Ochrona danych osobowych w systemie prawa europejskiego Europejska Konwencja o ochronie praw człowieka i podstawowych wolności • W art. 8 Europejskiej Konwencji Praw Człowieka z 1950 r. znalazło się prawo do poszanowania życia prywatnego i rodzinnego, mieszkania a także tajemnicy korespondencji. Europejska Konwencja o ochronie praw człowieka i podstawowych wolności • Konwencja dopuszcza pod pewnymi warunkami ograniczenie tych praw w przepisach wewnętrznych państw przystępujących do Konwencji. • ingerowanie przez władze publiczne w wykonywanie praw dopuszczalne jest tylko wówczas, gdy następuje na podstawie ustawowego upoważnienia i stanowi niezbędny środek do zapewnienia w demokratycznym społeczeństwie bezpieczeństwa narodowego, porządku i spokoju publicznego, dobra gospodarczego kraju, obrony ładu i przeciwdziałania czynom karalnym oraz ochrony zdrowia i moralności lub ochrony praw i wolności innych osób. • Konwencja w art. 14 stanowi, iż korzystanie z wyrażonych w niej praw do ochrony danych osobowych musi być gwarantowane bez różnic ze względu na płeć, pochodzenie rasowe lub społeczne, kolor skóry, język, religię, majątek lub inny status innego rodzaju. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Konwencja nr 108 spełnia funkcje podstawowej międzynarodowej regulacji poświęconej ochronie danych osobowych w związku z automatycznym (elektronicznym) przetwarzaniem tych danych. • Konwencja oddziaływuje jedynie w sferze publiczno – prawnej, nie wywołując skutków prawnych po stronie obywateli państw, które Konwencję ratyfikowały • Głównym zadaniem Konwencji jest wprowadzenie ujednoliconej ochrony danych osobowych w krajach europejskich i zharmonizowanie jej z ideą swobodnego przepływu danych w obrębie państw członkowskich Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Celem Konwencji, jak stwierdzono w jej art. 1, jest zapewnienie na obszarze państw członkowskich każdemu, niezależnie od obywatelstwa i miejsca zamieszkania ochrony jego praw i wolności, a w szczególności prawa do poszanowania sfery osobistej, w związku z automatycznym przetwarzaniem danych osobowych. • Kraje członkowskie zobowiązane są do stosowania Konwencji do zautomatyzowanych zbiorów danych i do automatycznego przetwarzania danych osobowych zarówno w sektorze publicznym, jak i prywatnym. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • „Zautomatyzowany zbiór danych" oznacza każdy ogół informacji ujęty dla automatycznego przetwarzania, • „Automatyczne przetwarzanie” to działania przeprowadzane w całości lub części z pomocą zautomatyzowanych procesów: gromadzenie danych, przeprowadzanie logicznych i rachunkowych operacji z tymi danymi, przekształcanie, usuwanie, odzyskiwanie i ujawnianie danych. • „Dane osobowe” rozumiane są jako wszelkie informacje o określonych lub dających się określić osobach fizycznych. • Konwencja nie zajmuje się ochroną interesów osób prawnych w kontekście gromadzenia, przetwarzania i udostępniania danych na ich temat. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Konwencja daje krajom przystępującym możność ograniczenia lub poszerzenia zakresu jej działania przez złożenie odpowiednich oświadczeń. • Wyłączenia stosowania Konwencji mogą dotyczyć: – określonych wymienionych rodzajów zautomatyzowanych zbiorów danych osobowych, z tym zastrzeżeniem że wyłączeniem tym nie można obejmować takich zbiorów, które na podstawie prawa wewnętrznego danego kraju podlegają przepisom o ochronie danych, Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Wyłączenia stosowania Konwencji mogą dotyczyć: – określonych wymienionych rodzajów zautomatyzowanych zbiorów danych osobowych, z tym zastrzeżeniem że wyłączeniem tym nie można obejmować takich zbiorów, które na podstawie prawa wewnętrznego danego kraju podlegają przepisom o ochronie danych, – objęcia działaniem Konwencji także informacji o grupach osób, związkach, fundacjach, stowarzyszeniach, korporacjach i innych organizacjach, niezależnie od tego, czy posiadają one osobowość prawną, a które bezpośrednio lub pośrednio składają się z osób fizycznych, – objęcia działaniem Konwencji także takich zbiorów danych osobowych, które nie są automatycznie przetwarzane. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Kraj, który rozszerza na swym terytorium działanie Konwencji w powyższych sytuacjach może równocześnie zastrzec, iż dotyczy to tylko wskazanych kategorii danych czy zbiorów. • Kraj rozszerzający działanie Konwencji nie jest zobowiązany jednak do zapewnienia tego rodzaju poszerzonej ochrony względem innych krajów członkowskich, które takich poszerzeń nie wprowadziły. • Kraj, który ograniczył zakres stosowania konwencji przez zastrzeżenie wskazane wyżej nie może domagać się od innych krajów ochrony tej kategorii zbiorów danych, które sam objął wyłączeniem. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Każdy z krajów członkowskich zobowiązał się, by przed wejściem w życie Konwencji na jego obszarze wprowadzić do swojego prawa wewnętrznego przepisy konieczne dla realizowania zasad ochrony danych. • Przepisy dostosowujące powinny przewidywać: – sankcje i środki prawne na wypadek naruszenia tego rodzaju przepisów, – środki właściwe dla zabezpieczenia przed przypadkowym lub bezprawnym zniszczeniem, utratą, dostępem, zmianą lub ujawnieniem danych osobowych zgromadzonych w zautomatyzowanych zbiorach. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Oba te postulaty wypełnione zostały na gruncie polskim miedzy innymi ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. nr 101, poz. 926 z późn. zm.). Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Konwencja stanowi nadto, że przepisy dotyczące ochrony danych nie powinny być interpretowane w sposób, który ograniczałby lub naruszał możliwości kraju członkowskiego zagwarantowania osobom, których dane dotyczą, szerszego zakresu ochrony niż ten, który przewiduje Konwencja. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych Przetwarzane automatycznie dane osobowe muszą być: • • • • • • • uzyskiwane i przetwarzane w dobrej wierze i w sposób zgodny z prawem, gromadzone dla oznaczonych oraz zgodnych z prawem celów i nie mogą być wykorzystywane niezgodnie z tymi celami, odpowiednie oraz istotne dla celów, dla których są gromadzone i nie mogą poza te granice wykraczać, właściwe merytorycznie oraz, jeśli to konieczne, odnoszące się do najnowszego stanu, przechowywane tak, żeby osoba, której dotyczą, nie mogła być identyfikowana dłużej, niż to jest konieczne dla celu, dla którego są one zgromadzone. Dane osobowe, które ujawniać mogą pochodzenie rasowe, poglądy polityczne lub religijne albo innego rodzaju przekonania, jak również dane osobowe dotyczące zdrowia, życia seksualnego lub orzeczeń karnych, mogą być automatycznie przetwarzane tylko wówczas, gdy przepisy wewnętrzne zapewniają właściwą ochronę. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych Każdej osobie musi zostać zapewniona możliwość: • • • • • stwierdzenia istnienia zautomatyzowanego zbioru danych osobowych, jego głównego celu i oznaczenia, miejsca pobytu lub siedziby podmiotu odpowiedzialnego za zbiór (chodzi tu o osobę fizyczną lub prawną, władzę, organizację lub inną jednostkę, która według prawa wewnętrznego jest uprawniona do decydowania, jakiemu celowi ma służyć zbiór, jakie rodzaje danych osobowych mają być gromadzone i jakie procesy przetwarzania i ochrony zostaną zastosowane), otrzymania we właściwym czasie, bez nadmiernej zwłoki i nadmiernych kosztów, potwierdzenia, czy dane na jego temat są zgromadzone w zautomatyzowanym zbiorze danych osobowych, jak również uzyskania informacji w zrozumiałej dla niego formie, poprawienia lub usunięcia w określonych przypadkach danych, jeśli są one przetwarzane wbrew przepisom prawa wewnętrznego dysponowania odpowiednimi środkami prawnymi na wypadek, gdy nie zostaną spełnione żądania, uzyskania informacji o zbiorach danych w których przetwarzane są dane osobowe i możliwości usunięcia lub zmiany danych. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Odstąpienie od zasad wyrażonych w art. 5, 6 i 8 Konwencji jest dopuszczalne tylko gdy jest przewidziane w prawie danego kraju członkowskiego i stanowi środek konieczny w demokratycznym społeczeństwie do ochrony bezpieczeństwa państwowego, bezpieczeństwa publicznego, interesów obronnych państwa albo zwalczania czynów karalnych, ochrony osób, których dane dotyczą lub praw i wolności osób trzecich. • Dozwolone jest także ograniczenie ustawą dotyczącą zautomatyzowanych zbiorów danych osobowych uprawnień wskazanych w art. 8 pkt. Konwencji, jeśli chodzi o zbiory służące celom statystycznym lub badaniom naukowym, o ile nie istnieje oczywiste niebezpieczeństwo naruszenia sfery osobistej osób, których gromadzone dane dotyczą. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Konwencja przyjmuje zasadę swobodnego obrotu danymi pomiędzy krajami członkowskimi, pozostawiając jednak możliwość wprowadzania pewnych restrykcji w zakresie ponadkrajowego obrotu danymi. • Kraj członkowski może wprowadzić w tej mierze dalej idące ograniczenia, gdy: – dla określonych rodzajów danych osobowych lub określonych zbiorów takich danych, ze względu na ich charakter, prawo tego kraju zawiera przepisy zapewniające szerszą ochronę danych, z tym zastrzeżeniem że ograniczeń opartych na tej podstawie nie można jednak stosować względem innych krajów członkowskich, które przewidują w tym zakresie równoważną ochronę, – chodzi o zapobieżenie obchodzenia prawa w sposób polegający na transferowaniu danych na teren kraju nienależącego do Konwencji poprzez obszar innego kraju członkowskiego. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Kraje członkowskie zobowiązują się do wzajemnej pomocy związanej z wykonaniem Konwencji i w tym celu wskazują określony urząd (urzędy) mające za zadanie realizować te zadania. • O powołaniu takiego urzędu kraje członkowskie powiadamiają Sekretarza Generalnego Rady Europy. • Urząd taki na prośbę urzędu innego kraju członkowskiego udziela informacji o stanie prawnym i praktyce w zakresie ochrony danych oraz podejmuje właściwe środki zgodne z prawem wewnętrznym służące tylko ochronie sfery osobistej po to, by udzielić rzeczowych informacji o określonym automatycznym przetwarzaniu danych prowadzonym na jego obszarze, jednakże z wyłączeniem informacji o samych przetwarzanych przy tym danych osobowych. • W Polsce rolę takiego Urzędu spełnia Generalny Inspektor Ochrony Danych Osobowych. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Każdy z krajów członkowskich jest przy tym zobowiązany do udzielania pomocy osobom mieszkającym za granicą przy wykonywaniu praw, jakie przysługują im według przepisów prawa wewnętrznego, a realizujących zasady ustanowione w art. 8 Konwencji. • Osoba mieszkająca na obszarze kraj członkowskiego może swój wniosek o udzielenie pomocy składać do oznaczonego urzędu w tym kraju. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Kraje członkowskie Konwencji 108 wypracowały w instytucjonalnych ramach Rady Europy Protokół Dodatkowy do tej Konwencji, który ustanawia dodatkowe materialne oraz formalne warunki dla przetwarzania danych osobowych. • Głównym celem tego Protokołu jest zmniejszenie różnic dzielących regulację przyjętą w Konwencji oraz w dyrektywie Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Ważną część protokołu stanowią przepisy dotyczące tworzenia organu nadzorującego, jak i przekazywania danych pomiędzy krajami Konwencji. W dotychczasowym kształcie Konwencja nie zawiera bowiem wyrażonego w sposób wyraźny zobowiązania co do tworzenia organów kontrolnych, tak jak to przewiduje dyrektywa 95/46/WE , która w art. 28 zobowiązuje generalnie kraje członkowskie do ustanowienia „stosownych środków prawnych". • Protokół uzupełnia dotychczasową regulację, przyjmując że we wszystkich państwach-stronach Konwencji działać powinny organy nadzorcze, które swe uprawnienie będą wykonywać całkowicie niezależnie. • Do kompetencji organów kontrolnych należeć powinno m.in. interweniowanie w interesie poszczególnych osób w przypadku naruszenia prawa oraz wszczynanie postępowań kontrolnych, a także postępowań sądowych. Konwencja 108 Rady Europy z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych • Protokół dodatkowy do Konwencji 108 zaczął obowiązywać 1 lipca 2004 r. w stosunku do pierwszych pięciu państw, które go ratyfikowały (Niemcy, Słowacja, Republika Czeska, Litwa, Szwecja), • W odniesieniu do pozostałych krajów po upływie trzech miesięcy od ratyfikacji. • Polska zakończyła procedurę ratyfikacyjną protokołu dnia 12 lipca 2005 r.7 Rezolucje (zalecenia) Rady Europy • W latach 1973 i 1974 wydane zostały przez Komitet Ministrów Rady Europy dwie istotne dla ochrony danych osobowych rezolucje • Dotyczą one ochrony sfery prywatności osób fizycznych w aspekcie wykorzystywania elektronicznych banków danych: – w sektorze prywatnym (rezolucja 22), – w sektorze publicznym (rezolucja 29). • Rezolucje mają charakter niewiążących zaleceń, zaś ich głównym zadaniem jest mobilizowanie rządów krajów członkowskich do podjęcia środków w celu realizacji podanych w tych rezolucjach zasad; • kraje członkowskie powinny też powiadamiać Sekretarza Generalnego Rady o poczynionych krokach. Rezolucja 22 (73) • gromadzone informacje powinny być dokładne i aktualne, przy czym w zasadzie nie powinny to być informacje dotyczące „ścisłego życia prywatnego lub takie, które mogłyby łatwo prowadzić do dyskryminacji, a gdy tego rodzaju informacje już są zbierane — nie powinny być rozpowszechniane, • gromadzone informacje powinny ograniczać się do takich, jakie odpowiadają celowi, dla którego są zbierane, oraz są w tej mierze niezbędne, • informacje nie powinny być uzyskiwane sposobami podstępnymi lub nieuczciwymi, Rezolucja 22 (73) • postanowienia powinny oznaczać, do jakiego momentu określone rodzaje informacji mogą być gromadzone lub wykorzystywane, • bez odpowiedniego upoważnienia informacje nie powinny być ani używane do innych celów niż te, dla których były zbierane, ani też innym osobom udostępniane, • zainteresowanym osobom powinno zasadniczo przysługiwać uprawnienie do uzyskania informacji o zbieranych na ich temat informacjach, o celu ich zbierania i szczegółach dotyczących ich wydawania, Rezolucja 22 (73) • powinno się bezwarunkowo zadbać o poprawianie informacji nieścisłych i usuwanie informacji przestarzałych lub uzyskanych w sposób bezprawny, • należy zastosować środki ostrożności zapobiegające niewłaściwemu lub podstępnemu wykorzystywaniu informacji; • elektroniczne banki danych powinny być wyposażone w systemy zabezpieczające, które uniemożliwią dostęp do nich osobom nieuprawnionym i wykryją informacje zniekształcone lub utracone, Rezolucja 22 (73) • zebrane dane powinny być dostępne tylko dla osób mających uzasadniony powód, by się z nimi zapoznać • personel obsługujący elektroniczny bank danych powinien podlegać regulaminowi zakładowemu, który zapobiegałby wszelkim przypadkom nadużycia danych, a w szczególności postanowieniom o zachowaniu tajemnicy zawodowej, • dane statystyczne powinny być udostępniane tylko w formie zbiorczej i w sposób, który uniemożliwiałby łączenie tych informacji z określonymi osobami. Rezolucja 29 (74) • społeczeństwo powinno być w zasadzie regularnie informowane o zakładaniu w sektorze publicznym, eksploatowaniu i rozwijaniu banków danych, • gdy przedmiot przetwarzania stanowią w szczególności dane należące do sfery intymnej osób fizycznych lub gdy przetwarzanie danych może prowadzić do nieusprawiedliwionej dyskryminacji założenie takich banków danych musi być przewidziane przez ustawę lub szczególne rozporządzenie albo, zgodnie z systemem prawnym kraju członkowskiego, musi być obwieszczone we właściwym dokumencie, Rezolucja 29 (74) • ustawa, rozporządzenie lub inne przepisy muszą jasno podawać cel zbierania i używania informacji, jak również warunki konieczne dla dalszego ich przekazywania bądź w obrębie administracji publicznej, bądź osobom lub instytucjom prywatnym, • gromadzone dane nie mogą być używane do innych niż podane celów niż zostało to określone z wyjątkami określonymi w odrębnych przepisach. Inne rezolucje • Rezolucja 29 (78) - harmonizacja ustawodawstwa krajów członkowskich dotyczącego pobierania i przeszczepiania ludzkich tkanek i organów; – porusza ona m.in. problem poufności indywidualnych zabiegów, jak i nieujawniania biorcy tożsamości dawcy i vice versa, • Rezolucja 3(95) - karta oceny zawodowej osób niepełnosprawnych; – zwraca uwagę m.in. na to, aby wszystkie informacje zbierane dla oceny przydatności zawodowej niepełnosprawnych podlegały uregulowaniom dotyczącym ochrony danych osobowych oraz tajemnicy zawodowej i medycznej. Dane takie mogłyby być wykorzystywane tylko w interesie wymienionych osób, za ich zgodą oraz do celów rehabilitacji zawodowej Rekomendacje • Charakter zaleceń posiadają także dalsze, szczegółowe rekomendacje wydane i przyjęte przez Komitet Ministrów Rady Europy. • Mają one na celu przede wszystkim uszczegółowiać dla poszczególnych dziedzin sektora publicznego rozwiązania przyjęte w Konwencji 108 Rady Europy • Rekomendacje nie dotyczą sektora prywatnego. Rekomendacja 1(81) w sprawie regulacji dotyczącej zautomatyzowanych medycznych banków danych • o zakładaniu lub przekształcaniu takich banków (służących np. opiece medycznej, zarządzaniu placówkami medycznymi) powinny być informowane osoby zainteresowane. • Dostęp do nich powinni mieć tylko pracownicy medyczni Rekomendacja 10 (83) w sprawie ochrony danych osobowych wykorzystywanych do celów badań naukowych i statystyki; • Rekomendacja podkreśla zasadę związania celem, dla którego dane zostały zebrane, • Rekomendacja stwierdza, iż dane takie przed opublikowaniem muszą ulec anonimizacji, chyba że osoby, których one dotyczą, wyraziły zgodę na publikację. • Rekomendacja zaleca, aby instytucjom zbierającym dane dla wymienionych celów umożliwiony został do stęp do oficjalnych rejestrów ludności, Rekomendacja 1(86) w sprawie ochrony danych osobowych wykorzystywanych do celów opieki społecznej • Rekomendacja stwierdza, iż dane osobowe służące celom opieki społecznej powinny być pozyskiwane jedynie w wyjątkowych przypadkach w sposób inny niż bezpośrednio od osób, których one dotyczą, • W przypadku pozyskania danych w sposób inny niż bezpośrednio od osób, których dane dotycz, osoby te powinny być o tym poinformowane oraz powinny wyrazić swą zgodę. • Wymiana danych między instytucjami opieki społecznej, także wymiana transgraniczna, może być realizowana tylko w stopniu koniecznym dla wypełniania zadań. • Posługiwaniu się numerem dla oznaczenia osoby powinny towarzyszyć przewidziane prawem krajowym gwarancje, Rekomendacja 2(89) w sprawie ochrony danych osobowych wykorzystywanych w związku z zatrudnieniem • Dane powinny być zasadzie pozyskiwane bezpośrednio od pracownika lub kandydata do pracy, w innych przypadkach powinien być on o tym • powiadamiany. • Bez wyraźnej zgody pracownika nie można zbierać z innych źródeł danych o jego stanie zdrowia. • Pracownik może być poddany badaniom lekarskim tylko w celu ustalenia zdolności do wykonywania oznaczonej pracy, na potrzeby medycyny pracy oraz dla przyznania świadczeń socjalnych. • Stosowanie testów i innych podobnych metod oceny charakteru lub osobowości wymaga zawsze zgody badanego, któremu przysługuje przy tym prawo zapoznania się z wynikami. • Rekomendacja zaleca aby dane osobowe były usuwane w sytuacji, gdy oferta pracy stała się nieaktualna, Rekomendacja 10 (91) w sprawie przekazywania osobom trzecim danych osobowych będących w dyspozycji instytucji publicznych • Rekomendacja dotyczy przede wszystkim zabezpieczeń chroniących prywatność przy przekazywaniu danych przez instytucje publiczne określając równocześnie cztery okoliczności, które takie przekazywanie usprawiedliwiają: – przepis specjalnej ustawy, – upoważnienie wynikające z przepisów o dostępie do informacji urzędowej – upoważnienie wynikające z przepisów krajowej ustawy o ochronie danych osobowych, – zgoda uprawnionego. • Rekomendacja w zasadzie sprzeciwia się łączeniu zbiorów, chyba że istnieją w prawie wewnętrznym właściwe gwarancje chroniące interesy osób, których dane dotyczą. • Rekomendacja dotyczy zagadnienia współpracy instytucji publicznych w sferze wymiany danych oraz przekazywania danych za granicę. Rekomendacja 5(97) w sprawie ochrony danych medycznych • Rekomendacja ustala reguły przetwarzania danych medycznych stanowiąc przy tym, iż wykorzystanie ich do celów innych niż profilaktyka, diagnoza i leczenie (np. śledztwa lub postępowania sądowego) wymaga wyraźnego ustawowego upoważnienia. • Przekazywanie danych medycznych za granicę może następować jedynie w celach badań naukowych i wymaga ich uprzedniej anonimizacji. Rekomendacja 18 (97) w sprawie ochrony danych osobowych gromadzonych i przetwarzanych w celach statystycznych • Rekomendacja zawiera wskazówki co do zbierania, przetwarzania i udostępniania danych w tym zakresie, jaki co do uprawnień osób, których dane dotyczą. • Dane służące celom statystycznym powinny być anonimizowane. Rekomendacja 5(99) w sprawie ochrony prywatności w Internecie (ochrony jednostek w związku ze zbieraniem i przetwarzaniem danych osobowych na autostradach informatycznych • Rekomendacja zawiera ostrzeżenia o niebezpieczeństwie naruszenia ochrony danych osobowych w Internecie i postuluje stworzenie w obrębie krajów członkowskich odpowiedniego kodeksu etyki Rekomendacja 9(2002) w sprawie ochrony danych osobowych gromadzonych i przetwarzanych w celach ubezpieczeniowych • Rekomendacja ustala reguły przetwarzania i ochrony danych uwzględniające specyfikę ubezpieczeń. • Rekomendacja zasadniczo nie obejmuje jednak problematyki ubezpieczeń społecznych. • Rekomendacja wskazuje podstawy dopuszczalności przetwarzania danych, • Rekomendacja precyzuje cele, w jakich dane mogą być zbierane i wykorzystywane, • Rekomendacja określa uprawnienia osób, których dane dotyczą. Rekomendacja 23 (87) w sprawie systemów informatycznych w szpitalach • Rekomendacja zaleca tworzenie minimalnych zestawów danych na potrzeby badań epidemiologicznych, klinicznych oraz wymiany międzynarodowej, Rekomendacja 4(89) w sprawie zbierania danych epidemiologicznych w podstawowej opiece medycznej • Rekomendacja wyróżnia podstawowe cele, dla których dane mogą być zbierane Rekomendację 14 (89) w sprawie etycznych problemów zakażenia wirusem HIV w zakładach służby zdrowia i placówkach społecznych • Rekomendacja dotyczy kwestii gromadzenia danych i sprawozdawczości w zakresie: – zachorowań na AIDS, – Poddawania się testom na stwierdzenie zakażenia wirusem HIV, Rekomendację 3(90) w sprawie badań medycznych na istotach ludzkich • Rekomendacja nakazuje traktować jako poufne wszelkie informacje o charakterze osobistym uzyskane w związku z badaniami medycznymi, Rekomendacja 8(90) w sprawie napływu nowych technologii do służby zdrowia • Rekomendacja zaleca dokonywanie oceny takich technologii z perspektywy m.in. – Zapewnienia poufności danych o pacjentach, – dostępności danych dla osób zainteresowanych, Rekomendacja 13 (90) w sprawie prenatalnych genetycznych badań przesiewowych, prenatalnej diagnostyki genetycznej oraz związanego z tym poradnictwa • Rekomendacja zaleca aby dane zebrane w czasie badań lub poradnictwa były przetwarzane tylko do: – celów opieki zdrowotnej, – diagnostyki, – Profilaktyki – badań związanych ściśle z opieką zdrowotną, Rekomendacja 15 (91) w sprawie współpracy europejskiej w ramach badań epidemiologicznych w dziedzinie zdrowia psychicznego • Rekomendacja uwzględnia m.in. problem poufności danych osobowych pacjentów placówek psychiatrycznych, przy równoczesnym zapewnieniu do nich dostępu w celach badawczych Rekomendacja 1(92) w sprawie wykorzystania kwasu dezoksyrybonukleinowego (DNA) w postępowaniu karnym • Rekomendacja poświęca uwagę kwestii zachowania anonimowości próbek pobranych do analizy DNA oraz wyników analiz. • Próbek nie powinno się przechowywać po wydaniu prawomocnego orzeczenia, chyba że jest to niezbędne do innych celów Rekomendacja 3(92) w sprawie genetycznych badań diagnostycznych i przesiewowych wykonywanych dla celów opieki zdrowotnej • Rekomendacja zajmuje się m.in.: – przechowywaniem danych genetycznych w oddzielnych zbiorach — zbiorach danych medycznych oraz rejestrach związanych z oznaczoną chorobą, – wykorzystywaniem próbek pobranych do celów medycznych lub naukowych z poszanowaniem ochrony danych osobowych i poufności, Rekomendacje Zgromadzenia Parlamentarnego Rady Europy • Rekomendacja 818 (77) dotycząca sytuacji osób psychicznie chorych; – dotyczy postępowania z rejestrami byłych pacjentów placówek psychiatrycznych, • Rekomendacja 934 (82) dotycząca inżynierii genetycznej; – zawiera skierowane do Komitetu Ministrów zalecenie wypracowania zasad co do przygotowania, przechowywania i dysponowania informacjami genetycznymi odnoszącymi się do poszczególnych osób, Rekomendacje Zgromadzenia Parlamentarnego Rady Europy • Rekomendacja 1037 (86) „Ochrona danych i wolność informacji"; – wskazuje na kolizje, jakie mogą występować między wolnością dostępu do informacji a ochroną danych osobowych. – Zgromadzenie zwraca się do Komitetu Ekspertów do spraw Ochrony Danych o opracowanie kryteriów i zasad, które pomogłyby te konflikty przezwyciężać, • Rekomendacja 1116 (89) „AIDS a prawa człowieka"; – apeluje ona do Komitetu Ekspertów do spraw Ochrony Danych o dokonanie analizy problemów związanych z istnieniem skomputeryzowanych baz danych o nosicielach wirusa HIV oraz wzywa do podejmowania kroków mających na celu rachowanie anonimowości osób zakażonych tym wirusem, • Rekomendacja 1210 (93) ”bezpieczeństwo systemów informatycznych wysokiego ryzyka”; – dotyczy systemów wykorzystywanych do kontroli lotów, w elektrowniach atomowych, w nowoczesnych typach broni i ochronie zdrowia. Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych Cele dyrektywy: • zabezpieczenie jednolitego minimalnego poziomu ochrony prywatności osób fizycznych w związku z przetwarzaniem danych osobowych zawartych w zbiorach danych; • zapewnienie możliwości swobodnego przepływu danych osobowych pomiędzy krajami członkowskimi. Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych • „Dane osobowe' (personal data) - wszystkie informacje odnoszące się do oznaczonej lub możliwej do zidentyfikowania osoby fizycznej, • Termin „przetwarzanie danych osobowych"; obejmuje następujące operacje: – – – – – – – – – wprowadzanie, magazynowanie lub łączenie danych, Zmienianie danych, używanie danych komunikowanie, łącznie z transmisją, Rozpowszechnianie danych, Zabezpieczanie danych , Poprawianie danych Usuwanie danych Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych • Dyrektywa wprowadza katalog minimalnych praw służących osobom, których dane są zbierane. • Naruszenie tych uprawnień stosownie do postanowień dyrektywy — może być dochodzone na drodze sądowej. • W sytuacjach gdy przewidziana jest zgoda osoby na działania dotyczące jej danych uzależniona jest ona od uprzedniego dostarczenia tej osobie informacji o: – – – – administratorze, zbiorze danych, charakterze i celu gromadzenia danych dobrowolności udostępniania danych. Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych • Osoby, od których dane osobowe są zbierane, powinny być informowane co najmniej o: – przeznaczeniu danego zbioru danych, – obligatoryjnym lub dobrowolnym charakterze odpowiedzi na pytania kwestionariusza, – konsekwencjach braku odpowiedzi, – możliwości wglądu i korekty danych dotyczących danej osoby – odbiorcach danych – Nadzorujących zbiór danych. • Dyrektywa zakazuje zasadniczo przetwarzania danych w celu innym niż zostały zebrane i w celu innym niż ten, który towarzyszył zgodzie ze strony osoby, której dane dotyczą. Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych • Przetwarzanie danych osobowych pomimo braku zgody osoby, której dane dotyczą, jest dopuszczalne tylko w ściśle określonych sytuacjach Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych • • Przepisy dyrektywy zawierają wyraźne postanowienia dotyczące zakazu zbierania w celu automatycznego przetwarzania określonych kategorii informacji, chyba że zainteresowany podmiot wyraził w formie pisemnej zgodę na takie postępowanie (art. 8 dyrektywy). Do informacji objętych tym zakazem (tzw. danych sensytywnych, wrażliwych) zaliczono dane dotyczące: – – – – – • • • pochodzenia etnicznego lub rasowego, poglądów politycznych, przekonań religijnych i politycznych, członkostwa w związkach zawodowych informacje dotyczące zdrowia i życia seksualnego. Dane dotyczące wyroków kryminalnych mogą być one gromadzone jedynie w zbiorach danych o charakterze publicznym (art. 8 ust. 5 dyrektywy). Dyrektywa upoważnia do uchylenia w drodze ustawowej, z ważnych względów publicznych, zakazu przetwarzania niektórych z wyżej wymienionych, oznaczonych w takiej ustawie, kategorii danych. W ustawie tego rodzaju powinny być także określone: osoby, które miałyby dostęp do takich danych oraz środki zabezpieczające przeciwko nadużyciom i dostępowi do takich zbiorów osób nieuprawnionych. Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych Dyrektywa precyzuje, w jakich przypadkach dopuszczalne jest odstępstwo od zakazu przetwarzania i zbierania danych osobowych bez zgody osoby zainteresowanej. Są to: • przetwarzanie danych w związku z realizacją przez pracodawcę zobowiązań i uprawnień z prawa pracy, • przetwarzanie danych w istotnym interesie danego podmiotu lub innej osoby, gdy zainteresowany ze względów fizycznych lub psychicznych nie jest w stanie udzielić zgody, • opracowywanie danych wyraźnie przekazanych przez zainteresowanego do wiadomości publicznej. Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych • Specjalne postanowienia dotyczą także dopuszczalności zbierania danych wrażliwych ze względów medycznych interesu publicznego oraz w sferze prawa karnego. • Kraje członkowskie Wspólnoty mogą zastrzec, że w przypadku danych medycznych prawo do zbierania danych być wykonywane wyłącznie za pośrednictwem lekarza, Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych • Każda osoba, której dane znajdują się w zbiorze danych, ma prawo do informacji o – istnieniu takiego zbioru, – jego głównych celach – adresie prowadzącego dany zbiór (art.12 dyrektywy). • Każdy zainteresowany powinien mieć prawo uzyskania w rozsądnym czasie i za umiarkowaną kwotę informacji o tym, czy dane dotyczące jego osoby znajdują się w zbiorze; • W razie odpowiedzi pozytywnej przysługiwać mu powinno prawo uzyskania tych danych w formie możliwej do zapoznania się z nimi. Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych • Uprawniony może domagać się korekt, usunięcia lub zablokowania danych jego dotyczących, które uzyskane zostały z naruszeniem omawianej dyrektywy. • Uprawniony może się również domagać identycznych czynności od osób trzecich, którym takie dane zostały przekazane. • Uprawnienia osoby, której dane te dotyczą, w sprawie dostępu i korekty lub wycofania danych, mogą zostać ustawowo w poszczególnych krajach członkowskich wyłączone lub ograniczone w przypadkach podyktowanych m.in. następującymi względami: – – – – – bezpieczeństwa narodowego, obrony, Postępowania karnego, bezpieczeństwa publicznego, słusznie określonymi najważniejszymi ekonomicznymi lub finansowymi interesami krajów członkowskich lub Wspólnot Europejskich. Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych Zainteresowany może wnieść sprzeciw wobec przetwarzania danych osobowych jego dotyczących, zebranych w warunkach gdy było to niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego lub gdy było to niezbędne do wypełniania usprawiedliwionych celów administratorów danych, jeśli administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazania jego danych osobowych innemu administratorowi danych (art.14 dyrektywy). Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych • • • • • Postanowienia dyrektywy (art. 23) zobowiązują, by w przepisach krajów członkowskich wprowadzić na rzecz osoby, która poniosła szkodę w wyniku jakiegokolwiek przetwarzania danych dokonanego w warunkach naruszających postanowienia referowanej dyrektywy, uprawnienie do domagania się odszkodowania od osoby prowadzącej (odpowiedzialnej za) zbiór danych. Dopuszczalne jest jednak wprowadzenie zwolnienia od takiej odpowiedzialności, gdy wywołana jest ona utratą, zniszczeniem lub dostępem do danych osoby trzeciej bez uprawnienia, jeżeli osoba prowadząca zbiór danych podjęła wszystkie środki ochrony zbioru danych przewidziane w dyrektywie. Dyrektywa nie podaje katalogu postulowanych sankcji, którymi winny być zagrożone w ustawodawstwie krajowym poszczególne czyny naruszające zasady prowadzenia zbiorów danych. Dyrektywa przewiduje, że sankcje ustanowione przez kraje członkowskie powinny skutecznie zniechęcać do naruszania postanowień dyrektywy. Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych • • • • Dyrektywa dopuszcza transfer danych osobowych do krajów trzecich (art. 25 i 26 dyrektywy), gdzie przewidziano możliwość takiego przekazywania tylko w sytuacji, gdy w danym kraju trzecim (kraju docelowym) jest zapewniony odpowiedni poziom ochrony (adequate level of protection). Dyrektywa dopuszcza przekazywanie danych do krajów nieposiadających „adekwatnej ochrony", o ile administrator wskaże odpowiednie środki służące ochronie prywatności oraz przestrzeganiu fundamentalnych praw i wolności osobistych, Dyrektywa nie przesądza procedury weryfikowania istnienia należytej (adekwatnej) ochrony danych osobowych. Kraj członkowski może w tym zakresie wprowadzić bezpośrednie obowiązki administratora danych i/lub wprowadzić system. Oceniając poziom (adekwatność) ochrony danych osobowych w oznaczonym kraju należy wziąć pod uwagę zarówno przyjęte podstawowe materialno - prawne zasady ochrony, jak i procedurę oraz potencjalną oraz realną możliwość zapewnienia ochrony.