Informacje mają szczególną wartość dla współczesnych społeczeństw i gospodarek, co przekłada się na potrzebę ich systemowej ochrony. Z tego powodu, kraje na całym świecie wprowadziły prawne zabezpieczenia, które mają na celu ochronę informacji, do których nieuprawniony dostęp lub których wykorzystanie może spowodować dotkliwą szkodę. Ochrona ta przybiera formę obowiązku zachowania poufności określonych danych oraz określenia konsekwencji jej naruszenia.
Sprawdź jak wdrożyć RODO w twojej organizacji
Rozwiązania prawne, które mają na celu zachowanie w tajemnicy kluczowych z punktu widzenia obrotu gospodarczego danych, funkcjonują zarówno na szczeblu krajowym, jak i europejskim.
Poufność informacji jest zagadnieniem szerokim, którego zakres zdecydowanie wykracza poza obszar ochrony danych osobowych. Dane poufne można najogólniej zdefiniować jako te informacje, które nie są powszechnie znane lub dostępne, mają określoną wartość gospodarczą i z tych powodów są objęte tajemnicą. Obowiązek zachowania informacji w poufności wynikać może z przepisów powszechnie obowiązującego prawa lub z czynności prawnej, w szczególności umowy.
Danymi poufnymi na mocy przepisów powszechnie obowiązującego prawa są m.in. informacje niejawne, którym nadano klauzule: „ściśle tajne”, „tajne”, „poufne” lub „zastrzeżone”, tajemnica państwowa i służbowa, tajemnica zawodowa, tajemnica bankowa, tajemnica ubezpieczeniowa, tajemnica skarbowa, tajemnica negocjacji, tajemnica przedsiębiorstwa, a także dane osobowe. Ochrona tych informacji ma na celu zabezpieczenie interesów szerokiego kręgu podmiotów przed potencjalną szkodą – tak materialną, jak i niematerialną.
Relację pomiędzy danymi poufnymi a danymi osobowymi najprościej można opisać w ten sposób, że każda dana osobowa jest co do zasady daną poufną, ale nie każda dana poufna jest daną osobową. Dane osobowe, rozumiane jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 1 RODO), są jedną z kategorii danych poufnych.
Źródło obowiązku zachowania w poufności konkretnych informacji ma szczególne znaczenie dla określenia konsekwencji jego naruszenia: sankcje za naruszenie poufności danych chronionych przez przepisy prawa są szersze niż te wynikające jedynie z umowy stron. W przypadku informacji chronionych ustawowo, odpowiedzialność ta może mieć różnorodny charakter: administracyjny, karny lub cywilny. Z kolei przy naruszeniu poufności danych chronionych wyłącznie na podstawie umowy odpowiedzialność zazwyczaj ogranicza się do odpowiedzialności cywilnej: kontraktowej lub deliktowej.
Obowiązek ochrony danych osobowych ma źródło w regulacjach europejskich. Art. 16 ust. 1 Traktatu o funkcjonowaniu UE ustanowił prawo każdej osoby (a więc nie tylko obywatela państwa członkowskiego) do ochrony danych osobowych jej dotyczących. Przepis ten dał podstawę i wyznaczył kierunek dla opracowania zasad ochrony danych osobowych w Europejskim Obszarze Gospodarczym (EOG), czego odbicie stanowią m.in. ogólne rozporządzenie o ochronie danych (RODO) oraz dyrektywa o ochronie danych w sprawach karnych. Akty te z kolei dały podstawy do uchwalenia w 2018 roku przez polskiego ustawodawcę dwóch ustaw: o ochronie danych osobowych oraz o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
Odpowiedzialność za naruszenie umownego zobowiązania do zachowania poufności ma co do zasady charakter cywilno – majątkowy. Zdarzają się jednak sytuacje, w których przepisy prawa przewidują sankcje prawnokarne za naruszenie obowiązku poufności, który strony nakładają na siebie umownie, np. w przypadku naruszenia tajemnicy przedsiębiorstwa, które stanowi czyn nieuczciwej konkurencji (art. 23 ustawy o zwalczaniu nieuczciwej konkurencji) lub przy ujawnieniu informacji, z którą ujawniający zapoznał się w związku z wykonywaną pracą (art. 266 kodeksu karnego). Należy jednak podkreślić, że naruszenie tajemnicy przedsiębiorstwa lub odpowiedzialność karna za ujawnienie
ww. wiadomości nie wymaga każdorazowo wcześniejszego zawarcia NDA.
Zazwyczaj jednak za naruszenie zobowiązania do zachowania poufności zobowiązany ponosi odpowiedzialność majątkową, którą na siebie w umowie przyjął.
Podsumowując, dane osobowe na mocy przepisów o ich ochronie są kategorią danych poufnych. Między danymi osobowymi a danymi poufnymi nie można jednak postawić znaku równości: danymi poufnymi mogą być informacje, które danymi osobowymi nie są.
Sankcje za naruszenie poufności danych osobowych mają szeroki charakter (administracyjny, karny, cywilny), a ich źródłem są przepisy powszechnie obowiązującego prawa. Nie ma też przeszkód prawnych, aby odpowiedzialność za naruszenie poufności danych osobowych rozszerzyć w drodze porozumienia stron, np. poprzez zastosowanie kar umownych. Praktyka taka stosowana jest najczęściej przy okazji zawierania umów dotyczących transferu danych.
Umowy o zachowanie poufności mogą, ale nie muszą, obejmować danych osobowych. Co do zasady odpowiedzialność za naruszenie poufności danych nieosobowych ma charakter majątkowy (kontraktowy lub deliktowy), ale w określonych przypadkach przepisy prawa stanowią również o odpowiedzialności karnej.