W ostatnich tygodniach przez media przetoczyło się istny nawał informacji związanych ze stosowaniem RODO: na RODO powoływały się władze cmentarza, policja, lekarze, nauczyciele, uczelnie… A tymczasem w prawie zupełnej ciszy można obserwować rozwój niezwykle ciekawej sytuacji, która nasze postrzeganie RODO może diametralnie zmienić.
O co chodzi? O przypadki rzekomego gromadzenia przez Ministerstwo Obrony Narodowej informacji dotyczących obywateli naszego kraju o innej niż polska przynależności narodowej. Takie działanie, gdyby miało miejsce pod rządami ustawy o ochronie danych osobowych z 1997 r. (t.j. Dz.U. z 2016 r. poz. 922 ze zm; dziś już nie obowiązuje), wymagałoby istnienia przepisu rangi ustawy, który wprost zezwalałby MON na gromadzenie konkretnych danych osobowych. Gdyby takiego przepisu nie było, osoby zainteresowane mogłyby się zwrócić do Generalnego Inspektora Ochrony Danych Osobowych ze skargą, a organ ten mógłby zabronić MON nielegalnego gromadzenia danych.
Ale od 25 maja mamy RODO. Ustawa z 1997 r. znajdowała zastosowanie do każdego przypadku przetwarzania danych osobowych, w tym w sektorze publicznym, chyba że sama stanowiła, że w pewnych przypadkach się jej nie stosuje. Tymczasem – co nam niestety bardzo często umyka – przepisy RODO nie powtarzają tej reguły. RODO nie znajduje zastosowania do takiego przetwarzania danych, które odbywa się w ramach działalności nieobjętej prawem Unii. Podstawowy problem polega na tym, że istnieją bardzo poważne wątpliwości co do tego, czy zakresem prawa Unii Europejskiej objęty jest cały obszar ochrony danych osobowych, czy może zakres zastosowania RODO zależy od tego, czy dana dziedzina prawa, w ramach której pojawia się kwestia ochrony danych osobowych, należy do zakresu prawa Unii. Mówiąc prościej, czy RODO stosuje się do ochrony danych osobowych w ogóle, jak ustawę z 1997 r., czy może tylko do ochrony danych osobowych tam, gdzie prawo Unii jest właściwe? A nie w każdym przypadku jest właściwe.
Przykładem takiej sytuacji, w której prawo Unii nie jest właściwe, jest „bezpieczeństwo narodowe”. Mówi o tym wprost samo RODO w motywie 16 preambuły. Ale czym jest „bezpieczeństwo narodowe”? W literaturze można znaleźć różne próby definiowania tego pojęcia, np. przez odwołanie się do działań podejmowanych dla zapewnienia przetrwania fundamentalnych wartości narodowych. Niestety, z punktu widzenia prawa takie podejście jest mało użyteczne, bo w dalszym ciągu nie wiemy, co tak naprawdę jest objęte bezpieczeństwem narodowym. Z kolei w Białej Księdze Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej wskazane zostały podmioty wykonujące zadania z zakresu bezpieczeństwa narodowego. Są to:
a) w dziedzinie obronności: minister spraw zagranicznych, minister obrony narodowej, Agencja Wywiadu i Służby Wywiadu Wojskowego;
b) w dziedzinie ochronnej: Agencja Bezpieczeństwa Wewnętrznego, Służba Kontrwywiadu Wojskowego, minister spraw wewnętrznych i administracji (Policja, Straż Graniczna, Biuro Ochrony Rządu), minister sprawiedliwości (Służba Więzienna), minister cyfryzacji, Centralne Biuro Antykorupcyjne i prokuratura;
c) w dziedzinie polityki gospodarczej: minister rozwoju i finansów, minister gospodarki, minister skarbu państwa, minister infrastruktury i budownictwa, a także minister środowiska.
Nie sposób jednak przyjąć, że cała aktywność tych podmiotów z istoty swojej dotyczy bezpieczeństwa narodowego. Należy więc w każdym przypadku oceniać, czy działania podejmowane przez konkretny podmiot są aktywnością mającą na celu zapewnienie bezpieczeństwa narodowego. Czyli nadal stoimy w miejscu i mamy dzięki temu kwintesencję problemu, jaki przyniosło nam ze sobą RODO – nie wiemy, kiedy powinniśmy stosować RODO w sektorze publicznym, a kiedy nie powinniśmy. Nie jest to bynajmniej problem wyłącznie polski, RODO jest takie samo we wszystkich krajach Unii i one również się z tym problemem borykają. Z tego powodu w niektórych państwach zdecydowano się na bardzo prosty zabieg – mianowicie w przepisach krajowych objęto zakresem zastosowania RODO przetwarzanie danych osobowych w sektorze publicznym w zakresie, w którym RODO nie znajduje zastosowania. Zrobili tak np. Niemcy w art. 1 ust. 8 ustawy o ochronie danych osobowych. Dzięki temu nastąpiło zrównanie w górę, jeżeli idzie o zasady ochrony danych osobowych – wolą ustawodawcy krajowego stosujemy RODO tam, gdzie samo RODO nie przewidywało swojego zastosowania.
Polska nie zdecydowała się na rozwiązanie analogiczne do zastosowanego w Niemczech. Zamiast tego w naszej ustawie o ochronie danych osobowych z 2018 r. przyjęto, że podmioty publiczne nie stosują RODO w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, jeżeli przepisy szczególne przewidują niezbędne środki ochrony praw i wolności osoby, której dane dotyczą. Czyli nadal mamy „bezpieczeństwo narodowe”, które nie wiadomo, co znaczy, a przez pryzmat zwrotu „niezbędne środki ochrony praw i wolności osoby, której dane dotyczą” będziemy musieli oceniać każdy przypadek z osobna, aby stwierdzić, czy jakaś forma przetwarzania danych będzie podlegać RODO czy nie.
I tutaj dochodzimy do sedna – brak zastosowania RODO do przetwarzania danych w sektorze publicznym nie spowoduje, że nastanie oto przysłowiowa wolna amerykanka. Mamy jeszcze konstytucję. A z jej art. 51 wynika:
a) prawo do nieujawniania informacji dotyczących osoby – regułą jest prawo do nieujawniania informacji o charakterze danych osobowych, a wyjątkiem od tej reguły może być zobowiązanie do ich ujawniania, które może zostać nałożone wyłącznie w drodze ustawy;
b) zasada niepozyskiwania, niegromadzenia i nieudostępniania informacji o obywatelach przez organy władzy publicznej, która może zostać ograniczona w razie spełnienia pewnych szczególnych warunków;
c) prawo dostępu do dokumentów urzędowych i zbiorów danych dotyczących danej osoby, które także może zostać ograniczone wyłącznie w drodze ustawy.
Tyle że są to bardzo ogólne reguły, które nie bardzo wiadomo, jak w takim przypadku zastosować – a to dlatego, że brak zastosowania RODO oznacza też brak możliwości złożenia skargi do prezesa Urzędu Ochrony Danych Osobowych i brak możliwości ingerencji z jego strony. Nie pójdziemy też z takim przetwarzaniem do sądu cywilnego, bo możliwość wystąpienia na drogę sądową daje nam RODO, które przecież nie może być w opisywanym przypadku stosowane.
Należy więc postawić pytanie – czy Ministerstwo Obrony Narodowej ma prawo do zbierania informacji dotyczących obywateli naszego kraju o innej niż polska przynależności narodowej? Narusza w ten sposób RODO czy nie? Otóż nie wiadomo. Nie wiadomo, bo zwrot „bezpieczeństwo narodowe” jest tyleż pojemny, co niedookreślony. Można było tego problemu uniknąć na wiele sposobów, np. na sposób niemiecki czy nakazując stosowanie RODO w poszczególnych ustawach odnoszących się do gromadzenia danych o obywatelach. A skoro tego nie zrobiono, to mamy problem.
Najciekawsze jest to, że podobne sytuacje i podobne wątpliwości będą się powtarzały – np. przetwarzanie danych osobowych w związku z zagadnieniami stanu cywilnego nie jest objęte zakresem zastosowania RODO. Czy więc np. reguły zabezpieczenia danych określone w RODO stosują się do systemów informatycznych służących do przetwarzania informacji o stanie cywilnym? Wiele wskazuje na to, że się nie stosują, a bez uregulowania tej kwestii w przepisach grozi nam błądzenie po omacku, którego ofiarą może stać się nasze prawo do ochrony danych osobowych.