Konieczność uregulowania kwestii wykorzystywania danych osobowych i wymóg dostosowania naszego prawa do systemu prawnego Unii Europejskiej doprowadziły do rozpoczęcia przed kilkoma laty prac nad projektem polskiej ustawy o ochronie danych osobowych. Prace uwieńczyło uchwalenie ustawy przez Sejm w dniu 29 sierpnia 1997 r. (opublikowana w Dzienniku Ustaw nr 133 pod pozycją 883).

Zbieranie i przetwarzanie danych osobowych dotychczas nie było w Polsce przedmiotem kompleksowej regulacji prawnej. Istniały wprawdzie tzw. regulacje sektorowe, jednak dotyczyły one wykorzystywania danych osobowych w konkretnych dziedzinach. Nowa ustawa o ochronie danych osobowych określa podstawy prawne i warunki wykorzystywania danych, prawa osób, których dane dotyczą, oraz obowiązki podmiotów wykorzystujących dane.

Zarówno prawo do prywatności, jak i prawo do ochrony danych osobowych zostały w Polsce podniesione do rangi praw konstytucyjnych. Konstytucja z dnia 2 kwietnia 1997 r. zawiera kilka przepisów, dotyczących ochrony prywatności (artykuły 47, 49 i 50) oraz przepis poświęcony ochronie danych osobowych (art. 51).

Ustawa o ochronie danych osobowych będzie przez najbliższe lata podstawowym aktem prawnym regulującym wykorzystywanie informacji osobowych, a w szczególności ich wykorzystywanie za pomocą szeroko rozumianych środków informatycznych. Będzie się ona odnosiła do wszystkich podmiotów przetwarzających dane osobowe w związku z działalnością zarobkową, zawodową lub przy realizacji celów statutowych, niezależnie od tego, czy mają one osobowość prawną. Jej przepisy stosują się do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.

Podstawowe zapisy

Ustawa posługuje się pojęciem przetwarzania danych, pod którym rozumie się dowolne operacje wykonywane na danych osobowych, takie jak ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwani

Dane osobowe mogą pochodzić bezpośrednio od osoby zainteresowanej lub z innego źródła. W pierwszym przypadku firma wykorzystująca dane osobowe powinna poinformować osobę w chwili zbierania danych o swoim adresie, nazwie, celu zbierania danych, prawach osoby, której dane dotyczą, oraz o dobrowolnym lub obowiązkowym charakterze podania informacji. W drugim przypadku firma powinna podać osobie zainteresowanej powyższe informacje bezpośrednio po utrwaleniu danych osobowych (nie podaje się jedynie informacji o dobrowolnym lub obligatoryjnym charakterze zbierania danych, dodatkowo jednak firma zobowiązana jest podać źródło, z którego pochodzą informacje osobowe, a także to, jakie prawa przysługują osobie zainteresowanej).

Bazę sprzedać

Pod pojęciem przetwarzania danych rozumie się także ich udostępnianie, należy więc uznać, że obrót bazami danych będzie możliwy. Trzeba jednak pamiętać o tym, że warunkiem udostępnienia jest to, że podmiot otrzymujący bazę wykorzysta dane do tych samych celów, dla których zostały one pierwotnie zebrane. Na podmiocie tym spoczywa jednak obowiązek podania osobie, której dane dotyczą, powyższych informacji.

Żądanie zaprzestania przetwarzania danych i sprzeciw będą nieskuteczne, jeśli osoba uprzednio wyraziła zgodę na wykorzystanie jej danych lub jeśli wyraźnie zezwala na to przepis prawa albo gdy wykorzystanie danych wiąże się z wykonaniem umowy, której osoba zainteresowana jest stroną.

Firma wykorzystująca dane osobowe powinna podjąć wszelkie środki techniczne i organizacyjne w celu zagwarantowania bezpieczeństwa i poufności tych informacji. Organem właściwym w sprawach kontroli przestrzegania przepisów ustawy będzie Generalny Inspektor Ochrony Danych Osobowych.

Ustawa w znacznej mierze została oparta na Dyrektywie Unii Europejskiej, która wejdzie w życie w październiku br. Dyrektywa zaś zawiera wiele rozwiązań nowych, których w żadnym państwie Unii jeszcze nie stosowano. Nie mamy więc zarówno własnych doświadczeń w tej dziedzinie, jak i nie możemy skorzystać z cudzych. Po trzecie wreszcie, Dyrektywa UE liberalizuje w pewnym sensie obrót danymi osobowymi. W ślad za nią idzie polska ustawa. Być może jest to zbyt szybkie posunięcie w sytuacji, gdy Polacy dopiero "uwrażliwiają się" na problemy ochrony prywatności. Czas pokaże.

<hr size=1 noshade>Arwid Mednis jest radcą prawnym w kancelarii Gide Loyrette Nouel Polska Sp. z o.o. w Warszawie i przewodniczącym Grupy Projektowej ds. Ochrony Danych Osobowych Rady Europy.