Autorką artykułu jest Joanna Kubiak, studentka prawa na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego, interesująca się prawem cywilnym, gospodarczym oraz ochroną danych osobowych.
Za parę dni rozpocznie się kolejny rok akademicki, w związku z tym powstaje pytanie, czy w Internecie, w którym łatwo ukryć się za ekranem komputera, istnieje skuteczna ochrona danych osobowych, np. w przypadku nauczycieli akademickich, którzy mogą stać się obiektem komentarzy i ocen wydawanych przez studentów na różnego rodzaju portalach internetowych?
Prawo do ochrony informacji dotyczących własnej osoby gwarantowane jest w polskim porządku prawnym przez akt o najwyższej randze w systemie źródeł prawa. W zakres art.51 Konstytucji RP z dnia 2 kwietnia 1997 r. wchodzi m.in. zakaz pozyskiwania, gromadzenia i udostępniania o obywatelach innych informacji, niż niezbędne w demokratycznym państwie prawnym, prawo dostępu do dokumentów i zbiorów danych oraz żądania sprostowania bądź usunięcia danych nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Odzwierciedleniem tej zasady jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: u.o.d.o.), która ma zapewnić każdemu obywatelowi możliwość sprawowania kontroli nad gromadzonymi i przetwarzanymi przez inne podmioty informacjami dotyczącymi jego osoby.
Sprawdź polecane oferty
RRSO 21,36%
Ochrona danych osobowych w cyberprzestrzeni
Ze względu na szczególny charakter przywoływanej normy konstytucyjnej, należałoby przeanalizować, czy publikowanie danych osobowych nauczycieli akademickich na portalu służącym do ich oceny, wypełnia znamiona przesłanki z art.23 ust. 1 pkt 5 u.o.d.o., w którym ustawodawca wskazuje, że przetwarzanie danych jest dopuszczalne także wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Omawiana sprawa wymaga po pierwsze opisania zawodu wykładowcy. Nauczyciele wykonujący zadania dydaktyczne, wychowawcze, opiekuńcze, pełnią funkcje publiczne, gdyż ich uprawnienia i obowiązki w zakresie działalności na rzecz dobra powszechnego są określone przez ustawę, w przypadku wykładowców akademickich jest to ustawa z 27 lipca 2005 r. prawo o szkolnictwie wyższym (dalej: p.s.w.).
Co ciekawe, art.132 p.s.w. nakłada na uczelnię obowiązek okresowego oceniania wszystkich nauczycieli akademickich, a zgodnie 2 z pkt 3, przy dokonywaniu oceny nauczyciela akademickiego w zakresie wypełniania przez niego obowiązków dydaktycznych, należy uwzględnić ocenę przedstawianą przez studentów. Większość uczelni realizuje ten zapis poprzez internetowe ankiety, dostępne dla studentów po zalogowaniu się do tzw. systemu USOS, gdzie loginem jest numer PESEL studenta. W tym systemie są gromadzone wszystkie dane żaka, więc anonimowość jest złudna. Studenci nie otrzymują też informacji zwrotnych, gdyż wyniki przeprowadzanych badań nigdy nie są publikowane.
Wracając do wykładni przepisów prawa, termin „usprawiedliwione cele” określony w art.23 ust. 1 pkt 5 u.o.d.o. jest w orzecznictwie traktowany jako zwrot niedookreślony, stanowiący klauzulę generalną w znaczeniu funkcjonalnym. Jak podkreśla doktryna, tak sformułowany przepis daje pewnego rodzaju luz decyzyjny, dzięki któremu Generalny Inspektor Danych Osobowych (dalej GIODO) może przy podejmowaniu decyzji kierować się ocenami indywidualnymi konkretnej sytuacji.Za przykład niech posłuży sprawa, która odbiła się szerokim echem w polskiej prasie, i która wykazuje pewne zbieżności z omawianym w artykule problemem.
Otóż w Internecie istniał swego czasu portal znanylekarz.pl, który służył do oceniania przedstawicieli służby zdrowia przez pacjentów. Każdy zainteresowany mógł wejść na stronę i przeczytać opinię o lekarzach, co często wpływało na jego decyzję przy wyborze poszukiwanego przez siebie specjalisty. GIODO odmawiał uwzględniania wniosków skarżących się lekarzy, m.in. w sprawie o sygn. DOLiS-440-67/09, powołując się na art.23 ust. 1 pkt 5 u.o.d.o., argumentując swoją decyzję koniecznością wyważenia kolidujących interesów stron. W jego ocenie prawo do ochrony prywatności nie może przewyższać prawa użytkowników serwisu do swobody wypowiedzi, w szczególności, gdy udostępnione na stronie internetowej dane osobowe dotyczą wyłącznie wykonywanej przez daną osobę pracy.
Dane osobowe - na ratunek GIODO?
Co więcej, w uzasadnieniu swojej decyzji zwrócił uwagę, że „przysługujące każdemu prawo do ochrony dotyczących go danych osobowych nie ma charakteru absolutnego i zarówno doktryna, jak i orzecznictwo wypracowały reguły różnicujące intensywność ochrony ze względu na takie okoliczności jak pozycja i funkcja społeczna danej osoby” (decyzja GIODO z dnia 27.04.2010 r., DOLiS-440-67/09). Linia decyzyjna GIODO nie spotkała się z aprobatą Wojewódzkiego Sądu Administracyjnego w Warszawie. W wyroku z dnia 29 stycznia 2014 r. w sprawie o sygn. akt II SA/Wa 1819/13 WSA nie podzielił jego wykładni art. 23 ust. 1 pkt 5 u.o.d.o.
W swoim uzasadnieniu WSA zauważył ponadto, iż możliwość ingerencji lekarza w kwestii przetwarzania jego danych osobowych jest możliwa wyłącznie po jego zarejestrowaniu się na portalu, w sytuacji gdy jego profil już istnieje. Wobec tego rzeczywiste istnienie przesłanki z art. 23 ust. 1 pkt 5 u.o.d.o. może okazać się mylne, skoro dla zapewnienia ochrony swoich danych osobowych lekarz musi spełnić dodatkowe i to pozaustawowe obowiązki w postaci zawarcia z administratorem stosownej umowy cywilnoprawnej, a do tego czasu uprawnień takich w ogóle nie posiada.
Naczelny Sąd Administracyjny w wyroku z dnia 21 kwietnia 2015 r. w sprawie o sygn. akt I OSK1480/14 rozpatrując skargę kasacyjną GIODO podzielił stanowisko WSA. Osoba, której dane zostały przez administratora uzyskane w sposób wtórny, a więc przekazane przez osoby trzecie, musi mieć możliwość skutecznego wyrażenia swojego sprzeciwu wobec przetwarzania jej danych, nie obarczonego wymogiem dodatkowych i nieadekwatnych do zamierzonego celu warunków. Uprawnienie takie wynika z art. 32 ust. 1 pkt 7 u.o.d.o.
Żądanie zaprzestania przetwarzania ze względu na szczególną sytuację, będzie dopuszczalne wyłącznie wtedy, gdy przetwarzanie danych osobowych następuje w oparciu o przesłanki wymienione w art.23 ust. 1 pkt 4 i 5 u.o.d.o., czyli w przypadku niezbędności przetwarzania danych dla wykonywania prawem określonych zadań realizowanych dla dobra publicznego oraz w sytuacji przetwarzania danych w warunkach realizacji tzw. prawnie usprawiedliwionego celu administratora danych osobowych.
Doktryna wskazuje, że komentowany przepis w żaden sposób nie wyjaśnia istoty tzw. „szczególnej sytuacji”, więc należy uznać za nią każdy stan faktyczny w przypadku, gdy dane osobowe były zbierane niebezpośrednio od osoby, której dotyczą. Ponadto, sytuacja związana z przetwarzanie jej danych osobowych może prowadzić do zachwiania równowagi interesów tej osoby oraz administratora danych i w tym znaczeniu jest szczególna.
Sąd Apelacyjny w Gdańsku zwrócił na to uwagę w swoim wyroku z dnia 18 lutego 2015 r. w sprawie o sygn. akt I ACa 785/14, w którym postawił tezę, że „opublikowanie niezanonimizowanych danych osobowych bez wiedzy i woli osoby, której one dotyczą, narusza dobra osobiste tej osoby; dobrami osobistymi, które nie są wymieniane w mającym charakter otwarty katalogu kodeksowym, są prawo do prywatności i prawo do ochrony danych osobowych, a ze względu na rozwój technologiczny i zjawisko „społeczeństwa informacyjnego”, w którym wzrastają możliwości technicznego ingerowania w prywatność innych, dobra te zasługują na szczególną ochronę”.
Podsumowując, rozwój Internetu ułatwia nie tylko dostęp do danych osobowych, lecz także daje możliwość swobodnego kreowania takich danych. Zagrożeniem dla podstawowych praw konstytucyjnych, takich jak prawo do prywatności, stają się coraz częściej podmioty prywatne. Błędne jest natomiast przekonanie większości użytkowników Internetu, że w wirtualnym świecie wszystko jest dozwolone, a prawo w nim nie obowiązuje.
Autorką artykułu jest Joanna Kubiak, studentka prawa na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego, interesująca się prawem cywilnym, gospodarczym oraz ochroną danych osobowych.
