Dane osobowe, czyli informacje, które w sposób pośredni lub bezpośredni pozwalają na identyfikację konkretnej osoby, powinny i w praktyce podlegają ochronie. Nie powinno być przecież tak, żeby każdy i w dowolnych okolicznościach mógł się z nimi zapoznać oraz swobodnie je wykorzystywać.
System ochrony takich informacji w Polsce ustanawia przede wszystkim ustawa o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.). Dzieli ona informacje o osobach na dwie kategorie. Pierwsza to dane podstawowe, druga to tzw. dane wrażliwe. Gromadzenie i przetwarzanie tych informacji jest możliwe (legalne) tylko wtedy, gdy administrator danych, czyli osoba (podmiot) nimi dysponująca i decydująca o celach ich przetwarzania, ma do tego odpowiednie podstawy prawne.
W myśl art. 23 ustawy przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie takich danych,
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której informacje dotyczą,
- jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której one dotyczą.
Wymienione przesłanki, z których każda jest równoprawna, dotyczą jednak danych podstawowych. W odniesieniu do danych wrażliwych kryteria decydujące o legalności gromadzenia i przetwarzania informacji są bardziej restrykcyjne (patrz ramka). Dlaczego? Żeby odpowiedzieć na to pytanie, trzeba uświadomić sobie, jakie informacje o ludziach składają się na tę kategorię.
Przekonania i poglądy
Wyjaśnienie przynosi art. 27 ust. 1 wymienionej ustawy, który, co do zasady, zakazuje przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Tego typu informacje można zatem traktować jako dane wrażliwe. Z tego zestawienia wyraźnie wynika, że wśród takich danych są te dotyczące wyroków sądów karnych. Kiedy informacja o nich może dotrzeć do pracodawcy?
Przykład
Pracownik Zakładu Ubezpieczeń Społecznych został skazany prawomocnym orzeczeniem sądu na karę grzywny. Nie poinformował swojego pracodawcy o toczącym się wobec niego postępowaniu w prokuraturze a następnie w sądzie. Pracodawca jednak taką informację uzyskał, w związku z czym wystąpił do sądu z pismem o informację, czy postępowanie wobec jego pracownika już się zakończyło i jaki był jego rezultat. Sąd w odpowiedzi wskazał, że dana osoba została skazana na określoną karę i podał informację o uprawomocnieniu się wyroku. Czy pracodawca, w tym wypadku bardzo konkretny podmiot ZUS, miał prawo takie dane otrzymać, a w związku z tym przetwarzać je na potrzeby dalszego postępowania wewnętrznego wobec swojego pracownika?
Informacje o skazaniu należą do grupy danych wrażliwych. W opisanym przykładzie posłużenie się nimi przez pracodawcę było jednak jak najbardziej legalne. Tak naprawdę podstawowe pytanie w tej sprawie wiąże się z tym, czy sąd miał prawo takie dane przekazać pracodawcy. Innymi słowy, zasadniczą kwestią jest ustalenie dopuszczalności lub niedopuszczalności ich ujawnienia. Ponieważ chodzi tutaj o przetwarzanie danych wrażliwych, należy spojrzeć na zakaz ich przetwarzania (art. 27 ust. 1) a następnie wyjątki od tego zakazu ustalone w ust. 2 pkt 1 – 10. A stosownie do regulacji zawartej w ust. 2 pkt 2 przetwarzanie takich danych jest dopuszczalne, jeżeli przepis szczególny innej ustawy zezwala na taki proces bez zgody zainteresowanej osoby. Jaki przepis szczególny może wchodzić tutaj w grę? Będzie to art. 21 § 1 kodeksu postępowania karnego (DzU z 1997 r. nr 89, poz. 555 ze zm.). Spójrzmy na jego treść.
Przepisy karne
Zgodnie z art. 21 § 1 k.p.k. o ukończeniu postępowania toczącego się z urzędu przeciw osobom zatrudnionym w instytucjach państwowych, samorządowych i społecznych, uczniom i słuchaczom szkół oraz żołnierzom należy bezzwłocznie zawiadomić przełożonych tych osób. Ponadto w myśl § 2 prokurator zawiadamia również o wszczęciu postępowania przeciw funkcjonariuszom publicznym, a o wszczęciu postępowania przeciw innym osobom, o których mowa w § 1 (pracownikach, uczniach wymienionych instytucji), jeżeli wymaga tego ważny interes publiczny.
Jak wynika z tego przepisu, sąd nie tylko mógł, lecz także miał obowiązek poinformować ZUS o zakończeniu postępowania, o ile sprawa dotyczyła popełnienia przez pracownika czynu, wobec którego sprawę rozpoczyna się z urzędu. Zakład Ubezpieczeń Społecznych zgodnie z art. 66 ust. 1 ustawy o systemie ubezpieczeń społecznych jest państwową jednostką organizacyjną. W świetle art. 21 k.p.k. jest więc instytucją państwową.
Jednocześnie warto odnotować, że przepis nie precyzuje, jakie informacje powinien przekazać sąd. W podanym przykładzie obejmowały one informację o tym, za jaki czyn został skazany pracownik, jaki był rodzaj kary i kiedy uprawomocnił się wyrok. Można więc postawić pytanie, czy zakres przekazanych danych był prawidłowy.
Tę kwestię należy ocenić, posiłkując się ponownie przepisami ustawy o ochronie danych osobowych. Warto przy tym zacytować decyzję generalnego inspektora ochrony danych osobowych, który tego typu przypadek analizował (decyzja nr DOLiS/DEC-603/10). Stwierdził on, że stosownie do art. 26 ust. 1 pkt 3 ustawy o ochronie danych administrator danych, przetwarzając je, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były adekwatne w stosunku do celów, w jakich są przetwarzane. Adekwatność oznacza, że zakres danych nie może wykraczać poza niezbędny do zrealizowania celu jakiemu przetwarzanie danych (w tym udostępnianie) ma służyć. Niewątpliwie celem zawiadomienia wskazanego w art. 21 k.p.k. jest przekazanie pracodawcy informacji, na podstawie których będzie on w stanie stwierdzić, czy w związku z zakończonym postępowania zasadne jest podejmowanie w stosunku do pracownika określonych kroków (w tym w szczególności zwolnienie takiego pracownika).
Przy tym dla rozstrzygnięcia tej kwestii nie powinno mieć znaczenia to, że sąd poinformował pracodawcę o zakończonym postępowaniu dopiero po otrzymaniu od niego pisma w tej sprawie, a nie z urzędu niezwłocznie po jej zakończeniu, do czego zacytowany wcześniej przepis go obliguje. Takie opóźnienie samo w sobie nie powoduje, że cała operacja udostępnienia danych wrażliwych nie miała w takim przypadku wystarczających podstaw prawnych.
Czyny ścigane z urzędu
Zgodnie z art. 21 kodeksu postępowania karnego informacja o skazaniu prawomocnym wyrokiem dotrze do zakładu pracy (uczelni), gdy spełnione będą określone przesłanki. Przede wszystkim w przepisie mowa jest wyłącznie o sprawach toczących się wobec pracowników określonych jednostek. Chodzi m.in. o instytucje państwowe lub samorządowe. Ponadto wyrok musi być następstwem postępowania toczącego się z urzędu. Chodzi więc o popełnienie takiego czynu, że odpowiednie instytucje państwowe (policja, prokuratura) podejmują decyzję na podstawie uzyskanych lub zebranych informacji o rozpoczęciu dochodzenia. Nie muszą zatem dysponować wnioskiem lub zgodą osoby pokrzywdzonej. Przykładem takiego czynu może być ten, o którym mowa w art. 226 § 1 kodeksu karnego: kto znieważa funkcjonariusza publicznego lub osobę do pomocy mu przybraną, podczas i w związku z pełnieniem obowiązków służbowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Odstępstwa od reguły
Przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli:
- osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,
- przepis szczególny innej ustawy zezwala na przetwarzanie takich informacji bez zgody osoby,
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby, gdy osoba, której one dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
- jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem że przetwarzanie danych dotyczy wyłącznie członków tych podmiotów albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzania danych,
- przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
- przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres gromadzenia danych jest określony w ustawie,
- przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem takich usług i są stworzone pełne gwarancje ochrony danych osobowych,- przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której one dotyczą,
- jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej
lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
- przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.