Od bez mała czterech lat w polskim systemie prawnym funkcjonuje ustawa o ochronie danych
Od bez mała czterech lat w polskim systemie prawnym funkcjonuje ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (DzU z 1997 r. nr 133, poz. 883, z późn. zm.). Trudno przecenić znaczenie tej ustawy, gdyż zapewnia ona każdemu obywatelowi ochronę danych dotyczących jego osoby. Ustawa reguluje zasady postępowania organów państwowych i samorządu terytorialnego, a także państwowych i komunalnych jednostek organizacyjnych oraz podmiotów niepaństwowych, przy przetwarzaniu danych osobowych osób fizycznych.
W ramach funkcjonowania przedmiotowej ustawy ważną do spełnienia rolę powierzono organom ścigania, które zgodnie z treścią art. 49-54 cytowanej ustawy zobowiązane są do podejmowania z urzędu czynności w sprawach o ochronę danych osobowych. Tymczasem moim zdaniem w woj. lubuskim i nie tylko mamy do czynienia ze zjawiskiem braku oczekiwanej reakcji organów ścigania na częste jeszcze przypadki naruszeń ustawy o ochronie danych, które wyczerpują znamiona czynów zabronionych. Przykładowo można wskazać następujące przypadki naruszania zapisów ustawy:
1. Firmy marketingowe traktują raz zdobyte dane osobowe jak swoją własność i często zmieniają cel przetwarzania danych. Uważają, iż raz udzielona zgoda na przetwarzanie danych osobowych określonej osoby wyrażona w stosunku do jednego podmiotu powoduje, iż dane te mogą być następnie udostępniane (zbywane) innym firmom, które wykorzystują je w prowadzonych przez siebie akcjach promocyjnych. Tymczasem udostępnianie danych może nastąpić tylko w przypadku uzyskania wyraźnej nowej zgody osoby, której dane dotyczą. Oświadczenie takie musi w sposób wyraźny ujawniać wolę określonej osoby. Przykładem tego rodzaju postępowania mogą być działania firmy Mail Tech SA z Wrocławia, która udostępniała z naruszeniem ustawy posiadane dane osobowe dotyczące osób zamieszkałych na terenie Gorzowa Wlkp. innym firmom.
2. Towarzystwa ubezpieczeniowe przetwarzają uzyskane dane osobowe w szerszym zakresie, niż to wynika z przepisów ustawy o działalności ubezpieczeniowej z 28 lipca 1990 r. (DzU z 1996 r. nr 11, poz. 62, z późn. zm.). Firmy ubezpieczeniowe uprawnione są do przetwarzania danych osobowych tylko w zakresie koniecznym do stwierdzenia, czy osoba występująca z roszczeniem jest uprawniona do wypłaty odszkodowania z tytułu zawartej umowy ubezpieczenia. Tymczasem firmy te często przetwarzają dane, które z punktu widzenia określenia zasadności roszczenia są zbędne.
3. Z kolei spółdzielnie mieszkaniowe oraz inne podmioty administrujące budynkami w celu wywarcia nacisku na lokatorów mieszkań niepłacących należności czynszowych ujawniają listy dłużników. Budzi to sprzeciw tych osób, które wskazują, że takie działania naruszają przepisy ustawy o ochronie danych osobowych. Nie akceptując oczywiście faktu niepłacenia czynszu przez poszczególne osoby, należy zauważyć, że informacja publiczna o stanie ich zadłużenia jest działaniem bezprawnym z punktu widzenia postanowień ustawy o ochronie danych osobowych. Działania polegające na wywieszaniu na klatkach schodowych wykazów mieszkań, których lokatorzy zalegają z zapłatą czynszu, zostały podjęte przez niektóre gorzowskie spółdzielnie mieszkaniowe oraz administracje domów mieszkalnych. Podmioty te twierdzą, iż nie naruszają przepisów ustawy o ochronie danych osobowych, gdyż ujawnione listy zawierają jedynie numer mieszkania i kwotę zadłużenia, nie wskazują natomiast imienia i nazwiska lokatora. Trudno zgodzić się z tego typu argumentacją, gdyż na podstawie numeru mieszkania osoby mieszkające w najbliższym sąsiedztwie mogą bez trudu ustalić osobę dłużnika.
4. Operatorzy lokalnych sieci telewizji kablowych nie zawsze wypełniają obowiązek informacyjny wynikający z art. 24 ustawy o ochronie danych osobowych. Wymieniony przepis nakazuje administratorowi poinformować osobę, której dane osobowe są zbierane, m.in. o adresie administratora danych oraz celu, w jakim dane są przetwarzane.
5. Niektóre banki nadal nie stosują zasady adekwatności przetwarzania danych, o jakiej mowa w art. 26 ust. 1 ustawy o ochronie danych osobowych. W dalszym ciągu nagminnie wykonują kserokopie dowodów osobistych i innych dokumentów, naruszając tym samym przepisy ustawy. Banki mają obowiązek zapewnienia, aby dane osobowe ich klientów były przetwarzane zgodnie z prawem, powinny być one zbierane dla oznaczonych zgodnych z prawem celów i muszą być to dane adekwatne do tych celów. W wyniku kopiowania dokumentów banki uzyskują zbyt szeroki zakres danych osobowych swoich klientów. Dla oznaczenia stron umowy o świadczenie usług bankowych wystarczą dane o imieniu i nazwisku klienta, dacie jego urodzenia, numerze PESEL, adresie oraz aktualnym miejscu pracy. Przetwarzanie innych danych osobowych narusza zasadę adekwatności.
6. W przysyłanych osobom fizycznym umowach, np. przez zakłady energetyczne, żąda się danych odbiorców, które nie są konieczne dla zawarcia lub odnowienia umowy. Przykładem mogą być działania podejmowane przez Zakład Energetyczny w Gorzowie Wlkp., który w przesyłanych odbiorcom prądu nowych umowach sprzedaży energii elektrycznej domagał się podania min. takich danych jak numer NIP, numer telefonu, imiona rodziców czy też data i miejsce urodzenia odbiorcy. Powyższe dane nie są informacjami niezbędnymi dla określenia strony zawierającej umowę i w związku z tym nie powinny być żądane przez zakład energetyczny. Danymi wystarczającymi w przypadku tego rodzaju umów mogą być: imię i nazwisko, numer PESEL, adres zamieszkania oraz przedstawienie dokumentu potwierdzającego tytuł prawny do zajmowanego lokalu.
Przedstawione powyżej przykłady z codziennego życia wskazują na potrzebę reakcji organów ścigania na wszystkie przejawy łamania przepisów ustawy o ochronie danych osobowych. Czyny te są ścigane z urzędu i oczekiwana jest w tym zakresie zdecydowana reakcja organów powołanych do przestrzegania prawa.
Przedstawiając powyższe, pragnę zapytać panią minister, czy możliwe jest podjęcie działań, które przyczynią się do wzrostu poszanowania tej ważnej w naszym życiu publicznym ustawy.
Z poważaniem
Poseł Jakub Derech-Krzycki
Gorzów Wlkp., dnia 29 stycznia 2002 r.