e-Administracja - Prawo i orzecznictwo

Do Generalnego Inspektora Ochrony Danych Osobowych wpływają pytania których efektem jest wola uściślenia definicja „przetwarzania danych". Jednym z takich zagadnień jest pytanie czy za „przetwarzanie" należy uznać działanie polegające na dokonywaniu sprawdzeń w określonej bazie informatycznej.

W odniesieniu do tego problemu Generalny Inspektor zaznaczył, że zawarta w art. 7 pkt 2 ustawy o ochronie danych osobowych definicja przetwarzania danych jest zakreślona szeroko i obejmuje wszelkiego rodzaju działania na danych, nawet niewymienione w tym przepisie. O przetwarzaniu danych można mówić począwszy od zbierania danych, a skończywszy na ich usunięciu.

Generalny Inspektor podniósł, że w komentarzach do tego przepisu wskazuje się, „(...) iż samo czytanie danych osobowych przez administratora danych lub jego pracownika stanowi już przetwarzanie danych w rozumieniu ustawy. (...)

Zwrócił ponadto uwagę, że z materiałów dotyczących prac nad dyrektywą 95/46/WE, w której zamieszczono podobnie szeroką definicję pojęcia przetwarzania danych (processing of personal data), można wnioskować, iż pojęciem przetwarzania zamierzano objąć też operacje wewnątrz przedsiębiorstwa czy innej jednostki organizacyjnej, w której działa administrator, a więc np. przekazywanie danych innym pracownikom jednostki. Za udostępnianie danych należy w każdym razie uznać ich przekazanie innym przedsiębiorstwom należącym do koncernu czy  holdingu" (Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz, Ochrona danych osobowych, Komentarz, Lex, Kraków 2007).

Jak stwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku II SA/Wa 887/04 z dnia 17 listopada 2004 r. przetwarzanie danych nie jest czynnością prawną, lecz czynnością faktyczną, z której wypływają konsekwencje prawne (LEX nr 164505). W doktrynie prawa administracyjnego tego typu działania określa się mianem czynności materialno-technicznych.

Generalny Inspektor wskazał też, że potwierdzeniem słuszności szerokiego ujmowania pojęcia „przetwarzania" danych jest również definicja zawarta w projekcie ogólnego rozporządzenia o ochronie danych, zgodnie z którą „przetwarzanie" oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, pobieranie, uzyskiwanie wglądu, wykorzystywanie, ujawnianie poprzez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, usuwanie lub niszczenie.

Zastrzegł, że ocena wypełnienia przez zachowanie określonej osoby znamion przestępstwa, w konkretnym przypadku nie należy do Generalnego Inspektora Ochrony Danych Osobowych.

Niemniej mając na uwadze sposób sformułowania legalnej definicji „przetwarzania danych" oraz dotyczące tego pojęcia stanowisko doktryny stwierdził, że pojęcie to należy rozumieć szeroko i obejmować nim wszelkie działania wykonywane na danych osobowych.

Podkreślił też, że z punktu widzenia respektowania zasad ochrony danych osobowych istotne jest, aby dla każdego posłużenia się danymi osobowymi istniała określona podstawa prawna (przesłanka legalności). Podsumowując Generalny Inspektor poinformował, że w każdym przypadku korzystanie z danych (wykonywanie na nich określonych operacji/sprawdzeń) powinno następować jedynie w ścisłym w związku z realizowaniem określonych zadań i uprawnień. Wymóg ten odnosi się niewątpliwie również do przetwarzania danych wewnątrz przedsiębiorstwa/jednostki organizacyjnej przez zatrudnionych w niej pracowników/funkcjonariuszy.

Źródło: "Sprawozdanie z działalności GIODO w 2012 roku", GIODO, 2013