Problemy z ochroną danych osobowych

Albo raczej: problemy z nadmierną ochroną danych (osobowych?). Tak, wpis oczywiście dotyczy niedawnej decyzji GIODO z dnia 27 maja 2008 r. (znak: DOLiS/DEC-314/08/13239,13245), w której uznano ostatecznie, że „informacje o imieniu i nazwisku Skarżącego, w połączeniu z informacjami o nazwie i adresie szkoły podstawowej oraz oznaczeniu klasy, do której uczęszczał, wraz z jego wizerunkiem z 1978/1979 roku” wymagają „zaangażowania niewspółmiernych kosztów, czasu lub działań” dla „powiązania ww. sekwencji informacji o Skarżącym – z nim obecnie”, ergo, nie stanowią one danych osobowych. No i polała się fala krytyki.

Wystarczy zresztą spojrzeć na dwa ciekawe serwisy/blogi, które bardzo chętnie odwiedzam, a więc Lege Artis Olgierda Rudaka oraz stronę Piotra Vagli Waglowskiego. Na obu jest bardzo dużo uwag negatywnych, nie aprobujących ani przedmiotowego rozstrzygnięcia, ani – szerzej – efektywności ustawy o ochronie danych osobowych w ogóle. Były też jednak głosy popierające to co powiedział GIODO. Wśród nich byłem i ja.

Nie będę przeklejał tutaj moich wypowiedzi, zresztą nie były one jakoś strasznie rozbudowane. Pisane szybko i bez większego przygotowania, wyrazić miały przede wszystkim moje niezrozumienie dla całego zamieszania. W czym bowiem jest problem, że ktoś może przeczytać na jakimś starym zdjęciu imię i nazwisko jednego z uczniów – tego nie rozumiem. I to nawet niezależnie od tego, czy trzeba dużych nakładów i wysiłku, żeby powiązać tę informację z konkretną dziś osobą, czy nie. Po prostu, po mojemu nie temu ma służyć ewentualna ochrona danych osobowych.

Ja, przyznaję się, nie jestem jakimś strasznym specjalistą od ochrony danych osobowych, nie czytam więc tych wszystkich rezolucji, zaleceń, protokołów itp., chyba że są mi akurat koniecznie potrzebne. Niemniej jednak UODO zahacza poletko moich zainteresowań i czasem coś tam się więcej z tym robi. Wreszcie, niezależnie od wszystkiego, UODO, jak każda inna ustawa powinna być dla ludzi, a tym bardziej dla prawników na tyle dostępna, żeby mogli ją sami próbować zrozumieć. No więc zabrałem się do przypominania tego co się o tym wszystkim uczyłem, co wykorzystywałem i co inni napisali. To nie będzie jakieś nadzwyczajne opracowanie, aczkolwiek na kilka, nawet może banalnych rzeczy, chciałem zwrócić jeszcze uwagę.

Więc, po pierwsze, cel, czy też przyczyna ochrony danych osobowych. Otóż, to że zaczęto wprowadzać (początkowo fragmentaryczne) postanowienia chroniące dane osobowe, nie było to, że ktoś może nie chcieć być rozpoznanym na zdjęciu sprzed lat Pierwsze ustawy w Stanach Zjednoczonych dotyczyły bowiem posługiwania się informacjami udzielanymi w celu uzyskania kredytu. Ciężar gatunkowy, że tak powiem, nieco inny. Podobnie zresztą, jeśli spojrzymy na orzeczenia np. Europejskiego Trybunału Praw Człowieka w Strasburgu, to większość spraw związanych ze zbiorami danych osobowych dotyczyła sfery danych policyjnych, materiałów związanych z bezpieczeństwem państwa oraz dokumentacji medycznej.

Nie chodzi więc już nawet o śmieszność skarżenia się, że ktoś opisał mnie na zdjęciu sprzed lat. Bo jest to, z upływem czasu trudne lub niemożliwe, bo takie podpisywanie jest normalne naturalne etc. Nawet bowiem, jeśli ktoś powiąże te dane z osobą gdzieś tam nadal żyjącą, to … no właśnie co z tego. Czy ma to jakieś porównanie z danymi dla których taką ochronę zdecydowano się wprowadzić? Czy ktoś nie udzieli mu z tego powodu kredytu, a może raczej właśnie dlatego taki kredyt będzie mu się starał wcisnąć? Oczywiście, że nie, dlatego po mojemu to absurd.

Druga rzecz dotyczy relacji miedzy osobą jako taką, a jej danymi, czy też danymi doń się jakoś odnoszącymi. Oto bowiem, co piszą PP. Barta, Fajgielski i Markiewicz we wstępie do komentarza do UODO (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, LEX, 2007, wyd. IV):


(…)Takie podejście otwiera drogę do formułowania tezy, iż każdą osobę można by uznawać za „właściciela” informacji na jej temat, czyli za „właściciela” dotyczących jej danych osobowych (…). Każdemu pozostawiona byłaby w związku z tym swoboda dysponowania „własnymi” danymi osobowymi, władania nimi, a równocześnie na wszystkich innych osobach, względem których skuteczne byłoby to prawo, spoczywałby obowiązek prawny biernego zachowania się w stosunku do uprawnionego (a więc obowiązek wstrzymania się od jakiegokolwiek przetwarzania „jego” danych osobowych). Naturalnie tak jak „klasyczne prawo własności” także „własność danych osobowych” nie byłaby jakiś prawem absolutnym, lecz ujęta zostałaby w określone ramy i podlegała ograniczeniom wynikającym z ustaw, a jej wykonywanie – ocenie z perspektywy zasad współżycia społecznego. (…)Trzeba jednakże zaznaczyć, iż teza o istnieniu absolutnego, bezwzględnego prawa do własnych danych spotkała się z krytyką. (…)Nie jest przy tym ani trafne, ani usprawiedliwione przyznawanie każdemu prawa do własnych danych osobowych w znaczeniu pełnego i nieograniczonego władztwa nad nimi.

Z kolej ci sami Autorzy, a uwagach do art. 1 ustawy uzupełniają te uwagi o następujące stwierdzenia:


(…) [M]ożna bronić stanowiska, iż przedmiotem ochrony na gruncie ustaw o ochronie danych osobowych jest w istocie pewien emocjonalny (osobisty) stosunek występujący między osobą fizyczną a dotyczącymi jej danymi. Mielibyśmy zatem do czynienia z ujmowaniem zagadnienia ochrony danych osobowych w sposób podobny do tego, w jaki ujmuje się ochronę dóbr osobistych. Niemniej przy szerokim podejściu, przy kreowaniu szczególnego dobra osobistego w postaci autonomii informacyjnej człowieka i przy rygorystycznym założeniu, że w istocie każde posłużenie się takimi danymi przez osobę trzecią bez zgody zainteresowanego narusza wspomniany stosunek, osiągnęlibyśmy w praktyce ochronę samych danych. Inaczej sytuacja przedstawiałaby się przy przyjęciu mniej intensywnej ochrony, przy akceptacji podejścia zrelatywizowanego, występującego w obrębie ochrony powszechnych dóbr osobistych, według którego chodzi o poszanowanie stanu niezakłóconego spokoju psychicznego; wówczas wkroczeniem w sferę objętą ochroną będzie nie każde posłużenie się danymi, ale tylko takie, które – według typowych, przeciętnych reakcji – przynosi ze sobą tego rodzaju zakłócenie.

Nie jest jednak wykluczone także odmienne nieco podejście i ujmowanie prawa do ochrony danych osobowych bardziej „w kategoriach własnościowych„. Ten punkt widzenia łączy się z traktowaniem danych osobowych jako swoistego niematerialnego dobra poddanego szeroko ujmowanej własności (niekiedy mówi się o sui generis własności), przysługującej tej osobie, której informacje (dane) dotyczą.

Wydaje się, że de lege lata łatwiej jest bronić koncepcji nawiązujących do ochrony powszechnych dóbr osobistych niż koncepcji własnościowych.

A więc, upraszczając, nie jest tak, że wszystkie dane, które jakoś się do nas odnoszą to nasza własność i możemy z nią zrobić co nam się żywnie podoba (zresztą w naszym nie do końca niestety kapitalistycznym kraju, nawet z najprawdziwszą własnością nie zawsze możemy robić co nam się podoba, a co gorzej inni nam się do tego mogą wtrącać; podobnie przy prawach, które niektórzy traktują jak czystą własność, a inni nie do końca się z tym zgadzają – jak z prawem autorskim – gdzie mamy choćby różne formy dozwolonego użytku). A więc w jakimś stopniu, nawet naszymi danymi inni też się mogą posługiwać. A dodam jeszcze, że wyżej cytowany fragment odnosi się tylko do tzw. aspektu prywatnoprawnego, obok którego jest też „w istocie przeważający – aspekt publicznoprawny. Przetwarzanie danych osobowych poddane jest publicznoprawnej ocenie i regulacji.” (a prócz tego lub w tym nawet są jeszcze takie wartości jak swoboda dostępu do informacji i jej obiegu, także dla innych osób). Dlatego, choć nie uważam, że dane sprzed trzydziestu lat w postaci zdjęcia, połączone z imieniem i nazwiskiem tej osoby pozwalają na łatwą identyfikację tej osoby, to nawet gdyby tak było, to trzeba się pogodzić z tym, że jest to ta część danych, która może być swobodnie przekazywana.

Tak na marginesie zaś, te cytaty powyższe wskazują, posłużenie się danymi osobowymi zasługuje na ochronę wówczas, gdy zakłócałoby stosunek między osobą fizyczną a dotyczącymi jej danymi, według typowych, przeciętnych reakcji. Czy ta obiektywizacja nie przemawia też za przyjęciem założenia, które znalazło się w omawianej decyzji GIODO, że mianowicie „o możliwości identyfikacji osoby powinno rozstrzygać rozumienie informacji przez przeciętnego odbiorcę”?

Ale wracając do rozważań właściwych, że tak powiem, jeszcze jeden cytat (przepraszam że wciąż z tego samego komentarza, ale przez ten weekend nie mam dostępu ani do Internetu, ani do żadnej książki, więc pozostaje tylko to co mam w Lexie), tym razem do art. 6:


Ustawa polska nie wprowadziła kategorii „danych wolnych”. Przewidywał ją m.in. rządowy projekt niemieckiej ustawy o ochronie danych osobowych. Stanowił, iż dozwolone jest podawanie (udostępnianie) następujących danych (określanych czasem w literaturze niemieckiej jako freie Daten): nazwisko, tytuł i stopień naukowy, data urodzenia, zawód, określenie branż i dziedzin handlowych, adres, numer telefonu. Obecnie obowiązująca w tym kraju ustawa przyjmuje nieco ostrożniejsze rozwiązanie. Uznaje (§ 28), że dozwolone jest w ramach niepublicznego sektora (lub z sektora niepublicznego do publicznego) przekazywanie i wykorzystywanie danych, jeśli:
a) następuje to w postaci danych osób należących do jakiejś grupy, które to dane zestawione są w listę (lub w podobny sposób) i ograniczone do: 1) podania przynależności do tej grupy osób, 2) oznaczenia zawodu, branży lub pola działalności handlowej, 3) nazwiska, 4) tytułu, 5) stopnia akademickiego, 6) adresu, 7) roku urodzenia;
b) nie istnieją podstawy do przyjęcia, iż po stronie zainteresowanego istnieje zasługujący na ochronę interes przemawiający za wyłączeniem przekazywania danych.
Przyjęte w tym zakresie liberalne rozwiązanie usprawiedliwia się m.in. tym, iż mamy tu do czynienia z danymi, które – z niewieloma wyjątkami – można z reguły łatwo ustalić na podstawie na przykład książki adresowej czy telefonicznej.

Czy więc w ostateczności nie można uznać by uznać przyjąć takiego rozwiązania? Wydaje się ono całkiem zdrowo rozsądkowe. I to nawet jeśli (już) w Niemczech też to zlikwidowali, w ramach walki o lepszą efektywność.

Podsumowując, nie twierdzę, że decyzja GIODO jest wspaniała. Tak jak wiele innych wcześniejszych, z którymi się frontalnie nie zgadzam, może być poddana krytyce – tak z warsztatowego punktu widzenia (chodzi o nieumiejętność cytowania, czy wręcz na w poły świadome, lekkie wprowadzanie w błąd w tym zakresie, jak i ze strony merytorycznej – że można było szukać uzasadnienia może w innych przepisach (choć argument, że trzeba było się powoływać raczej na art. 3a ust. 1 pkt 1 nie do końca mnie przekonuje, już lepiej faktycznie może art. 23 ust. 1 pkt 5 ustawy). Niemniej jednak, uważam, że jakby tego wszystkiego nie uzasadniać, to ten konkretny przykład ze zdjęciem z końca lat siedemdziesiątych, ze zdjęciem klasowym umieszczonym przez kolegów ze szkoły, jest przykładem wynaturzenia celu i przyczyn ochrony danych osobowych i myślę, że o tym wszystkim co powyżej starałem się napomknąć też trzeba pamiętać.

« »