- Wyrok NSA pokazał lukę w prawie, której rozmiary trudno nawet oszacować - mówi w wywiadzie dla DGP dr hab. Grzegorz Sibiga z Instytutu Nauk Prawnych PAN.



We wczorajszym wydaniu DGP opisaliśmy wyrok Naczelnego Sąd Administracyjnego, w którym uznano, że RODO ma zastosowanie także do zbiorów Instytutu Pamięci Narodowej. Oznacza to, że osoby, których nazwiska pojawiają się w archiwach IPN, mogą chociażby powoływać się na prawo do bycia zapomnianym. Pan nie zgadza się z tym orzeczeniem. Dlaczego?
RODO ma bowiem zastosowanie do przetwarzania danych osobowych tylko w obszarach objętych prawem unijnym. Tymczasem działalność IPN w zakresie ochrony dziedzictwa narodowego, historycznego oraz tożsamości polskiego narodu jest regulowana wyłącznie naszym prawem krajowym, a nie unijnym. NSA uznał, że prawo żądania sprostowania danych czy nawet ich usunięcia wynika z art. 51 ust. 4 konstytucji. To prawda, że konstytucja przewiduje takie uprawnienia, ale to polski ustawodawca powinien określić w ustawie szczegółowe zasady i tryb w tym względzie, do czego zobowiązuje go wprost art. 51 ust. 5 konstytucji.
NSA odwołał się dodatkowo do preambuły RODO, z której wynika, że przepisy unijnego rozporządzania obejmują również archiwa państwowe.
I znów jest to prawda, tyle że działalność archiwalna IPN, o której mowa w art. 1 pkt 1 ustawy o IPN, nie ma charakteru samoistnego, stanowi część większej całości i służy wykonywaniu poszczególnych zadań powierzonych Instytutowi. Chodzi przede wszystkim o zadania związane ze wspomnianą już ochroną dziedzictwa narodowego, historycznego oraz tożsamością narodową, które nie są regulowanymi prawem unijnym. W związku z tym RODO nie znajduje do nich zastosowania. Wyrok NSA pokazuje więc lukę prawną, którą sąd próbuje wypełnić poprzez rozszerzającą interpretację przepisów RODO i równoczesne odwołanie się wprost do konstytucji, tak jakby była to komplementarna regulacja prawna.
Co to za luka prawna i jak jest duża?
Luka ta powstała 25 maja 2018 r., a więc w dniu, w którym rozpoczęło się stosowanie RODO, a równocześnie uchylono ustawę o ochronie danych osobowych z 1997 r. Tamta obowiązująca wcześniej ustawa obejmowała swym zakresem każdy rodzaj utrwalonego przetwarzania danych osobowych. Unijne RODO nie ma zaś już takiego szerokiego zakresu, gdyż dotyczy tylko przetwarzania danych w tych obszarach, które są regulowane prawem unijnym. Polski ustawodawca, mógł wzorem niektórych innych państw zdecydować się na rozszerzenie zakresu RODO i objęcie nim także naszych wewnętrznych spraw, jak choćby działalność IPN. Nie uczynił tego jednak, poza działalnością Prezydenta RP, ponieważ jest to jedyny przykład ustawowego wypełnienia tej luki. Jednocześnie w ustawach nie uregulowano żadnych innych kwestii nieobjętych RODO. Mamy więc próżnię prawną i to próżnię o tak naprawdę niezidentyfikowanych rozmiarach. Wyrok NSA pokazuje jedynie jej drobny fragment.
A może było tak, że nasz ustawodawca celowo nie zdecydował się objąć przepisami niektórych obszarów, jak choćby działalności IPN?
Problem w tym, że jest do tego zobowiązany. W art. 51 konstytucji aż czterokrotnie odwołano się do warunków przewidzianych w ustawach zwykłych. W szczególności dotyczy to określonego w ust. 4 prawa każdego do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą i nie przewiduje od tej zasady żadnego wyjątku. Z kolei następny ustęp przesądza, że zasady i tryb wszelkich czynności związanych z przetwarzaniem danych osobowych mają zostać uregulowane w ustawie. My zaś takich ustaw zwyczajnie nie mamy i w dziedzinach, w których nie obowiązuje RODO, brakuje tych regulacji.
Mamy więc do czynienia z ewidentnym zaniechaniem ustawodawcy. Co więcej, powtórzę, zaniechaniem, którego rozmiarów nie jesteśmy w stanie ocenić. Na żadnym etapie prac legislacyjnych w okresie wdrożenia RODO nie dokonano bowiem inwentaryzacji obszarów, których nie obejmuje ten akt. Z jednej strony mamy więc nadregulację, bo w ponad 200 ustawach polskie przepisy uzupełniają lub modyfikują RODO, a z drugiej całkowity brak regulacji w bliżej nieznanym, niezidentyfikowanym obszarze, do którego RODO nie znajduje zastosowania.
Jakie obszary, poza działalnością IPN, mógłby pan wskazać jako te, w których mamy do czynienia z tą luką prawną?
Jest ich całkiem sporo. Przykładowo przetwarzanie danych osobowych dotyczących stanu cywilnego. W swoich licznych orzeczeniach wpisania do polskich ksiąg stanu cywilnego aktu małżeństwa zawartego w innym państwie UE sądy administracyjne potwierdziły, że jest to sfera, o której polskie przepisy wyłącznie rozstrzygają. Skoro tak, to jest to obszar, który nie jest regulowany prawem unijnym, a więc nie obejmuje go RODO. Tymczasem nie mamy polskich szczególnych przepisów dotyczących ochrony danych osobowych w aktach stanu cywilnego w pełni odpowiadających standardom RODO, w tym dotyczących uprawnień osób, których dane dotyczą. A więc znów działamy w pewnym zakresie w próżni prawnej.
Jakieś inne dziedziny przychodzą panu do głowy?
Sprawy bezpieczeństwa, obronności, choćby przetwarzane w ogromnej skali przez wojsko dane osobowe, np. dane związane z powszechnym obowiązkiem obrony kraju. Z zupełnie innej działalności państwa – dane osobowe przetwarzane przez izby parlamentu w procesie legislacyjnym.
Jakie problemy może w praktyce powodować brak przepisów w tych obszarach?
Osoby, których dane są przetwarzane, nie mają określonego trybu, w jakim mogą powoływać się na swe uprawnienia konstytucyjne, a więc żądać sprostowania czy usunięcia danych. Po wtóre zaś oznacza to niedochowanie standardu ochrony danych osobowych, w tym np. bezpieczeństwa danych. RODO, choć przez niektórych krytykowane, wprowadziło taki standard. Mówiąc wprost – mamy prawo oczekiwać, że nasze dane są we właściwy sposób chronione i zapewniony zostanie standard ich bezpieczeństwa. Na teraz konsekwencje to dalsze spory, czy jakiś obszar przetwarzania jest, czy też nie jest objęty RODO.
Co zatem polski ustawodawca powinien zrobić, żeby załatać lukę, o której rozmawiamy?
Są trzy sposoby naprawienia tego błędu. Pierwszy to własna, autonomiczna regulacja, która zapewniałaby zgodność z wzorcem konstytucyjnym. Przy czym mogłaby ona przewidywać też pewne proporcjonalne ograniczenia w zakresie tych uprawnień, choć – przynajmniej moim zdaniem – nie ma prawa wyłączać ich całkowicie.
Drugi sposób to punktowe rozszerzenie w drodze ustawy stosowania RODO do określonych rodzajów działalności, przynajmniej w zakresie, którego wymaga art. 51 konstytucji. Tą drogą poszedł zresztą polski ustawodawca obejmując przepisami RODO działalność prezydenta RP. Trzecia opcja, powiedziałbym uniwersalna, to rozciągnięcie całego RODO na wszelkie obszary, które nie są regulowane prawem europejskim. To również jest możliwe, przy czym musi wprost wynikać z przepisów krajowych. Na takie rozwiązanie zdecydowała się np. Szwecja.
Z jednej strony mamy nadregulację, bo w ponad 200 ustawach polskie przepisy uzupełniają lub modyfikują RODO, a z drugiej – całkowity brak regulacji w bliżej nieznanym, niezidentyfikowanym obszarze, do którego RODO nie znajduje zastosowania