Przetwarzanie danych wrażliwych
Ochrona danych osobowych
Żeby zobaczyć pełną treść należy się zalogować i wykupić dostęp.
Przepis art. 27 ustawy o o.d.o. dotyczy danych osobowych w znaczeniu, jakie temu terminowi nadaje przepis art. 6 ustawy o o.d.o. (musi istnieć zatem możliwość określenia tożsamości osoby, której dane dotyczą). Tak więc zbieranie i przetwarzanie informacji dotyczących kwestii wymienionych w ust. 1 nie jest zabronione ani ograniczone, jeśli są to informacje anonimowe.
W odniesieniu do danych wrażliwych art. 27 ust. 1 ustawy o o.d.o. ustanawia zakaz ich przetwarzania i to bez względu na to, czy przetwarzanie to ma nastąpić w formie zautomatyzowanej czy tradycyjnej (manualnej). Od zasady tej ustęp 2 tego artykułu wprowadza jednak liczne wyjątki, zastrzegając, że przetwarzanie danych tychże danych jest dopuszczalne, jeżeli:
1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych;
2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony;
3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora;
4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych;
5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;
6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;
8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;
9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone;
10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
Artykuł 27 j ustawy o o.d.o. stanowi lex specialis względem art. 23. Wprawdzie także ustanawia zakaz przetwarzania danych osobowych, to jednak odmiennie reguluje przesłanki uchylające ten zakaz.
Zakaz przetwarzania wrażliwych danych osobowych zostaje uchylony w wyniku spełnienia przez administratora danych któregokolwiek z warunków wymienionych w art. 27 ust. 2. Przesłanki wymienione w art. 27 ust. 2 ustawy uchylają przy tym nie tylko zakaz przetwarzania wrażliwych danych osobowych, lecz również zakaz przetwarzania danych innych niż wrażliwe.
Uzyskanie zgody na przetwarzanie wrażliwych danych osobowych nie oznacza, że administrator może wykonywać wszelkie operacje na danych osobowych. Ograniczenia w tym zakresie mogą bowiem wynikać z przepisów szczególnych dotyczących udostępniania danych osobowych.
Wypada zauważyć, że art. 8 ust. 2 lit. a dyrektywy 95/46/WE stanowi, iż zgoda nie uchyla zakazu przetwarzania wrażliwych danych osobowych, jeżeli przepisy państwa członkowskiego wykluczają uchylanie tego zakazu wskutek wyrażenia zgody.
W obowiązującym ustawodawstwie nie ma przepisów wyraźnie wykluczających możliwość udzielenia zgody na przetwarzanie wrażliwych danych osobowych. Jednakże przepisy wyznaczające zakres danych adekwatnych do celu przesądzają także o nieskuteczności zgody na przetwarzanie danych w szerszym zakresie.
Ponadto zgoda na przetwarzanie tej kategorii danych osobowych jest z reguły zgodą na naruszenie (zagrożenie) dóbr osobistych. Jeżeli osoba, której dane dotyczą, nie może skutecznie udzielić zgody na naruszenie (zagrożenie) dobra osobistego, to zgoda na przetwarzanie wrażliwych danych osobowych, mimo że skuteczna w świetle ustawy o.d.o., nie uczyni przetwarzania danych legalnym, gdyż może być nieskuteczna w świetle innych przepisów. Jeżeli zgoda byłaby nieskuteczna, choćby tylko w świetle przepisów innych niż ustawa o.d.o., to administrator danych uchybiałby obowiązkowi przetwarzania danych zgodnie z prawem.
Dyrektywa 95/46/WE w art. 8 ust. 4 stanowi, że państwa członkowskie mogą dodatkowo ze względu na ważny interes publiczny, zapewniając odpowiednie gwarancje, ustanowić inne wyjątki od zakazu przetwarzania wrażliwych danych osobowych albo bezpośrednio w prawie krajowym, albo też na podstawie decyzji organu sprawującego nadzór nad ochroną danych osobowych. Ustawodawca skorzystał z powyższej możliwości.
Zgodnie z art. 27 ust. 2 pkt 2 ustawy o o.d.o., przetwarzanie wrażliwych danych osobowych jest dopuszczalne wówczas, gdy przepis szczególny innej ustawy zezwala na ich przetwarzanie bez zgody osoby, której one dotyczą, i stwarza pełne gwarancje ich ochrony.
Treść art. 27 ust. 2 pkt 2 ustawy o o.d.o. przesądza o tym, że tylko przepis zawarty w akcie normatywnym o randze ustawy może zezwolić na przetwarzanie wrażliwych danych osobowych. Omawiany wyjątek dotyczy przy tym jedynie takich przepisów, które wyraźnie uchylają zakaz przetwarzania wrażliwych danych osobowych, a zatem brzmienie przepisu ustawy szczególnej nie powinno pozostawiać wątpliwości w kwestii uchylenia zakazu przetwarzania danych.
Wyrok SN z dnia 4 lutego 2021 r., II PSKP 7/21
Standard: 59571 (pełna treść orzeczenia)
W art. 27 ust. 2 pkt 2 ustawy o ochronie danych wymaga się, żeby przetwarzanie danych (objętych zakazem w art. 27 ust. 1 tej ustawy) miało miejsce jedynie jeśli:
a) inna ustawa wprost upoważnia określony podmiot do tego;
b) upoważnienie to ma charakter szczegółowy;
c) upoważnienie to stwarza pełne gwarancje ochrony danych.
Z przepisu tego per se nie wynika kompetencja podmiotów przetwarzających dane. Wbrew sugestiom zawartym w uzasadnieniu wniosku, przepis ten nie ma też charakteru odsyłającego lub upoważniającego do dokonania dalszych czynności prawodawczych.
Prawodawca, korzystając z konstytucyjnej kompetencji prawodawczej, w każdej chwili może bowiem wprowadzić wyjątki od regulacji zawartej w ustawie o ochronie danych, o ile wyjątki te są zgodne z normami hierarchicznie wyższymi. Innymi słowy, jeśli prawodawca upoważnia jakiś organ do przetwarzania danych objętych zakazem w art. 27 ust. 1 ustaw o ochronie danych, czyni to nie na podstawie art. 27 ust. 2 pkt 2 ustawy o ochronie danych, ale na podstawie normy kompetencji prawodawczej wynikającej wprost z Konstytucji.
Formułując m.in. wymóg zapewnienia "pełnych gwarancji ochrony danych" w wypadku każdego odstępstwa od zakazu przetwarzania danych wrażliwych, art. 27 ust. 2 pkt 2 ustawy o ochronie danych pełni rolę przepisu o istotnym systemowym znaczeniu. Jego treść musi być bowiem każdorazowo brana pod uwagę przez interpretatora podczas rekonstrukcji norm z przepisów innych ustaw, które upoważniają określone podmioty w konkretnych okolicznościach do przetwarzania danych, o których mowa w art. 27 ust. 1 ustawy o ochronie danych. Innymi słowy, z art. 27 ust. 2 pkt 2 ustawy o ochronie danych wynika w szczególności ograniczenie kompetencji każdego z podmiotów ustawowo upoważnionych do przetwarzania danych wrażliwych. Mogą one wykonywać swą kompetencję jedynie, jeśli istnieją "pełne gwarancje ochrony" danych wrażliwych przetwarzanych bez zgody osoby, której dane dotyczą. Przepis ten pełni doniosłą funkcję w procesie rozstrzygania horyzontalnych niezgodności norm.
Nie zasługuje na uwzględnienie argument wnioskodawcy, że art. 27 ust. 2 pkt 2 ustawy o ochronie danych pozostawia nieograniczoną swobodę regulacyjną prawodawcy podczas wprowadzania wyjątków od zakazu sformułowanego w art. 27 ust. 1 ustawy o ochronie danych.
Trybunał Konstytucyjny podkreśla, że uprawnienie do wprowadzenia wyjątków od zakazu przetwarzania danych wrażliwych bez zgody osoby, której dane dotyczą, wynika nie z art. 27 ust. 2 pkt 2 ustawy o ochronie danych, ale z konstytucyjnej kompetencji prawodawczej. Nie jest ono nieograniczone, gdyż zawsze podlega ocenie z konstytucyjnymi normami, w tym konstytucyjną ochroną prawa do prywatności.
Wyrok TK z dnia 20 stycznia 2015 r., K 39/12
Standard: 29317 (pełna treść orzeczenia)
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182; dalej: ustawa o ochronie danych) rozróżnia dwa rodzaje danych osobowych: dane zwykłe oraz dane wrażliwe, wymienione w art. 27 tej ustawy. Do danych wrażliwych należą także dane o stanie zdrowia. Ustawa wprowadza generalny zakaz przetwarzania wymienionych w niej danych wrażliwych, a jednocześnie ustanawia wyjątki od tego zakazu. Zgodnie z art. 27 ust. 2 pkt 7 tej ustawy, przetwarzanie danych o stanie zdrowia jest dopuszczalne, jeżeli jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych. Trzeba zatem podkreślić, że dane przetwarzane w rejestrach medycznych to dane o stanie zdrowia należące do kategorii danych wrażliwych w rozumieniu ustawy o ochronie danych.
Pojęcie "danych wrażliwych" występuje również w orzecznictwie Trybunału (zob. wyroki z: 20 marca 2006 r., K 17/05; 11 maja 2007 r., K 2/07; 23 czerwca 2009 r., K 54/07). W rejestrach medycznych przetwarzane są dane należące do najbardziej chronionej sfery prywatności.
W dziedzinie przetwarzania danych osobowych można wyróżnić zagadnienia istotne, które wymagają uregulowania w ustawie. Trybunał wskazywał, że "sprawy istotne, które muszą zostać uregulowane w ustawie, obejmują w szczególności warunki dopuszczalności przetwarzania danych osobowych. Ustawa powinna określać w sposób szczególnie precyzyjny warunki przetwarzania danych dotyczących sfery intymności jednostki".
Niedopuszczalne jest dowolne określenie w rozporządzeniu zakresu danych, które mogą być przetwarzane - musi on wynikać z przepisów ustawy. Trybunał wskazywał natomiast, że "ustawodawca może (...) przekazać do unormowania w drodze rozporządzenia niektóre sprawy szczegółowe i techniczne związane z przetwarzaniem danych osobowych". Sprawy te nie mogą jednak wyznaczać, w oderwaniu od ustawy, podstawowych elementów określających zakres ingerencji w autonomię informacyjną jednostki. Dotyczy to w szczególności zakresu danych, które mogą być przetwarzane ( U 3/01).
Zdaniem Trybunału, samo przyznanie ministrowi właściwemu do spraw zdrowia kompetencji do tworzenia rejestrów medycznych w drodze rozporządzenia nie narusza wymagania ograniczenia prawa do prywatności oraz autonomii informacyjnej jednostki w drodze ustawy.
Takie rozwiązanie jest racjonalne, ponieważ pozwala na elastyczność tworzenia poszczególnych rejestrów i umożliwia skuteczne realizowanie celów, dla których rejestry mają być tworzone, sformułowanych w art. 19 ust. 1 ustawy o systemie informacji. Wobec wymagań ograniczenia prawa do prywatności w aspekcie ochrony autonomii informacyjnej jednostki w drodze ustawy konieczne jest jednak, aby przedmiot rejestrów został wyznaczony przez ustawę, a także dane, które mogłyby być w nich gromadzone, zostały wyraźnie ustalone w ustawie.
Wyrok TK z dnia 18 grudnia 2014 r., K 33/13
Standard: 29319 (pełna treść orzeczenia)
Standard: 29316 (pełna treść orzeczenia)
Standard: 29322 (pełna treść orzeczenia)
Standard: 29324 (pełna treść orzeczenia)
Standard: 29323 (pełna treść orzeczenia)
Standard: 29318 (pełna treść orzeczenia)
Standard: 29326 (pełna treść orzeczenia)