Za nami już dwa artykuły dotyczące tematyki RODO, dzięki którym wiecie Państwo przede wszystkim kiedy i w jakich sytuacjach omawiane rozporządzenie ma zastosowanie, a w jakich nie. W dzisiejszym wpisie chciałbym przedstawić Państwu dwa zagadnienia praktyczne, z których jedno zostało zapowiedziane w poprzednim artykule, a drugie zwróciło na siebie uwagę Komisji Europejskiej oraz Europejskiej Rady Ochrony Danych w związku z rozwiązaniami poszukiwanymi przez państwa członkowskie i samą Unię w celu przeciwdziałania pandemii COVID-19. Będzie ono bowiem dotyczyć aplikacji mobilnych mających pomóc w powstrzymaniu rozprzestrzeniania się koronawirusa, a dokładnie ich tworzenia i stosowania w kontekście RODO.
RODO w rękach Policji
W pracy zawodowej zdarzyło mi się spotkać z sytuacją, w której Policja odmówiła obrońcy informacji o kliencie (oskarżonym/podejrzanym), powołując się na zasady ochrony danych osobowych wynikających z RODO. Czy słusznie? Nie. A nawet bardzo niesłusznie.
Wiecie już Państwo, że zgodnie z art. 2 ust. 2 pkt 4 RODO omawiane rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, a zasady ochrony danych osobowych przez te organy zostały wyrażone w Dyrektywie 2016/680[1].
Czym jednak jest dyrektywa unijna? To akt prawny, który znacząco różni się od rozporządzenia, jakim jest RODO. Rozporządzenie bowiem jest aktem, który w momencie wejścia w życie bezpośrednio obowiązuje w porządku prawnym krajów członkowskich. Dyrektywę natomiast trzeba implementować, czyli przyjąć takie rozwiązania, które zagwarantują, że jej przepisy będą w danym kraju stosowane. Sama dyrektywa nie obowiązuje bezpośrednio w porządku prawnym krajów członkowskich. O ile zatem rozporządzenie może być źródłem praw i obowiązków w relacjach między osobami fizycznymi i prawnymi, tak dyrektywa jest raczej zbiorem rozwiązań prawnych, które każde państwo członkowskie musi w określonym czasie wprowadzić do swojego porządku prawnego.
W Polsce Dyrektywa 2016/680 została wdrożona poprzez uchwalenie ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r., poz. 125). Ustawa ta jednak stanowi w art. 3 pkt 1, że jej przepisów nie stosuje się do ochrony danych osobowych znajdujących się między innymi w aktach spraw prowadzonych na podstawie np. Kodeksu postępowania karnego, Kodeksu karnego skarbowego, czy Kodeksu postępowania w sprawach o wykroczenia. Zgodnie zaś z art. 27 tej ustawy w odniesieniu do danych osobowych zgromadzonych w tychże postępowaniach, prawa osób, których dane dotyczą, są wykonywane wyłącznie na podstawie i w zakresie przewidzianym przez przepisy regulujące te postępowania.
Co to znaczy w praktyce? Pozyskiwanie przez obrońcę, stronę, czy jakikolwiek inny podmiot informacji o toczącym się postępowaniu karnym, wykroczeniowym, karnoskarbowym, itp., w tym dostęp do danych osobowych zgromadzonych w aktach tych postępowań, podlega reżimowi tylko konkretnej ustawy, na podstawie której to postępowanie jest prowadzone (np. Kodeks postępowania karnego). Ewentualna odmowa podania danych, czy udzielenia dostępu do akt sprawy musi mieć podstawę w przepisach tej ustawy (np. art. 317 § 2 K.p.k.) i nie można powoływać się ani na RODO, ani na rzeczoną ustawę z dnia 14 grudnia 2018 r.
Dlaczego polski ustawodawca zdecydował się na takie rozwiązanie?
Zostało to szczegółowo wyjaśnione w projekcie omawianej ustawy (druk sejmowy numer 2989 Sejmu VIII Kadencji). Ustawodawca wskazał, że akta takie jak akta postępowania karnego nie są zbiorem danych w rozumieniu Dyrektywy 2016/680[2], ponieważ:
- w aktach spraw postępowania karnego i jego odmian gromadzi się różnego rodzaju informacje oraz materiały dowodowe, na podstawie których organ prowadzący postępowanie i wydający rozstrzygnięcie kształtuje swoje stanowisko co do faktu popełnienia czynu zabronionego, sprawcy tego czynu oraz odpowiedzialności karnej. Sam fakt, że dokument, pośród innych informacji, zawiera między innymi dane osobowe nie sprawia, że dokument taki staje się zestawem danych osobowych, a tym bardziej zbiorem danych;
- nie pozwalają na odnalezienie danych osobowych zawartych w materiale dowodowym bez potrzeby przeglądania całego zestawu;
- kryteria porządkujące akta nie dotyczą danych osobowych, ale kolejności przeprowadzania dowodów lub wątków postępowania dotyczących zwykle odrębnych czynów zabronionych.
Ponadto postępowanie karne i jego odmiany gwarantuje zdaniem ustawodawcy zwiększoną ochronę dla danych osobowych w stosunku do ochrony przewidzianej Dyrektywą 2016/680. W uzasadnieniu projektu wskazano również, że
Podstawą do przetwarzania danych w postępowaniem karnym są przepisy procedury karnej. Przetwarzaniu podlegają dane uzyskane zgodnie z określonymi wymogami formalnymi, przy czym dane te nie mogą być ujawniane w warunkach innych niż określone w przepisach. W postępowaniu karnym muszą być np. zachowane wymogi i ograniczenia określone w art. 156 k.p.k. (…).
Niezależnie od powyższego warto mieć na uwadze, że odmowa udzielenia obrońcy informacji o kliencie, argumentowana koniecznością ochrony danych osobowych tegoż klienta, może być postrzegana jako naruszenie prawa do obrony. O tym, że ochrona danych osobowych nie ma charakteru bezwzględnego, wiecie już Państwo z pierwszego artykułu. W takim razie nie trzeba chyba prowadzić rozważań na temat tego, które z praw przysługujących człowiekowi jest ważniejsze – prawo do obrony w postępowaniu karnym, czy prawo ochrony jego danych osobowych. Pośrednio zwrócił uwagę na to sam ustawodawca, który w uzasadnieniu projektu wspomnianej ustawy napisał:
Na prawo do ochrony danych osobowych, trzeba zatem patrzeć przez pryzmat innych praw, mających pierwszeństwo w pewnej hierarchii praw podstawowych. Prawo to doznaje bowiem ograniczeń – przy zachowaniu zasad subsydiarności i proporcjonalności – w sytuacji, gdy może ono naruszyć prawo podstawowe, stojącym wyżej w hierarchii praw.
RODO w dobie COVID-19
Niespotykana dotychczas sytuacja pandemii postawiła Unię i państwa członkowskie przed dużym wyzwaniem – w jaki sposób możliwie najskuteczniej przeciwdziałać chorobie, pamiętając przy tym o wypracowanym przez wiele lat dorobku poszanowania praw oraz godności człowieka, w tym prawa do prywatności i prawa do ochrony danych. Jednym ze stosowanych rozwiązań jest tworzenie aplikacji mobilnych, które pełnią jedną lub kilka wskazanych niżej funkcji:
- monitorowanie obowiązku przestrzegania kwarantanny przez osoby nią objęte;
- ustalenie geolokalizacji danej osoby;
- informowanie i doradzanie obywatelom w kwestiach dotyczących zdrowia czy bezpieczeństwa;
- weryfikacja objawów pozwalająca na postawienie samodzielnej diagnozy;
- ostrzeganie o przebywaniu w pobliżu osoby zarażonej.
W Polsce np. obowiązkowe jest instalowanie aplikacji potwierdzającej realizację obowiązku przestrzegania kwarantanny przez osobę podlegającą temu obowiązkowi w związku z podejrzeniem zakażenia wirusem SARS-CoV-2, o czym stanowi art. 7e ust. 1 tzw. „tarczy antykryzysowej”[3].
Aplikacje te od samego początku rodziły wiele pytań dotyczących ochrony danych osobowych, jak też obaw, że mogą zostać wykorzystane do masowej inwigilacji.
Z problemem tym postanowiła zmierzyć się Europejska Rada Ochrony Danych oraz Komisja Europejska. EROD właśnie wydała wytyczne 03/2020 w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych w kontekście wybuchu pandemii COVID-19 oraz wytyczne 04/2020 dotyczące geolokalizacji i innych narzędzi ustalania kontaktów zakaźnych w kontekście wybuchu pandemii COVID-19. Zostaną one dokładniej omówione na łamach kolejnych artykułów.
APLIKACJE POMOCNE
Komisja Europejska tymczasem, przy wsparciu i konsultacji z EROD, wydała wytyczne dotyczące aplikacji pomocnych w walce z pandemią COVID-19 w odniesieniu do ochrony danych[4]. Wytyczne te nie obejmują aplikacji mających na celu egzekwowanie obowiązku kwarantanny. Komisja skupiła się w nich na aplikacjach pełniących funkcje wskazane w pkt. 3 – 5 powyżej i zwróciła uwagę, że:
- instalowanie takich aplikacji powinno być dobrowolne i nie powinno pociągać żadnych negatywnych konsekwencji dla osoby, która nie pobrała lub nie używa aplikacji;
- jeżeli aplikacja pełni kilka funkcji, to nie powinny być one ze sobą powiązane – osoba używająca aplikacji powinna mieć możliwość odrębnego wyrażenia zgody na korzystanie z każdej funkcji i wyboru pomiędzy nimi;
- wykluczone jest wyrażanie zgody na którąkolwiek z funkcji w sposób milczący;
- aplikacje należy zaprojektować w taki sposób, aby administratorem danych były krajowe organy ds. zdrowia;
- kod źródłowy aplikacji powinien zostać podany do publicznej wiadomości;
- aplikacje należy dezaktywować najpóźniej w momencie, w którym zostanie ogłoszone opanowanie pandemii, przy czym ich dezaktywacja nie powinna wymagać usunięcia aplikacji z urządzenia użytkownika.
Funkcja ostrzegania
W powołanych wytycznych Komisja Europejska najwięcej uwagi poświęca funkcji ostrzegania o przebywaniu w pobliżu osoby zarażonej. Jest to funkcja, która polega na tym, że użytkownik aplikacji dostaje za jej pośrednictwem informację, iż w określonym czasie przebywał w pobliżu osoby zarażonej COVID-19. W związku z tym Komisja wskazuje, że w przypadku tej funkcji:
- dane powinny być przechowywane w sposób zdecentralizowany, tj. na urządzeniu użytkownika, a nie na serwerze zewnętrznym;
- dane powinny być przechowywane w zaszyfrowanej i spseudonimizowanej formie;
- aplikacje powinny generować losowo tymczasowe i zmieniające się identyfikatory użytkowników;
- nie wolno ujawniać danych osoby zakażonej osobom, z którymi miała ona kontakt – wystarczy poinformowanie użytkownika, że w ciągu ostatnich 16 dni znalazł się w kontakcie epidemiologicznym z taką osobą;
- do wypełnienia tej funkcji nie należy wykorzystywać danych dotyczących lokalizacji – nie wolno bowiem wykorzystywać funkcji ostrzegawczej do śledzenia przepływu osób;
- z uwagi na powyższe łączność pomiędzy urządzeniami powinna odbywać się za pośrednictwem standardu Bluetooth Low Energy (BLE), który zdaniem Komisji jest bardziej precyzyjny i bardziej odpowiedni niż dane geolokalizacyjne;
- dane takie powinny być usuwane najpóźniej po miesiącu lub po tym, jak dana osoba została zbadana, a wynik okazał się negatywny.
Już niedługo …
Stosowanie aplikacji mobilnych przeznaczonych do walki z pandemią a zgodność z RODO z pewnością będzie jeszcze przedmiotem rozważań czy to organów i instytucji unijnych, czy też Urzędu Ochrony Danych Osobowych. Również kwestia uprawnień przyznawanych poszczególnym organom oraz zakres zbieranych przez nie danych będą budzić wątpliwości części społeczeństwa, co prędzej czy później spowoduje zajęcie stanowiska przez Prezesa UODO. Z tego względu na łamach kolejnych artykułów będę na bieżąco informował Państwa o nowościach w tym temacie, starając się przy tym, by – w miarę możliwości – były one dopasowane do tematu przewodniego każdego artykułu.
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, swobodnego przepływu tych danych i oraz uchylenia decyzji ramowej Rady 2008/977/WSiSW (Dz. U. L 119 z 4.05.2016, s. 89).
[2] Definicja ta jest taka sama jak w RODO, a jej szczegółowe omówienie zostało zawarte w poprzednim artykule.
[3] Ustawa z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. poz. 374 z późn. zm.).
[4] Dz. U. C 124 I z dnia 17.04.2020.
RADCA PRAWNY KRZYSZTOF ŻABIŃSKI
ukończył studia prawnicze na Uniwersytecie Szczecińskim. Następnie odbył aplikację radcowską w Okręgowej Izbie Radców Prawnych w Koszalinie, a w 2017 r. uzyskał uprawnienia do wykonywania zawodu.
Przed wpisem na listę radców prawnych i otwarciem własnej kancelarii pracował w kancelarii notarialnej, w sądzie jako asystent sędziego, a później w kancelarii innego radcy prawnego. W roku akademickim 2018/2019 ukończył studia podyplomowe z ochrony danych osobowych na Uniwersytecie Gdańskim.
Obecnie specjalizuje się w sprawach z zakresu ochrony danych osobowych, kredytów walutowych, odszkodowania i zadośćuczynienia wskutek wypadków komunikacyjnych, sporów gospodarczych miedzy przedsiębiorcami, sporów dotyczących współwłasności, a także prawa rodzinnego. Posługuje się również językiem angielskim na poziomie C1.
Więcej: klik.
Inne wpisy w ramach cyklu PRAWDZIWE OBLICZE RODO: klik.