1. Akty prawne regulujące problematykę ochrony danych osobowych
 
Prawo do ochrony danych osobowych jest jednym z elementów prawa do ochrony własnej prywatności. Zasada ochrony danych osobowych znajduje swoje źródło w ustawie zasadniczej – w Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. Nr 78, poz. 483 z późn. zm.), która w art. 47 i art. 51 każdemu gwarantuje prawo do ochrony życia prywatnego i zakłada, iż zasady gromadzenia oraz udostępniania informacji o osobie określać ma akt prawny rangi ustawy.

Założenie to zostało zrealizowane poprzez wydanie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) – dalej u.o.d.o.
Należy jednak wskazać, iż u.o.d.o. nie jest jedynym aktem regulującym przedmiotowe kwestie. Sprawy dotyczące ochrony danych osobowych normowane są także w innych ustawach – zob. np. rozdział 4 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku praw Pacjenta (Dz. U. z 2009 r. Nr 52, poz. 417 z późn. zm.), art. 5 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198 z późn. zm.) - dalej u.d.i.p., art. 14 i 20 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2011 r. Nr 287, poz. 1687 z późn. zm.), art. 81 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2006 r. Nr 90, poz. 631 z późn. zm.). Zauważyć trzeba, iż – o ile u.o.d.o. w sposób ogólny normuje ochronę danych osobowych – to inne ustawy odnoszą się szczegółowo do kwestii tej ochrony w wybranych konkretnych dziedzinach działalności.

Zgodnie z zasadą wyrażoną w art. 5 u.o.d.o. w przypadku, gdy odrębne ustawy odnoszące się do przetwarzania danych przewidują dalej idącą ochronę niż u.o.d.o., to należy stosować przepisy tych odrębnych ustaw. A zatem – jeśli jakaś ustawa (inna niż u.o.d.o.) przewiduje dla przetwarzania pewnych danych osobowych ochronę silniejszą niż u.o.d.o., to w tym zakresie należy stosować przepisy tej ustawy.
Jeśli w konkretnym przypadku trudno byłoby ustalić, która ustawa (u.o.d.o., czy też inna ustawa) daje dalej idącą ochronę w zakresie przetwarzania danych osobowych – przy rozstrzyganiu, które przepisy stosować w pierwszej kolejności – należy kierować się zasadą, że przepisy szczegółowe stosujemy w pierwszej kolejności, przed przepisami bardziej ogólnymi (tu: najczęściej przed przepisami u.o.d.o.).
Należy zwrócić też uwagę na to, iż pojęcia danych osobowych nie należy utożsamiać z pojęciem informacji niejawnych. Zgodnie z definicja zawartą w art. 6 ust. 1 u.o.d.o. – danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Natomiast informacje niejawne to informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne (art. 1 ust. 1 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228) – dalej u.o.i.n.. Zasady klasyfikowania informacji niejawnych do poszczególnych klauzul tajności określa art. 5 u.o.i.n. Dane osobowe i informacje niejawne są dwiema różnymi kategoriami informacji ustawowo chronionych (zob. też art. 1 ust. 3 u.o.i.n.), choć ich zakresy niekiedy w pewnym stopniu mogą się pokrywać. Jeśli określone dane stanowią zarówno dane osobowe w myśl u.o.d.o., jak też informacje niejawne w rozumieniu u.o.i.n. – zastosowanie w takim przypadku znajdzie reguła kolizyjna zawarta w art. 5 u.o.d.o.

Jak się wydaje, w szkołach – w zakresie zasad i warunków ochrony danych osobowych – stosowana będzie przede wszystkim u.o.d.o., a ewentualne kolizje przepisów u.o.d.o. z innymi przepisami mogą się pojawić przy stosowaniu u.d.i.p.
Warto w tym miejscu przytoczyć też zawarte w orzeczeniach Wojewódzkiego Sądu Administracyjnego w Warszawie wskazówki, pomocne przy stosowaniu u.o.d.o.:
W wyroku z dnia 20 kwietnia 2006 r. (wyrok WSA z dnia 20 kwietnia 2006 r., II SA/Wa 2227/05, Lex nr 220927) Wojewódzki Sąd Administracyjny stwierdził, iż „Naczelną zasadą ustawy nie jest zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania.". Z kolei w wyroku z dnia 21 września 2005 r. (wyrok WSA z dnia 21 września 2005 r., II SA/Wa 1443/05, Lex nr 204649) WSA podkreślił, iż stosując u.o.d.o. „należy za każdym razem wyważać dobra, które legły u jej podstaw (...).W praktyce prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym (...). Ochrona dóbr jednych nie może się odbywać kosztem naruszania praw innych."

2. Pojęcie danych osobowych
 
Pojęcie danych osobowych zdefiniowane zostało w art. 6 u.o.d.o. W świetle tego przepisu danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio – w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Jak stanowi przywołany art. 6 ust. 1 u.o.d.o. – danymi osobowymi są wszelkie informacje dotyczące osoby fizycznej, tj. informacje odnoszące się do wszystkich dziedzin życia osoby (życia rodzinnego, zawodowego, aktywności pozazawodowej, stanu majątkowego itd.).
Przepisy u.o.d.o. nie precyzują formy wyrażenia tych informacji, a zatem chodzi o informacje wyrażone w jakiejkolwiek formie, tj. np. na piśmie, w nagraniu filmowym bądź dźwiękowym, na obrazie, w formie zapisu informatycznego. Forma, w której informacje o osobie zostały zawarte, nie ma znaczenia dla zakwalifikowania informacji jako danych osobowych.

Podstawowy warunek uznania informacji za dane osobowe jest taki, że informacja ta ma zawierać w sobie wiedzę dotyczącą osoby fizycznej:
– już zidentyfikowanej, czyli konkretnej osoby o oznaczonej tożsamości;
– możliwej do zidentyfikowania, czyli takiej, której tożsamość można ustalić (bezpośrednio lub pośrednio) w zestawieniu z innymi informacjami, dodatkowymi okolicznościami (wiedzą). Przykładowy katalog okoliczności, które mogą być pomocne przy identyfikacji (ustalenia tożsamości) osoby fizycznej zawarty został w treści art. 6 ust. 2 u.o.d.o.
Jak się podkreśla – tożsamość osoby fizycznej oznacza nie tylko aktualne cechy danej osoby, ale też cechy i okoliczności dotyczące danej osoby z przeszłości, a także i z przyszłości (zob. wyrok WSA z dnia 3 marca 2009 r., II SA/Wa 1495/08, Lex nr 530464).
Pojęcie „danych osobowych" dobrze zostało wyjaśnione przez Naczelny Sąd Administracyjny (wyrok NSA z dnia 18 listopada 2009 r., OSK 667/09, Lex nr 588798): „Dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, bowiem mieszczą się w nim również dalsze informacje, wzmacniające stopień identyfikacji. Do informacji takich z pewnością należą zdjęcia osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfikację (...). O zakwalifikowaniu danej informacji do kategorii danych osobowych decydują przede wszystkim obiektywne kryteria oceny, przy czym uwzględnić należy wszystkie informacje, w tym także pozajęzykowe (kontekst) do jakich dostęp mają osoby trzecie."

Jak na to wskazuje Naczelny Sąd Administracyjny (wyrok NSA z dnia 19 maja 2011 r., I OSK 1079/10, Lex 990136), zakres danych na podstawie których można zidentyfikować daną osobę jest szeroki. We wskazanym wyroku Sąd podkreśla też, że „Informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale poprzez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą pośrednio stanowi informację także o niej samej."
Podkreślenia jednak wymaga, iż jeśli ustalenie tożsamości osoby na podstawie określonych informacji wymagałoby nadmiernych kosztów, czasu lub działań, to takich informacji nie uważa się za dane osobowe (art. 6 ust. 3 u.o.d.o.).
Wobec tego – danymi osobowymi są informacje:
– dotyczące konkretnej osoby fizycznej (osoby o oznaczonej tożsamości), bądź
– dotyczące osoby fizycznej, której tożsamość stosunkowo łatwo określić przy uwzględnieniu posiadanego w tym zakresie zasobu informacji, dających możliwość ustalenia, o którą konkretnie osobę chodzi.
Można powiedzieć, że dane osobowe to dane, które pozwalają nam stwierdzić, do której konkretnie osoby fizycznej dane te się odnoszą. Nie są natomiast danymi osobowymi informacje, których zakres nie pozwala na ich przypisanie do konkretnej osoby.
Dane osobowe odnoszą się wyłącznie do danych osób fizycznych. Podkreślić też należy – co wynika z art. 1 ust. 1 u.o.d.o. – iż ochrona danych osobowych przysługuje bez wyjątku każdej osobie fizycznej, w tym oczywiście również dzieciom (uczniom szkół).
Jeśli chodzi o spotykane często w praktyce szkolnej problemy z zakwalifikowaniem pewnych danych jako danych osobowych, to wskazać należy, że:
a) filmy i zdjęcia z monitoringu szkoły stanowić będą dane osobowe, jeśli możliwe jest przypisanie utrwalonych na taśmach (zdjęciach) wizerunków do konkretnych osób (np. uczniów, pracowników danej szkoły). Jeśli możliwe jest ustalenie tożsamości osób, których wizerunek jest widoczny na przekazie z kamer monitoringu, to w takim przypadku zastosowanie znajdą przepisy u.o.d.o.;
b) ocena z zajęć edukacyjnych jest informacją odnoszącą się do konkretnego ucznia (tj. ucznia o oznaczonej tożsamości), dlatego też przetwarzanie tych informacji podlegało będzie rygorom u.o.d.o.
Oprócz tego warto też wspomnieć o zakresie stosowania u.o.d.o. w przypadku umieszczania danych osobowych w opracowaniach, pracach magisterskich itp., przygotowywanych przez pracowników itp. Trzeba tu mieć na uwadze dwie kwestie:
1) ochronie na podstawie u.o.d.o. podlegają dane osobowe, które są lub mogą być przetwarzane w zbiorach danych (przy zastrzeżeniu, że w przypadku przetwarzania danych w systemie informatycznym nie ma znaczenia, czy zbiór istnieje);
2) stosownie do art. 3 ust. 2 pkt 3 u.o.d.o. osoby fizyczne będą podlegały zakresowi stosowania u.o.d.o. tylko wówczas, jeśli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Biorąc pod uwagę powyższe uregulowania wydaje się, że nie ma przeszkód, by w opracowaniu (artykule, książce) zamieszczone zostały dane osobowe, gdyż dane zawarte w artykule czy opracowaniu nie maja charakteru zbioru, a publikowane są w formie nieuporządkowanej. Potwierdza to stanowisko Generalnego Inspektora Ochrony Danych Osobowych, który wskazuje, iż „Informacji publikowanych w formie nieuporządkowanej, a więc np. nazwisk, które wymienia się w artykułach, nie można uznać za formę przetwarzania danych osobowych w zbiorze. Tym samym nie podlegają one przepisom ustawy o ochronie danych."(www.giodo.gov.pl).

Należy jednak podkreślić, iż pozyskanie danych do artykułu (opracowania, ksiązki) ze zbioru podlegałoby rygorom u.o.d.o., w tym zwłaszcza art. 23 u.o.d.o. (por. też art. 27 ust. 2 pkt 9 u.o.d.o.).
Jak trafnie wskazuje Generalny Inspektor Ochrony Danych Osobowych (www.giodo.gov.pl) u.o.d.o. nie zawiera „zamkniętego katalogu informacji stanowiących dane osobowe. Dlatego też przy rozstrzyganiu czy określona informacja lub informacje stanowią dane osobowe, w większości przypadków, nieuniknione jest dokonanie zindywidualizowanej oceny, przy uwzględnieniu konkretnych okoliczności oraz rodzaju środków czy metod potrzebnych w określonej sytuacji do identyfikacji osoby."