W tym wpisie przyjrzymy się kilku wyrokom, które dotyczą kwestii interesujących administratorów systemów komputerowych, w których przetwarza się dane osobowe.
Publikacja na stronie internetowej danych osobowych różnych osób
Zamieszczenie na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków stanowi przetwarzanie danych osobowych. Informacja, iż dana osoba doznała urazu stopy i przebywa na zwolnieniu lekarskim w niepełnym wymiarze, stanowi dane osobowe dotyczące zdrowia.
Wyrok Trybunału Sprawiedliwości UE z dnia 6 listopada 2003 roku, C-101/01Filtrowanie połączeń
Ochrona praw własności intelektualnej musi być wyważona z ochroną praw jednostek. System filtrowania nie może stanowić ogólnego nadzoru. Nie jest dozwolone naruszanie praw użytkowników odnośnie ochrony danych osobowych oraz prawa do swobodnego wysyłania oraz otrzymywania informacji w Internecie. System taki zagrażałaby także swobodzie działalności gospodarczej.
Wyrok Trybunału Sprawiedliwości UE z dnia 24 listopada 2011 roku, C-70/10
Kodowanie numeru PESEL na elektronicznym nośniku (np. Karcie Miejskiej)
Zasada adekwatności nie odnosi się do techniki zbierania danych lecz przede wszystkim do ich zakresu. Stąd posługiwanie się taką czy inną techniką utrwalania danych nie przesądza jeszcze o ich legalności lub nielegalności.
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 kwietnia 2012 roku, II SA/Wa 129/12Technika nie decyduje o zakresie przetwarzania danych
Względy natury technicznej (np. konstrukcja programów informatycznych, za pomocą których przetwarzane są dane osobowe) nie mogą decydować o przetwarzaniu danych nieprawdziwych, niekompletnych, czy nieaktualnych.
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 marca 2007 roku, II SA/Wa 2328/06Istota systemu informatycznego
Podstawowe warunki, jakim powinien odpowiadać system informatyczny służący do przetwarzania danych osobowych odnoszą się nie tylko do programu i narzędzi programowych, ale także do urządzeń i procedur przetwarzania danych oraz innych elementów, które łącznie tworzą system informatyczny.
Wyrok Naczelnego Sądu Administracyjnego z dnia 19 sierpnia 2004 roku, OSK 356/04Przetwarzanie nazwiska nie może prowadzić do jego zniekształcenia
Jeżeli spółka w informatycznym systemie automatycznego przetwarzania nazwisko niezgodnie z jego dokładnym brzmieniem to czyniła to nieprawidłowo i nie mają tu znaczenia ograniczenia techniczne tego systemu. Wymóg zapewnienia merytorycznej poprawności przetwarzanych danych trzeba bowiem rozumieć wąsko, tak by zapewnić oryginalną pisownię danych osobowych, a nie tylko właściwe ich brzmienie.
Wyrok Naczelnego Sądu Administracyjnego z dnia 7 sierpnia 2008 roku, I OSK 1218/07Dostęp do informacji publicznej a kwestie techniczne
To, że elektroniczna skrzynka podawcza służy organowi do realizacji jego działań publicznych nie przesądza jeszcze tego, iż kwestia dotycząca ustawień technicznych elektronicznej skrzynki podawczej, czy też logowań na tą skrzynkę, staje się automatycznie także informacją publiczną.
Spółka informatyczna jako administrator danych
Okoliczność, że dany podmiot (np. spółka informatyczna) stworzył materiał pozwalający na przetwarzanie danych osobowych beneficjentów programu wedle określonych kryteriów i sposobów, opracował system informatyczny, a także podał odpowiednie wytyczne do stosowania w tym zakresie, wcale nie oznacza jeszcze, że podmiot ten jest administratorem danych
Wyrok Naczelnego Sądu Administracyjnego z dnia 8 września 2009 roku, I OSK 1377/08Tajemnica prasowa
Także informatycy będący pracownikami obsługi redakcji, wydawnictwa czy innych prasowych jednostek organizacyjnych mają obowiązek ochronienia anonimowości osoby będącej autorem materiału prasowego, w szczególności jego nazwiska.
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 lutego 2009 roku, II SA/Wa 1570/08Kopia zapasowa też może zawierać zbiór danych osobowych
Kopia zapasowa zbioru danych osobowych podlega ochronie ustawowej w przypadku gdy podmiot dysponujący tą kopią zapasową ma prawo przetwarzania danych utrwalonych w kopii, a więc których to danych jest administratorem.
Wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 3 lipca 2009 roku, I OSK 633/08Użytkownik musi być poinformowany o monitorowaniu jego poczynań
Nawet jeżeli monitoring systemu informatycznego jest niezbędny dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych, dochodzi do naruszenia prawa do prywatności w sytuacji, kiedy użytkownik nie ma świadomości monitoringu komputera.
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 6 czerwca 2012 roku, II SA/Wa 453/12Autor systemu informatycznego != administrator danych
To kto jest autorem systemu informatycznego nie ma wpływu na obowiązki administratora danych. Autorstwo systemu dotyczy bowiem uprawnień i obowiązków z zakresu prawa cywilnego, zaś obowiązki administratora wiążą się z prawem administracyjnym bądź ewentualnie karnym.
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 17 marca 2005 roku, II SA/Wa 1513/04System informatyczny to obszerne pojęcie, obejmujące nawet ewidencje czysto papierowe
Definicja systemu informatycznego w ustawie o ochronie danych osobowych obejmuje także procedury przetwarzania danych w innych formach niż elektroniczna. Mogą to być nawet ewidencje i skoroszyty a nie tylko skondensowany, jednomodułowy zbiór danych, np. w komputerze. Można więc gromadzić dane w systemie elektronicznym, a w inny sposób rejestrować informacje o osobach, które miały do nich dostęp oraz o czasie udostępniania danych.
Wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 3 grudnia 2003 roku, II SA 232/02Ochrona nazwy użytkownika Internetu
Nazwa użytkownika, którą posługuje się osoba korzystająca z serwisu internetowego podlega ochronie prawnej na takiej podstawie, na jakiej ochronie podlega nazwisko, pseudonim lub firma.
Wyrok Sądu Najwyższego - Izba Cywilna z dnia 11 marca 2008 roku, II CSK 539/07Informatyk mający dostęp do wykazu połączeń nie może z nich korzystać do dowolnych celów
Nawet jeśli administracja uczelni mogła mieć zgodny z prawem dostęp do różnych danych bilingowych, to jednak - wedle generalnych zasad - korzystanie z danych osobowych winno odbywać się w konkretnych celach przewidywanych przez prawo. Wykorzystanie takich danych w innych celach, w szczególności w takich sytuacjach, których prawo nie przewiduje, może stanowić złamanie prawa.
Wyrok Europejskiego Trybunału Praw Człowieka z dnia 3 kwietnia 2007 roku w sprawie Copland v. the United Kingdom, 62617/00
