Konieczność szczególnej ochrony danych osobowych zapamiętanych w systemach informatycznych wynika ze specyfiki tych systemów. Ustawodawca powinien więc zwrócić szczególną uwagę na te właściwości systemów informatycznych, które odróżniają je od tradycyjnych środków (kartotek) i z tego względu niosą nowe zagrożenie dla swobód obywateli. Trzema takimi, szczególnie ważnymi są: łatwość magazynowania i przeszukiwania danych, możliwość ich przenoszenia i przesyłania, możliwość porównywania i łączenia danych z różnych baz.

Konieczność wprowadzenia w Polsce ochrony danych, 14 lat po uchwaleniu Konwencji 108 Rady Europy, na pewno odpowiada potrzebom chwili. Do 1989 r. tylko instytucje państwowe miały środki pozwalające na tworzenie baz danych o obywatelach i czyniły to bez żadnych podstaw prawnych, na podstawie danych zbieranych często bez wiedzy i zgody obywatela, dowolnie przekazywanych między instytucjami. Służba bezpieczeństwa bez ograniczeń zbierała i przechowywała informacje o obywatelach, nie dając żadnej możliwości ich zweryfikowania. Obecnie stan ten wymaga uporządkowania. Z drugiej strony, rozpowszechnienie techniki informatycznej powoduje dramatyczny wzrost liczby baz danych prowadzonych przez różne podmioty niepaństwowe, od warsztatów samochodowych po parafie. Zbiory danych zaczynają mieć wartość handlową. Niedawno miały miejsce bulwersujące przypadki użycia list adresowych z niewiadomego źródła do wysyłania na adresy domowe podejrzanych ofert uczestnictwa w konkursach.

Uwagi ogólne i zakres Ustawy

W kilku miejscach ustawy używa się bardzo ogólnego zwrotu," z mocy przepisów prawa", bez precyzowania rangi tego prawa (ustawa, rozporządzenie, zarządzenie czy też decyzja administracyjna naczelnika wydziału urzędu gminy?). W artykule 2.1 w ten sposób określa się podmioty, które są uprawnione do pozyskiwania danych osobowych, w art. 11.1 - podmioty, które mogą otrzymać żądane informacje o innych osobach. Zwłaszcza w tym drugim przypadku powinno być jasno zapisane, że prawo uzyskiwania danych przysługuje tylko na mocy ustawy. Podobnie w art. 8.1.2 jest jedynie nakaz wskazania czy istnieje obowiązek podania danych. Nie precyzuje się, jakie może być źródło takiego obowiązku, choć tam też powinno być jasno zapisane, że taki obowiązek może wynikać jedynie z ustawy.

Zakres podmiotowy Ustawy jest zdefiniowany bardzo nieprecyzyjnie. Poza wątpliwym art. 2.1, także art. 2.2 jest niejasny. Pojęcie "związku z działalnością zarobkową" może być rozmaicie interpretowane, obejmując - wbrew komentarzowi w Uzasadnieniu do Ustawy - np. posiadacza elektronicznego notesu, w którym zapisuje się nazwiska i telefony dostawców lub odbiorców. A czy dotyczy to dziennikarza, prowadzącego w swoim komputerze fiszki polityków? Czy historyk-hobbysta może prowadzić fiszki żyjących osób nie podlegając ustawie, ale zaczyna podlegać, gdy napisze pierwszą książkę lub artykuł, bo w tym momencie zacznie się to wiązać z jego działalnością zarobkową? Równie nieprecyzyjne jest określenie "działalności statutowej". Czy obejmuje to stowarzyszenia prowadzące rejestry członków, parafie, spółdzielnie mieszkaniowe? Jest to istotne, gdyż każdy z takich zbiorów liczy zwykle przeszło 100 osób i powinien podlegać procedurze rejestracyjnej, opisanej w dalszej części ustawy.

Błędy w definicjach, niejasności legislacyjne

W słowniczku, w art. 6.1 definicja jest nielogiczna, bowiem definiuje zbiór danych jako szczególny przypadek zbioru danych osobowych, uporządkowanego wg określonej cechy lub kilku cech. Wynika z tego, że nieuporządkowany zbiór danych osobowych przestaje być zbiorem danych. W dalszej części ustawy obu terminów używa się zamiennie, np. w art. 8 - 13 pisze się o danych osobowych i administratorze zbioru danych osobowych, a w tytule Rozdziału 6 - o zbiorach danych. Czy to oznacza, że nie uporządkowana lista 105 telefonów nie wymaga rejestrowania, a po uporządkowaniu alfabetycznym - wymaga? W art. 6.2 lepiej byłoby dodać, za Konwencją 108, że administratorem jest osoba lub instytucja mająca prawo decydowania, jaki jest cel gromadzenia danych, jakie dane są gromadzone i jakiemu przetwarzaniu podlegają. W art. 22.2 wymaga się wydania opinii, bez sprecyzowania, o czym ta opinia ma mówić. Przywoływany art. 25.1.3 nie rozjaśnia sprawy, mówiąc o "opiniach" o których mowa w art. 22 ust.2'.

Udostępnianie danych

W Ustawie następuje niezrozumiałe utożsamienie prawa obywatela do zweryfikowania informacji o nim samym, z prawem do przeglądania informacji o innych (art. 16 wręcz odwołuje się do art. 12 i 13). To pierwsze prawo powinno być znacznie szersze! Przyjęte rozwiązanie jest zdecydowanie sprzeczne z Konwencją nr 108. Konwencja pozwala ograniczyć prawo obywatela do wglądu w dane o nim tylko ze względu na: a) ochronę bezpieczeństwa państwa, bezpieczeństwa publicznego i interesu monetarnego państwa, potrzebę walki z przestępstwami kryminalnymi; b) ochronę praw i wolności innych osób.

Projekt Ustawy dodaje możliwość ograniczenia ze względu na spowodowanie ujawnienia tajemnicy państwowej, bez potrzeby uzasadniania faktycznego. Tworzy to bardzo szeroką furtkę do generalnego odmawiania dostępu np. do danych zgromadzonych o obywatelu przez policję. Ze względu na brzmienie art. 23.1 Generalny Inspektor nie będzie miał w takim przypadku możliwości merytorycznego rozpatrzenia ewentualnej skargi, wniesionej w trybie art. 13. Trudno zaś sobie wyobrazić sytuację, w której ujawnienie obywatelowi, co jest o nim zapisane w rejestrze, spowodowałoby faktyczne ujawnienie tajemnicy państwowej, bez równoczesnego wyczerpania znamion 2) i 3) z art. 12.1. Z drugiej strony, po rozsądnym sformułowaniu art. 10, w art. 11.2 pozwala się udostępnić dane niesprecyzowanemu odbiorcy, który uzasadni potrzebę ich posiadania. Na przykład dane Zakładu Energetycznego mogą być udostępnione Telewizji, która ma uzasadnioną potrzebę ścigania nie zarejestrowanych abonentów, w ewidentnej sprzeczności z art. 10. Dane o prenumeratorach czasopisma mogą być przekazane (sprzedane) agencji reklamowej, która też ma uzasadnioną potrzebę ich posiadania. Teoretycznie na taką decyzję przysługuje skarga w trybie art. 13, ale w praktyce zainteresowani nie mają szansy o niej się dowiedzieć. Nie zabrania się też łączenia danych z wielu baz, bez wiedzy i zgody zainteresowanych, jeśli tylko administratorzy wzajemnie wiarygodnie uzasadnią sobie potrzebę posiadania danych. Ustawa powinna jasno określać, że administrator ma obowiązek uprzedzić osobę, od której dane pozyskuje, o odstępstwach od art. 10 i uzyskać na nie zgodę (albo przynajmniej dać możliwość wyrażenia sprzeciwu). Jest to częsta praktyka w stosunku do prenumeratorów czasopism; lista prenumeratorów bywa udostępniana agencjom reklamowym, ale każdy prenumerator ma prawo zażądać, aby jego dane nie były przekazywane.

Środki ochrony

Przepisów art. 18 i 20 Ustawy nie da się rozsądnie zastosować do baz zawierających dane powszechnie znane, dostępnych choćby przez Internet (np. baza danych o senatorach prowadzona przez Kancelarię Senatu). Nie ma również powodu, aby żądać zachowania tajemnicy od pracowników, wprowadzających i przetwarzających dane ogólnie dostępne.

Rejestracja baz

Przy obecnym zakresie podmiotowym i przedmiotowym rejestracji będzie podlegać kilkadziesiąt tysięcy baz, łącznie z prywatnymi listami adresowymi dostawców i odbiorców prowadzonymi np. na komputerach osobistych pod MS Windows. Z drugiej strony, całkowicie pozostawia się poza kontrolą zbiory "danych objętych tajemnicą państwową ze względu na obronność [...] oraz porządek i bezpieczeństwo publiczne", czyli wszystkie bazy wojskowe i policyjne, które budziły i budzą najwięcej kontrowersji i emocji. Nadal nikt nie będzie wiedział, jakie informacje o nim zbiera policja i UOP, a nawet czy w ogóle jakieś dane są zbierane. Skoro Generalny Inspektor ma być tak wysokim urzędnikiem, to nic nie stoi na przeszkodzie, aby miał dostęp także do tajemnic i aby podlegała mu specjalna komórka rejestrująca i nadzorująca właśnie bazy tajne (tak jest np. w RFN).

Podsumowanie

W ustawie w identyczny sposób traktuje się zbiory danych, zebranych z mocy ustaw przez urzędy i instytucje publiczne oraz dane zbierane z powszechnie dostępnych źródeł albo podane z własnej woli przez zainteresowanych. Identycznej ochrony wymaga się od administratora PESEL-a albo bazy podatników, co od stowarzyszenia prowadzącego bazę danych swoich członków, wydawnictwa prowadzącego bazę prenumeratorów albo biura matrymonialnego. Wydaje się, że ze względu na przymusową obecność obywatela w bazach pierwszego typu ich ochrona powinna być znacznie pełniejsza. Administratorzy baz drugiego typu powinni mieć znacznie większą swobodę, ograniczoną tylko przez prawo obywatela do żądania skasowania zapisu o sobie.

Ustawa rozprasza uwagę na marginalne przypadki niewielkich, prywatnych baz danych, równocześnie wyłączając spod kontroli i regulacji bazy najbardziej znaczące i budzące najwięcej wątpliwości. Wydaje się, że usytuowanie Generalnego Inspektora jako jednego z centralnych organów władzy (na równi z Rzecznikiem Praw Obywatelskich) powinno oznaczać, że zajmie się on naprawdę wielkimi i niebezpiecznymi bazami, właśnie innych centralnych urzędów, MON, MSW, UOP, ZUS, MFin itp., nie zaś rejestrowaniem baz klientów prowadzonych przez sklepy, domy wysyłkowe, warsztaty samochodowe, baz członków stowarzyszeń itp.

Aby ustawa odpowiadała specyfice automatycznego przetwarzania danych, należałoby ograniczyć jej zakres przedmiotowy tylko do naprawdę dużych zbiorów danych, np. od 10 tys. osób (już bez ograniczeń podmiotowych). W takim przypadku rzeczywiście użycie środków informatycznych pozwala na przetwarzanie niemożliwe w technice tradycyjnej. Objęte ustawą (a więc np. obowiązkiem rejestracji) powinny być także te bazy, które zawierają informacje uzyskane od obywateli w drodze administracyjnej, na podstawie innych ustaw, albo inne informacje niedostępne publicznie lub stanowiące tajemnicę (np. bazy lekarskie). Należy zawęzić listę przypadków, w których wolno odmówić obywatelowi ujawnienia informacji, które są o nim zmagazynowane. Z drugiej strony należy ograniczyć możliwości przekazywania posiadanych danych innym podmiotom, a także ich łączenia i scalania. Urząd Głównego Inspektora powinien mieć również uprawnienia do kontroli baz danych MON, MSW itp., oczywiście z zachowaniem przepisów o tajemnicy państwowej.

Jarosław Deminet jest wiceprezesem Zarządu Głównego Polskiego Towarzystwa Informatycznego