Transfery danych osobowych poza EOD
Ze względu na upływający 27 grudnia br. okres przejściowy na dostosowanie zawartych przed 27.9.2021 r. umów transferowych opartych na „starych” standardowych klauzulach umownych (SKU) do nowych SKU zagadnienie to wydaje się najistotniejszym pod koniec roku tematem dla osób zajmujących się ochroną danych osobowych. Pomimo iż termin i sama konstrukcja zastąpienia nowymi dotychczasowych SKU wprowadzone są decyzją wykonawczą Komisji Europejskiej (nr 2021/914 z dnia 4.6.2021 r.), to w tle jest stały problem wynikający z samego RODO ‒ potrzeba zapewnienia odpowiedniego stopnia ochrony danych osobowych zagwarantowanego w RODO przy każdym transferze danych osobowych poza Europejski Obszar Gospodarczy (EOG). Zastosowanie SKU nie znosi konieczności przeprowadzania przez eksportera oceny skutków transferu danych według schematu z zaleceń Europejskiej Rady Ochrony Danych z 2020 r., które z kolei były pokłosiem wyroku TSUE Schrems II.
Rzeczywiste przyczyny problemu pochodzą z 1995 r., ponieważ to przyjęta wówczas unijna dyrektywa 95/46/WE przewiduje konstrukcję „odpowiedniego stopnia ochrony” i wprowadza tak naprawdę dwa obszary ochrony danych osobowych: Unię Europejską (czy szerzej EOG) zapewniającą jednolitą prawną ochronę danych osobowych oraz resztę świata, którą należy oceniać pod kątem zapewnienia gwarancji odpowiednich do tych w prawie unijnym. Przepisy dyrektywy 95/46/WE, a później RODO określają coraz bardziej skomplikowane mechanizmy prawne pozwalające ustalić ten odpowiedni stopień ochrony lub dopuszczalne odstępstwa od niego. Jednym z tych mechanizmów są właśnie SKU, wprowadzane kolejnymi decyzjami Komisji Europejskiej (od 2001 r.), z których ostatnią jest decyzja z dnia 4.6.2021 r.
Jednak w istocie ciągle czekamy na rozwiązanie problemu transgranicznych przepływów danych, być może choćby na nowy model ochrony danych. Konstrukcja z 1995 r. nie przystaje już bowiem do globalnej cyfrowej gospodarki, której nieodłączną częścią są dane osobowe.
Cyfrowa „zupa legislacyjna”
W trakcie listopadowej, bodajże największej w Europie, konferencji poświęconej ochronie danych osobowych – kongresu IAPP (International Association of Privacy Professionals) – pojawiło się pojęcie wieloskładnikowej „zupy legislacyjnej” w UE. Bieżący rok to bowiem prawdziwa fala przepisów mających zwiększyć cyfrową dostępność danych oraz uregulować rozwiązania i usługi nowej gospodarki. Co ważne, nie są to przepisy, których celem i przedmiotem jest ochrona danych osobowych, ale wywołują one konsekwencje w sferze przetwarzania i ochrony tych danych. Tym samym wymuszą w przyszłości potrzebę odpowiedniego dostosowania do nich zasad i trybu ochrony danych osobowych.
Do tych aktów zaliczymy rozporządzenia Parlamentu Europejskiego i Rady w ramach europejskiej strategii w zakresie danych, tj. już przyjęty akt w sprawie zarządzania danymi oraz będący w trakcie prac projekt aktu w sprawie danych. Uzupełniająco ustanowione zostać mają wspólne europejskie przestrzenie danych w poszczególnych dziedzinach, a pierwszym tego efektem jest projekt rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia.
Trwają również prace nad projektem aktu w sprawie sztucznej inteligencji, który ma ustanowić zharmonizowane przepisy dotyczące sztucznej inteligencji, przewidując zasady mające zastosowanie do projektowania, rozwoju i wykorzystywania niektórych systemów SI wysokiego ryzyka oraz ograniczenia odnoszące się do niektórych zastosowań systemów zdalnej identyfikacji biometrycznej. Z kolei usługami w sieci zajmują się już przyjęty akt o usługach cyfrowych oraz będący przedmiotem prac projekt aktu o rynkach. Uregulowane zostaną również w rozporządzeniach niektóre szczegółowe zagadnienia funkcjonowania sieci: gromadzenia i udostępniania danych dotyczących krótkoterminowego wynajmu miejsc zamieszkania czy przejrzystości i targetowania reklamy politycznej.
Warto wspomnieć, iż w Polsce czekamy na uchwalenie nowelizacji Kodeksu pracy dotyczącej badania trzeźwości oraz ustawy o ochronie osób zgłaszających naruszenia prawa, której już trzeci projekt opublikowano w lipcu br. na stronach RCL.
Wyłączyć lub ograniczyć stosowanie RODO
Zgoła odmienny kierunek zmian w prawie przyjmuje polski prawodawca ‒ to wyłączenie stosowania RODO, a przynajmniej ograniczenie gwarancji w nim przewidzianych.
Uchwalona 11.3.2022 r. ustawa o obronie Ojczyzny (t.j. Dz.U. z 2022 r. poz. 2305) całościowo wyłącza stosowanie RODO do przetwarzania danych osobowych przez organy wojskowe, mimo iż ich adekwatność rozciąga się nie tylko na sprawy bezpośrednio dotyczące bezpieczeństwa narodowego. To kolejny akt ustawowy po ustawie o ochronie informacji niejawnych oraz ustawie o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (w zakresie danych osobowych znajdujących się w aktach spraw lub w urządzeniach ewidencyjnych w sprawach karnych i wykonawczych), w którym dokonuje się kompleksowego wyłączenia stosowania przepisów o ochronie danych osobowych (RODO lub DODO). Przepisy RODO (DODO) są traktowane jak problem, który można rozwiązać, znosząc w pełni stosowanie tych aktów. Jednocześnie nie wprowadza się w wymienionych ustawach innych gwarancji ochrony danych osobowych, tak jakby celowo zapominano, iż prawo do ochrony danych osobowych znajduje swoje źródło nie tylko w aktach unijnych, ale przede wszystkim w Konstytucji, która w kilku przepisach wymaga ustawowej regulacji w zakresie przetwarzania i ochrony danych osobowych.
Inne zagrożenie widoczne w uchwalonych ustawach to nierespektowanie wymagań RODO dotyczących prawa krajowego. Już się przyzwyczailiśmy, iż liczne przepisy uszczegóławiające podstawy prawne przetwarzania danych osobowych nie spełniają warunków określonych w art. 6 ust. 2‒3 RODO (np. wskazanie celu przetwarzania czy też rodzajów danych). Mniej dostrzeżony jest inny trend w przepisach prawa polskiego ‒ dopuszczenie podejmowania zautomatyzowanych decyzji indywidualnych bez zapewnienia wymaganych w RODO gwarancji dla osób, których dane dotyczą. W kolejnych uchwalanych ustawach całkowicie pomija się wprowadzenie „środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą”, co jest wymagane, gdy to przepis prawa zezwala na automatyzację (art. 22 ust. 2 lit. b RODO). Niepokoi także ustawowe przyznawanie administratorowi blankietowych upoważnień do samodzielnego i uznaniowego ustalania zakresu automatyzacji swoich działań, podczas gdy taką rolę powinien pełnić prawodawca krajowy. Najnowszym przykładem jest ustawa z 8.6.2022 r. o zmianie niektórych ustaw w celu automatyzacji załatwiania niektórych spraw przez Krajową Administrację Skarbową, która przyznaje Szefowi KAS kompetencję do zautomatyzowania każdego swojego działania w systemie e-Urząd Skarbowy, oczywiście bez jakichkolwiek gwarancji dla osób, których dane dotyczą. Szerzej temat ten omawiam w tegorocznym dodatku specjalnym do Monitora Prawniczego „Prawna ochrona danych osobowych 2022” (nr 21/2022).
Samotne sądy administracyjne
Równie niepokojąca jest część orzeczeń sądów administracyjnych w sprawach ochrony danych osobowych. W 2022 r. znacząco wzrosła liczba orzeczeń tych sądów, które kontrolując działalność organów administracji publicznej w sprawach indywidualnych, dokonują wykładni RODO i innych przepisów o ochronie danych osobowych. Chodzi o kontrolę organu nadzorczego, ale również w innych rodzajach spraw indywidualnych (np. z zakresu dostępu do informacji publicznej czy aktów prawa miejscowego).
Celem RODO jest nie tylko ściślejsza harmonizacja prawa, ale również jego jednolite stosowanie. Tymczasem polskie sądy tylko wyjątkowo biorą pod uwagę orzecznictwo Trybunału Sprawiedliwości UE oraz dorobek Europejskiej Rady Ochrony Danych (a wcześniej Grupy Roboczej art. 29). W ogóle nie analizuje się orzecznictwa sądów w innych państwach członkowskich. Nacisk często położony jest natomiast na prostą wykładnię gramatyczną przepisów o ochronie danych osobowych.
Wynikiem tego są zupełnie odosobnione poglądy polskiej judykatury w obszarze stosowania RODO. W niektórych sprawach prowadzą one do zbytniego uproszczenia wymagań przewidzianych w RODO, jak w wyroku WSA w Warszawie z 19.4.2022 r., II SA/Wa 2259/21, Legalis, w którym uznano, iż wystarczy renoma dostawcy usługi, aby uznać, iż podmiot przetwarzający gwarantuje wystarczające środki organizacyjne i techniczne ochrony danych (art. 28 ust. 1 RODO). Jednak konsekwencje takich orzeczeń mogą być dalej idące, także ograniczające stosowanie RODO. W jednym z najbardziej kontrowersyjnych wyroków NSA przyjął, iż numer rejestracyjny samochodu nie stanowi danych osobowych (wyrok z 3.11.2022 r., III OSK 1522/21, Legalis), a nie jest to pierwsze orzeczenie z taką tezą (wyrok NSA z 14.5.2021 r., III OSK 1466/21, Legalis). Co istotne, w sprawie nie chodziło o odizolowane numery rejestracyjne, ale o nagranie z policyjnego wideorejestratora z zarejestrowanymi zachowaniami kierowców poruszających się pojazdami o określonych numerach. Sąd stworzył własne, oryginalne kryterium identyfikacji osoby fizycznej, tj. „wykorzystanie prostych narzędzi identyfikujących będących w posiadaniu podmiotu, który chce takie dane uzyskać lub przetwarzać”. Zagadnienie kwalifikacji prawnej numerów rejestracyjnych samochodów było też przedmiotem stanowisk organów w innych państwach, ale jeszcze nikt nie doszedł do takich wniosków jak polskie sądy administracyjne.