Art. 3a.
1. Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.
2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
1. Artykuł 3a został dodany przez ustawę z 2004 r. Regulacja art. 3a ust. 1 pkt 1 nie jest jednak nowa, gdyż do chwili jej wprowadzenia przepis o identycznym brzmieniu był oznaczony jako art. 3 ust. 4. Art. 3a ust. 1 pkt 1 wzorem art. 3 ust. 2 dyrektywy 95/46/WE wyłącza ze swego zakresu zastosowania przetwarzanie danych osobowych jedynie przez osoby fizyczne, a nie inne podmioty, i tylko w celach osobistych lub domowych.
Także przetwarzanie danych osobowych w związku z działalnością zarobkową niebędącą jednak działalnością gospodarczą może być objęte zakresem zastosowania art. 3a ust. 1 pkt 1. Przykładowo przetwarzanie danych osobowych w związku z uczestniczeniem w aukcjach elektronicznych, które jest często działalnością zarobkową, uznać należy za przetwarzanie wyłącznie w celach osobistych, jeżeli osoba fizyczna nie uczestniczy w nich w związku z prowadzeniem działalności gospodarczej. Zgodnie z wyrokiem WSA w Warszawie z 22 marca 2007 r., II SA/Wa 1933/06, LEX nr 322811, wykorzystanie danych osobowych w sprawie karnej jako dowód przez osobę fizyczną stanowi przetwarzanie wyłącznie w celach osobistych.
Zgodnie z art. 3a ust. 1 pkt 1 ustawy o.d.o. nie stosuje się również do osób fizycznych, które przetwarzają dane osobowe wyłącznie w celach domowych. Rozumieć należy przez to przede wszystkim przetwarzanie danych osobowych w ramach wspólnot rodzinnych (dyrektywa 95/46/WE posługuje się w tym kontekście pojęciami uzasadniającymi takie rozumienie; w angielskiej wersji językowej są to household activities, natomiast w niemieckiej - familiärer Tätigkeiten).
2. Również art. 3a ust. 1 pkt 2 nawiązuje do dyrektywy 95/46/WE. Zgodnie z art. 4 ust. 1 lit. c dyrektywy 95/46/WE zakres zastosowania przepisów krajowych implementujących powołaną dyrektywę nie obejmuje sytuacji, w których administrator danych niemający siedziby na terytorium Wspólnoty wykorzystuje środki techniczne znajdujące się na jej terytorium wyłącznie w celu przesyłania danych osobowych przez terytorium Wspólnoty. W piśmiennictwie wskazuje się, że powołany przepis należy rozumieć ściśle, co oznacza, że wyjątek ów nie obejmuje sytuacji, w których dokonuje się na terytorium Wspólnoty jakichkolwiek operacji na danych osobowych innych niż ich przesyłanie (E. Ehmann, M. Helfrich, Datenschutzrichtlinie..., s. 104).
Regulacja ta dotyczy sytuacji, w których np. na terytorium Polski znajduje się ruter (A. Urbanek, Ilustrowany leksykon teleinformatyka, Warszawa 2001, hasło „ruter”), za pomocą którego przekazywane są dane osobowe siecią internet do adresata znajdującego się poza EOG i nie wykonuje się żadnych innych operacji na danych osobowych.
3. W sytuacjach omówionych w uwagach 1 i 2, regulowanych art. 3a ust. 1, ustawy o.d.o. nie stosuje się w całości. Pozostałe wyłączenia nią ustanowione nie mają tak szerokiego zakresu. W przypadku zbiorów doraźnych (art. 2 ust. 3) stosuje się przepisy o zabezpieczeniu danych osobowych (rozdział 5 ustawy o.d.o.). Również art. 3a ust. 2 nie wyłącza stosowania ustawy o.d.o. w całości. Odsyła on bowiem do art. 14-19 i 36 ust. 1. Powołane przepisy nie są jedynymi, które mogą znaleźć zastosowanie. Jeśli wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą, to stosowane mogą być np. przepisy karne ustawy o.d.o. Sąd Najwyższy przyjmuje, że w takiej sytuacji stosuje się art. 51 ust. 1 (wyrok SN z 2 października 2006 r., V KK 243/06, Lexpolonica nr 1067792, OSNKW 2006, nr 12, poz. 113).
Zakresem zastosowania art. 3a ust. 2 objęta została prasowa działalność dziennikarska w rozumieniu ustawy z 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24). Zgodnie z art. 7 ust. 2 pkt 1 Prawa prasowego, prasa oznacza publikacje periodyczne, które nie tworzą zamkniętej, jednorodnej całości, ukazujące się nie rzadziej niż raz do roku, opatrzone stałym tytułem albo nazwą, numerem bieżącym i datą, a w szczególności: dzienniki i czasopisma, serwisy agencyjne, stałe przekazy teleksowe, biuletyny, programy radiowe i telewizyjne oraz kroniki filmowe; prasą są także wszelkie istniejące i powstające w wyniku postępu technicznego środki masowego przekazywania, w tym także rozgłośnie oraz tele- i radiowęzły zakładowe, upowszechniające publikacje periodyczne za pomocą druku, wizji, fonii lub innej techniki rozpowszechniania; prasa obejmuje również zespoły ludzi i poszczególne osoby zajmujące się działalnością dziennikarską.
Powyższa szeroka definicja „prasy” nie oznacza, że w zakresie zastosowania art. 3a mieszczą się przypadki przetwarzania danych, np. przez wydawców w celach marketingu bezpośredniego czy rozliczeń z prenumeratorami. Art. 3a ust. 2 nie dotyczy sytuacji, w których „wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą”. To sformułowanie należy uznać za skrót myślowy. Oczywiste jest bowiem, że wolność wyrażania poglądów nie może naruszać wolności i praw osoby, której dane dotyczą. Jednakże te ostatnie mogą zostać naruszone wskutek rozmaitych zachowań podmiotów korzystających z wolności wyrażania swoich poglądów i rozpowszechniania informacji. Powyższe jest efektem bezpośredniego przeniesienia sformułowań zawartych w art. 9 dyrektywy 95/46/WE do ustawy o.d.o.
Rozstrzygając, czy „wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą”, należy uwzględnić:
- wagę interesu „administratora danych” usprawiedliwiającego ich przetwarzanie,
- typ danych przetwarzanych w prasowej działalności dziennikarskiej (np. dane wrażliwe),
- gwarancje praw jednostki związane z prowadzeniem prasowej działalności dziennikarskiej, w szczególności możliwość skorzystania przez osobę, której dane dotyczą, z prawa do odpowiedzi i sprostowania (np. § 41 ust. 2 niemieckiej ustawy z 20 grudnia 1990 r. o ochronie danych, tekst jedn. z 14 stycznia 2003 r., wymaga przetwarzania sprostowania łącznie z danymi, których ono dotyczy dopóty, dopóki dane są przetwarzane),
- czy „administrator danych” prowadzący prasową działalność dziennikarską (działalność artystyczną lub literacką) związany jest etycznym kodeksem postępowania regulującym przetwarzanie danych osobowych.
Ponadto komentowany przepis obejmuje działalność artystyczną lub literacką. Przez działalność artystyczną lub literacką należy rozumieć w szczególności działalność twórczą będącą przedmiotem prawa autorskiego (ustawa z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, tekst jedn. Dz. U. z 2006 r. Nr 90, poz. 631). Przepis ten obejmuje swoim zakresem zastosowania np. działalność biografów.
Działalność tego typu jest prowadzona także m.in. na podstawie ustawy z 30 czerwca 2005 r. o kinematografii (Dz. U. Nr 132, poz. 1111), w pewnym zakresie na podstawie ustawy z 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej (tekst jedn. Dz. U. z 2001 r. Nr 13, poz. 123).
Art. 3a ust. 2 nie obejmuje swoim zakresem zastosowania przetwarzania danych osobowych w celach naukowych. Przetwarzanie danych osobowych w takich celach objęte jest zakresem zastosowania innych przepisów wyłączających niektóre obowiązki administratora danych.
Do przetwarzania danych objętego zakresem art. 3a ust. 2 stosuje się art. 14-19, regulujące wykonywanie kontroli przez Generalnego Inspektora, jego zastępcę i inspektorów oraz pociągania „administratorów danych” do odpowiedzialności administracyjnej. Komentowany przepis nakazuje stosować także art. 36 ust. 1, który nakłada na „administratora danych” ogólny obowiązek ich zabezpieczenia. Odesłanie wyłącznie do tego przepisu oznacza, że sposób i środki zabezpieczenia danych osobowych powinien ustalić „administrator danych”, uwzględniając konkretne okoliczności przetwarzania. Do podmiotów prowadzących omawiane rodzaje działalności nie stosuje się pozostałych przepisów regulujących zabezpieczenie danych osobowych, m.in. nakładających obowiązki prowadzenia dokumentacji opisującej sposób przetwarzania danych, wyznaczenia administratora bezpieczeństwa informacji, czy też prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Nie znajdują zastosowania także przepisy definiujące podstawowe pojęcia, w tym pojęcie administratora danych. Dlatego podmiotom prowadzącym działalność dziennikarską, literacką lub artystyczną nie przysługuje status administratora danych (wyrok SN z 2 października 2006 r., V KK 243/06, LexPolonica nr 1067792, OSNKW 2006, nr 12, poz. 113), a w niniejszym komentarzu na ich oznaczenie używane jest pojęcie administrator danych jedynie odpowiednio i w celu odróżnienia umieszczane w cudzysłowiu.
4. W odróżnieniu od art. 3 pkt 2 dyrektywy 95/46/WE, ustawa o.d.o. nie wyłącza ze swego zakresu zastosowania przetwarzania danych osobowych związanego z bezpieczeństwem publicznym, obronnością kraju i bezpieczeństwem państwa (w tym także gospodarczym). Ustawa o.d.o. ogranicza wprawdzie Generalnego Inspektora w wykonywaniu uprawnień kontrolnych i nadzorczych względem administratorów danych działających w dziedzinach związanych z bezpieczeństwem publicznym, obronnością kraju i bezpieczeństwem państwa (por. art. 15 ust. 2, 18 ust. 2a i art. 43 ust. 2), lecz nie przewiduje wyłączenia stosowania wszystkich jej przepisów. Powyższe nie oznacza jednak, że do przetwarzania danych osobowych przez podmioty związane z bezpieczeństwem publicznym, obronnością kraju i bezpieczeństwem państwa należy stosować wszystkie przepisy ustawy o.d.o. Z reguły przepisy ustaw stosowanych względem wymienionych podmiotów stanowią leges speciales (przepisy szczególne) i wyłączają stosowanie przepisów ustawy o.d.o. (zob. też uw. 5 do art. 5).
Autor: Andrzej Drozd
Art. 23.
1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
2. Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
3. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.
4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:
1) marketing bezpośredni własnych produktów lub usług administratora danych,
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
1. Artykuł 23 nie tylko ustanawia przesłanki uchylające zakaz przetwarzania danych osobowych, lecz także jest podstawą (a contrario) do odtworzenia normy wyznaczającej zakaz przetwarzania danych osobowych w zbiorach ewidencyjnych i zbiorach danych, a także w razie tworzenia tych zbiorów. Przesłanki uchylające zakaz przetwarzania danych osobowych określane są w literaturze także jako przesłanki legalizujące przetwarzanie. Katalog przesłanek uchylających zakaz przetwarzania danych osobowych, wymienionych w art. 23, jest zamknięty. Koniecznym warunkiem każdego, co do zasady, przetwarzania danych w zbiorze ewidencyjnym (danych) jest spełnienie przez administratora danych choćby jednej ze wskazanych w art. 23 przesłanek. Wyjątkiem od powyższej zasady jest: przetwarzanie danych osobowych w zbiorach ewidencyjnych albo zbiorach danych sporządzanych doraźnie (art. 2 ust. 3), przetwarzanie danych osobowych przez osoby fizyczne wyłącznie w celach osobistych lub domowych (art. 3a ust. 1 pkt 1), przekazywanie danych za pomocą środków technicznych znajdujących się na terytorium Polski przez podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim (art. 3a ust. 1 pkt 2), przetwarzanie danych w związku z prasową działalnością dziennikarską oraz działalnością literacką lub artystyczną (art. 3a ust. 2). Ponadto zgodnie z art. 4 umowa międzynarodowa ratyfikowana z uprzednią zgodą wyrażoną w ustawie może wyłączyć stosowanie przepisów ustawy o.d.o., w tym także art. 23. Spełnienie którejkolwiek z przesłanek uchylających zakaz przetwarzania danych nie jest konieczne, jeżeli do przetwarzania danych stosuje się regulację szczególną, np. przetwarzanie informacji niejawnych przez uprawnione podmioty. Legitymowanie się przez administratora danych którąkolwiek z przesłanek uchylających zakaz przetwarzania danych osobowych jest zbędne, jeśli dane nie są przetwarzane w zbiorze ewidencyjnym (danych) ani też zbierane w celu włączenia do takiego zbioru. Jeżeli dane przetwarzane przez administratora należą do wskazanych w art. 27 ust. 1, to legalność ich przetwarzania jest uzależniona od spełnienia przynajmniej jednej z przesłanek uchylających zakaz przetwarzania wymienionych w art. 27 ust. 2 (lex specialis), a nie w art. 23.
Artykuł 23 wyznacza zakaz i przesłanki uchylające zakaz przetwarzania danych osobowych, czyli wykonywania jakichkolwiek operacji na danych osobowych. Jednak nie wszystkie operacje na danych osobowych mogą być wykonywane po spełnieniu jednej z przesłanek określonych w art. 23. W odniesieniu do udostępniania danych osobowych w celu innym niż włączenie do zbioru zastosowanie znajduje przepis szczególny, tj. art. 29, a także art. 30. W konsekwencji, w razie udostępniania danych osobowych objętego zakresem zastosowania art. 29 konieczne jest spełnienie przesłanek określonych tym przepisem, a także brak przesłanek wykluczających udostępnienie wyznaczonych w art. 30. Również udostępnianie danych osobowych w celu włączenia do zbioru podlega ocenie w świetle art. 30. Dodatkowo w świetle przepisów rozdziału 7 należy oceniać przekazywanie danych osobowych do państwa trzeciego.
W piśmiennictwie wskazuje się, że ustawa o.d.o. nie zakazuje przetwarzania danych osobowych z nielegalnych źródeł albo uzyskanych nielegalnym sposobem (R. Szałowski, Ochrona danych osobowych. Komentarz do ustawy z dnia 29 sierpnia 1997 r., Zielona Góra 2000, s. 84). Jest to pogląd wątpliwy w świetle ustawy o.d.o., gdyż na administratorze ciąży obowiązek przetwarzania danych osobowych zgodnie z prawem. Wspomniany obowiązek zostanie naruszony zarówno wskutek zebrania danych osobowych z nielegalnego źródła, jak i w nielegalny sposób. Również zbieranie danych ze źródeł o wątpliwym charakterze, zwłaszcza rozmaitych wykazów udostępnianych w sieci internet, może być uznane za naruszające ciążący na administratorze danych obowiązek szczególnej staranności, którego elementem jest zbieranie danych zgodnie z prawem.
2. Uchylenie zakazu przetwarzania danych osobowych może nastąpić wskutek udzielenia zgody przez osobę, której dane dotyczą. Ustawa o.d.o. w art. 7 pkt 5 zawiera definicję zgody osoby, której dane dotyczą (zob. uwagę 23 do art. 7). Zgoda na przetwarzanie danych osobowych może być udzielona tylko konkretnemu administratorowi (administratorom) danych. Jeżeli dochodzi do następstwa prawnego, a dane osobowe były przetwarzane tylko na podstawie zgody, a nie innych przesłanek wymienionych w art. 23, to następca prawny musi - co do zasady - ponownie uzyskać zgodę osoby, której dane dotyczą (por. P. Litwiński, Obrót prawny bazami danych osobowych, PPH 2003, nr 9, s. 49). Konieczność uzyskania zgody przez następcę prawnego nie wystąpi jednak wówczas, gdy osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych w przyszłości (art. 23 ust. 2). Należy także podkreślić, iż skuteczne wyrażenie zgody na przetwarzanie danych w przyszłości wymaga poinformowania podmiotu danych przez administratora, który je zbiera, o znanych mu w czasie udzielania informacji lub przynajmniej o przewidywanych odbiorcach lub kategoriach odbiorców danych (art. 24 ust. 1 pkt 2).
Co do zasady zgoda może być wyrażona skutecznie tylko po wykonaniu przez administratora danych obowiązku powiadomienia ustanowionego w art. 24 ust. 1. W związku z tym należy przyjąć, że zgoda musi odnosić się do tego celu przetwarzania danych, o którym została poinformowana osoba, której dane dotyczą. Jak trafnie wskazuje Generalny Inspektor (decyzja z 14 lipca 2000 r., GI-DP-DEC-44/2000/680, www.giodo.gov.pl), osoba, której dane dotyczą, nie może skutecznie udzielić zgody, jeżeli administrator posługuje się internetowym formularzem zgłoszeniowym, obejmującym postanowienie o jednoczesnym wyrażeniu zgody w różnych celach i udostępnianiu osobom trzecim. W stanie faktycznym, którego dotyczyła powyższa decyzja, Generalny Inspektor uznał, że osoba zainteresowana musi mieć możliwość odrębnego wyrażania zgody na przetwarzanie danych w każdym ze wskazanych przez administratora danych celów, a także odrębnego wyrażenia zgody na udostępnianie danych osobom trzecim przez administratora. Powyższe stanowisko jest w pełni uzasadnione i dotyczy także formularzy sporządzanych w formie innej niż elektroniczna.
Zgoda powinna być udzielona administratorowi danych albo jego przedstawicielowi, którym może być przetwarzający, wskazany w art. 31, przedstawiciel administratora określony w art. 31a albo też inna wyznaczona osoba.
Komentatorzy dyrektywy 95/46/WE wskazują, że występowanie potrzeby interpretacji zgody na przetwarzanie danych (oświadczenia woli) wyklucza możliwość skutecznego powołania się na nią (E. Ehmann, M. Helfrich, Datenschutzrichtlinie. Kurzkommentar, Köln 1999, s. 121). Stanowisko to na gruncie ustawy o.d.o. należy uznać za zbyt daleko idące. Nie uzasadnia go również dyrektywa 95/46/WE, ustanawiając w art. 7 lit. a wymaganie niewątpliwego wyrażenia zgody, a względem tzw. danych wrażliwych, przyjmując w art. 8 ust. 2 lit. a wymaganie wyraźnego udzielenia zgody. Dlatego też należy przyjąć, że zgoda na przetwarzanie danych osobowych, jak każde oświadczenie woli, podlega interpretacji. Zastosowanie w tym zakresie znajduje art. 65 k.c. W rezultacie zgodę należy tłumaczyć tak, jak tego wymagają okoliczności, w których została wyrażona, zasady współżycia społecznego oraz ustalone zwyczaje. Zarówno zgoda na przetwarzanie danych innych niż wrażliwe, jak i tych ostatnich wymaga interpretacji. Zgoda na przetwarzanie danych wrażliwych musi być jednak, w myśl art. 27 ust. 2 pkt 1, złożona w formie pisemnej.
Należy także zauważyć, że zgoda może obejmować przetwarzanie danych osobowych jedynie w zakresie wyznaczonym zasadą adekwatności. Udzielenie zgody na przetwarzanie danych w zakresie szerszym niż wyznaczony zasadą adekwatności danych do celu nie może być prawnie skuteczne. Jednakże osoba, której dane dotyczą, może udzielić zgody w zakresie węższym niż zakres wszystkich danych adekwatnych do celu przetwarzania. Określenie w zgodzie węższego zakresu danych osobowych wiąże administratora danych.
W interesie administratora danych (względy dowodowe) leży sprecyzowanie zakresu zgody na przetwarzanie danych osobowych, np. przez stosowanie pisemnych wzorów zgody. W ten sposób bowiem może łatwo wykazać, że legalnie przetwarza dane osobowe.
Zgoda może być, co do zasady, odwołana (zob. uw. 23 do art. 7).
Generalny Inspektor wskazuje, że administrator danych nie powinien uzyskiwać zgody na ich przetwarzanie, jeżeli dane są zbierane tylko w celu wykonywania umowy (Pytania i odpowiedzi, www.giodo.gov.pl). Należy przychylić się do tego stanowiska. Choć ustawa nie zakazuje w takiej sytuacji uzyskiwania zgody na przetwarzanie danych, to jednak jej uzyskanie jest ze względów praktycznych niecelowe, ponieważ może wzbudzać nieuzasadnione przekonanie, że możliwe jest zawarcie umowy i jednoczesne niewyrażenie zgody na przetwarzanie danych osobowych koniecznych do wykonania umowy. Administrator danych powinien stosować w przyjętych wzorach umów (formularzach) postanowienie o wyrażeniu zgody na przetwarzanie danych osobowych tylko wtedy, gdy dane osobowe będą przetwarzane także w celu innym niż wykonanie umowy.
Podobne argumenty przemawiają za niezamieszczaniem postanowienia o wyrażeniu zgody w przepisach prawa. Również w tym przypadku zgoda nie jest konieczna do zalegalizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (por. Sprawozdanie GIODO za rok 2004, s. 162 i 175).
3. Przesłanka uchylająca zakaz przetwarzania danych osobowych, wymieniona w art. 23 ust. 1 pkt 2, pierwotnie była formułowana jako „zezwalają na to przepisy prawa”. Takie brzmienie przepisu było źródłem kontrowersji, gdyż w obowiązującym prawie trudno było odnaleźć przepisy expressis verbis zezwalające na przetwarzanie danych osobowych. Z tego względu za przepisy zezwalające na przetwarzanie uznawano te, które nie miały związku z przetwarzaniem danych osobowych lub związek ten był trudny do zauważenia (por. X. Konarski, G. Sibiga, Nierozerwalny związek, „Rzeczpospolita” z 19 kwietnia 2004 r.). Ponadto komplikacje były związane również z tym, że przepisy prawne dotyczące przetwarzania danych przez podmioty publiczne mogły być oceniane dwojako. Po pierwsze i najczęściej, jako wyznaczające podstawę i granice przetwarzania danych osobowych. Po drugie, natomiast (rzadziej) mogły stanowić przesłankę uchylającą zakaz przetwarzania danych osobowych (A. Drozd, Zakres zakazu przetwarzania danych osobowych, PiP 2003, nr 3, s. 42). Ustawa z 2004 r. zmieniła brzmienie art. 23 ust. 1 pkt 2. De lege lata przetwarzanie danych jest dopuszczalne, jeżeli jest niezbędne do „zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa”. Obecne brzmienie art. 23 ust. 1 pkt 2 nie tylko wyklucza powyższe kontrowersje, lecz także jest zgodne z art. 7 lit. c dyrektywy 95/46/WE.
Zakresem zastosowania komentowanego przepisu należy objąć sytuacje, w których źródłem uprawnienia (obowiązku) jest wprost przepis prawa. Natomiast nie jest możliwe powołanie się na omawianą przesłankę wówczas, gdy uprawnienie (obowiązek) powstaje w wyniku dokonania czynności prawnej, będąc skutkiem wynikającym z ustawy (art. 56 k.c.). Tej oceny nie zmienia okoliczność, że np. strony umowy wyraziły (lub nie) w jej treści (powtórzyły) skutki wynikające z ustawy. Jednakże również podmioty prywatne mogą powołać się na omawianą przesłankę, jeżeli przetwarzanie jest niezbędne do wykonania uprawnienia (obowiązku) wynikającego wprost z przepisu prawa. Przykładowo, jeżeli wskutek nieważnej czynności prawnej doszło do bezpodstawnego wzbogacenia (np. ze względu na wadę oświadczenia woli), to osoba, kosztem której inny podmiot uzyskał korzyść majątkową, może przetwarzać dane osobowe bezpodstawnie wzbogaconego na podstawie omawianej przesłanki, jeżeli jest to niezbędne do zrealizowania uprawnienia polegającego na żądaniu wydania korzyści w naturze (ew. zwrotu jej wartości), wynikającego z art. 405 k.c.
Artykuł 23 ust. 1 pkt 2 nie precyzuje, kto ma być podmiotem uprawnionym lub obowiązanym. Jest jednak oczywiste, choć przepis nie stanowi o tym wyraźnie, że administrator danych może powołać się na omawianą przesłankę tylko wtedy, gdy jest to niezbędne do wykonania jego uprawnień lub obowiązków. Tak też wyraźnie postanawia art. 7 lit. c dyrektywy 95/46/WE.
Ponadto na gruncie komentowanego przepisu jest niejasne, jak rozumieć zwrot „przepisu prawa”. Można by wprawdzie przyjąć, że obejmuje on wszelkie przepisy obowiązujące zgodnie z przyjętą w Konstytucji koncepcją źródeł prawa, lecz byłoby to pewne uproszczenie. W tym zakresie konieczne jest odrębne omówienie tego zagadnienia względem podmiotów publicznych i prywatnych. Bez znaczenia jednak jest to, czy przepis zaliczany jest do prawa materialnego czy procesowego.
Względem podmiotów publicznych znajduje zastosowanie art. 51 ust. 1 Konstytucji. Zgodnie z nim przepis nakładający na jednostkę obowiązek ujawnienia informacji dotyczących jej osoby musi mieć rangę ustawową. Oznacza to, że tylko przepis ustawy może przyznać podmiotowi publicznemu uprawnienie do pozyskania danych osobowych, któremu odpowiada obowiązek ich udzielenia przez osobę, której dane dotyczą. Wykluczone jest powołanie się przez administratora danych na przepisy niższej rangi, w tym także zawarte w aktach prawa miejscowego (por. wyrok NSA z 13 stycznia 2003 r., II SA/Kr 2812/02, Lexpolonica nr 359426, „Gazeta Prawna” 2003, nr 43, s. 21). Jeżeli natomiast na osobie, której dane dotyczą, nie ciąży obowiązek udzielania informacji jej dotyczących, to podmiot publiczny może przetwarzać dane osobowe również wtedy, gdy uprawnienie wynika z przepisu niższej rangi. Powyższe stanowisko jest jednak aktualne tylko w odniesieniu do podstawowych danych osobowych. Wątpliwości mogą się pojawić, jeżeli źródłem uprawnienia (obowiązku) podmiotu publicznego jest przepis aktu nienależącego do kategorii źródeł powszechnie obowiązującego prawa. Przykładowo, Generalny Inspektor uznaje (Sprawozdanie GIODO za rok 2002, s. 85), że umieszczanie danych osobowych na wokandach wywieszanych na korytarzach sądowych następuje na podstawie § 21 ust. 1 w zw. z § 22 ust. 2 zarządzenia Ministra Sprawiedliwości z 22 lutego 1988 r. w sprawie organizacji i zakresu działania sekretariatów sądowych oraz innych działów administracji sądowej (Dz. Urz. M.S. Nr 2, poz. 6 ; obecnie obowiązuje zarządzenie z 12 grudnia 2003 r., Dz. Urz. M.S. z 2003 r. Nr 5, poz. 22). Zgodnie z art. 93 ust. 2 Konstytucji zarządzenia nie mogą stanowić podstawy decyzji wobec obywateli. W literaturze wskazuje się, że określenie „decyzja” oznacza indywidualny akt stosowania prawa kształtujący sytuację prawną obywateli i innych podmiotów organizacyjnie niepodporządkowanych organowi wydającemu zarządzenie (J. Jeżewski, w: Konstytucje Rzeczypospolitej oraz komentarz do Konstytucji RP z 1997 roku, red. J. Boć, Wrocław 1998, s. 166). Oznacza to, że wywieszenie wokandy zawierającej dane osobowe nie może być kwalifikowane jako decyzja w rozumieniu Konstytucji, ponieważ nie kształtuje sytuacji prawnej obywatela. W rezultacie można uznać, że również akty podustawowe, a także akty o charakterze wewnętrznie obowiązującym, mogą być przesłanką przetwarzania danych osobowych w rozumieniu art. 23 ust. 1 pkt 2. Powyższe dotyczy jednak wyłącznie podstawowych danych osobowych (imię, nazwisko). Jeżeli bowiem przetwarzane dane osobowe dotyczą życia prywatnego, to powołanie się na określony przepis, z którego wynika uprawnienie (obowiązek) stanowiące przesłankę przetwarzania danych, jest ograniczeniem konstytucyjnego prawa do prywatności. Przepis będący źródłem takiego uprawnienia (obowiązku) musi mieć rangę ustawową. Ponadto należy pamiętać, że do udostępniania danych osobowych może znaleźć zastosowanie ustawa z 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198).
Odrębnie należy oceniać przetwarzanie danych na podstawie omawianej przesłanki przez podmioty prywatne. Podmioty te nie mogą jednostronnie nakładać na osobę, której dane dotyczą, obowiązku udzielania danych osobowych. Nie oznacza to jednak, że na osobie, której dane dotyczą, nie może ciążyć obowiązek udzielenia danych osobowych podmiotowi prywatnemu, wyznaczony ustawą. Dobrym przykładem przetwarzania danych osobowych przez podmiot prywatny jest wspólnota mieszkaniowa. Art. 27 ustawy z 24 czerwca 1994 r. o własności lokali (tekst jedn. Dz. U. z 2000 r. Nr 80, poz. 903) może być źródłem obowiązku właściciela lokalu udzielenia danych osobowych zarządowi reprezentującemu wspólnotę mieszkaniową, w szczególności jeżeli jest to niezbędne do dokonania czynności zwykłego zarządu. Szczególne uprawnienie informacyjne przysługuje zarządowi (wspólnocie) w myśl art. 29 ust. 1e ustawy o własności lokali. Na jego podstawie zarząd (ew. zarządca) może żądać od każdego z właścicieli lokali okazania dokumentów potwierdzających prawo własności lokali. Zarząd (wspólnota mieszkaniowa) może również przetwarzać zebrane dane osobowe, jeżeli jest to niezbędne do wykonania obowiązków wynikających z art. 22 ustawy o własności lokali. Administrator danych (wspólnota mieszkaniowa) jest obowiązany udostępnić każdemu właścicielowi lokalu dane osobowe niezbędne do wykonania obowiązku wyjaśnień dotyczących działalności zarządu na podstawie art. 29 ust. 3 ustawy o własności lokali. Dotyczyć to może także informacji o wysokości wynagrodzenia dozorcy (Sprawozdanie GIODO za rok 2000, s. 144), jednakże sposób udostępnienia tych danych osobowych nie może naruszać obowiązku szczególnej staranności administratora danych. Najczęściej jednak przepisy nie obciążają osoby, której dane dotyczą, obowiązkiem udzielania informacji podmiotowi prywatnemu (obowiązek taki musi wynikać z niebudzącej wątpliwości normy prawnej). Wówczas administratorowi danych nie przysługuje uprawnienie będące odpowiednikiem tego obowiązku. Jednakże mimo tego na administratorze danych może ciążyć obowiązek zebrania określonych danych osobowych. Tak jest w przypadku kandydata na pracownika i potencjalnego pracodawcy. Nie ma podstaw, aby w takiej sytuacji odmawiać administratorowi danych możliwości powołania się na omawianą przesłankę uchylającą zakaz ich przetwarzania. Jednakże dane osobowe mogą być zebrane tylko dobrowolnie, co nie zawsze będzie równoznaczne z wyrażeniem zgody w rozumieniu art. 7 pkt 5 przez osobę, której dane dotyczą.
Podobnie jak w odniesieniu do podmiotów publicznych, tak też w odniesieniu do podmiotów prywatnych należy przyjąć, że jedynie podstawowe dane osobowe niechronione prawem do prywatności mogą być przetwarzane, jeżeli jest to niezbędne do wykonania uprawnień (obowiązków) wynikających z przepisów podustawowych. W odróżnieniu od podmiotów publicznych podmioty prywatne nie mogą powoływać się na uprawnienia (obowiązki) wynikające z przepisów zawartych w aktach o charakterze wewnętrznym (uchwały Rady Ministrów, zarządzenia Prezesa Rady Ministrów), gdyż nie są one jednostkami organizacyjnymi podległymi organom wydającym te akty (art. 93 ust. 1 Konstytucji). Generalny Inspektor przyjmuje, że przepisami prawa w rozumieniu art. 23 ust. 1 pkt 2 mogą być także postanowienia statutów. Przykładowo Generalny Inspektor wskazuje, że statut stowarzyszenia wydany na podstawie ustawy z 7 kwietnia 1989 r. - Prawo o stowarzyszeniach (tekst jedn. Dz. U. z 2001 r. Nr 79, poz. 855) może dopuszczać publikowanie informacji o zadłużeniu działkowców. Zbliżony pogląd Generalny Inspektor wyraził, odnosząc się do zamieszczania informacji o „zaległościach czynszowych” członków spółdzielni w rejestrze członków (Sprawozdanie GIODO za rok 2002, s. 134 i 149). Stanowisko powyższe, w części dotyczącej przesłanki, na podstawie której przetwarzane są dane osobowe, budzi zastrzeżenia, gdyż w doktrynie (M. Gersdorf, J. Ignatowicz, Prawo spółdzielcze. Komentarz, Warszawa 1985, s. 26) i orzecznictwie prezetowane jest stanowisko uznające statut za „prawo umowne”, a nie akt normatywny prawa przedmiotowego. Oznacza to, że uprawnienia (obowiązki) wynikające ze statutu nie wynikają z przepisu prawa w rozumieniu art. 23 ust. 1 pkt 2. Powyższe nie przeczy jednak możliwości powołania się w takiej sytuacji na statut jako przesłankę określoną w art. 23 ust. 1 pkt 3.
Odrębne zagadnienie stanowią uprawnienia podmiotów prawa pracy, wynikające z autonomicznych źródeł tej gałęzi prawa. W piśmiennictwie niejednoznacznie oceniana jest możliwość powołania się przez administratora danych na konieczność ich przetwarzania do wykonania uprawnienia (obowiązku) wynikającego z przepisu (postanowienia) autonomicznego źródła prawa pracy (J. Barta, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2001, s. 363). Odnosząc się do tego zagadnienia, należy zauważyć, że postanowienia autonomicznych źródeł prawa pracy wyznaczające uprawnienia (obowiązki) z reguły oceniać należałoby jako mniej korzystne dla pracownika. Wykluczałoby to ich stosowanie zgodnie z art. 9 k.p. Nie można jednak wykluczyć postanowień neutralnych bądź nawet korzystniejszych dla pracownika. Przykładowo, zazwyczaj jako korzystniejsze należałoby ocenić postanowienie układu zbiorowego pracy nakazujące pracodawcy informowanie pracowników pocztą elektroniczną o wysokości wynagrodzenia, niezwłocznie po jego ustaleniu. Jednakże przetwarzanie danych osobowych innych niż podstawowe w związku z uprawnieniami (obowiązkami) wynikającymi z postanowień autonomicznych źródeł prawa pracy mogłoby wywoływać zastrzeżenia natury konstytucyjnej. Zgodnie z art. 47 w zw. z art. 31 ust. 3 Konstytucji, ograniczenia w korzystaniu z konstytucyjnie zagwarantowanego prawa do prywatności powinny następować w ustawie. Zastrzeżenia takie byłyby jednak nieuzasadnione, ponieważ Konstytucja zawiera gwarancje autonomii układowej partnerów socjalnych (art. 59 Konstytucji) i dlatego prawo pracy tworzone w drodze negocjacji między partnerami społecznymi nie jest objęte zakresem zastosowania art. 31 ust. 3 Konstytucji. Wątpliwe jest natomiast powoływanie się na omawianą przesłankę w związku z wykonywaniem uprawnień (obowiązków) wynikających z tych aktów, które nie są ustalane w drodze rokowań (regulaminy i statuty). Wyjątek mógłby dotyczyć jedynie regulaminu wynagradzania (por. G. Goździewicz, Porozumienia w zbiorowym prawie pracy (przegląd - wykładnia - ocena), w: Nowe układy zbiorowe. Przełom czy kontynuacja, red. J. Wratny, Warszawa 1998, s. 26-27) i innych regulaminów uzgadnianych z zakładową organizacją związkową bądź z innym przedstawicielstwem pracowniczym (por. art. 27 ust. 1 ustawy z 23 maja 1991 r. o związkach zawodowych, tekst jedn. Dz. U. z 2001 r. Nr 79, poz. 854; oraz art. 8 ust. 2 ustawy z 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych, tekst jedn. Dz. U. z 1996 r. Nr 70, poz. 335). W praktyce może mieć to szczególne znaczenie w związku z przetwarzaniem danych osobowych niezbędnych do przyznawania ulgowych usług i świadczeń oraz dopłat z zakładowego funduszu świadczeń socjalnych (wyrok SN z 8 maja 2002 r., I PKN 267/01, LexPolonica nr 365759, OSNAP 2004, nr 6, poz. 99: „pracodawca nie narusza dóbr osobistych pracownika, zobowiązując go zgodnie z postanowieniami regulaminu przyznawania zapomóg z zakładowego funduszu świadczeń socjalnych do złożenia zaświadczenia o zarobkach uzyskiwanych u drugiego pracodawcy”). W związku z tym należy uznać, że wykonywanie uprawnień (obowiązków) administratora danych mających swoje źródło w autonomicznych aktach prawa pracy uzasadnia powołanie się na art. 23 ust. 1 pkt 2, jeżeli źródłem tym są postanowienia aktów uzgadnianych w drodze rokowań.
Należy jednak podkreślić, że powoływanie się na uprawnienia (obowiązki) administratora danych (pracodawcy) wynikające z postanowień autonomicznego prawa pracy jest często zbędne. Wraz z nawiązaniem stosunku pracy stają się one uprawnieniami (obowiązkami) stron tego stosunku (elementami jego treści). Dlatego też możliwe jest wykazanie przez administratora danych (pracodawcę) konieczności przetwarzania danych osobowych w związku z „realizacją umowy”, stanowiącej odrębną przesłankę uchylającą zakaz ich przetwarzania. Na tę przesłankę uchylającą zakaz przetwarzania danych osobowych nie można jednak powołać się względem wszystkich adresatów autonomicznych źródeł prawa pracy (np. emeryci, renciści, kandydaci na pracowników). Dlatego też przetwarzanie danych osobowych tych podmiotów może następować na podstawie art. 23 ust. 1 pkt 2, jeżeli uprawnienia (obowiązki) administratora danych wynikają z postanowień aktów swoistych źródeł prawa pracy tworzonych w drodze rokowań między partnerami socjalnymi.
