5 miesięcy temu
Unia Europejska: orzecznictwo, wytyczne i działania prawotwórcze
Niezwykle aktywny w ochronie danych osobowych mijający rok 2023 coraz dobitniej pokazuje nieuchronność procesu, w który od początku wbudowano ogólne rozporządzenie o ochronie danych (RODO): przeniesienie z państw członkowskich do ośrodków Unii Europejskiej ciężaru wykładni przepisów o ochronie danych osobowych oraz ustalania dalszych kierunków rozwoju prawa do ochrony danych osobowych. Trzeba tutaj wskazać trzy główne, oczywiście różne w swoich działaniach, ośrodki: Trybunał Sprawiedliwości Unii Europejskiej, Europejską Radę Ochrony Danych (EROD) oraz Komisję Europejską.
W 2023 r. TS UE wydał szereg istotnych orzeczeń w trybie prejudycjalnym. Na pierwszy plan wybijają się dwa jego orzeczenia dotyczące prawa dostępu, w tym uzyskania kopii danych: z 12.1.2023 r. (C-154/21, Österreichische Post) oraz z 4.5.2023 r. (C-487/22, Österreichische Datenschutzbehörde). Wyroki te zasadniczo bardzo szeroko zakreślają prawo dostępu. Gdy chodzi o odbiorców danych, prawo to oznacza podanie przez administratora dokładnej tożsamości danych odbiorców, chyba iż nie jest możliwe ich zidentyfikowanie lub tenże administrator danych wykaże, iż wnioski o uzyskanie dostępu są ewidentnie nieuzasadnione lub nadmierne w rozumieniu art. 12 ust. 5 RODO (w tych przypadkach administrator może przekazać podmiotowi danych wyłącznie kategorie odnośnych odbiorców) (C-154/21, Österreichische Post). Z kolei uzyskanie kopii własnych danych (art. 15 ust. 3 RODO), chociaż nie stanowi samodzielnego uprawnienia, ale element prawa dostępu z ust. 1, to oznacza przekazanie „wiernej i zrozumiałej kopii wszystkich oryginałów tych danych”, w przypadku których adekwatnie wyłączona jest możliwość dokonywania własnych opracowań przez administratora treści zgromadzonych danych (C-487/22, Österreichische Datenschutzbehörde). W najbardziej kontrowersyjnej kwestii, czy prawo do kopii danych polega również na przekazaniu kopii nośnika („kopii fragmentów dokumentów lub całych dokumentów, lub też wyciągów z baz danych”), Trybunał zajął jednak zachowawcze stanowisko, iż powinno to nastąpić jedynie, o ile dostarczenie takiej kopii jest niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez RODO (C-487/22, Österreichische Datenschutzbehörde).
Kolejny istotny problem, którym zajmował się TSUE, to niezależność inspektora ochrony danych (IOD). W wyroku z 9.2.2023 r. (X‑FAB Dresden, C-453/21) i dotyczącym zbliżonej kwestii co w ubiegłorocznym wyroku z 22.6.2022 r. (Leistritz, C‑534/20) Trybunał po raz pierwszy odniósł się do przepisów RODO odnoszących się do IOD. Dotyczyły one środków chroniących niezależność inspektora, tj. ochrony inspektora przed odwołaniem lub innym karaniem (art. 38 ust. 3 zd. trzecie RODO), oraz unikania konfliktu interesów (art. 38 ust. 6 RODO). Według mnie najważniejsze w obu wyrokach jest przyjęcie, iż przedstawiona ochrona inspektora nie może zagrażać realizacji celów RODO, a takie zagrożenie spowoduje brak wymaganych w RODO kwalifikacji zawodowych oraz niewywiązywanie się ze swoich zadań przez IOD (Leistritz, C‑534/20, pkt 35; X‑FAB Dresden, C-453/21, pkt 32), jak również zaistnienie konfliktu interesów w działalności inspektora (X‑FAB Dresden, C-453/21, pkt 34).
To niezwykle celowościowe podejście do funkcji IOD, która ma charakter służebny wobec podstawowego celu RODO, jakim jest zapewnienie wysokiego stopnia ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych.
Inne ważne orzeczenia, które warto odnotować, to dotyczący reklamy internetowej wyrok z 4.7.2023 r. (C-252/21, Meta Platforms Inc i inni), odnoszący się do środka ochrony sądowej z art. 82 RODO wyrok z 4.5.2023 r. (C‑300/21, Österreichische Post AG) czy wyrok z 2.3.2023 r. (C‑268/21, Norra Stockholm Bygg AB). W tym ostatnim Trybunał potwierdził, iż do cywilnego postępowania sądowego, w tym do przeprowadzania dowodów, znajdują zastosowanie przepisy RODO dotyczące podstaw prawnych przetwarzania danych osobowych (art. 6 ust. 3 i 4 RODO), ale przede wszystkim, iż sąd pozostaje związany zasadą minimalizacji wyrażoną w art. 5 ust. 1 lit. c RODO i jest „zobowiązany uwzględnić interesy osób, których dane dotyczą, i wyważyć je w zależności od okoliczności każdej sprawy, rodzaju postępowania w sprawie i z należytym uwzględnieniem wymagań wynikających z zasady proporcjonalności”.
Krajowym akcentem jest wysłuchanie publiczne w Trybunale 16.11.2023 r. w sprawie pierwszego pytania prejudycjalnego dotyczącego wykładni RODO skierowanego przez polski sąd (Sąd Rejonowy dla m.st. Warszawy). Istota problemu prawnego w sprawie C-693/22 polega na tym, czy zasada określona w art. 5 ust. 1 lit. a w zw. z art. 6 ust.1 lit. a, c i e w zw. z. art. 6 ust. 3 RODO stoi na przeszkodzie prawu krajowemu, które zezwala na sprzedaż, w postępowaniu egzekucyjnym, bazy danych zawierającej dane osobowe, gdy osoby, których dane dotyczą, nie wyraziły zgody na taką sprzedaż. Niepokojący jest jednak całościowy obraz dialogu polskich sądów z Trybunałem Sprawiedliwości, czego przecież wyrazem są kierowane do niego pytania prejudycjalne. Od wejścia Polski do Unii Europejskiej sądy administracyjne, na których spoczywa główny ciężar orzeczniczy w sprawach ochrony danych osobowych, nigdy jeszcze nie skierowały takich pytań o wykładnię nie tylko o RODO, ale też poprzedzającej ten akt dyrektywy 95/46/WE.
Aktywne EROD i Komisja Europejska
W 2023 r. przez cały czas aktywny pozostaje EROD. Oprócz swoich standardowych działań przyjmowania wytycznych, wśród których trzeba wyróżnić te oznaczone numerami: 04/2022 (w sprawie obliczania administracyjnych kar pieniężnych na mocy RODO), 05/2021 (w sprawie wzajemnych zależności między stosowaniem art. 3 a przepisami dotyczącymi międzynarodowego przekazywania danych zgodnie z rozdziałem V RODO), 03/2022 (w sprawie zwodniczych wzorców projektowych w interfejsach platform mediów społecznościowych) oraz 01/2022 (w sprawie prawa dostępu do danych), EROD wreszcie w swoich wiążących decyzjach w szerszym zakresie wykazał, iż w Unii funkcjonuje mechanizm spójności pozwalający usuwać różnice stanowisk między krajowymi organami nadzorczymi w konkretnych sprawach. W 2023 r. EROD wydał wobec irlandzkiego organu nadzorczego trzy wiążące decyzje: z 13 kwietnia (w sprawie transferu przez Meta danych osobowych do państw trzecich), z 15 września (w sprawie nieuczciwych praktyk projektowych dotyczących dzieci w TikTok) oraz możliwie jak najszybciej z 27 października (w sprawie przetwarzania danych osobowych do celów reklamy behawioralnej przez Meta).
Zupełnie nową formą działania EROD jest natomiast skoordynowane działanie egzekucji prawa (CEF ‒ The Coordinated Enforcement Framework), w ramach którego nadaje się priorytet określonemu tematowi, nad którym organy ochrony danych pracują na szczeblu krajowym. Wynikiem pierwszego CEF dotyczącego korzystania z usług w chmurze przez sektor publiczny był raport opublikowany 18.1.2023 r. w tej chwili trwa drugi CEF dotyczący wyznaczenia i pozycji inspektora ochrony danych, a po przygotowywanym właśnie raporcie spodziewamy się propozycji ujednolicenia w EOG podejścia do pozycji inspektora (publikacja raportu planowana jest na koniec tego lub początek następnego roku). Tymczasem rozpoczęty został kolejny CEF, którego przedmiotem jest prawo dostępu.
W unijnej ochronie danych osobowych Komisja Europejska ma rolę prawotwórczą. Bezpośrednio dla ochrony danych osobowych z pewnością najważniejsza w 2023 r. pozostaje decyzja Komisji Europejskiej z 10.7.2023 r., stwierdzająca odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. Ramy ochrony danych UE-USA (EU-US Data Privacy Framework), mająca zapewnić podstawę prawną transatlantyckiego transferu danych osobowych. Ja jednak zwracam również uwagę na uzupełniający RODO wniosek KE z 4.7.2023 r. o przyjęcie rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego dodatkowe przepisy proceduralne dotyczące egzekwowania rozporządzenia (UE) 2016/679. Co prawda bezpośrednio odnosi się on do postępowań transgranicznych, jednak ingeruje w autonomię proceduralną państw członkowskich i przewiduje nowe rozwiązania w tym zakresie (np. jednolity formularz skargi czy ugodę między skarżącym a innymi stronami postępowania). Przyjęcie tego rozporządzenia na pewno sporo zmieni w sposobie wykonywania materialnych przepisów RODO.
Polska: wątpliwa niezależność Prezesa UODO
Formalnie w Polsce instytucjonalną ochronę danych osobowych mają zapewniać dwa ośrodki: Prezes Urzędu Ochrony Danych Osobowych oraz Minister Cyfryzacji. Przypomnę, iż ustawowym zadaniem tego ministra pozostaje „kształtowania polityki państwa w zakresie ochrony danych osobowych” (art. 12a ust. 1 pkt 8 ustawy o działach administracji rządowej). Tymczasem zamiast partnerstwa w 2023 r. doszło do sporu między tymi organami w zakresie instytucjonalnego włączenia – w projekcie ustawy o zarządzaniu danymi – Prezesa UODO w wykonywanie unijnego aktu w sprawie zarządzania danymi. Organ nadzorczy nie zgodził się choćby na wprowadzenie prawnego obowiązku zawiadamiania go o ryzyku naruszenia ochrony danych w sytuacjach monitorowania pośrednictwa danych i altruizmu danych, o których mowa w tym akcie. Według niego ma to naruszać jego niezależność. To zły sygnał, ponieważ wyzwaniem w najbliższych latach będzie określenie roli Prezesa UODO w wykonaniu całej grupy nowych aktów unijnych mających wpływ na przetwarzanie i ochronę danych, począwszy od tych realizujących Europejską strategię w zakresie danych, a skończywszy na długo wyczekiwanym akcie w sprawie sztucznej inteligencji.
Niestety najgorsze w mijającym roku dla zaufania do organu ochrony danych osobowych było kwestionowanie jego niezależności wobec rządzących, co miało miejsce w tegorocznej dyskusji w komisjach sejmowych podczas wyboru na następną kadencję Prezesa. Co prawda dotyczyło to sytuacji z lat wcześniejszych (przetwarzanie danych osobowych w wyborach kopertowych oraz ujawnienie danych osobowych z list poparcia dla członków KRS), ale w 2023 r. w wyroku NSA z 6.4.2023 r., III OSK 2991/21, Legalis, znalazły się znamienne zdania: „Wydanie przez organ postanowienia (…), w którym organ administracji państwowej postawił się ponad polskie sądy i wydane przez nie prawomocne orzeczenia, jednoznacznie wskazuje, iż Prezes UODO sprzeniewierzył się określonemu w art. 35 ust. 1 ustawy o ochronie danych osobowych ślubowaniu, w którego rocie wprost zapisano, iż zobowiązuje się on do dochowania wierności Konstytucji RP oraz strzeżenia prawa ochrony danych osobowych. Takie postępowanie jest bowiem charakterystyczne dla państw autorytarnych i faszystowskich”. Chociaż tłem wyroku są niejasne relacje między przepisami o ochronie danych osobowych a dostępem do informacji publicznej (zob. G. Sibiga, Granice poufności, Rzeczpospolita z 6.8.2019 r.), to jednak sposób postępowania organu nadzorczego skłonił sąd do tego chyba najczęściej powoływanego stanowiska judykatury odnoszącego się do pozycji polskiego organu nadzorczego.
