Na początku roku w prasie ukazał się wywiad z generalnym inspektorem ochrony danych osobowych, w którym zapowiadał zwiększenie liczby kontroli w podmiotach prywatnych, weryfikujących realizację obowiązków w zakresie ochrony danych osobowych. Warto zatem zastanowić się, na czym właściwie polega ochrona danych osobowych i kto jest zobowiązany do jej zapewnienia.
Marta Jaczewska prawnik w Kancelarii Prawnej GLN Głównym aktem w polskim systemie prawnym regulującym kwestie przetwarzania danych osobowych jest ustawa o ochronie danych osobowych z 29 sierpnia 1997 roku (Dz.U. z 2002 r. nr 101, poz. 926; dalej ustawa). Przetwarzaniem danych osobowych w rozumieniu ustawy jest ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Jej adresatem są m. in. osoby fizyczne i prawne, a także jednostki organizacyjne nieposiadające osobowości prawnej, które przetwarzają w dowolny sposób dane osobowe w związku z prowadzoną przez siebie działalnością gospodarczą lub w ramach swej działalności statutowej. Podlegają one ustawie, jeśli na terytorium Polski mają siedzibę albo miejsce zamieszkania lub w przypadku gdy posiadane przez nie dane osobowe przetwarzane są przy wykorzystaniu środków technicznych znajdujących się w Polsce (nie są nią objęte podmioty mające siedzibę lub miejsce zamieszkania w państwie nienależącym do Europejskiego Obszaru Gospodarczego, wykorzystujące środki techniczne znajdujące się na terytorium Polski wyłącznie do przekazywania danych). Samo pojęcie danych osobowych oznacza informację na temat dowolnej osoby fizycznej, pozwalające na ustalenie jej tożsamości bez angażowania nadzwyczajnych nakładów (finansowych, organizacyjnych). Ochroną objęte są dane osobowe przechowywane w zbiorach, czyli posiadających własną strukturę w zestawach danych o charakterze osobowym, pozwalających na uzyskanie dostępu do poszczególnych danych przy wykorzystaniu przynajmniej jednego kryterium wyszukiwawczego. Zgodnie ze stanowiskiem GIODO, już nawet alfabetyczne ułożenie danych osobowych według nazwisk osób, kwalifikuje dany zestaw jako zbiór w rozumieniu ustawy. Nie ma znaczenia ilość danych znajdujących się w zbiorze ani liczba osób, których dotyczą. Sytuacją szczególną jest przetwarzanie danych osobowych w systemach informatycznych (rozumianych jako zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych) albowiem ustawa ma w takim przypadku zastosowanie niezależnie od faktu pozostawania danych w zbiorze. Dane osobowe nie mogą być gromadzone i przechowywane w sposób dowolny. Przesłankami legalizującymi przetwarzanie danych jest niewymuszona, wyraźna zgoda osoby, której dotyczą (zgoda nie jest wymagana w przypadku usuwania danych ze zbioru lub systemu informatycznego), a także konieczność wykorzystania danych zarówno przed zawarciem umowy, przygotowywanej na żądanie danej osoby, jak i podczas realizacji umowy, której osoba ta jest stroną. Dozwolone jest również przetwarzanie danych, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu, do wykonania określonych prawem zadań realizowanych dla dobra publicznego lub do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych (wyłącznie wtedy, gdy takie działanie nie narusza praw i wolności osoby, której dane dotyczą). Opisane przesłanki odnoszą się do przetwarzania danych zwykłych; dane bezpośrednio dotyczące sfery prywatności czy intymności osoby fizycznej podlegają ochronie w szerszym zakresie.