Maciej Kawecki, Karol Kozieł, Przetwarzanie danych osobowych na potrzeby przeprowadzania badań społecznych
Maciej Kawecki, Karol Kozieł
Przetwarzanie
danych
osobowych
na
potrzeby
przeprowadzania badań społecznych ABSTRAKT Autorzy dokonują analizy wymogów, jakich spełnienie legalizuje przetwarzanie danych osobowych na potrzeby przeprowadzania badań społecznych. W artykule opisano procedurę od momentu pozyskania danych poprzez ich wykorzystanie aż do chwili ich usunięcia, rozstrzygając przy tym wiele pojawiających się spornych kwestii. Wskutek coraz szerszej ochrony prywatności, organy państwowe w większym stopniu kontrolują sposób, w jaki wykorzystywane są dane dotyczące konkretnych osób. Tym samym, niezmiernie istotne jest wskazanie drogi postępowania badaczy gwarantującej, że dokonywane przez nich czynności nie zostaną zakwalifikowane jako naruszające prawo dotyczące ochrony danych osobowych. Praca stanowi pierwsze tak kompleksowe ujęcie tego problemu prawnego w aspekcie przeprowadzania szczególnego rodzaju badań naukowych, jakimi są badania społeczne. Szczególny charakter takich badań objawia się koniecznością zaangażowania w ich przeprowadzanie dużej liczby osób, co pozostaje w ścisłym związku z potrzebą użycia ich danych.
SŁOWA-KLUCZE dane osobowe, prywatność, badania społeczne
Wprowadzenie Analizę warunków, od których spełnienia należy uzależnić dopuszczalność przetwarzania danych osobowych na potrzeby przeprowadzania badań społecznych, powinno się rozpocząć od poszukiwania szczególnego aktu prawnego, regulującego ten rodzaj działalności. Po wnikliwej analizie obowiązującego stanu prawnego
dochodzimy jednak do wniosku, że aktualnie brak jest podstawy normatywnej regulującej sposób przeprowadzania tego rodzaju badań, jakimi są badania społeczne. Obowiązujące akty prawne dotyczą jedynie szeroko rozumianej działalności naukowej, skupiając się w głównej mierze na wprowadzaniu zasad jej finansowania. Tym bardziej, brak jest szczególnych przepisów regulujących zasady ochrony danych osobowych przetwarzanych w związku z przeprowadzaniem różnych kategorii badań społecznych. Pozaprawnym dokumentem zobowiązującym ankieterów do przestrzegania zasad ochrony danych osobowych zawartych w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych są standardy realizacji badań terenowych zawarte w Programie Kontroli Jakości Pracy Ankieterów (PKJPA) opracowanym przez Organizację Firm Badania Opinii i Rynku (OFBOR). W badaniach przeprowadzanych na skalę europejską ważnym aktem wskazującym katalog dobrych praktyk jest Międzynarodowy Kodeks Postępowania w Badaniach Rynkowych i Społecznych, opracowany przez ESOMAR przy współpracy z Międzynarodową Izbą Handlową w 1976 roku, później zmieniany (www.esomar.org, 2012), a regulujący zagadnienia odpowiedzialności badaczy wobec badanych, zasady mające na celu zapewnienie obiektywizmu badaczy, wzajemne prawa i obowiązki klientów i badaczy oraz zasady przedstawiania wyników badań. Wskazane uregulowania mogą być szczególnie ważne przy przeprowadzaniu oceny prawidłowości postępowania badacza/badaczki stosownie do standardów etyki zawodowej, jeszcze na etapie kontroli prawidłowości przetwarzania danych, a nawet niezależnie od tej kontroli. W Polsce natomiast aktem pozaprawnym dość lakonicznie regulującym zagadnienie ochrony danych osobowych w kontekście przeprowadzanych badań społecznych jest Kodeks Etyki Socjologa. Dokument wskazuje, iż „należy bezwzględnie przestrzegać zasady anonimowości, szanować prywatność uczestników procesu badawczego oraz zachować poufność ich danych osobowych”. Oprócz powołanego postanowienia Kodeks co najmniej w kilku miejscach odwołuje się do konieczności zapewnienia stosownej ochrony danych osób badanych. Mimo iż należy odmówić
Maciej Kawecki, Karol Kozieł, Przetwarzanie danych osobowych na potrzeby przeprowadzania badań społecznych
Kodeksowi mocy aktu prawnego, stanowi on wyraz zwiększającej się świadomości środowiska naukowego, zwracającego coraz częściej uwagę na potrzebę ochrony prywatności uczestników procesu badawczego. Dokument ma jednak bardzo ogólnikowy charakter, stanowiąc jedynie deklarację ochrony danych osobowych, bez wskazania konkretnych sposobów ochrony informacji, takich jak forma uzyskania zgody na przetwarzanie danych czy wskazanie sposobów zabezpieczeń przed nieuprawnionym ich przetwarzaniem. Rozwiązania powyższego problemu wobec braku szczególnych regulacji prawnych regulujących ochronę danych osobowych uczestników badań społecznych, należy poszukiwać w przepisach ogólnych regulujących ochronę danych osobowych, a więc w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej zwanej ustawą).
Ochrona danych osobowych a badania społeczne – wybrane zagadnienia Zgodnie z art. 6 powołanej ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Już na wstępie należy więc wskazać, iż ochronie będą podlegały jedynie informacje, na podstawie których możliwe jest co najmniej zidentyfikowanie osoby badanej. Niezależnie od zastosowanej techniki badawczej, rygorom przewidzianym w ustawie nie będą więc podlegały badania, w których udział respondentów (badanych) ma charakter anonimowy, gdyż w takiej sytuacji w ogóle nie dochodzi do przetwarzania ich danych osobowych. Zasadniczo należy przyjąć, że anonimowe jest każde badanie, w którym zarówno osoba wykonująca badanie, jak i jakakolwiek osoba odbierająca jego wyniki, nie mogą powiązać konkretnej osoby badanej z odpowiedziami, których osoba ta udzieliła. Powyższą tezę należy jednak wzbogacić o trzy zastrzeżenia.
102
Po pierwsze, anonimowy charakter samej ankiety lub innego rodzaju badania nie wyklucza możliwości gromadzenia danych osobowych osób uczestniczących w badaniu na potrzeby jego technicznej organizacji. Jeśli więc dla przeprowadzenia np. ankiety konieczne jest stworzenie kwestionariusza zawierającego listę osób uczestniczących w badaniu, to mimo iż sama ankieta ma charakter anonimowy, zestawienie w kwestionariuszu imienia i nazwiska z informacją o udziale w określonym badaniu już jest przetwarzaniem danych osobowych. Sprawa komplikuje się jeszcze bardziej, gdy badanie dotyczy np. orientacji seksualnej respondentów, co określone jest już w samym tytule badania. W takiej sytuacji sporządzenie listy należy uznać za przetwarzanie szczególnej kategorii danych, jakimi są dane osobowe wrażliwe, które będą jednak jeszcze przedmiotem naszej analizy. Wyjściem ze wskazanej sytuacji może okazać się stworzenie dwóch zbiorów, tj. bazy danych respondentów oraz bazy arkuszy ankiet, które mają charakter anonimowy. W przypadku gdy bazy te podlegałyby wyraźnej separacji, ankiety byłyby anonimowe, a wykaz danych osobowych respondentów zostałby nieusuwalnie zdepersonalizowany zaraz po przeprowadzeniu badania, w ocenie autorów bazę osób podlegających badaniu należałoby uznać za sporządzoną doraźnie, jedynie dla celów technicznych, w myśl art. 2 ust. 3 ustawy. Tym samym, nie podlegałaby ona obowiązkom ustawowym. Konieczne byłoby jedynie zapewnienie odpowiednich zabezpieczeń tak, by do momentu zdepersonalizowania danych osób badanych podlegały one ochronie przewidzianej w rozdziale 5 ustawy. Po drugie, fakt formalnej anonimowości ankiety nie przesądza jeszcze o tym, że w efekcie nie dochodzi do przetwarzania danych osobowych osoby badanej. Można bowiem wyobrazić sobie sytuację, gdy ankieta wprawdzie nie jest podpisywana, ale na podstawie zadawanych w niej pytań można z łatwością zidentyfikować osobę badaną (np. pytania o adres zamieszkania, informacje dotyczące wyglądu itp.). Za dane osobowe może w ocenie autorów zostać uznany również w niektórych przypadkach
www.palimpsest.socjologia.uj.edu.pl
nr 6, czerwiec 2014
Maciej Kawecki, Karol Kozieł, Przetwarzanie danych osobowych na potrzeby przeprowadzania badań społecznych
sam wizerunek respondenta/respondentki, utrwalany dzięki prowadzeniu monitoringu pomieszczenia, w którym odbywa się badanie. W takiej sytuacji pozostaje odpowiedzieć sobie na pytanie, czy posiadane informacje lub wizerunek umożliwiają zidentyfikowanie osoby badanej bez nadmiernych kosztów, czasu lub działań. Z pewnością wizerunek moglibyśmy zaliczyć do kategorii danych osobowych, jeżeli osoba przeprowadzająca badania ma dostęp do bazy danych zawierających zdjęcia respondentów, np. do systemu USOS na uczelni. Naszym zdaniem należy tu brać pod uwagę coraz większą popularność programów identyfikujących twarze i dopasowujących utrwalony wizerunek do innych podobizn danej osoby, jeżeli zaś dodatkowo mamy inne informacje dotyczące tej osoby, sytuacja wskazuje na wysokie prawdopodobieństwo przetwarzania jej danych. Jeżeli jednak, mimo posiadanych informacji, nie jesteśmy w stanie zidentyfikować danej osoby bez konieczności poniesienia wysokich nakładów, w myśl art. 6 ust. 3 ustawy należy przyjąć, iż nie dochodzi w omawianym przypadku do przetwarzania danych osobowych. Po trzecie, należy zauważyć, że istnieją pewne kategorie badań społecznych, które ex definitione będą wymagały przetwarzania danych osobowych respondentów i to nie tylko w celu nawiązania kontaktu, ale np. sprawdzenia, jak założenia badawcze zmieniały się w określonym czasie. Jako dobry przykład tego rodzaju badań społecznych można wskazać np. wywiad pogłębiony czy ankiety, a więc tzw. badania panelowe mające na celu późniejszy powrót do respondentów. Podsumowując powyższą część rozważań, pierwszą czynnością podejmowaną przy ocenie, czy w omawianym przypadku będzie dochodziło do przetwarzania danych osobowych, jest określenie, czy przy uwzględnieniu wszystkich okoliczności przeprowadzenia danego badania zbierane są informacje, które dają możliwość, bez nadmiernych kosztów, zidentyfikować osobę badaną. Jak wskazał Generalny Inspektor Ochrony Danych Osobowych w jednej ze swoich wypowiedzi: 103
Ustawa dotyczy tylko danych osobowych, tj. takich, które dadzą się powiązać z konkretnymi osobami, a więc w ogóle nie obejmuje badań audytoryjnych — jeśli są one całkowicie anonimowe. Nie obejmuje też sondaży na próbach udziałowych — jeśli ankieterzy nie notują żadnych informacji, np. numeru telefonu, w celu ponownego skontaktowania się z respondentem.
Na marginesie powyższych rozważań należy również wskazać, że podmiotem chronionym na podstawie ustawy są jedynie osoby żyjące. W związku z powyższym, analiza i przetwarzanie danych osób zmarłych nie wymaga spełniania przez badacza/badaczkę jakichkolwiek obowiązków opisywanych w niniejszej pracy.
Administrator
danych
osobowych
w
badaniach
społecznych Jeżeli już ustalimy, że w związku z przeprowadzonym badaniem będzie dochodziło do przetwarzania danych osób badanych, konieczne jest wskazanie, na kim ciąży obowiązek spełnienia wszystkich wymogów przewidzianych w ustawie. Adresatem wszystkich omawianych w niniejszej pracy obowiązków będzie zasadniczo administrator danych osobowych. Administratorem danych osobowych na podstawie ustawy są organy, jednostki organizacyjne i inne podmioty, o ile mają one kompetencje do rozstrzygania w przedmiocie celów i środków przetwarzania danych osobowych. Należy przyjąć, iż tak jak administratorem danych osobowych jest zawsze organ administracji publicznej, a nie urząd go obsługujący czy pracownik tego urzędu, tak też w stosunkach pracowniczych administratorem będzie pracodawca, a nie pracownik. W takiej sytuacji pracownika/badacza należałoby uznać za wchodzącego w skład struktury organizacyjnej administratora danych i z uwzględnieniem poniżej zamieszczonych uwag dotyczących legalizacji przetwarzania danych przez administratora, powinien on wykazać się upoważnieniem do przetwarzania
www.palimpsest.socjologia.uj.edu.pl
nr 6, czerwiec 2014
Maciej Kawecki, Karol Kozieł, Przetwarzanie danych osobowych na potrzeby przeprowadzania badań społecznych
danych, o którym mowa w art. 37 ustawy. Mimo iż przepisy prawne nie przewidują formy, w jakiej upoważnienie powinno zostać udzielone, cele dowodowe wymuszają na administratorze powinność zachowania formy pisemnej. Nie znaczy to jednak, że upoważnienie udzielane w formie innej niż pisemna, nie wywołuje skutków prawnych – zdaniem autorów jednak zasadnym i celowym jest posługiwanie się w tym zakresie formą pisemną (Barta, Litwiński 2009: 377). Osoba fizyczna będzie natomiast administratorem tylko w przypadku, gdy przetwarza ona dane osobowe dla indywidualnych potrzeb, nie działając w ramach jakiejkolwiek instytucji. Jako przykład takiej sytuacji można podać właśnie socjologa, który przeprowadza ankiety dla własnych potrzeb badawczych i zajmuje się wszystkimi czynnościami dotyczącymi przetwarzania danych zamieszczonych w tych ankietach (zbiera, utrwala, udostępnia). W pozostałych przypadkach administratorem będzie placówka dydaktyczna, ośrodek badawczy czy organ, na rzecz którego przeprowadzamy badanie. Oczywiście w powyższych rozważaniach zakładamy, iż w ramach przeprowadzanych badań nie będzie dochodziło do powierzania danych osobowych osobom znajdującym się poza strukturą administratora na podstawie art. 37 ustawy. Sytuacja taka może nastąpić w przypadku, gdy podstawą do przetwarzania danych, o czym będzie mowa poniżej, legitymuje się jeden podmiot (np. instytut badawczy) będący administratorem danych, ale realizacja badań zostanie zlecona innemu podmiotowi, przetwarzającemu przekazane mu dane jedynie w celu wskazanym przez administratora danych, zgodnym z podstawą, na jakiej administrator przetwarza dane. W takich bowiem przypadkach wymóg zapewnienia stosownej ochrony danych rozciąga się również na podmioty, którym dane zostały powierzone w formie umowy zawartej na piśmie, wskazującej zakres i cel przetwarzanych danych. Na koniec tej części rozważań należy wskazać, że w niniejszej pracy zakładamy, iż to organizator badania (np. instytut badawczy, uczelnia, indywidualny 104
badacz/badaczka) decyduje o celach i środkach przetwarzania danych. W wielu przypadkach natomiast, częściowo opisanych zresztą przy okazji poniższych rozważań dotyczących dopuszczalności zastosowania klauzuli usprawiedliwionego celu, organizator badania nie będzie administratorem, nie decydując o celu, w jakim dane będą przetwarzane i realizując założenia wskazane przez inny podmiot.
Legitymacja do przetwarzania danych osobowych w badaniach społecznych Odpowiedzieliśmy już na pytania, kiedy w związku z organizowanym badaniem społecznym konieczne będzie spełnienie przesłanek przetwarzania danych określonych w ustawie oraz kto będzie zobowiązany do spełnienia tych przesłanek. Kolejnym, godnym analizy zagadnieniem, jest więc określenie, jakie szczególne wymogi (przesłanki) muszą zostać spełnione, aby przyjąć, iż dane są przetwarzane zgodnie z prawem. Pierwszy z warunków, które musi spełnić administrator danych przetwarzanych na potrzeby badań społecznych, to wykazanie się jedną z przesłanek legalizujących przetwarzanie takich danych zawartych w art. 23 ustawy. W naszej ocenie, w przypadku gdy badania nie mają charakteru jednokrotnego, a zebrane dane niezwłocznie po ich zebraniu nie ulegają nieodwracalnej anonimizacji, zasadniczą przesłanką pozwalającą na zebranie takich danych jest odebranie zgody od osoby, której one dotyczą. Oczywiście, jako alternatywę dla takiej zgody można potraktować zawarcie z osobą badaną umowy o udział w badaniu. Uważamy natomiast, iż nawet gdy badania społeczne realizuje uprawniony do tego, ustawowo usytuowany organ państwowy, to wskutek fakultatywnego udziału w takim badaniu konieczne będzie odebranie zgody od potencjalnej osoby badanej. Obowiązek ten obejmuje również tzw. kategorię danych osobowych wrażliwych, a więc danych związanych ze sferą intymności człowieka, a tym samym podlegających szczególnej ochronie. Na uwagę zasługuje fakt,
www.palimpsest.socjologia.uj.edu.pl
nr 6, czerwiec 2014
Maciej Kawecki, Karol Kozieł, Przetwarzanie danych osobowych na potrzeby przeprowadzania badań społecznych
że na podstawie art. 27 ust. 2 pkt 9 ustawy, możliwe jest przetwarzanie danych osobowych wrażliwych bez zgody osób, których takie dane dotyczą, jeśli jest to niezbędne dla prowadzenia badań naukowych (pod warunkiem, że publikacja wyników badań uniemożliwia identyfikację konkretnych osób). Przesłanką tą należałoby więc objąć tym bardziej dane osobowe zwykłe. Należy jednak zaznaczyć, iż wskazany przepis w ocenie autorów dotyczy sytuacji, gdy dany administrator danych legitymuje się podstawą prawną przetwarzania danych osobowych (inną niż cel przeprowadzania badań), a osoba trzecia organizująca takie badania zwraca się z prośbą o udostępnienie jej takich danych na cele naukowe. W każdym innym przypadku, gdy zbieramy dane bezpośrednio od osób, których dane dotyczą, konieczne jest uzyskanie zgody takiej osoby (lub legitymowanie się inną alternatywną ustawową przesłanką). Z koniecznością odebrania zgody mamy do czynienia na przykład w przypadku przetwarzania danych na potrzeby doboru próby imiennej bądź próby adresowej. Problematyczny charakter ma możliwość kontaktowania się z takimi osobami za pośrednictwem telefonu w celu odebrania zgody, która nie wymaga zachowania formy pisemnej. Uwzględniając jednak po pierwsze, że GIODO uznaje sam numer telefonu za dane osobowe oraz że wykonanie połączenia wychodzącego celem odebrania zgody na przetwarzanie danych, jest już ich przetwarzaniem (przed odebraniem samej zgody), czynność taka powinna zostać uznana za naruszająca prawo. Zgoda będzie również wymagana w przypadku, gdyby administrator po przeprowadzonym badaniu chciał dalej przetwarzać dane w celu marketingu własnych usług drogą elektroniczną (tzw. e-mail marketing). Zgoda taka może być odebrana poprzez zamieszczenie stosownego checkboxa w treści samej ankiety. Zgoda nie będzie jednak konieczna, gdy dane osoby badanej będą wykorzystywane w celu marketingu usług administratora drogą tradycyjną, tj. poprzez przesyłanie reklam drogą pocztową.
105
Przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści (art. 7 pkt 5 ustawy). Klauzula zgody na przetwarzanie danych osobowych nie może być ogólnikowa, np. „Wyrażam zgodę na przetwarzanie moich danych osobowych”. Osoba wyrażająca taką zgodę powinna mieć możliwość jej udzielenia oddzielnie na każdy ze wskazanych przez administratora danych celów przetwarzania. Należy podkreślić, iż w przypadku, gdy dane osobowe pozyskiwane są na podstawie innych przesłanek, w szczególności w celu realizacji umowy, w celu zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, administrator danych nie powinien umieszczać klauzuli zgody na przetwarzane danych osobowych w formularzu, a jedynie informację, na jakiej podstawie te dane przetwarza. Wymagającym w ocenie autorów szerszego przeanalizowania jest problem dopuszczalności przetwarzania danych na potrzeby przeprowadzania badań społecznych, na podstawie, określonej w art. 23 ust. 1 pkt 5 ustawy, klauzuli prawnie usprawiedliwionego celu. Nie wdając się w szerszą analizę rozumienia klauzuli „prawnie usprawiedliwionego celu”, należałoby wskazać, iż kwestia ta uzależniona jest od konkretnych stanów faktycznych, których pełne przewidzenie w niniejszej pracy jest niemal niemożliwe. Najbardziej powszechne będą jednak dwie sytuacje: pierwsza, gdy badanie na konkretnych respondentach jest organizowane przez dany instytut badawczy na zlecenie innego podmiotu, np. telewizji, lub też druga sytuacja, gdy dane są zbierane dla stworzenia własnej bazy respondentów, na podstawie której dany instytut badawczy przeprowadzałby inne badania, udostępniając swoim klientom jedynie ich wyniki, bez przypisania konkretnych danych osób badanych. W pierwszym przypadku dane będą przetwarzane w celu wskazanym przez podmiot, który zlecił przeprowadzenie badania. W takiej sytuacji nie jest możliwe uznanie, iż dane przetwarzane są w celu administratora danych. W drugim
www.palimpsest.socjologia.uj.edu.pl
nr 6, czerwiec 2014
Maciej Kawecki, Karol Kozieł, Przetwarzanie danych osobowych na potrzeby przeprowadzania badań społecznych
przypadku dane są przetwarzane w celu wskazanym przez administratora, którym jest instytut prowadzący badanie, zgodnie z prowadzoną przez niego działalnością, zasadami współżycia społecznego i dobrymi obyczajami i w ocenie autorów do momentu wniesienia sprzeciwu podmiotu danych, zebrane informacje mogą być wykorzystywane. Na szczególną uwagę zasługuje prowadzenie badań na zlecenie innego podmiotu. Podstawą takiego działania badacza/badaczki musi być zawsze zawarta uprzednio pisemna umowa powierzająca mu dane osobowe osób, z którymi realizowane są wywiady osobiste oparte na próbie imiennej bądź ankiecie audytoryjnej. Umowa powinna w sposób wyraźny zawierać cel i zakres powierzanych danych. Zasadniczym celem jest oczywiście prowadzenie samego badania. Można jednak wyobrazić sobie dwie sytuacje: pierwszą, w której dane osób badanych przekazuje badaczowi/badaczce zleceniodawca oraz gdy to badacz/badaczka dba o dobór osób badanych. W drugim przypadku zakres powierzenia powinien zostać poszerzony o zbieranie danych na potrzeby przeprowadzenia badania. W każdym przypadku dane przetwarzane są jednak w imieniu zleceniodawcy. Osoby, których dane podlegają powierzeniu, nie muszą w takim przypadku udzielać zgody na ich powierzenie zleceniobiorcy.
Obowiązki
administratora
danych
osobowych
w
badaniach społecznych Podczas gromadzenia danych osobowych na administratorze danych ciąży obowiązek informacyjny wynikający z art. 24 lub 25 ustawy. Kryterium różnicującym zastosowanie powyższych przepisów jest źródło pozyskiwanych danych osobowych. Biorąc pod uwagę powyższe rozważania i uwzględniając, że to organizator badań jest administratorem danych decydującym o celach ich przetwarzania, w zdecydowanej większości przypadków dane będą pozyskiwane przez administratora bezpośrednio od respondentów. W takiej sytuacji, administrator danych 106
musi dopełnić obowiązku wynikającego z art. 24 ust. 1 ustawy, a tym samym poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna, o miejscu swojego zamieszkania oraz imieniu i nazwisku (pkt 1), celu zbierania danych, a w szczególności o znanych mu w czasie udzielenia informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych (pkt 2), prawie dostępu do treści swoich danych oraz ich poprawiania (pkt 3), dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej (pkt 4). Powyższy obowiązek powinien być spełniony przed pozyskaniem danych osobowych. Ciężko jest wyobrazić sobie sytuację, by w przypadku badań społecznych zaistniały jakiekolwiek okoliczności zwalniające administratora z tego obowiązku, wynikające z art. 24 ust. 2 ustawy. Nie można jednak wykluczyć bardzo mało prawdopodobnej sytuacji, gdy osoba badana posiada już wszystkie wskazane powyżej informacje. Należy zaznaczyć, iż brak spełnienia wskazanego w art. 24 obowiązku nie wpływa na nielegalność przetwarzania danych osobowych przez badacza/badaczkę, a jedynie zaniechanie obowiązku ustawowego, co wpływa na zmniejszenie standardu ochrony danych. W przypadku jakiegokolwiek wezwania otrzymanego od osoby, której dane dotyczą, obowiązek taki musi oczywiście zostać zrealizowany. Zaniechanie obowiązku może też być podstawą pociągnięcia administratora do odpowiedzialności po przeprowadzeniu kontroli GIODO. Natomiast w sytuacji zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych musi spełnić obowiązek z art. 25 ust. 1 ustawy, a w konsekwencji poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna, o miejscu swojego zamieszkania oraz imieniu i nazwisku (pkt 1), celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych (pkt 2), źródle danych (pkt 3), prawie dostępu do treści
www.palimpsest.socjologia.uj.edu.pl
nr 6, czerwiec 2014
Maciej Kawecki, Karol Kozieł, Przetwarzanie danych osobowych na potrzeby przeprowadzania badań społecznych
swoich danych oraz ich poprawiania (pkt 4), o uprawnieniu do sprzeciwu wobec przetwarzania danych w celach marketingowych lub wobec przekazywania ich innym podmiotom oraz uprawnieniu do wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (pkt 5). Obowiązek ten musi zostać spełniony bezpośrednio po zapisaniu danych osobowych, ale przed ich przetworzeniem w celu, dla którego zostały zgromadzone. Zwolnienie z tego obowiązku jest możliwe m.in., gdy dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą (jest to istotne szczególnie w przypadku danych wrażliwych, których ochrona ma szerszy charakter), a spełnienie wymagań wiązałoby się z poniesieniem nadmiernych nakładów lub zagrażałoby realizacji celu badania. W związku z tym, że kontakt z osobą może być czasami utrudniony, ustawodawca uznał, iż dla dobra szeroko rozumianej nauki możliwe jest zaniechanie takiego obowiązku. Warto wskazać, że zwolnienia takiego nie wprowadzono w przypadku, gdy dane pochodzą bezpośrednio od osoby, której dotyczą. Ratio legis takiej regulacji powinno się upatrywać w tym, iż udzielenie informacji osobie, z którą ma się bezpośredni kontakt, jest o wiele prostsze, niż w przypadku osoby, której danymi tylko się dysponuje. Nie jest jednak wystarczające wskazanie, że dane są nam potrzebne do przeprowadzenia badań społecznych, które mają naukowy, statystyczny lub dydaktyczny charakter. Przetwarzanie danych nie może naruszać praw i wolności osoby, której dotyczy oraz gdy dopełnienie obowiązku informacyjnego wymagałoby nadmiernych nakładów bądź zagrażałoby realizacji celu badania. Jak wskazuje się w doktrynie: z reguły zwolniony jest z tego obowiązku jest administrator posiadający tylko dane w postaci imienia i nazwiska – co jednak nie dotyczy sytuacji, gdy możliwe jest wyszukanie adresu elektronicznego tej osoby (Barta, Litwiński 2009: 259). 107
Z punktu widzenia badań społecznych szczególnie istotne może okazać się uznanie, iż udzielenie informacji mogłoby naruszyć cel badania, np. w przypadku gdyby sama nazwa organizatora badania mogła wpłynąć na subiektywizację udzielanych przez osobę badaną odpowiedzi. Można bowiem wyobrazić sobie sytuację, że powszechnie negatywna opinia o danym organizatorze może wywołać negatywne uczucia u respondentów, co z kolei może wpłynąć na sposób udzielania odpowiedzi na zadawane pytania. W ocenie autorów, w takiej sytuacji zwolnienie objęłoby tylko informacje o samym organizatorze badania, natomiast nadal ciążyłby na nim obowiązek przekazania pozostałych informacji wskazanych w ustawie. W związku z przeprowadzanymi badaniami pojawia się pytanie, w jaki sposób należy zabezpieczyć zebrane dane oraz jaki podmiot powinien zgłosić zbiór do rejestracji, w przypadku gdy nie podlega on wyłączeniu od tego obowiązku? Kwestię statusu prawnego administratora danych osobowych przy badaniach społecznych omawialiśmy już wyżej, niezbędne wydaje się więc wskazanie podstawowych obowiązków związanych z zapewnieniem ochrony prywatności osób badanych, a regulowanych w ustawie o ochronie danych osobowych. Wychodząc w naszych rozważaniach od podstawowych pojęć, należy wskazać, że zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie (art. 7 ust. 1 ustawy). Administrator danych obowiązany jest zgłosić taki zbiór do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 ustawy). Powyższy obowiązek zostaje wyłączony m.in. w przypadku zbiorów danych określonych w art. 43 ust. 1 i nie wskazano tam bezpośrednio badań naukowych jako przesłanki umożliwiającej uniknięcie zgłoszenia takiego zbioru do rejestracji. W przypadku tzw. „danych wrażliwych” Generalny Inspektor wydaje administratorowi danych zaświadczenie o zarejestrowaniu zbioru danych niezwłocznie po dokonaniu rejestracji (art. 42 ust. 3 ustawy). Administrator
www.palimpsest.socjologia.uj.edu.pl
nr 6, czerwiec 2014
Maciej Kawecki, Karol Kozieł, Przetwarzanie danych osobowych na potrzeby przeprowadzania badań społecznych
danych obowiązany jest zgłaszać Generalnemu Inspektorowi Ochrony Danych Osobowych każdą zmianę informacji zawartych we wniosku, w terminie 30 dni od dnia dokonania tej zmiany w zbiorze danych. Do zgłaszania zmian stosuje się odpowiednio przepisy dotyczące rejestracji zbiorów danych (art. 41 ust. 2 ustawy). Generalny Inspektor Ochrony Danych Osobowych wprowadził również możliwość rejestracji, jak i aktualizacji zbiorów danych poprzez system e-giodo znajdujący się na jego stronie internetowej (www.giodo.gov.pl), co z pewnością może stanowić duże udogodnienie, szczególnie dla osób, które ze względów zawodowych muszą dokonywać rejestracji więcej niż jednego zbioru danych (np. w związku z przeprowadzanymi badaniami – lub dla różnych podmiotów – jeśli badacz jest oczywiście jednocześnie administratorem danych). Należy wskazać, że administrator danych na podstawie art. 26 ust. 1 ustawy jest zobowiązany do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Używając tego sformułowania, ustawodawca wskazał, że ma to być staranność wykraczająca poza zakres „przeciętnej staranności”. Wynika to ze szczególnych wartości, mających swoje źródło w konstytucyjnym prawie do prywatności, a których ochronie służą omawiane regulacje. W celu realizacji tego obowiązku administrator danych zobowiązany jest dopełnić szeregu obowiązków, gwarantujących odpowiednie zabezpieczenie danych osobowych poprzez zastosowanie środków technicznych i organizacyjnych, zapewniających ochronę odpowiednią do zagrożeń oraz kategorii danych objętej ochroną (art. 36 ust. 1 ustawy) oraz zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą lub zniszczeniem (art. 36 ust. 1 ustawy). Administrator danych osobowych jest ponadto obowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środków technicznych i organizacyjnych zapewniających ochronę danych 108
(art. 36 ust. 2 ustawy). Obowiązki dotyczące prowadzenia wskazanej dokumentacji precyzuje Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Na dokumentację składają się prowadzone w formie pisemnej polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Administrator powinien również wyznaczyć administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych osobowych. Możliwe jest zwolnienie Administratora z tego obowiązku w przypadku osobistego wykonywania tych czynności (art. 36 ust. 3 ustawy). Ze względu na charakter danych osobowych, szczególnie w przypadkach, gdy dane te mogą zawierać dane wrażliwe dotyczące najbardziej intymnych spraw, konieczne jest zapewnienie przez administratora danych gwarancji, że ze wskazanymi informacjami nie zapoznają się osoby niepowołane. Realizacji tak wskazanego obowiązku służy obowiązek nadania upoważnienia osobom przetwarzającym dane osobowe (art. 37 ustawy) oraz prowadzenia ewidencji takich osób, (art. 39 ust. 1 ustawy) zawierającej szczegółowe wskazania, kto, do jakich danych i w jakim okresie ma dostęp. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy zarówno dane osobowe, jak i sposoby ich zabezpieczenia (art. 39 ust. 2 ustawy). Administrator musi również zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 ustawy). W związku z rozwojem technicznym i powszechnością użycia w codziennej pracy narzędzi informatycznych, we wskazanym powyżej rozporządzeniu Ministra Spraw Wewnętrznych i Administracji określone zostały dokładne warunki techniczne i organizacyjne, jakim powinny
www.palimpsest.socjologia.uj.edu.pl
nr 6, czerwiec 2014
Maciej Kawecki, Karol Kozieł, Przetwarzanie danych osobowych na potrzeby przeprowadzania badań społecznych
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Wprowadza ono w szczególności podział środków bezpieczeństwa ze względu na kategorie przetwarzanych danych oraz występujące zagrożenia (dla zakwalifikowania do określonej kategorii ma znaczenie m.in. podłączenie do Internetu komputera, na którym znajdują się dane czy zakwalifikowanie zgromadzonych danych do kategorii danych osobowych „wrażliwych”). Wyróżnione zostały trzy poziomy zabezpieczenia przetwarzania danych osobowych w systemach informatycznych: podstawowy, podwyższony oraz wysoki (§ 6 ust. 1 rozp.).
Podsumowanie Podsumowując rozważania dotyczące obowiązków nałożonych na administratora danych, a tym samym w dużej mierze badacza/badaczkę, należy zwrócić uwagę, że mają one na celu ochronę sfery prywatności jednostki. Liczba norm oraz ich skomplikowanie może wzbudzać sprzeciw podmiotów zobowiązanych do ich zastosowania. Jednakże wydaje się, że nieobjęcie sfery prywatności ochroną państwa mogłoby doprowadzić do niekontrolowanego gromadzenia danych osobowych obywateli, a w konsekwencji pozbawić jednostkę prawa do kontroli informacji zbieranych na jej temat, szczególnie w przypadku powiązania z danymi wrażliwymi. Należy również podkreślić, że przetwarzanie danych osobowych w trakcie badań społecznych zachodzi tylko i wyłącznie przy spełnieniu określonych przesłanek wskazanych prawem. Katalog obowiązków administratora determinowany jest już przez sam rodzaj badań, które zamierza przeprowadzać badacz/badaczka, a tym samym przez stosowane przez niego środki. Dlatego konieczne jest ustalenie prawnych mechanizmów dotyczących przetwarzania danych osobowych. Umiejętne zastosowanie procedur określonych w polskim systemie ochrony danych osobowych nie tyle utrudni przeprowadzanie badań społecznych, co zapewni najwyższe gwarancje bezpieczeństwa dla 109
ochrony prywatności osób badanych. Uważamy więc, że wskazane w naszych rozważaniach instrumenty ochronne mogą przyczynić się do wzrostu społecznego zaufania do przeprowadzanych badań, ponieważ dają wyraźny sygnał stosowania ochrony sfery życia prywatnego osób badanych, przy jednoczesnym umożliwieniu rozwoju nauki. Tym samym, podjętych w niniejszej pracy rozważań, dotyczących prawnych regulacji badań społecznych, nie powinno się traktować jako zniechęcających do ich prowadzenia. Przyjęcie przez administratora danych wskazanych w niniejszym opracowaniu należytych schematów postępowania, bez wątpienia zwiększy zaufanie osób badanych do organizatora badania, wpływając również na jego merytoryczną jakość.
Bibliografia Banaszak, Bogusław, Wyrzykowski, Mirosław. 1999. Regulacja prawna ochrony danych osobowych w Polsce w świetle ustawy z 29 sierpnia 1997 r. i standardów europejskich. W:Ochrona danych osobowych. Warszawa: Instytut Spraw Publicznych, s. 49–71. Barta, Janusz, Fajgielski, Paweł, Markiewicz, Ryszard. 2004. Ochrona danych osobowych. Komentarz. Kraków: Zakamycze. Barta, Paweł., Litwiński, Paweł. 2009. Ustawa o ochronie danych osobowych. Komentarz. Warszawa: C. H. Beck. Konarski, Xawery. 2002. Internet i prawo w praktyce. Warszawa: Stowarzyszenie Marketingu Bezpośredniego. Mednis, Arwid. 1995. Prawna ochrona danych osobowych. Warszawa: Wydawnictwo Prawnicze. Mednis, Arwid. 2006. Prawo do prywatności a Internet. Kraków: Zakamycze. Mielnik, Zbyszko. 1996. Prawo do prywatności (wybrane zagadnienia). Ruch Prawniczy, Ekonomiczny i Socjologiczny, nr 2, s. 29 – 41.
www.palimpsest.socjologia.uj.edu.pl
nr 6, czerwiec 2014
Maciej Kawecki, Karol Kozieł, Przetwarzanie danych osobowych na potrzeby przeprowadzania badań społecznych
Nemere-Czachowska, Kinga. 1999. Badania naukowe mogą wchodzić w kolizję z prawem o ochronie danych osobowych [online]. Dostęp: http://forumakad.pl/archiwum/99/3/artykuly/19-badania.htm [25.08.2012]. Szałowski, Ryszard. 2000. Ochrona danych osobowych. Komentarz do ustawy z dnia 29 sierpnia 1997 r. Zielona Góra: Zachodnie Centrum Organizacji.
podyplomowych studiów Nowoczesne Usługi Biznesowe na Uniwersytecie Technologiczno – Humanistycznym im. K. Pułaskiego w Radomiu. Absolwent Summer Law School on Intellectual Property Law prowadzonej przez University of Minho w Bradze (Portugalia).
Akty prawne / orzecznictwo Decyzja GIODO z dnia 19 grudnia 2007 r., DOLiS-440-211/07. Kodeks Etyki Socjologa z dnia 25 marca 2012 r. uchwalony przez Walne Zgromadzenie Delegatów Polskiego Towarzystwa Socjologicznego. Międzynarodowy kodeks postępowania w badaniach rynkowych i społecznych. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Wyrok NSA z 11.4.2003 r., SA 3942/02 (niepubl.).
Maciej Kawecki Doktorant w Katedrze Prawa Europejskiego na WPiA Uniwersytetu Jagiellońskiego w Krakowie, absolwent European Academy of Diplomacy oraz stypendysta Fundacji im. K. Pułaskiego w Warszawie. Absolwent Uniwersytetu Jagiellońskiego, stypendysta na Uniwersytecie w Sztokholmie oraz we Frankfurcie nad Menem. Karol Kozieł Aplikant radcowski, absolwent prawa na WPiA Uniwersytetu Jagiellońskiego oraz Studiów Podyplomowych Prawo Nowoczesnych Technologii w KSSI INE Polskiej Akademii Nauk. Uczestnik 110
www.palimpsest.socjologia.uj.edu.pl
nr 6, czerwiec 2014