Ochrona danych osobowych w Polsce, Czechach i na Węgrzech

Chociaż wszystkie kraje członkowskie Unii Europejskiej są zobowiązane do wdrażania najlepszych praktyk w zakresie zabezpieczania informacji, to jednak nie oznacza to jednolitości regulacji prawnych

Aktualizacja: 13.09.2011 04:23 Publikacja: 13.09.2011 03:00

Ochrona danych osobowych w Polsce, Czechach i na Węgrzech

Foto: www.sxc.hu

Michał Kołtuniak

Na terenie państw członkowskich Unii Europejskiej funkcjonują dwa podstawowe źródła tzw. prawa wtórnego. Są to rozporządzenia i dyrektywy. Te pierwsze obowiązują bezpośrednio i nie podlegają przeniesieniu do prawa krajowego. Ma to skutkować ich identycznym brzmieniem i stosowaniem we wszystkich krajach.

Dlatego też uważa się je za akty służące ujednolicaniu prawa, w tym szeroko rozumianego prawa gospodarczego oraz tego wpływającego na prawa i obowiązki przedsiębiorców na obszarze całej UE. W wielu przypadkach właśnie identyczne brzmienie i interpretacja norm prawnych są niezbędne do funkcjonowania jednolitego rynku.

Przykładem mogą być przepisy dotyczące zasad udzielania pomocy publicznej. Aby nie zakłócać swobodnej konkurencji na całym obszarze ugrupowania, muszą być one takie same we wszystkich państwach, tak aby żadne z nich nie mogło np. korzystniej traktować przedsiębiorców niż inne (chociaż oczywiście w praktyce ze względu np. na prowadzoną przez UE politykę regionalną są tu pewne wyjątki).

Drugim wspomnianym źródłem są dyrektywy. Są to akty prawne wyznaczające państwom członkowskim pewne cele, które powinny być osiągnięte w zakładanym czasie. Jednak organom państwowym pozostawiona jest swoboda co do wyboru form, metod i środków służących osiągnięciu tych celów.

Wszystko to sprawia, że chociaż prawo we wszystkich państwach powinno być podobne, to nie musi być jednakowe, a dyrektywy traktuje się tym samym jako źródło harmonizacji prawa. Dlatego też polski przedsiębiorca, który planuje rozpoczęcie działalności gospodarczej za granicą, musi zapoznać się często z lokalnymi przepisami, mającymi wpływ na codzienną działalność firmy.

Zalicza się do nich m.in. przepisy podatkowe, prawo pracy, prawa konsumentów. Znajomość norm polskich lub unijnych nie zawsze będzie wystarczająca ze względu na sygnalizowaną różnorodność.

Tak jest także z przepisami odnoszącymi się do ochrony danych osobowych, regulowanych w sposób ramowy właśnie przez unijną dyrektywę. Państwa wprowadzając ją do swojego porządku prawnego, mogły przyjąć nieco inne rozwiązania.

Kiedy krajowe

Głównym celem dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych jest zapewnienie ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do prywatności w odniesieniu do przetwarzania danych osobowych. Stanowi o tym art. 1.

Jednocześnie decyduje on o tym, że żadne z państw nie będzie ograniczać ani zakazywać swobodnego przepływu takich danych między poszczególnymi krajami.

O tym, jakie prawo należy uznać za właściwe, nie musi zatem przesądzać to, skąd pochodzą dane czy, mówiąc inaczej, gdzie zostały one pozyskane, lecz to, gdzie działa (prowadzi działalność gospodarczą) administrator danych. Zgodnie bowiem z art. 4 każde państwo stosuje w odniesieniu do przetwarzania danych przepisy prawa krajowego wówczas, gdy:

- przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium tego państwa. Jeżeli jednak ten sam administrator prowadzi działalność (np. posiada filie) na terytorium kilku państw, musi on podjąć niezbędne działania, aby zapewnić, że każde z tych przedsiębiorstw wywiązuje się z obowiązków przewidzianych w odpowiednich przepisach danego kraju;

- administrator danych nie prowadzi działalności gospodarczej na terytorium państwa członkowskiego, lecz w miejscu, gdzie jego prawo krajowe obowiązuje na mocy międzynarodowego prawa publicznego;

- administrator danych nie prowadzi działalności gospodarczej na terytorium UE a do celów przetwarzania danych osobowych wykorzystuje środki, zarówno zautomatyzowane jak i inne, znajdujące się na terytorium państwa członkowskiego, o ile środki te nie są wykorzystywane wyłącznie do celów tranzytu przez terytorium Unii (w takim wypadku administrator musi ustanowić swojego przedstawiciela na terytorium kraju członkowskiego).

Jak wynika z tego przepisu, przetwarzanie danych osobowych na terenie Unii powinno odbywać się z zastosowaniem przepisów tego kraju, w którym prowadzi działalność administrator odpowiedzialny za to przetwarzanie.

Jeżeli administrator ten prowadzi działalność w szczególności za pośrednictwem filii na terytorium jednego lub kilku innych państw, musi zapewnić działanie każdej z tych filii zgodnie z wymogami nałożonymi przez prawo danego państwa.

Przykład

Firma X działająca na terenie Polski zajmuje się rekrutacją pracowników online na obszarze kraju oraz Niemiec i Francji, uzyskując tym samym dane osobowe takich osób. Czy w takim wypadku oprócz spełnienia wymogów nałożonych przez ustawę o ochronie danych osobowych musi także spełnić normy wynikające z prawa francuskiego i niemieckiego?

Odpowiedź brzmi nie. Ponieważ przedsiębiorca działa wyłącznie na terenie naszego kraju, musi więc postępować zgodnie z polską ustawą. Przetwarzanie danych osobowych na obszarze państw należących do UE oznacza, że przepływ danych – jako jedna z form przetwarzania – jest traktowany na całym obszarze UE tak samo, jakby odbywał się na terytorium Polski.

Wyobraźmy sobie teraz, że ta sama firma X posiada także swoje filie na obszarze Niemiec i Francji i również tam prowadzi działalność gospodarczą. W takim wypadku, operując w tych państwach w zakresie przetwarzania danych osobowych, filie tego przedsiębiorcy będą musiały dostosować się odpowiednio do wymogów prawa lokalnego.

Gdzie różnice

Przepisy dyrektywy a za nią krajowe odnoszą się do takich kwestii, jak: definicje danych osobowych, dane szczególnie chronione, przetwarzanie danych, zbiór, administrator, przetwarzający, zgoda osoby, której dane dotyczą, legalność przetwarzania danych, obowiązek informacyjny, obowiązek zgłoszenia do rejestracji, przekazywanie danych do państw trzecich (spoza UE lub Europejskiego Obszaru Gospodarczego) itp.

Przedsiębiorca, który prowadzi lub zamierza prowadzić działalność na obszarze innego państwa UE, musi mieć pewność, że przetwarza dane osobowe zgodnie z lokalnymi przepisami. Ich naruszenie może skutkować odpowiedzialnością cywilną, a nawet karną. Przykładowo pewne różnice mogą dotyczyć katalogu przesłanek decydujących o legalności przetwarzania danych.

Przypomnijmy, że chodzi tu o przepisy, które mówią o tym, jakie warunki muszą być spełnione, aby administrator mógł legalnie dysponować danymi. W przypadku naszego kraju decyduje o tym art. 23 ustawy o ochronie danych osobowych. Stanowi on, że przetwarzanie danych jest dopuszczalne tylko wówczas, gdy:

- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

- jest to niezbędne do zrealizowania uprawnień lub spełnienia obowiązku wynikającego z przepisów prawa,

- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby,

- jest niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego,

- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych albo ich odbiorców, a przetwarzanie nie narusza praw i wolności osoby, której one dotyczą.

Nie oznacza to, że identyczny wykaz będzie obowiązywał we wszystkich krajach Unii. Dlatego tak ważne jest poznanie lokalnych przepisów w tym zakresie (nawet jeżeli różnice ze względu na zapisy w dyrektywie nie będą istotne). W każdym bowiem wypadku administrator musi być w stanie wykazać, że spełnione zostały odpowiednie przesłanki prawne do przetwarzania danych.

Musi również spełnić obowiązek informacyjny i zapewnić jakość przetwarzania danych. Jest również zobowiązany do poszanowania praw osób, których dane pozyskuje, odpowiedniego ich zabezpieczenia oraz zgłoszenia prowadzonych zbiorów do rejestracji przez właściwy krajowy organ ochrony danych.

Pewne różnice mogą być widoczne w samym pojęciu danych osobowych i ich pewnych kategorii podlegających na przykład upublicznieniu. Zgodnie z dyrektywą (art. 2) pojęcie „dane osobowe” oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość. Nie oznacza to jednak, że w każdym przypadku dane pozwalające zidentyfikować konkretną osobę będą podlegały ochronie.

Przykładowo na Węgrzech dane osobowe osób zarządzających podmiotami prawnymi wpisanymi do rejestru spółek (np. dyrektorów zarządzających lub wspólników rzeczywistych) są publiczne na mocy ustawy V z roku 2006 o upublicznianiu informacji na temat spółek, rejestracji spółek i postępowania likwidacyjnego. Ten publiczny rejestr zawiera dane osobowe, np. nazwisko, datę i miejsce urodzenia, nazwisko panieńskie dyrektorów zarządzających lub menedżerów.

Nadrzędne prawo

Zgodnie z art. 16 traktatu o funkcjonowaniu Unii Europejskiej każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Prawo do poszanowania życia prywatnego i rodzinnego gwarantuje także art. 8 europejskiej konwencji praw człowieka.

Aktem odnoszącym się do tych zagadnień jest także konwencja nr 108 Rady Europy (organizacji niezależnej od UE) o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Ponadto prawo do ochrony danych osobowych jest chronione jako prawo podstawowe na mocy art. 8 karty praw podstawowych.

Wyjaśnienia dotyczące Czech i Węgier

Generalny inspektor ochrony danych osobowych we współpracy z odpowiednimi organami Czech i Węgier (biuro ochrony danych oraz rzecznik ochrony danych i wolności informacji) opracował specjalny przewodnik dla polskich przedsiębiorców, którzy planują rozpocząć działalność na terenie dwóch wymienionych państw. „Wybrane zagadnienia z zakresu ochrony danych.

Przewodnik dla przedsiębiorców” pokazuje podobieństwa i, co jeszcze ważniejsze, podstawowe różnice w prawie ochrony danych osobowych w trzech krajach. Zwraca uwagę na najistotniejsze kwestie, które powinny być wzięte pod uwagę i przeanalizowane przed rozpoczęciem jakiegokolwiek gromadzenia czy zbierania danych, co samo w sobie jest już przecież ich przetwarzaniem.

Zawiera także dane o krajowych aktach prawnych regulujących kwestie ochrony danych oraz dane kontaktowe do odpowiednich instytucji a także odsyła na ich strony internetowe. Publikację w wersji elektronicznej można pobrać ze strony www.giodo.gov.pl.

Dane Osobowe Dobra Osobiste Finanse w Firmie

Pozostało jeszcze 94% artykułu

Prawo w firmie

Rządowa deregulacja w Sejmie. Szybkie tempo prac i krytyka opozycji

Rządowy pakiet deregulacyjny ma uprościć życie przedsiębiorcom. Sejmowa opozycja zauważa, że likwiduje niewiele...

Materiał Promocyjny

Bank Pekao S.A. uruchomił nową usługę doradztwa inwestycyjnego

Usługa polega na dopasowaniu inwestycji klienta – lub zbudowaniu portfela od podstaw – do indywidualnej rekomendacji przygotowanej na podstawie jego z celów, sytuacji finansowej, wiedzy o rynku, doświadczenia, podejścia do ryzyka i tolerancji ewentualnych strat.

Prawo w firmie

Najlepsze studia MBA w Polsce. Wyniki rankingu Perspektywy 2025

Perspektywy opublikowały wyniki kolejnego rankingu programów MBA, czyli studiów kształcących menedżerów. "Złotą...

Uczestnicy debaty od lewej: Wojciech Bazan, Jolanta Sergot-Kowalska, Grzegorz Lang, Tomasz Pietryga,

Prawo w firmie

Dialog między zamawiającymi a wykonawcami to priorytet. Debata "Rzeczpospolitej"

Współpraca podmiotów państwowych i samorządowych z sektorem prywatnym jest kluczowa dla zwiększenia efektywności...

Prawo w firmie

Układy zbiorowe. Jest dobry sposób na ich upowszechnienie

Pieniądze publiczne powinny poprawiać płace i warunki pracy zatrudnionych – wynika z ogólnoeuropejskiego badania.

Materiał Promocyjny

Cyberprzestępczy biznes coraz bardziej profesjonalny. Jak ochronić firmę

Phishing, ataki DDoS i złośliwe oprogramowanie to stali bywalcy raportów dotyczących zagrożeń w sieci. Od lat są najczęściej wykorzystywanymi przez cyberprzestępców metodami, ale to nie znaczy, że sposób ich działania się nie zmienia.