RSS
Indeks alfabetyczny
Strona dostepna w 23 jezykach
Nowe dostepne wersje jezykowe:  BG - CS - ET - GA - LV - LT - HU - MT - PL - RO - SK - SL

We are migrating the content of this website during the first semester of 2014 into the new EUR-Lex web-portal. We apologise if some content is out of date before the migration. We will publish all updates and corrections in the new version of the portal.

Do you have any questions? Contact us.


Ochrona danych osobowych

Dyrektywa 95/46/WE stanowi na szczeblu europejskim tekst referencyjny w dziedzinie ochrony danych osobowych. Ustanawia ona ramy prawne mające pozwolić na pogodzenie wysokiego poziomu ochrony prywatności osób ze swobodnym przepływem danych osobowych w Unii Europejskiej (UE). W tym celu dyrektywa ustala restrykcyjne ograniczenia w zakresie gromadzenia i wykorzystywana danych osobowych. Wymaga ona również utworzenia w każdym państwie członkowskim krajowego niezależnego organu odpowiedzialnego za ochronę danych.

AKT

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [Zob. akt(-y) zmieniający(-e)].

STRESZCZENIE

Niniejsza dyrektywa dotyczy danych przetwarzanych za pomocą środków automatycznych (na przykład informatycznych baz danych klientów), jak również danych zawartych lub mających znaleźć się w niezautomatyzowanych archiwach (tradycyjne dokumenty papierowe).

Dyrektywa nie obejmuje przetwarzania danych:

  • przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze,
  • w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak np. na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa.

Dyrektywa ma na celu chronić podstawowe prawa i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych, ustanawiając ogólne zasady określające legalność przetwarzania tychże danych. Zasady te dotyczą:

  • jakości danych: zwłaszcza dane osobowe powinny być przetwarzane rzetelnie i legalnie oraz gromadzone w określonych, jednoznacznych i legalnych celach. Powinny one także być prawidłowe oraz, w razie konieczności, aktualizowane,
  • legalności przetwarzania danych: przetwarzanie danych osobowych jest możliwe jedynie wówczas, gdy osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę lub jeśli przetwarzanie danych jest konieczne:
    1. dla realizacji umowy, której stroną jest osoba, której dane dotyczą,
    2. dla wykonania zobowiązania prawnego, któremu administrator danych podlega, lub
    3. dla ochrony żywotnych interesów osoby, której dane dotyczą, lub
    4. dla realizacji zadania wykonywanego w interesie publicznym, lub
    5. dla potrzeb wynikających z uzasadnionych interesów administratora danych,
  • szczególnych kategorii przetwarzania danych: należy zabronić przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również przetwarzanie danych dotyczących zdrowia i życia seksualnego. Przepisy te nie mają zastosowania, na przykład, w przypadku gdy przetwarzanie danych wymagane jest do ochrony żywotnych interesów osoby, której dane dotyczą, lub do celów medycyny prewencyjnej albo diagnostyki medycznej,
  • przekazywania informacji osobie, której przetwarzane dane dotyczą: administrator danych jest zobowiązany przekazać pewne informacje (tożsamości administratora danych, cele przetwarzania danych, odbiorcy danych itp.) osobie, której dotyczą gromadzone dane,
  • prawa dostępu tych osób do danych: każda osoba, której dane dotyczą, ma prawo uzyskać od administratora danych:
    1. potwierdzenie, czy dotyczące jej dane są, czy też nie są przetwarzane, oraz jakie kategorie danych są przetwarzane,
    2. sprostowanie, usunięcie lub zablokowanie danych, których przetwarzanie jest niezgodne z przepisami niniejszej dyrektywy, szczególnie ze względu na niekompletność lub niedokładność danych – zawiadomienie osób trzecich, którym dane zostały ujawnione, o ewentualnym sprostowaniu, usunięciu lub zablokowaniu danych,
  • wyłączeń i ograniczeń: zasady związane z jakością danych, informowaniem osoby, której dane dotyczą, z prawem dostępu oraz upublicznianiem przetwarzanych danych mogą zostać ograniczone w swoim zakresie, aby zagwarantować, między innymi, bezpieczeństwo narodowe, obronność, bezpieczeństwo publiczne, prowadzenie czynności w sprawach karnych, ważny interes gospodarczy albo finansowy państwa członkowskiego lub UE, tudzież ochronę osoby, której dane dotyczą,
  • prawa sprzeciwu wobec przetwarzania danych: osoba, której dane dotyczą, powinna móc sprzeciwić się w uzasadnionych przypadkach przetwarzaniu danych, które jej dotyczą. Osoba ta powinna także móc dokonać sprzeciwu, na wniosek i bez opłaty, wobec przetwarzania dotyczących jej danych osobowych, dla potrzeb bezpośredniego obrotu. Oprócz tego powinna zostać poinformowana przed ujawnieniem danych osobowych osobom trzecim dla potrzeb bezpośredniego obrotu, jak również dysponuje prawem skorzystania ze sprzeciwu wobec ujawniania tychże danych,
  • poufności i bezpieczeństwa przetwarzania danych: żadna osoba działająca z upoważnienia administratora danych lub przetwarzającego, w tym samego przetwarzającego, który ma dostęp do danych osobowych, nie może przetwarzać ich bez polecenia administratora danych. Ponadto administrator danych powinien wprowadzić odpowiednie środki w celu ochrony danych osobowych przed przypadkowym lub nielegalnym zniszczeniem albo przypadkową utratą, zmianą, niedozwolonym ujawnieniem lub dostępem,
  • zawiadamiania organu nadzorczego o przetwarzaniu: administrator danych jest zobowiązany zawiadomić krajowy organ nadzorczy przed przystąpieniem do przetwarzania danych. Po powiadomieniu organ nadzorczy dokonuje kontroli wstępnej ewentualnego ryzyka w związku z prawami i swobodami osób, których dane dotyczą. Należy zadbać także o podawanie do wiadomości publicznej operacji przetwarzania danych, a organ nadzorczy powinien prowadzić rejestr zgłoszonych operacji przetwarzania danych.

Każda osoba powinna móc skorzystać ze środków sądowych w razie naruszenia praw, które jej przysługują w ramach przepisów krajowych dotyczących przedmiotowego przetwarzania danych. Ponadto osobom, które poniosły szkodę wskutek niezgodnego z prawem przetwarzania danych osobowych, przysługuje odszkodowanie od administratora danych.

Przekazywanie danych osobowych z państwa członkowskiego do państwa trzeciego o odpowiednim stopniu ochrony danych jest dozwolone. Nie wolno jednak przekazywać danych do państwa trzeciego niedysponującego takim stopniem ochrony danych, z wyjątkiem odstępstw, których pełna lista figuruje w dyrektywie.

Dyrektywa zachęca do opracowywania krajowych i wspólnotowych kodeksów postępowania, mających przyczynić się do prawidłowego stosowania przepisów krajowych i wspólnotowych.

Każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialny za kontrolę stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy.

Powołuje się grupę roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych. W skład grupy roboczej wchodzą przedstawiciele organów nadzorczych, powołanych przez każde państwo członkowskie, oraz przedstawiciel organów kontrolnych instytucji i organów wspólnotowych, a także przedstawiciel Komisji.

ODNIESIENIA

AktWejście w życieTermin transpozycji przez państwa członkowskieDziennik Urzędowy
Dyrektywa 95/46/WE

13.12.1995

24.10.1998

Dz.U. L 281 z 23.11.1995

Akt(-y) zmieniający(-e)Wejście w życieTermin transpozycji przez państwa członkowskieDziennik Urzędowy
Rozporządzenie (WE) nr 1882/2003

20.11.2003

Dz.U. L 284 z 31.10.2003

Kolejne zmiany i poprawki dyrektywy 95/46/WE zostały dołączone do tekstu bazowego. Niniejsza wersja skonsolidowana ma jedynie charakter informacyjny.

AKTY POWIĄZANE

SPRAWOZDANIE Z WYKONANIA

Komunikat Komisji dla Parlamentu Europejskiego i Rady z dnia 7 marca 2007 r., zatytułowany: „Kontynuacja programu prac na rzecz skuteczniejszego wdrażania dyrektywy o ochronie danych” [COM(2007) 87 wersja ostateczna – nieopublikowany w Dzienniku Urzędowym].
Niniejszy komunikat podsumowuje dotychczasowe postępy w realizacji programu pracy na rzecz skuteczniejszego wdrażania dyrektywy o ochronie danych z pierwszego sprawozdania z wykonania dyrektywy 95/46/WE. Komisja informuje, że dokonano postępów w wykonaniu dyrektywy, jako że wszystkie państwa członkowskie dokonały już jej transpozycji. Uściśla także, że na razie nie ma potrzeby zmiany dyrektywy.

Dodaje, że:

  • będzie kontynuowała prace z państwami członkowskimi i, w razie potrzeby, rozpocznie oficjalne postępowania o naruszenie przepisów,
  • przygotuje komunikat dokonujący wykładni niektórych przepisów dyrektywy,
  • będzie kontynuować wdrażanie programu prac,
  • przedstawi, w razie znaczących zmian technologicznych w danej dziedzinie, prawodawstwo sektorowe na szczeblu UE,
  • będzie kontynuować współpracę z partnerami zewnętrznymi, w szczególności ze Stanami Zjednoczonymi.

Sprawozdanie Komisji z dnia 15 maja 2003 r. zatytułowane „Pierwsze sprawozdanie na temat wykonania dyrektywy dotyczącej ochrony danych osobowych (95/46/WE)” [COM(2003) 265 wersja ostateczna – nieopublikowane w Dzienniku Urzędowym].
Sprawozdanie opisuje w szczególności wyniki konsultacji prowadzonych przez Komisję w ramach oceny dyrektywy 95/46/WE przez rządy, instytucje, zrzeszenia firm, stowarzyszenia konsumentów i obywateli. Wyniki konsultacji pokazują, że niewielu uczestników zgłosiło potrzebę dokonania rewizji dyrektywy. Ponadto, po konsultacjach z państwami członkowskimi, Komisja odnotowała, że większość z nich, jak również krajowe organy nadzorcze, nie widzą na obecnym etapie konieczności zmiany dyrektywy.

Pomimo opóźnień i luk zauważonych w wykonaniu dyrektywy spełnia ona swój główny cel, który polega na usuwaniu przeszkód w swobodnym przepływie danych osobowych pomiędzy państwami członkowskimi. Komisja uznała ponadto, że osiągnięto cel polegający na zagwarantowaniu wysokiego poziomu ochrony na terytorium Wspólnoty, jako że dyrektywa wyznaczyła normy ochrony danych osobowych zaliczane do najlepszych na świecie.

Nie udało się jednak równie skutecznie osiągnąć innych celów polityki rynku wewnętrznego. Prawodawstwo w dziedzinie ochrony danych nadal znacznie różni się w poszczególnych państwach członkowskich. Takie różnice przeszkadzają organizacjom międzynarodowym w definiowaniu polityk ogólnoeuropejskich w dziedzinie ochrony danych. Komisja podejmie wszelkie niezbędne kroki, by zapobiec takiej sytuacji i uniknąć w miarę możliwości wstępowania na drogę formalnego postępowania.

Jeśli chodzi zaś o ogólny poziom poszanowania prawodawstwa na temat ochrony danych w UE, odnotowano trzy trudności:

  • brak zasobów przydzielonych na wykonanie dyrektywy,
  • bardzo nierówne poszanowanie przepisów ze strony administratorów zajmujących się przetwarzaniem danych,
  • najwyraźniej niski poziom znajomości swoich praw ze strony osób, których dotyczą dane, co może być przyczyną zjawiska opisanego powyżej.

Aby zapewnić skuteczniejsze stosowanie dyrektywy w sprawie ochrony danych osobowych, Komisja przyjęła program prac zawierający pewną liczbę działań, które należało wykonać pomiędzy przyjęciem niniejszego sprawozdania a końcem 2004 r. Działania te obejmują następujące inicjatywy:

  • dyskusje z państwami członkowskimi oraz władzami odpowiedzialnymi za ochronę danych osobowych na temat zmian, które należy wprowadzić do ich krajowego prawodawstwa, by stało się ono w pełni zgodne z wymaganiami dyrektywy,
  • zaangażowanie państw kandydujących w wysiłki zmierzające do uzyskania skuteczniejszego i bardziej jednorodnego zastosowania dyrektywy,
  • poprawę notyfikacji wszystkich aktów prawnych dokonujących transpozycji dyrektywy,
  • uproszczenie warunków określających międzynarodowe przesyłanie danych,
  • promocję technologii sprzyjających ochronie prywatności,
  • promowanie samoregulowania oraz europejskich kodeksów postępowania.

DYREKTYWA O PRYWATNOŚCI I ŁĄCZNOŚCI ELEKTRONICZNEJ

Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) [Dz.U. L 201 z 31 lipca 2002].
Ta nowa dyrektywa została przyjęta w 2002 roku wraz z nowym instrumentem prawnym, który ma regulować sektor łączności elektronicznej. Zawiera ona przepisy dotyczące pewnej liczby tematów, mniej lub bardziej drażliwych, takich jak gromadzenie danych o połączeniach przez państwa członkowskie w celach nadzoru policyjnego (przechowywanie danych), przesyłanie niezamówionych wiadomości elektronicznych, korzystanie z narzędzi poświadczających połączenie (tzw. „cookies”) oraz umieszczanie danych osobowych w publicznych spisach danych teleadresowych.

STANDARDOWE KLAUZULE UMOWNE DOTYCZĄCE PRZEKAZYWANIA DANYCH DO PAŃSTW TRZECICH

Decyzja 2004/915/WE z dnia 27 grudnia 2004 r., zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich [Dz.U. L 385 z 29.12.2004].
Komisja Europejska zatwierdziła nowe standardowe klauzule umowne, które przedsiębiorstwa mogą stosować, by zapewnić odpowiednie gwarancje przy przekazywaniu danych osobowych z UE do państw trzecich. Nowe klauzule dołączą do tych, które już istnieją i zostały wprowadzone decyzją Komisji z czerwca 2001 r. (zob. poniżej).

Decyzja 2001/497/WE Komisji z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na mocy dyrektywy 95/46/WE [Dz.U. L 181 z 4.7.2001].
Decyzja ta określa standardowe klauzule umowne, które zapewniają odpowiedni poziom ochrony danych osobowych przekazywanych z UE do państw trzecich. Decyzja obliguje państwa członkowskie do uznawania, że firmy lub organizacje, które stosują takie standardowe klauzule w umowach dotyczących przekazywania danych osobowych do państw trzecich zapewniają „odpowiedni stopień ochrony” danych.

OCHRONA DANYCH PRZEZ INSTYTUCJE I ORGANY WSPÓLNOTY

Rozporządzenie 45/2001/WE Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie danych [Dz.U. L 8 z 12.01.2001].
To rozporządzenie ma na celu ochronę danych osobowych w instytucjach i organach Unii Europejskiej. Tekst przewiduje:

  • przepisy gwarantujące wysoki poziom ochrony danych osobowych przetwarzanych przez instytucje i organy wspólnotowe,
  • ustanowienie niezależnego organu nadzoru mającego kontrolować stosowanie tych przepisów.
Ostatnia aktualizacja: 01.02.2011
Informacja prawna | Informacje o tej stronie | Szukaj | Kontakt | Początek strony