektywny oraz zapewniać wysoki poziom świadomości swych obowiązków przez administratorów danych. System ten także powinien umożliwiać dochodzenie swoich praw przez poszczególne osoby, których dane dotyczą, co oznacza konieczność istnienia mechanizmów zapewniających niezależne rozpatrywanie skarg. System powinien również zapewniać możliwość dochodzenia odpowiedniego odszkodowania w razie naruszenia zasad przetwarzania danych osobowych.

Komisja Europejska na mocy art. 25 ust. 6 dyrektywy 95/46/WE jest uprawniona do stwierdzenia w drodze decyzji, że dane państwo trzecie zapewnia odpowiedni stopień ochrony. Uznanie przez Komisję Europejską danego państwa za spełniające wymagania zapewnienia odpowiedniej ochrony danych osobowych jest równoznaczne z tym, że zapewnia ono takie same gwarancje ochrony jakie są na terytorium Rzeczypospolitej Polskiej. Komisja dotychczas wydała kilka decyzji o zróżnicowanym charakterze i zakresie zastosowania[8].