Ochrona danych osobowych stanowi jeden z podstawowych aspektów prawa do prywatności oraz stanowi jedno z najważniejszych praw człowieka i podstawowych wolności[1]. Nic więc dziwnego, że wraz z rozwojem technologicznym zaistniała pilna potrzeba ochrony i kontroli procesów przetwarzania informacji. Sposobem stały się skrupulatnie zaprojektowane ramy prawne, które musiały stanowić odzwierciedlenie pojawienia się nowych rozwiązań technologicznych, umożliwiających przetwarzanie informacji osobowych na coraz to szerszą skalę[2]. Ich geneza sięga lat 70. i 80. XX wieku. Okres ten pokrywał się oczywiście z czasem tzw. rewolucji cyfrowej, a tym samym rosnącego ryzyka wglądu w informacje dotyczące podmiotów – przy jednoczesnym braku kontroli administracyjnej nad tym procesem. Przetwarzanie stawało się coraz tańsze i powszechne[3].
Wraz z dynamicznymi przemianami ustrojowymi, jak również gospodarczymi i technologicznymi, potrzebę regulacji zarządzania informacją odczuli również Polacy. Znalazła ona odzwierciedlenie w Konstytucji Rzeczypospolitej Polskiej z 2 kwietnia 1997 roku. Zgodnie z art. 51 ustawy zasadniczej nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Każdy ma prawo dostępu do dotyczących go dokumentów urzędowych i zbiorów danych. Ograniczenie tego prawa może określić ustawa. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą[4]. Odesłanie okazało się bezpośrednim przyczynkiem do uchwalenia Ustawy z dnia 27 sierpnia 1997 r. o ochronie danych osobowych[5]; choć – co ciekawe – elementy ochrony informacji pojawiały się także we wcześniejszych aktach, np. Ustawie z dnia 16 września 1982 r. o pracownikach urzędów państwowych[6] czy Ustawie z dnia 26 kwietnia 1996 r. o Służbie Więziennej[7].
Źródłami powszechnie obowiązującego prawa są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia[8]. Przepis art. 91 Konstytucji Rzeczypospolitej Polskiej[9] traktuje o tym, że ratyfikowana umowa międzynarodowa, po jej ogłoszeniu w Dzienniku Ustaw Rzeczypospolitej Polskiej, stanowi część krajowego porządku prawnego i jest bezpośrednio stosowana, chyba że jej stosowanie jest uzależnione od wydania ustawy – stanowi o przyjęciu porządku i dorobku prawnego Unii Europejskiej po wejściu Polski do Unii Europejskiej 1 maja 2004 roku. Prace nad ochroną danych osobowych w Unii Europejskiej trwały już od 1990 roku. Ich efektem było przyjęcie w 1995 roku Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Niestety kraje członkowskie miały dość dużą swobodę w implementacji jej postanowień, co skutkowało nierównomiernym rozłożeniem standardów ochrony informacji w krajach członkowskich UE. Przy zawrotnym tempie rozwoju technologicznego doprowadziło to do potrzeby rekonstrukcji całego systemu administrowania i czuwania nad bezpieczeństwem informacji w całej Wspólnocie.
Prace nad jego przebudową rozpoczęto w 2012 roku. Od wejścia w życie traktatu lizbońskiego zasada ochrony danych osobowych każdej osoby fizycznej została zawarta także w regulacji o fundamentalnym znaczeniu dla UE, jaką jest Traktat o funkcjonowaniu Unii Europejskiej. Zgodnie z jego postanowieniami każda osoba ma prawo do ochrony danych osobowych jej dotyczących[10]. Zdecydowano, że reforma zamknie się w akcie unijnego rozporządzenia, które zgodnie ze swoją specyfiką ma największą doniosłość i zasięg ingerencji, ponieważ państwa członkowskie jego postanowienia muszą stosować wprost[11]. W ten sposób opracowano i uchwalono Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE, czyli tzw. ogólne rozporządzenie o ochronie danych (w skrócie: RODO). Weszło ono w życie 25 maja 2018 roku. To przełomowa data w kontekście ochrony danych osobowych oraz wszystkich procesów czuwania nad bezpieczeństwem informacji w Polsce, jak również w całej Unii Europejskiej. W ten sposób moc utraciła dotychczasowa ustawa o ochronie danych osobowych z 1997 roku, a jej następczyni reguluje jedynie nieliczne kwestie pozostawione swobodzie decyzyjnej krajów członkowskich, takie jak np. kompetencje Prezesa Urzędu Ochrony Danych Osobowych, system wymiaru kar administracyjnych czy zmiana innych ustaw, których wymaga RODO[12].
Źródła:
M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej: transfer danych osobowych z Unii Europejskiej, ze szczególnym uwzględnieniem transferu do Stanów Zjednoczonych, w obecnym i nadchodzącym stanie prawnym, Wolters Kluwer, Warszawa 2014, s. 36.
A. Krasuski, D. Skolimowska, Dane osobowe w przedsiębiorstwie, Wydawnictwo Prawnicze LexisNexis, Warszawa 2016, s. 16.
Ochrona danych osobowych. Materiały z konferencji naukowej nt. ochrony danych osobowych, która odbyła się w Warszawie w dniach 27–28 lutego 1998 r., red. M. Wyrzykowski Instytut Spraw Publicznych, Warszawa 1999.
Konstytucja Rzeczypospolitej Polskiej z 2 kwietnia 1997 r. (Dz.U. 1997, nr 78, poz. 483).
Ustawa z dnia 27 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997, nr 133, poz. 883).
Ustawa z dnia 16 września 1982 r. o pracownikach urzędów państwowych (Dz.U. 1982, nr 31, poz. 214).
Ustawa z dnia 26 kwietnia 1996 r. o Służbie Więziennej (Dz.U. 1996, nr 61, poz. 283).
Art. 87 Konstytucji Rzeczypospolitej Polskiej z 2 kwietnia 1997 r.
Art. 16 Traktatu z Lizbony zmieniającego Traktat o Unii Europejskiej i Traktat ustanawiający Wspólnotę Europejską (Dz. Urz. UE C 2007.306.1).
P. Litwiński, P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Wydawnictwo C. H. Beck, s. 22–25
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019, poz. 1781).
B.Maziarz, M. Mazurkiewicz, L. Rubisz, A. Drosik, K. Minkner, Bezpieczeństwo państwa – wybrane problemy. Podręcznik akademicki, Opole 2021.
[1] M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej : transfer danych osobowych z Unii Europejskiej, ze szczególnym uwzględnieniem transferu do Stanów Zjednoczonych, w obecnym i nadchodzącym stanie prawnym, Wolters Kluwer, Warszawa 2014, s. 36.
[2] A. Krasuski, D. Skolimowska, Dane osobowe w przedsiębiorstwie, Wydawnictwo Prawnicze LexisNexis, Warszawa 2016, s. 16.
[3] Szerzej: Ochrona danych osobowych. Materiały z konferencji naukowej nt. ochrony danych osobowych, która odbyła się w Warszawie w dniach 27–28 lutego 1998 r., red. M. Wyrzykowski Instytut Spraw Publicznych, Warszawa 1999.
[4] Konstytucja Rzeczypospolitej Polskiej z 2 kwietnia 1997 r. (Dz.U. 1997, nr 78, poz. 483).
5 Ustawa z dnia 27 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997, nr 133, poz. 883).
6 Ustawa z dnia 16 września 1982 r. o pracownikach urzędów państwowych (Dz.U. 1982, nr 31, poz. 214).
[7] Ustawa z dnia 26 kwietnia 1996 r. o Służbie Więziennej (Dz.U. 1996, nr 61, poz. 283).
[8] Art. 87 Konstytucji Rzeczypospolitej Polskiej z 2 kwietnia 1997 r.
[9] Tamże.
[10] Art. 16 Traktatu z Lizbony zmieniającego Traktat o Unii Europejskiej i Traktat ustanawiający Wspólnotę Europejską (Dz. Urz. UE C 2007.306.1).
[11] P. Litwiński, P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Wydawnictwo C. H. Beck, s. 22–25
[12] Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019, poz. 1781).
Ochrona danych osobowych