Artur Piechocki w Rzeczpospolitej: Jak chronić dane wrażliwe

12.01.2016

Przetwarzanie danych wrażliwych co do zasady jest niedopuszczalne. By było możliwe, przepis proceduralny musi jednoznacznie uchylić zakaz przetwarzania.

Ustawa o ochronie danych osobowych (dalej UODO) stosuje odmienne zasady ochrony wobec danych osobowych wrażliwych (>patrz ramka) oraz pozostałych danych. Zgodnie z art. 27 UODO generalnie zabrania się przetwarzania wrażliwych danych osobowych. Stanowią one katalog zamknięty.

Trzeba spełnić warunki

Wobec pozostałych danych osobowych stosuje się natomiast zasadę dopuszczalności ich przetwarzania, wynikającą z art. 23 UODO, o ile zostanie spełniony jeden z następujących warunków:

– osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

– jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

– jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

– jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

– jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Generalny zakaz dotyczący przetwarzania danych osobowych wrażliwych podlega jednak wyjątkom. Zostały one enumeratywnie określone w art. 27 ust. 2 UODO. Znajduje się wśród nich między innymi przepis art. 27 ust. 2 pkt 2, który uchyla zakaz przetwarzania danych osobowych wrażliwych, jeżeli przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony.

Przetwarzanie danych osobowych sensytywnych dopuszczalne jest zatem na podstawie odrębnych przepisów, jeżeli przepis rangi ustawowej:

– jednoznacznie uchyla zakaz przetwarzania danych wrażliwych,

– wyraźnie wskazuje na wrażliwe dane osobowe bądź niektóre rodzaje takich danych,

– wprowadza uprawnienie do przetwarzania danych wrażliwych bez zgody osoby, której one dotyczą, oraz

– stwarza gwarancje ochrony danych osobowych wrażliwych.

Spełnienie tych warunków pozwala przyjąć, że zakaz został uchylony, choć w praktyce nie jest to jednoznaczne, co znajduje potwierdzenie w orzeczeniu Trybunału Konstytucyjnego z 20 stycznia 2015 roku (sygn. akt K 39/12). Trybunał orzekł w nim, że art. 29 ust. 1 pkt 2 lit. i ustawy z 23 grudnia 1994 r. o Najwyższej Izbie Kontroli w zakresie, w jakim uprawnia upoważnionych przedstawicieli Najwyższej Izby Kontroli do przetwarzania danych ujawniających poglądy polityczne, przekonania religijne lub filozoficzne, jak również dane o kodzie genetycznym, nałogach lub życiu seksualnym, jest niezgodny z art. 47 oraz art. 51 ust. 2 w związku z art. 31 ust. 3 konstytucji.

Trybunał stwierdził bowiem, że przetwarzanie wymienionych danych osobowych wrażliwych nie jest przydatne w świetle konstytucyjnego i ustawowego katalogu podmiotów kontrolowanych przez NIK oraz zakresu dopuszczalnej kontroli. Z podobną ostrożnością należy traktować przetwarzanie innych wrażliwych danych osobowych przez organy administracji publicznej oraz służby publiczne.

Wyjątki od zasady

Wśród przepisów kompetencyjnych zezwalających wprost na przetwarzanie danych osobowych wrażliwych można wymienić choćby art. 7 ust. 1 ustawy o Służbie Celnej, art. 7c ustawy o kontroli skarbowej (choć tutaj już nie znajdujemy wskazania, które z danych mogą być przetwarzane), art. 20 ust. 2b ustawy o Policji, który bardzo szczegółowo wskazuje, które dane osobowe wrażliwe mogą być przetwarzane. Przy czym nie pobiera się tych danych, w przypadku gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej w prowadzonym postępowaniu. Podobne uprawnienia posiadają CBA, ABW, AW, Straż Graniczna, SWW, SKW, BOR.

W pozostałych przypadkach nie można konstruować generalnego uprawnienia organu administracji publicznej do przetwarzania wrażliwych danych osobowych na potrzeby prowadzonych postępowań administracyjnych.

Wynika to również z brzmienia art. 51 w ust. 2 konstytucji, który stanowi, że władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Sytuacje, w których dopuszczalne jest przetwarzanie danych osobowych wrażliwych, będą stanowiły wyjątek od ogólnej zasady zakazu przetwarzania danych ujawniających informacje, o których mowa w art. 27 ust. 1.

Dane biometryczne

Warto również pamiętać, że po wejściu w życie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem tych danych (ogólne rozporządzenie o ochronie danych osobowych) katalog wrażliwych danych osobowych ulegnie poszerzeniu o dane biometryczne, które oznaczają określone cechy fizyczne (np. układ naczyń krwionośnych w palcu, obraz tęczówki oka) lub cechy behawioralne (np. głos) człowieka.

Kwestia wykorzystania systemów identyfikacji za pomocą danych biometrycznych (np. linii papilarnych) stanowiła zresztą już wcześniej przedmiot postępowań przed sądami administracyjnymi, np. orzeczenie wydane w sprawie I OSK 1476/10, w którym Naczelny Sąd Administracyjny nakazał urzędowi skarbowemu zdemontowanie czytników linii papilarnych zainstalowanych w celu ewidencji czasu pracy.

Podobnie należy ocenić zastrzeżenia generalnego inspektora ochrony danych osobowych (GIODO) do wprowadzenia przez Krajową Informację Podatkową systemu, w ramach którego wykorzystywany będzie system biometrii głosowej.

Poza opisanymi wcześniej przepisami kompetencyjnymi uchylenie zakazu przetwarzania wrażliwych danych osobowych będzie dopuszczalne na podstawie przepisów regulujących dane postępowanie administracyjne.

Również w tym przypadku muszą zostać spełnione przesłanki z art. 27 ust. 2 pkt UODO, tj. przepis proceduralny jednoznacznie uchyla zakaz przetwarzania danych wrażliwych, wyraźnie wskazuje na wrażliwe dane osobowe bądź niektóre rodzaje takich danych, wprowadza uprawnienie do przetwarzania danych wrażliwych bez zgody osoby, której one dotyczą, oraz stwarza gwarancje ochrony danych osobowych wrażliwych.

Przykładem takiego przepisu jest art. 100 ust. 2 ustawy o pomocy społecznej, a w przyszłości z pewnością przepisy o dokumentach paszportowych w zakresie danych biometrycznych, gdy dane te będą objęte katalogiem wrażliwych danych osobowych.

W innych przypadkach należy jednak liczyć się z ewentualną niezgodnością z konstytucją danego przepisu proceduralnego, który zezwala na przetwarzanie wrażliwych danych osobowych, jak miało to miejsce w przypadku przepisu art. 29 ust. 1 pkt 2 lit. i ustawy z 23 grudnia 1994 r. o Najwyższej Izbie Kontroli czy art. 24 do 36 ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi, o których negatywnie wypowiadał się GIODO w zakresie braku upoważnienia do przetwarzania danych osobowych wrażliwych („Rzeczpospolita” z 12 lipca 2011 r.).

Organy administracji publicznej, przetwarzając dane osobowe zaliczone do wrażliwych, powinny zatem zawsze kierować się opisanymi wcześniej zasadami, wynikającymi z art. 27 UODO, nawet gdy dopuszczalność przetwarzania takich danych może wydawać się oczywista ze względu na prowadzone postępowanie administracyjne.

podstawa prawna: ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2014 r., poz. 1182 ze zm.)

Dane wrażliwe

Są to dane ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Link do publikacji: http://www.rp.pl/Dane-osobowe/301129990-Jak-chronic-dane-osobowe.html#ap-1