W rozwijającym się procesie informatyzacji powstaje coraz więcej zagrożeń dla autonomii informacyjnej jednostki i jej prawa do prywatności. Gromadzenie danych dotyczy niemal każdej sfery życia jednostki począwszy od urodzenia, upodobań kulinarnych, przez jej aktywność zawodową, gospodarczą, niemal aż po śmierć. Funkcjonowanie w społeczeństwie informacyjnym bez numeru konta bankowego, numeru ewidencji podatkowej, numeru polisy ubezpieczeniowej, adresu zamieszkania, numeru telefonu, czy też adresu mailowego¹ jest w dzisiejszych czasach niemalże nie do wyobrażenia. Nasuwa się zatem pytanie, czy w społeczeństwie informacyjnym pozostało jeszcze miejsce na autonomię informacyjną jednostki, a jeśli tak, to jak się kształtuje zakres tejże autonomii i czy istnieje faktyczna możliwość do informacyjnego samookreślenia się właściciela danych osobowych.

W literaturze przedmiotu słusznie zwrócono uwagę na fakt, iż „rzeczywistość wirtualna staje się w przestrzeni elektronicznej znacznie bardziej realna niż rzeczywistość obiektywnie istniejących osób lub przedmiotów. [...] Jednostka może swobodnie decydować o zakresie informacji przez siebieudostępnianych, lecz jedynie w takim sensie, w jakim może decydować o samym fakcie uczestnictwa w układach społecznych, zawodowych, czy środowiskowych, ale już nie o konsekwencjach wynikających z tego faktu”².Jednostka, aby stać się czynnym uczestnikiem życia społeczno–gospodarczego i aby czerpać z tego faktu wymierne korzyści, musi „zaoferować” coś w zamian. Wydawać by się mogło, że swoistym kluczem wprowadzającym jednostkę w mechanizmy funkcjonowania społeczeństwa informacyjnego, staje się coraz częściej przyzwolenie na udostępnienie dotyczących jej danych osobowych, które stają się jej identyfikatorem, pozwalającym określić jej miejsce w strukturach społecznych oraz wskazać na jej upodobania i preferencje.

Analizując sytuację prawną jednostki, która identyfikowana jest przez innych uczestników procesów gospodarczych poprzez jej dane osobowe, nasunąć może się skądinąd po części słuszna refleksja, że to nie jednostka sama decyduje o zakresie własnej autonomii informacyjnej, ale to ustawodawca poprzez regulacje prawne określa, w jakich obszarach jej swoboda decyzyjna, dotycząca ujawniania i przetwarzania danych osobowych zostanie ograniczona. Nie powinny tu mylić pozory i nacisk położony na uzyskanie zgody, jako przesłanki, co do zasady koniecznej, do tworzenia banków, czy też zbiorów danych. Nie może jednak umknąć uwadze fakt, że działania ustawodawcy nie odbierają jednostce zupełnie owej swobody decydowania o przetwarzaniu jej danych osobowych, lecz jedynie regulują pewne aspekty tejże swobody i jej granice, kształtując pośrednio zakres autonomii informacyjnej jednostki nie odbierając jednakże tej autonomii w całości.

Charakter, zakres i treść zgody zainteresowanego

Niezwykle istotnym przejawem demokratycznego państwa prawa jest zasada głosząca, że obowiązek ujawnienia własnych danych może zostać nałożony na jednostkę jedynie aktem rangi ustawowej. W tym kontekście można przyjąć, iż prawo do ochrony danych osobowych na gruncie ustawy o ochronie danych osobowych³ pojmować należy jako prawo każdej osoby do wyłączności w dysponowaniu własnymi danymi, a co za tym idzie, jako prawo do informacyjnego samookreślenia się⁴, jednak limitowane przepisami rangi ustawowej.

Przesłanki dopuszczalności przetwarzania danych osobowych przez podmiot trzeci zostały na gruncie ustawy zamieszczone w katalogu wyartykułowanym w art. 23 ust. 1 ustawy o ochronie danych osobowych. Biorąc pod uwagę treść art. 31 ust. 3 Konstytucji Rzeczpospolitej Polskiej należy przyjąć, że katalog ten stanowi numerus clausus i nie może być rozszerzany w drodze aktów podustawowych ani tym bardziej w drodze wykładni, co gwarantuje jednostce bezpieczeństwo w procesie przetwarzania dotyczących jej danych osobowych.

Rozważenia wymaga jednak kwestia, czy ustawodawca wskazując sytuacje, których zaistnienie powoduje dopuszczalność przetwarzania danych, nie ograniczył w sposób znaczny swobody jednostki w podejmowaniu decyzji dotyczących losu jej danych osobowych. Analizując przesłanki dopuszczające przetwarzanie danych nasuwa się refleksja, iż de facto z pięciu przypadków, przy których zaistnieniu dozwolone jest przetwarzanie danych osobowych, jedynie jeden zależy od podmiotu, którego dane dotyczą. Mowa jest o zgodzie osoby zainteresowanej na dokonanie określonych operacji na dotyczących jej danych osobowych.

Treścią zgody, będącej oświadczeniem woli w cywilistycznym rozumieniu, jest udzielenie zezwolenia na przetwarzanie określonych danych osobowych, w konkretnie wskazanym i sprecyzowanym celu, przez określony podmiot. Zgodnie z zasadą swobody dysponowania własnymi danymi osobowymi i prawem do poufności, zgoda jednostki może dotyczyć jedynie niektórych czynności lub obejmować pozwolenie na szeroko rozumiane przetwarzanie danych osobowych, lecz przy jednoczesnym doszczegółowieniu na czym owo przetwarzanie będzie polegać.

Zasada autonomii informacyjnej jednostki wskazuje, iż wyrażona zgoda może mieć charakter warunkowy lub terminowy, tj. może być udzielona na określony czas, ponadto może być ograniczona terytorialnie, albo przedmiotowo, co oznacza, że odnosić się będzie do niektórych tylko danych, czy do niektórych celów przetwarzania. Powyższe założenia zmuszają do takiego konstruowania klauzul dotyczących wyrażania zgody na przetwarzanie danych osobowych, aby jednostka mogła w pełni swobodnie wyrazić swoją wolę odnośnie udostępnianych danych osobowych.

Z uwagi na zakwalifikowanie zgody zainteresowanego, jako oświadczenia woli w rozumieniu prawa cywilnego, należy w związku z powyższym postępując konsekwentnie, zgodzić się ze stanowiskiem reprezentowanym przez J. Bartę i M. Markiewicza ⁵, iż nieważna jest zgoda udzielona przez osobę znajdującą się w stanie wyłączającym świadome albo swobodne powzięcie woli (np. przez osobę chorą, niedorozwiniętą, znajdującą się pod wpływem alkoholu lub środków odurzających itp.). Dyskusyjne jest natomiast stanowisko głoszące, że sankcja nieważności powinna mieć zastosowanie także do oświadczeń woli złożonych pod wpływem istotnego błędu, podstępu lub bezprawnej groźby. Kodeks cywilny przewiduje dla oświadczeń woli złożonych w powyższych okolicznościach sankcję nieważności względnej i możliwość uchylenia się od skutków prawnych, co nie osłabia ochrony przewidzianej przez ustawę o ochronie danych osobowych. Przyjęcie prezentowanego stanowiska pozostaje w zgodzie z postanowieniami kodeksu cywilnego i jednocześnie realizuje założenia ustawodawcy, co do ochrony podmiotu wyrażającego zgodę na przetwarzanie danych osobowych. Nie ma uzasadnionych powodów, aby podmiotom, których dane osobowe będą przetwarzane przyznać silniejszą ochronę niż podmiotom np. zawierającym umowy lub składającym inne oświadczenia woli, oceniane przez pryzmat kodeksu cywilnego.

Oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych podlega także ogólnym regułom wykładni stosowanym do pozostałych oświadczeń woli. Z uwagi na fakt, że zgoda na przetwarzanie danych nie może być dorozumiana, nie można do niej stosować wykładni rozszerzającej. Przedmiotową zgodę należy tak tłumaczyć, jak tego wymagają, ze względu na okoliczności, w których została złożona, zasady współżycia społecznego oraz ustalone zwyczaje. Jak już wskazano powyżej, zgoda podmiotu, którego dane osobowe mają być przetwarzane nie może być domniemywana, powinna zawierać oświadczenie, że jednostka zgadza się na przetwarzanie dotyczących jej danych osobowych w sprecyzowanym i określonym celu. Zgoda jedynie domniemana jest zatem prawnie nieskuteczna i nie może stanowić przesłanki legalizującej przetwarzanie danych osobowych. Często w praktyce spotkać można wadliwie skonstruowane klauzule, zawierające zgodę jednostki na przetwarzanie danych osobowych, która nie określa celu przetwarzania danych. Wadliwie skonstruowane klauzule wskazują jedynie na okoliczność, że podpisująca je jednostka zgadza się na przetwarzanie jej danych osobowych zgodnie z ustawą o ochronie danych osobowych, nie zawierając nic ponadto. Natomiast poprawnie skonstruowana klauzula, dotycząca zgody na przetwarzanie danych, powinna być tak napisana, aby udzielający zgody mógł się z łatwością domyślić na przetwarzanie jakich danych wyraża zgodę (o jakie jego dane chodzi) oraz jakim celom przetwarzanie ma służyć. Jak słusznie postulują J. Barta i R. Markiewicz⁶, zgoda nie powinna być blankietowa, co oznacza, że nie powinna odnosić się do bliżej nieokreślonych danych osobowych, które miałyby być przetwarzane w bliżej nieokreślonym celu. Wspomniani autorzy podnoszą ponadto, iż jeżeli wyrażenie zgody wiąże się dla jednostki z uzyskaniem wymiernych korzyści materialnych, to powinna być ona o tym fakcie poinformowana. Konkludując, należy wskazać, że zasada zgodnie z którą zgoda na przetwarzanie danych osobowych powinna być jasna i skonkretyzowana jest wyrazem ducha i celu ustawy, chroniącej interesy osób, których dane mają być przetwarzane oraz wzmacnia ich pozycję i autonomię decyzyjną, gdyż zgoda podejmowana jest przy uwzględnieniu szeregu okoliczności faktycznych oraz rozważeniu wszystkich dostępnych argumentów za i przeciw jej wyrażeniu.

Ustawa nie ogranicza zakresu zgody odnośnie przetwarzania danych i nie wskazuje, iż wyrażona zgoda musi obejmować wszystkie przypadki operacji na danych określone w ustawie jako ich przetwarzanie. Dopuszczalna jest zatem częściowa zgoda, np. na zbieranie danych, lub jedynie ich przechowywanie, lub zbieranie i udostępnianie. Takie podejście do zagadnienia wydaje się być trafne i zgodne z duchem ustawy oraz stanowi wyraz zasady swobodnego (ale w granicach prawa) decydowania o własnych danych osobowych i autonomii informacyjnej jednostki. W literaturze przedmiotu⁷ prezentowany jest pogląd, że jeśli oświadczenie woli o wyrażeniu zgody na przetwarzanie danych nie obejmowało możliwości udostępnienia danych innemu administratorowi, to konieczna jest dodatkowa zgoda jednostki na przetwarzanie danych osobowych, a osoba fizyczna udzielając zgody na udostępnianie jej danych osobowych godzi się również na to, iż dane te będą przetwarzane przez kolejnych administratorów w takim zakresie, w jakim przetwarzał je dotychczasowy administrator z tym zastrzeżeniem, że zmianie nie może ulec cel przetwarzania danych. Zdaniem autorki, sam fakt wyrażenia przez jednostkę zgody na przetwarzanie danych osobowych nie daje uprawnień dalszym podmiotom do ich przetwarzania. Prezentowane podejście wynika z założenia, iż jednostka ma prawo decydować o podmiotach, którym udostępnia swoje dane osobowe i którzy będą jej dane przetwarzać. Zatem zgoda powinna wyraźnie wskazywać, czy przetwarzający może udostępnić dane osobowe innym podmiotom i czy owe podmioty mogą we własnym zakresie przetwarzać otrzymane dane osobowe. Przy przyjęciu zgody de facto blankietowej na rzecz nieznanych podmiotów, jednostka traci w rzeczywistości kontrolę nad możliwością faktycznego decydowania o przetwarzaniu jej danych. Niewystarczającą ochroną jest tu mechanizm sprzeciwu wobec przetwarzania danych osobowych, gdyż dotyczy on jedynie kilku wskazanych w ustawie sytuacji i może zostać zastosowany dopiero post factum, po podjęciu przez administratora danych czynności przetwarzania. Błędne wydaje się stanowisko wskazujące na okoliczność, iż jeżeli zgoda zostanie udzielona na przetwarzanie danych w konkretnym celu, a zmienią się podmioty przetwarzające dane przy niezmienności samego celu, to takie przetwarzanie jest zgodne z prawem, gdyż mimo zmiany administratora sam cel nie uległ zmianie, wobec czego sytuacja jednostki również nie uległa zmianie czy pogorszeniu. Takie uproszczenie zagadnienia wydaje się nie być słusznym podejściem, gdyż zmiana administratora danych może naruszać uzasadniony interes jednostki i być uzasadnioną przyczyną braku zgody na przetwarzanie przez nowy podmiot jej danych osobowych.

Reasumując powyższe rozważania oraz opierając się na orzecznictwie Naczelnego Sądu Administracyjnego⁸, należy wskazać, że zgoda na przetwarzanie danych osobowych musi mieć charakter wyraźny, a jej wszystkie elementy muszą być jasne dla dającego zgodę w chwili jej składania. Ponadto zgoda musi być wyrażona ze świadomością wynikających z niej konsekwencji, tak pozytywnych, jak i negatywnych. Zgoda powinna obejmować określony stan faktyczny, sprecyzowane dane oraz skonkretyzowany cel i sposób ich przetwarzania⁹.

Ochrona jednostki w sytuacji braku możliwości uzyskania zgody na przetwarzanie danych

Zgodnie z zapisami ustawy o ochronie danych osobowych, zgoda zainteresowanego jest jedną z materialnych przesłanek legalizujących przetwarzanie danych osobowych. Mimo iż literalne brzmienie i sama interpretacja przepisu wydaje się nie budzić wątpliwości, to powstają one jednak na etapie jego stosowania. Można wyobrazić sobie sytuację, w której administrator danych osobowych rozpoczął ich przetwarzanie, podając jako przesłankę legalizującą okoliczność, iż jest to niezbędne do wypełnienia jego prawnie usprawiedliwionych celów (przyjmijmy, że chodziło o cele marketingu bezpośredniego), a samo przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Zainteresowany zapytany natomiast wcześniej przez administratora danych o zgodę, takowej nie wyraził, a wręcz wyraźnie sprzeciwił się przetwarzaniu jego danych osobowych. W omawianej sytuacji powstał zatem konflikt, gdyż administrator danych może wykazać się spełnieniem jednej z równorzędnych, jak uprzednio zostało przyjęte przesłanek legalizujących operacje na danych, a jednocześnie podmiot uprawniony nie wyraził zgody na przetwarzanie jego danych osobowych bądź to w ogóle, bądź do wskazanego przez administratora danych celu i we wskazanym zakresie. Przy rozwiązaniu zaistniałej sytuacji należy oprzeć się na głównych założeniach ustawy o ochronie danych osobowych, mianowicie, skoro ustawa ma na celu ochronę danych osobowych jednostki i pośrednio jej autonomii informacyjnej, to można przyjąć, że administrator nie jest uprawniony do przetwarzania danych osobowych podmiotu, który nie wyraził zgody. Sytuacji tej nie powinien zmieniać fakt, że przetwarzanie danych nie narusza praw i wolności osoby zainteresowanej. Ustawa nie wprowadza bowiem obowiązku jednostki polegającego na udostępnieniu jej danych osobowych na żądanie administratora, który legitymuje się spełnieniem jednej z przesłanek z art. 23 ust. 2-5 ustawy o ochronie danych osobowych¹⁰. Można postawić wobec powyższego tezę, że zgoda dysponenta danych osobowych jest przesłanką o szczególnym znaczeniu. O zasadności przyjętego stanowiska świadczyć może pośrednio fakt usytuowania zapisu o zgodzie podmiotu uprawnionego na samym początku katalogu przesłanek legalizujących przetwarzanie danych osobowych (art. 23 ust. 1 ustawy), co wskazywać może na swoiste potraktowanie tejże przesłanki przez ustawodawcę. Ponadto o poprawności powyższej tezy świadczy także zapis mówiący o tym, iż jeżeli nie można było uzyskać zgody zainteresowanego, czyli przede wszystkim należało się o nią ubiegać, to przetwarzanie danych jest dopuszczalne jedynie w sytuacji, gdy takie działanie jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą. Zatem jedynie żywotne interesy dysponenta danych mogą usprawiedliwić brak zgody na ich przetwarzanie, a to jedynie do czasu, kiedy zgodę można będzie uzyskać. Zwrócić należy także uwagę, że omawiana przesłanka zawiera odniesienia co najmniej częściowo ocenne. Zabieg taki wprowadza pewien margines swobody interpretacyjnej, ale zarazem też pewien margines niepewności. Stan owej niepewności powinien być oceniany przy uwzględnieniu konkretnych okoliczności danej sprawy.

Należy wskazać, że przetwarzanie danych osobowych bez zgody dysponenta danych, z uwagi na niemożność jej uzyskania może mieć miejsce, gdy jest to niezbędne dla zapewnienia "żywotnych interesów" jednostki, a co istotne i nie pozbawione znaczenia, ciężar wykazania powyższych okoliczności spoczywa na przetwarzającym dane. Niemniej jednak jednostka może wykazywać, iż przesłanki te nie miały miejsca i że przetwarzanie dotyczących jej danych jest nielegalne. W literaturze przedmiotu podjęto próbę przybliżenia znaczenia przywoływanych pojęć¹¹. Za żywotne interesy uznano takie, które zasługują na to by przyznawać im pierwszeństwo przed interesem zachowania danych osobowych w poufności, de facto przed prawem jednostki do autonomii informacyjnej i prawem do prywatności. Wskazuje się, iż muszą to być interesy doniosłe, znaczące np. zdrowie, życie, bądź istotne interesy majątkowe. Ocena, czy w danym przypadku mamy do czynienia z żywotnymi interesami oraz czy zainteresowany nie jest w stanie sam tych interesów w inny sposób chronić, znajduje się właściwie w rękach przetwarzającego dane (administratora). Powstaje w takiej sytuacji stan, gdzie podmiot zainteresowany przetwarzaniem cudzych danych osobowych dla własnych celów, nierzadko gospodarczych, podejmuje decyzję, iż występują żywotne interesy jednostki i że przetwarzanie danych zapewni ich realizację. Rozwiązanie to wydaje się nie do końca poprawne i nie zawsze będzie wystarczające do ochrony autonomii informacyjnej jednostki. Z doświadczenia życiowego wynika, iż najwłaściwiej wagę i żywotność interesów może ocenić podmiot, którego one bezpośrednio dotyczą, a nie podmiot trzeci, zainteresowany wykorzystaniem danych osobowych jednostki. Ocena istotności interesów powinna być przeprowadzona starannie i opierać się na wyważaniu tychże interesów. Spełnienie tych postulatów przez potencjalnych administratorów danych osobowych wydaje się być bardzo trudne, a teza, iż występują cudze żywotne interesy może okazać się nadużywana i nie mieć podstaw w rzeczywistości. Ustawa, chroniąc autonomię informacyjną jednostki wskazuje, że poza żywotnością interesów, przetwarzanie danych musi być niezbędne dla ich ochrony. Niezbędność, o której mowa w zdaniu poprzednim to np. taka sytuacja, że brak przetwarzania danych spowodowałby bezpośrednie ich zagrożenie, utratę, lub zniekształcenie. Wskazać należy, że administratorzy danych osobowych nagminnie pomijają tę przesłankę, gromadząc szereg danych ponad rzeczywiste potrzeby, naruszając cel i zakres przetwarzania danych. Administrator powinien w każdym takim przypadku wykazać ponad wszelką wątpliwość, że dokonywane przez niego operacje na danych są faktycznie niezbędne do ochrony żywotnych interesów jednostki oraz na czym taka ochrona polega, a także powinien wskazać związek przetwarzania konkretnych danych z ochroną określonych, istotnych i żywotnych interesów jednostki i sposób, w jaki przetwarzanie chroni owe interesy. Podmiot zamierzający przetwarzać dane jednostki powinien ponadto wykazać, że uzyskanie zgody zainteresowanego jest w danym momencie niemożliwe. Należy stanąć na stanowisku, że owa niemożliwość uzyskania zgody powinna być oceniana obiektywnie. Wprowadza się w literaturze przedmiotu¹² rozróżnienie na tzw. bezwzględną niemożność (np. uzyskanie zgody od osoby nieprzytomnej) oraz na niemożność względną, przez którą uzyskanie zgody powiązane jest z nieproporcjonalnie dużym wysiłkiem lub może nastąpić dopiero po pewnym czasie, gdy przetwarzanie danych z punktu widzenia danej osoby straci już na znaczeniu. Prezentowane podejście wydaje się być słuszne. Należy jednak przy przyjęciu niemożności względnej opowiedzieć się zdecydowanie za niemożnością obiektywną, co oznacza, że przeciętny administrator danych przy dołożeniu uzasadnionych starań nie mógł uzyskać zgody zainteresowanego na przetwarzanie danych. Nie wystarczy zatem argumentacja, że konkretny administrator nie dysponuje środkami umożliwiającymi mu odnalezienie dysponenta danych, np. z uwagi na fakt, że jest podmiotem o zasięgu działania jedynie lokalnym, w sytuacji, gdy inny administrator o zbliżonej pozycji jest w stanie tego dokonać bez podejmowania nieproporcjonalnego wysiłku, lecz przy zaangażowaniu nieznacznie większych nakładów bądź wykorzystaniu innych metod działania.

Powyższa analiza wskazuje, iż celem ustawodawcy było pozostawienie w gestii jednostki ostatecznej decyzji o przetwarzaniu jej danych osobowych, a w sytuacji braku możliwości wyrażenia zgody, znaczne obostrzenie przesłanek legalizujących przetwarzanie danych, którymi musi legitymować się administrator danych. Zakres autonomii informacyjnej jednostki w sytuacji, gdy nie może ona zadecydować o losie swoich danych został przez ustawodawcę zakreślony granicami jej istotnych, żywotnych interesów oraz wyważonych interesów przetwarzającego dane osobowe, co wydaje się rozwiązaniem co do zasady słusznym. Inną kwestią jest fakt, że o spełnieniu przesłanek legalizujących przetwarzanie danych decyduje podmiot mający zazwyczaj gospodarczy interes w dokonywaniu tych czynności. Interes ten w znacznej liczbie przypadków sprowadza się do przetwarzania danych na potrzeby marketingu bezpośredniego własnych produktów lub świadczonych przez administratora usług.

Dopuszczalność odwołania zgody

W literaturze wskazuje się, iż dopuszczalność odwołania wyrażonej zgody jest dyskusyjna. Część autorów stoi na stanowisku, że raz udzielona zgoda nie może zostać cofnięta¹³, zwłaszcza jeżeli nie zmienił się cel, zakres oraz podmiot przetwarzający dane osobowe. Wykładnia taka ma służyć stabilizacji sytuacji uczestników życia społeczno–gospodarczego, a zwłaszcza administratorów danych, którzy nierzadko mają poczynione pewne długofalowe plany związane z przetwarzaniem danych osobowych jednostek. Twierdzi się, iż katalog sytuacji, w których jednostka może domagać się wstrzymania przetwarzania jej danych osobowych lub ich usunięcia określony jest w ustawie. Przypomnijmy, że zgodnie z art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych¹⁴, z powyższymi roszczeniami można wystąpić, gdy dane są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

Są także autorzy, którzy prezentują odmienne stanowisko¹⁵. Uważają oni, co wydaje się być słusznym tokiem rozumowania, że odwołanie zgody jest co do zasady dopuszczalne. Powyższą tezę uzasadniają głównie okolicznością, iż zgoda jest przejawem prawa do prywatności, prawa do autonomii informacyjnej i informacyjnego samookreślenia się jednostki, prawa ściśle związanego z podmiotem, któremu przysługuje, a które nie może być przedmiotem rozporządzenia. Zdaniem autorki należy zgodzić się z powyższym poglądem. Skoro ustawa o ochronie danych osobowych nie reguluje wyraźnie powyższej kwestii, to z pomocą przychodzą reguły wykładni teleologicznej (celowościowej) oraz zasady ogólne zawarte w ustawie. Przypomnijmy, iż celem ustawy jest stworzenie mechanizmów ochrony jednostki, której dane osobowe są lub mogą być poddane przetwarzaniu. Zatem jednostka powinna mieć prawo do skutecznego cofnięcia zgody na przetwarzanie danych osobowych, zwłaszcza w sytuacji, gdy ustawa nie wprowadza konstrukcji zgody bezterminowej lub nieodwoływalnej.

Ostatecznie, mimo braku wyraźnego oparcia w przepisach ustawy, w doktrynie przeważa pogląd, iż warunkiem pełnego dysponowania własnymi danymi osobowymi przez jednostkę jest przyznanie jej możliwości cofnięcia zgody na przetwarzanie danych. Stanowisko takie, jako pewna ogólna wskazówka interpretacyjna wydaje się być słuszne, z tym zastrzeżeniem, iż w każdym przypadku należy zbadać jego specyfikę.

Instrumenty prawne mające chronić jednostkę, której dane osobowe są lub mają być przetwarzane

Ustawa o ochronie danych osobowych w art. 32 wskazuje na instrumenty, jakie ustawodawca powierzył jednostce w celu realizacji jej autonomii informacyjnej oraz zachowania przyznanych jej praw. Powyższy przepis statuuje tzw. prawo do informacji (prawo dostępu do zbiorów danych), umożliwiające kontrolę przynajmniej części procesu przetwarzania danych. Przepis ten umożliwia jednostce podjęcie działań weryfikacyjnych poprawność danych oraz daje w określonych sytuacjach prawo sprzeciwu wobec przetwarzania danych.

Analizując art. 32 należy wyjść od ustalenia zakresu przedmiotowego jego obowiązywania. Z brzmienia powoływanego artykułu wynika, że ma ona zastosowanie jedynie do danych osobowych zgromadzonych w zbiorach danych. Jak słusznie zauważa się w doktrynie¹⁶ zapis taki nie jest rozwiązaniem właściwym i nie ma swojego odpowiednika w postanowieniach Dyrektywy 95/46/EC. Wskazuje się także na konieczność rozważenia zmiany komentowanego artykułu, a to z uwagi na brzmienie art. 2 ust. 2 pkt. 2 ustawy¹⁷, który swym zasięgiem obejmuje także dane osobowe przetwarzane w systemach informatycznych, a nie znajdujące się w zbiorach danych. Osoby, których dane przetwarzane są w systemach informatycznych poza zbiorem nie mogą skorzystać z prawa do informacji i prawa sprzeciwu, które określone zostały w art. 32 ustawy. Niespójność regulacji prowadzi do sytuacji nierównego traktowania jednostek, których dane są przetwarzane i różnicuje ich pozycję jako podmiotów szukających ochrony prawnej. Sytuacja taka wydaje się nie do przyjęcia zwłaszcza w obliczu coraz intensywniejszych działań polegających na przetwarzaniu danych osobowych w systemach informatycznych poza zbiorem danych oraz z uwagi na cel jaki realizować ma ustawa o ochronie danych osobowych. Z powyższej analizy wynika, iż aktualny zapis art. 32 zniekształca cel regulacji, jakim jest zapewnienie autonomii informacyjnej jednostki oraz ogranicza zakres prawa do informacji, które gwarantowane jest przepisami rangi konstytucyjnej. Zakresem powoływanego przepisu objęte są wszelkie rodzaje zbiorów danych, wszelkie kategorie administratorów danych (tak prywatnych jak i publicznych) oraz wszelkie rodzaje danych osobowych, które są przetwarzane. Takie skonstruowanie przepisu daje jednostce realne możliwości działania i skutecznej obrony swoich praw z tym zastrzeżeniem, iż uprawnienia przyznane w komentowanym przepisie dotyczą jedynie „własnych” danych zainteresowanego. W tym miejscu należy wskazać, że jeżeli chodzi o roszczenia informacyjne określone w art. 32 ust. 1 pkt 1- 5a, to występujący z określonymi w przedmiotowych przepisach wnioskami nie muszą podawać powodów swego postępowania oraz wskazywać ich uzasadnienia. Inaczej ma się sprawa jeżeli chodzi o żądania uzupełnienia, uaktualnienia, sprostowania, wstrzymania, bądź usunięcia przetwarzanych danych oraz wniesienia sprzeciwu co do ich przetwarzania. Dysponent danych we wskazanych powyżej przypadkach obowiązany jest umotywować swe żądanie, lub wskazać, iż zachodzą takie okoliczności, jak niekompletność, nieaktualność, nieprawdziwość danych, ich zbędność do realizacji celu, dla którego zostały zebrane, przetwarzanie danych z naruszeniem ustawy lub istnienie szczególnej sytuacji po stronie podmiotu, którego dane są przetwarzane. Wydaje się być słusznym rozwiązaniem konstrukcja, gdzie ustalono, iż ciężar dowodu spoczywa na podmiocie chcącym przetwarzać cudze dane osobowe.

Jeżeli chodzi natomiast o zapisy art. 32 ust. 7 i 8 ustawy o ochronie danych osobowych, który daje jednostce jedynie uprawnienie do wniesienia, ale tylko w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 ¹⁸ pisemnego, umotywowanego żądania zaprzestania przetwarzania (chodzi zatem o czynność mającą miejsce, która już jest realizowana) jej danych ze względu na jej szczególną sytuację oraz wniesienia sprzeciwu wobec przetwarzania (podobnie, jak powyżej czynność przetwarzania jest już wykonywana) jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych, wydają się być nie wystarczające. Jak wynika z przytoczonych zapisów, odnoszą się one do rozpoczętego już procesu przetwarzania danych osobowych jednostki. Nie dotyczą one sytuacji, która jest dopiero na etapie wyrażenia przez przyszłego administratora danych chęci ich przetwarzania i wystąpienia do zainteresowanego z wnioskiem o wyrażenie zgody na przetwarzanie jego danych osobowych, a po jej nieuzyskaniu, na powoływanie się przez tegoż administratora na kolejne przesłanki legalizujące przetwarzanie danych osobowych. Zatem proces przetwarzania danych jeszcze się nie rozpoczął, jednostka nie ma wobec powyższego możliwości wniesienia sprzeciwu co do przetwarzania jej danych osobowych, ponadto nie wyraziła zgody na rozpoczęcie przetwarzania dotyczących jej danych osobowych, natomiast podmiot zainteresowany przetwarzaniem danych powołuje się na spełnienie innej przesłanki legalizującej proces przetwarzania. Czy skoro podmiot chcący przetwarzać dane osobowe wskazuje, iż jest do tego uprawniony, gdyż przetwarzanie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów, które on realizuje albo dla celów odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, to brak zgody jednostki nie ma w takiej sytuacji znaczenia. Można bronić stanowiska, iż w takim stanie rzeczy przetwarzanie danych osobowych nie jest dopuszczalne, a zgoda zainteresowanego ma kluczowe znaczenie dla legalności przetwarzania danych osobowych. Za takim stanowiskiem przemawia zasada autonomii informacyjnej jednostki oraz ochrony jej prywatności wyrażona w Konstytucji. Ponadto skoro współczesne regulacje prawne dotyczące ochrony danych osobowych mają na celu zagwarantowanie oraz poszanowanie praw i podstawowych wolności jednostki, w szczególności prawa do prywatności w związku z automatycznym przetwarzaniem dotyczących jej danych osobowych,¹⁹ a celem samej ustawy o ochronie danych osobowych, o czym dobitnie świadczy jej tytuł jest ochrona danych osobowych, a sam duch ustawy wskazuje, iż dobro jednostki, której dane osobowe mają być przetwarzane powinno przeważać w sytuacjach wątpliwych i niejednoznacznych, zatem powyżej zaprezentowane stanowisko wydaje się być zasadne, przy czym autorka zdaje sobie sprawę z możliwości konstruowania również innych stanowisk i poglądów na prezentowany temat.

Podsumowanie

Postępujący proces globalizacji informacji, trudności w kontrolowaniu przepływu danych osobowych, wielopłaszczyznowość zbierania informacji w tym pozwalających określić tożsamość jednostki, jej upodobania i predyspozycje, będących po prostu towarem, lecz o specyficznym statusie, może prowadzić do szeregu konfliktów i może stanowić niebywałe zagrożenie. Niemniej jednak nie wolno zapominać, że jednocześnie proces ten służy jednostce i pozwala realizować jej prawo do informacji o innych uczestnikach życia społecznego. Prawo do informacji należy postrzegać jednak w dwóch płaszczyznach. Z jednej strony jest to prawo jednostki do żądania i otrzymywania informacji o fakcie, gdzie, w jakim celu i przez kogo przetwarzane są dotyczące jej dane osobowe oraz o konsekwencjach takich czynności. Prawo to pozwala jednostce niejako kontrolować proces przetwarzania danych osobowych, poprzez weryfikowanie poprawności gromadzonych danych oraz przez prawo sprzeciwiania się przetwarzaniu danych w określonych w ustawie przypadkach. Z drugiej strony jest to także prawo do zasięgania informacji o innych jednostkach, uczestniczących w życiu publicznym. Paradoks polega zatem na tym, że każdy z nas chciałby posiadać jak najwięcej informacji o innych jednostkach i jednocześnie móc te informacje wykorzystywać dla własnych celów, przy jednoczesnym nieujawnianiu informacji dotyczących własnej prywatności i zakreśleniu jak najszerzej granic własnej autonomii informacyjnej. Instytucjonalne regulacje równoważą owe aspekty prawa do informacji i tworzą swoiste bariery ochronne dla jednostek, których dane osobowe są przetwarzane, co jak się wydaje jest ich głównym celem i wynika z ducha ustawy o ochronie danych osobowych.

Ustawa o ochronie danych wprowadza szereg rozwiązań, chroniących autonomię informacyjną jednostki oraz pozwalających na wyważenie interesów administratorów danych oraz jednostek, których dane mają być przetwarzane. Zgoda jednostki na przetwarzanie danych osobowych jest najpełniejszym wyrazem autonomii informacyjnej, a jej granice, o czym była mowa na wstępie zakreślane są przez przepisy prawa rangi ustawowej, co pozostaje w zgodzie z założeniem, że prawa i wolności jednostki mogą być ograniczane jedynie w drodze ustawy, a samo ograniczenie nie może naruszać istoty prawa.

Arleta Adamus^*

_________________________________________________

* Autorka jest doktorantką w Katedrze Publicznego Prawa Gospodarczego Uniwersytetu Jagiellońskiego oraz aplikantką radcowską przy Okręgowej Izbie Radców Prawnych w Krakowie.

1 W literaturze przedmiotu sporne jest uznanie adresów poczty email za dane osobowe, z uwagi na fakt, ze adres internetowy nie odnosi się do osoby, a do komputera, z którego może korzystać wiele osób, co powoduje problem w identyfikacji danej jednostki. Wątpliwości dotyczą zwłaszcza adresów o przypadkowej nazwie, bez przypisania do nich informacji osobowych, Np. adresy przydzielane bezpłatnie, przy których użyto pseudonimu, a dostawca usług zaniechał zebrania innych informacji o użytkowniku. (Tak X. Konarski, Internet i prawo w praktyce, Warszawa 2002, s. 120). Zdaniem autorki, należy stanąć na stanowisku, że w sytuacji, gdy adres internetowy zawiera w swojej treści nazwisko i imię lub jego skrót, bądź łącznie z innymi przetwarzanymi danymi pozwala na identyfikację osoby użytkownika może być uznany za dane osobowe, co ma miejsce w przeważającej liczbie przypadków.

2Tak M. Safjan, Ochrona danych osobowych – granice autonomii informacyjnej., [w:] Ochrona danych osobowych, pod red. M. Wyrzykowskiego, Warszawa 1999, s 11-12.

3 Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych Dz.U. 02.101.926 z późn. zm.

4 M. Staszewicz, Warunki dopuszczalności przetwarzania danych osobowych na gruncie znowelizowanej ustawy z 29 sierpnia 1997r. o ochronie danych osobowych, Kwartalnik Prawa Publicznego, 149/4/2001.

5 J. Barta, M. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2001, s. 479.

6J. Barta, R. Markiewicz, op.cit., s. 484-485.

7S. Grynhoff i P. Woźny, Ochrona danych osobowych w praktyce, Poznań 2000, s. 7-11.

8 Orzeczenie Naczelnego Sądu Administracyjnego z 4 kwietnia 2003 r., II SA 2135/02, omówienie Monitor Prawniczy 2003, Nr 10, s. 435.

9 J. Barta, R. Markiewicz, op cit., s. 420.

10 Art. 23 ustawy o ochronie danych osobowych.

1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

2. Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.

3. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:

1) marketing bezpośredni własnych produktów lub usług administratora danych,

2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

11 J. Barta, R. Markiewicz, op.cit., s. 488-489.

12 Ibidem, s. 490.

13 P. Woźny (w:) Ochrona danych osobowych w praktyce, Poznań 2000, pkt 2/2, s. 3-4.

14 Artykuł 32 ustawy o ochronie danych osobowych :

1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: (…) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

15P. Fajgielski, Podstawy prawne dopuszczalności przetwarzania danych osobowych (w:) Współczesne problemy prawa publicznego, Studia z Prawa Publicznego, tom. 1, Towarzystwo Naukowe KUL, Lublin 1999, s. 116.

16 J. Barta, R. Markiewicz, op.cit., s. 630.

17 Artykuł 2.2. ustawy o ochronie danych osobowych:

„2. Ustawę stosuje się do przetwarzania danych osobowych:

1) (…)

2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych”.

18Artykuł 23.1.

Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

„4) Jest niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą”.

19 Konwencja nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, Strasburg 28 stycznia 1981 r., D.n. 85-1203, 15 listopada 1985.- JO 20 listopada 1985. Weszła w życie 1 października 1985 r.