Do przepisów o ochronie danych osobowych trzeba podchodzić nie tylko z głową, ale również w sposób elastyczny – przekonują prawnicy.
Niebawem minie rok stosowania unijnego rozporządzenia 2016/679 o ochronie danych osobowych. Wielu wciąż uważa jego przepisy za niepotrzebne, albo wręcz głupie. Czy rzeczywiście takie są? M.in. na to pytanie próbowali odpowiedzieć uczestnicy zorganizowanej przez Wydział Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie konferencji naukowej: „RODO – od analizy modelu do stosowania prawa”.
– RODO nie jest głupie, głupie natomiast bywa jego stosowanie – uznał dr hab. Mariusz Krzysztofek z Instytutu Ochrony Danych Osobowych, podkreślając, że unijnego rozporządzenia nie można stosować w sposób bezrefleksyjny.
Nie oznacza to, że przepisy RODO są łatwe w interpretacji. Przykładem mogą być choćby czynności o czysto osobistym lub domowym charakterze. Są one zwolnione ze stosowania RODO. Pytanie tylko, o jakie czynności chodzi. Zgodnie z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej sam fakt, że dane osobowe są dostępne w internecie dla nieograniczonej liczby osób, może wykluczać ich przetwarzanie wyłącznie w prywatnych osobistych celach. Czy tak jest w istocie? Zdaniem Grupy Roboczej Art. 29, niekoniecznie. Podobnie uważa dr hab. Mariusz Krzysztofek. To samo dotyczy zresztą pozostałych kryteriów, które świadczą o wychodzeniu poza granice celów osobistych (np. związek z działalnością zarobkową i handlową).
– Jeżeli w portalu społecznościowym wyrażę swą opinię na tematy zawodowe, to nie przestanie ona być moją prywatną opinią. Jeśli jednak założę stronę internetową w celu promowania swej działalności zawodowej, to wykroczę już poza czynności o osobistym charakterze – przekonywał podczas konferencji dr hab. Krzysztofek.
Z drugiej jednak strony, nawet gdy RODO nie obowiązuje, to nie znaczy, że tracimy ochronę nad własnymi danymi.
– Prawo do prywatności jest jednym z praw człowieka. Skoro mam prawo nie ujawniać informacji o sobie, to mam również prawo decydować, co chcę ujawnić. Jeśli więc dam swój numer telefonu koleżance, to mam prawo wymagać, by nie przekazywała go nikomu innemu. Gdy to zrobi, to nie tylko naruszy normy moralne, ale również moje dobra osobiste – przekonywał prof. dr hab. Arkadiusz Sobczyk z Uniwersytetu Jagiellońskiego w swym wystąpieniu na temat horyzontalnego stosowania praw człowieka.
Różne podejście
Problemy interpretacyjne wywołuje już choćby to, czym są dane osobowe. Zgodnie z RODO chodzi o wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Tyle teorii, bo w praktyce rozróżnienie co jest, a co nie jest danymi osobowymi bywa skomplikowane. Przykładem może być podejście do adresu IP. TSUE w sprawie C-582/14 uznał, że to dane osobowe, nawet jeśli administrator nie jest w stanie bezpośrednio połączyć go z konkretną osobą, ale dysponuje środkami prawnymi, które pozwalałyby na identyfikację.
– To rozumienie obiektywne, które oznacza bardzo rozszerzającą interpretację pojęcia danych osobowych. W przeciwieństwie do rozumienia subiektywnego, zgodnie z którym te same informacje dla jednych mogą stanowić dane osobowe, a dla innych już, którzy nie dysponują środkami do powiązania ich z konkretną osobą, już nie – zauważył dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński. Jego zdaniem do rozumienia danych osobowych powinno się podchodzić z perspektywy konkretnego administratora, bo w przeciwnym razie w zasadzie wszystkie informacje zaczną być uznawane za dane osobowe.
Rola inspektora
Największą dyskusję podczas konferencji wywołało rozumienie roli inspektora ochrony danych osobowych. Profesor Arkadiusz Sobczyk przekonywał, że należy go traktować tak, jak organ władzy publicznej. Przysługują mu bowiem uprawnienia władcze i działa w interesie obywateli. Niejako reprezentuje państwo, dlatego też jego czynności muszą być postrzegane jako wykonywanie władzy publicznej. Co więcej, administrator nie może mu niczego narzucić.
– Inspektor ochrony danych nie reprezentuje administratora, tylko stoi na straży przestrzegania prawa – zauważył prof. Sobczyk.
Dla części uczestników pogląd ten jest nie do zaakceptowania.
– To nie inspektor, tylko administrator ponosi odpowiedzialność za ewentualne naruszenie prawa, dlatego to administrator podejmuje ostateczną decyzję. Inspektor ma mu w tym jedynie pomóc – argumentował dr hab. Paweł Fajgielski z Katolickiego Uniwersytetu Lubelskiego.
– Warto sięgnąć do genezy przepisów o inspektorze ochrony danych. Nie wynika z nich, by miał on być rzecznikiem osób, których dane dotyczą. Jest on wyznaczany, żeby wesprzeć obydwie strony stosunku informacyjnego – i podmioty danych, i administratora – dodała dr Marlena Sakowska-Baryła, partner w SBC Kancelaria Radców Prawnych.
Dziennik Gazeta Prawna objął krakowską konferencję patronatem prasowym.
3,7 tys. skarg wpłynęło do prezesa Urzędu Ochrony Danych Osobowych w ciągu I półrocza stosowania RODO
1,5 tys. zgłoszeń o naruszeniach ochrony danych skierowali do UODO administratorzy w okresie od 25 maja do 31 października 2018 r.