To podstawowe, konstytucyjne prawo do prywatności obejmuje prawo do ochrony życia prywatnego. Istotnym elementem tej dziedziny są konstytucyjnie ustanowione ograniczenia dotyczące ujawnienia, pozyskiwania, dostępności informacji o osobach prywatnych. Konsekwencje art. 47 możemy zaobserwować w art. 51 ustawy zasadniczej. Jednakże Konstytucja jest jedynie podstawowym źródłem prawa, dopiero Ustawa z dn. 29 sierpnia 1997r. o ochronie danych osobowych zawiera szczegółowo prawa, obowiązki i kary nakładane na poszczególnych administratorów.

Podmioty zajmujące się przetwarzaniem danych osobowych, dzięki którym można zidentyfikować konkretną osobę, powinny działać zgodnie z prawem. Niezgodne przetwarzanie tych materiałów wiążę się z odpowiedzialnością karną. W związku z rozmaitymi naruszeniami przepisów prawnych przez administratorów i inne osoby, odpowiednio obowiązująca ustawa o ochronie danych osobowych przewiduje rozmaite rodzaje kar.

Administrator jako osoba, która posiada wszelkie informacje o danych osobach, jest odpowiedzialny za działania wykonywane na nich, bez względu na to, kto wykonuje te czynności. Tylko i wyłącznie administrator i osoba przez niego upoważniona mogą zgodnie z prawem przetwarzać dane. Osoba obowiązana do ochrony informacji w danej instytucji nie może udostępniać zbioru danych bądź dostępu do nich osobom nieupoważnionym. Jeśli się okaże, że osoba wykonująca jakieś czynności jest nieuprawniona do tego, bądź udostępnia dane, wtedy podlega ona grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Za przykład mogę podać wyrok o sygnaturze akt II SA2702/00, gdzie pozwanym była spółdzielnia mieszkaniowa, która zamieściła pisma na tablicy ogłoszeń na klatkach schodowych, w których to wzywały skarżoną do udostępnienia lokalu w celu likwidacji awarii pionu kanalizacyjnego oraz pismo informujące mieszkańców o odmowie udostępnienia przez nią tego lokalu. Oba pisma zawierały jej imię i nazwisko oraz adres zamieszkania. Pisma te wisiały przez okres ponad dwóch tygodni. W ciągu tego okresu nie tylko mieszkańcy danego obiektu, ale również osoby postronne miały możliwość zapoznać się z tymi pismami. Jednakże w trakcie rozstrzygania sprawy przez sąd pisma te były już usunięte przez spółdzielnie mieszkaniową, stad sąd oddalił skargę na decyzję GIODO, gdyż do kompetencji Generalnego Inspektora należy sprawdzenie zgodności przetwarzania danych. W razie naruszenia prawa może on jedynie wydać decyzje przywróceniu stanu zgodnego z prawem. W tym stanie GIODO nie mógł wydać żadnego postanowienia, gdyż stan tez został już wcześniej przez spółdzielnię przywrócony i tym samym przepisy nie stanowią innych dodatkowych sankcji. Gdyby jednak spółdzielnia nie zdjęła powyższych pism, GIODO wydałoby nakaz usunięcia podanych ogłoszeń.

Natomiast w wypadku nieumyślnego działania jakim jest udostępnianie danych osobom trzecim, bądź nie dotrzymuje staranności w ich zabezpieczeniu i zabraniu przez inne nieupoważnione do tego osoby, a także ich uszkodzeniem lub zniszczeniem, sąd może zmniejszyć karę pozbawienia wolności do roku. W tym momencie trzeba zaznaczyć, iż już samo niezabezpieczenie danych osobowych jest przestępstwem. Chciałabym także nadmienić, iż możliwe jest przetwarzanie danych bez podstawy prawnej, które głównie odnosi się do działalności podmiotów zajmujących się marketingiem bezpośrednim.

Istnieją także dane, których ujawnienie jest zakazane tj. dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, przynależność związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym. Osoba posiadająca takie informacje podlega grzywnie, karze ograniczenia wolności bądź pozbawienia wolności do 3 lat.

Administrujący posiadający dane niezgodne z celem utworzenia zbioru podlega karze podobnej do powyższej z tą różnicą, iż pozbawienie wolności może być w wymiarze do 1 roku. Administrujący powinien dołożyć wszelkich staranności, aby dane osoby po zakończeniu określonej umowy zostały usunięte i nie poddawane dalszemu przetwarzaniu niezgodnymi z celami utworzenia tego zbioru. Przykładem mogą być operatorzy telekomunikacyjni. Powołując się na wyrok o sygnaturze akt II SA/Wa 239/04, w której pozwanym była Spółka A (operator telekomunikacyjny) oraz powodem był klient Spółki A. Klient zawarł ze spółką A umowę o świadczenie usług telekomunikacyjnych. Tym samym miesiąc później wniósł sprzeciw przetwarzania jego danych osobowych celach marketingowych. Po upływie dłuższego czasu klient rozwiązał umowę i mimo zakończenia współpracy, spółka cały czas wysyłała mu korespondencje. Zgodne z art. 32 w razie wniesienia sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych dalsze przetwarzanie jest niedopuszczalne, to samo dotyczy wygaśnięcia czy rozwiązania umowy. Sąd w uzasadnieniu podkreślił, iż administrator danych może jednak pozostawić imię, nazwisko, adres oraz PESEL osoby, aby uniknąć ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem. W uzasadnieniu możemy także przeczytać interpretacje sądu odnośnie znaczenia słowa jakim jest reklama oraz marketing:
„(…) reklama jest świadome działanie przedsiębiorcy zmierzające do promowania towarów lub usług przez wskazanie na ich cechy w taki sposób, aby wywołać lub wzmocnić określone potrzeby u klientów. Marketing oznacza bowiem proces społeczny i zarządczy, dzięki któremu jednostki i grupy uzyskują to, czego potrzebują i pragną poprzez tworzenie oraz wzajemna wymianę produktów i wartości. Marketing bezpośredni zaś to marketing przy użyciu różnych mediów reklamowych, zapewniających bezpośredni kontakt z nabywcami, zazwyczaj jest to kontaktowanie się w celu uzyskania bezpośredniej reakcji.” W związku z powyższym, treść na kopertach i ich przeznaczenie świadczy o ich marketingowym charakterze. Decyzją sądu był nakaz zaprzestania przetwarzania danych osobowych tj. wysyłania korespondencji. Natomiast jeśli dany organ przetwarza dane w celu innym niż wskazany we wcześniejszych ustaleniach, może zostać dopuszczalne tylko w sytuacjach, gdy nie narusza wolności i praw osoby, której dane dotyczą oraz w celu badań naukowych, dydaktycznych, historycznych lub statystycznych. Osoba, której dane dotyczą powinna wcześniej wyrazić na to zgodę. W powyższym przypadku brak takiej zgody, a wręcz sprzeciw, w związku z tym dalsze wysyłanie materiałów do klientów jest niedopuszczalne.

Najważniejszą i podstawową rutyną, którą powinni przestrzegać administratorzy jest rejestracja zbioru danych do Generalnego Inspektora. Przestępstwem jest jednak tylko i wyłącznie całkowite niezgłoszenie zbioru danych do rejestracji. Występuje tutaj wyjątek. Artykuł 43. ustawy o ochronie danych osobowych wymienia administratorów danych, którzy są zwolnieni z obowiązku rejestracji np. jeśli chodzi o dane przetwarzane przez właściwe organy dla potrzeb postępowania sądowego bądź dane przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego. To jedne z wielu wyjątków, o których wspomina powyższa ustawa.

Kolejną niezbędną czynnością jest poinformowanie osoby, której dane dotyczą o jej prawach. Nie zastosowanie się do tych jakże istotnych zasad wiąże się z karą pieniężną bądź karą ograniczenia wolności (do roku).

W przypadku, gdy zostaną naruszone przepisy powyższej ustawy Generalny Inspektor nakazuje: uaktualnienia, sprostowania, a także zastosowanie dodatkowych zabezpieczeń jak również ich usunięcia. Jeśli dane podmioty, zajmujące się przetwarzaniem danych osobowych, nie zgadzają się na postanowienia GIODO mają możliwość odwołania się do Wojewódzkiego Sądu Administracyjnego, a następnie mogą wnieść skargę kasacyjną w ciągu 30 dni od dnia doręczenia orzeczenia wraz z uzasadnieniem do Naczelnego Sądu Administracyjnego.
Podsumowując, chciałabym zwrócić uwagę na rolę administratora, na którym spoczywa obowiązek zastosowania takich środków technicznych i organizacyjnych, które będą w stanie zapewnić ochronę przetwarzanych danych osobowych. Powinien także zwrócić uwagę na zagrożenia oraz kategorię danych objętych ochroną. Jak już wspomniałam wyżej tylko osoby posiadające upoważnienie mogą zostać dopuszczone do przetwarzania danych. Administrator powinien kontrolować jakie dane, kiedy i przez kogo zostały do danego systemu wprowadzone oraz komu mają być przekazywane. Najważniejszym celem jaki administratorzy powinni sobie wyznaczać jest ochrona interesów osób, które dane dotyczą oraz zapewnienie, aby te dane były zgodne z prawem, merytorycznie poprawne, zbierane z prawnie określonymi celami.

Marta Kajda
Uniwersytet Warszawski