Niebawem miną dwa lata od dnia wejścia w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego potocznie RODO lub – w języku angielskim – GDPR (General Data Protection Regulation). Samemu wejściu w życie RODO towarzyszyła duża porcja strachu i różnych obaw związanych z jego stosowaniem. Czy słusznie? Nie do końca. W zaplanowanym na ten rok cyklu artykułów pt. „Prawdziwe oblicze RODO”, pisanych nie tylko na podstawie samych przepisów, ale i doświadczeń zawodowych, postaram się wyjaśnić Państwu podstawowe kwestie związane z interpretacją i stosowaniem rozporządzenia oraz przekonać Państwa, że czarna legenda narosła wokół tego aktu prawnego wcale nie jest taka zła, jak może się wydawać.
Na początek zacznijmy od podstaw i poszukajmy odpowiedzi na kilka podstawowych pytań, a mianowicie: Kogo chroni rozporządzenie? Kiedy określone dane stają się danymi osobowymi? Czy prawo do ochrony danych jest prawem nadrzędnym względem innych praw?
Kogo chroni RODO?
Może wydawać się to oczywiste prawie dwa lata po wejściu w życie rozporządzenia, jednakże w dalszym ciągu spotkać można pewne wątpliwości w tym zakresie, a ponadto omawianie jakiegokolwiek zagadnienia zawsze należy zacząć od samych podstaw. Odpowiedź zatem brzmi: RODO zapewnia ochronę osobom fizycznym w związku z przetwarzaniem danych osobowych. Tylko osobom fizycznym, czyli ludziom. Oznacza to, że spółki, jednostki organizacyjne Skarbu Państwa, urzędy, stowarzyszenia, fundacje i inne tego typu podmioty nie podlegają ochronie gwarantowanej przez RODO. Mogą mieć one określone obowiązki względem osób fizycznych z uwagi na przetwarzanie danych osobowych, ale nigdy nie będą chronione przez omawiany akt prawny. Wynika to nie tylko z samego tytułu rozporządzenia, ale też z art. 1 ust. 1 czy motywu czternastego preambuły RODO, w którym – w zdaniu drugim – wskazano:
Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.
Co natomiast z osobami fizycznymi, które prowadzą działalność gospodarczą – przedsiębiorcami? Pytanie to w dalszym ciągu budzi wątpliwości, czy przedsiębiorcy mają na gruncie RODO zapewnioną taką samą ochronę jak osoby, które nie prowadzą działalności gospodarczej. Odpowiadając na to pytanie przyjrzyjmy się raz jeszcze motywowi czternastemu preambuły, tym razem w całości. Brzmi on:
Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.
Prawodawca unijny wyraźnie zaznaczył, że RODO nie chroni tylko tych przedsiębiorstw, które są osobami prawnymi (czyli np. spółek z ograniczoną odpowiedzialnością). Z kolei człowiek, który prowadzi działalność gospodarczą nie traci statusu osoby fizycznej i nie staje się osobą prawną. Z tego względu nie ma podstaw, by odmówić osobom fizycznym ochrony przyznawanej przez rozporządzenie z uwagi na to, że prowadzą one działalność gospodarczą.
Moim zdaniem wspomniane wcześniej wątpliwości są pokłosiem art. 39b nieobowiązującej już ustawy z dnia z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej, który brzmiał:
Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 tej ustawy.
W aktualnie obowiązującej ustawie z dnia z dnia 6 marca 2018 r. – Prawo przedsiębiorców (t.j. Dz. U. z 2019 r. poz. 1292 z późn. zm.) nie ma regulacji, która w swym brzmieniu odpowiadałaby dawnemu art. 39b ustawy o swobodzie działalności gospodarczej . Nadto warto mieć na uwadze uzasadnienie projektu ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych – druk sejmowy numer 2410 Sejmu VIII Kadencji, w którym wskazano:
W ocenie projektodawcy, pojęcie „osoby prawnej” powinno być intepretowane w świetle legislacji krajowej, obejmując również swoim zakresem tzw. ułomne osoby prawne.
Uważam zatem, że w obecnym stanie prawnym nie ma podstaw do tego, by odmówić ochrony na gruncie RODO osobom fizycznym prowadzącym działalność gospodarczą i wpisanym do CEIDG.
Kiedy określone dane stają się danymi osobowymi?
Kwestia ta nie jest już tak oczywista jak poprzednia, a dla jej wyjaśnienia należy zwrócić uwagę na brzmienie art. 4 pkt 1 RODO oraz motyw dwudziesty szósty preambuły. Nie każde bowiem dane, nawet jeżeli dotyczą określonej osoby, będą danymi osobowymi. Art. 4 pkt 1 RODO stanowi, że
’dane osobowe’ oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (…) możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji (…).
W oczy powinno rzucić się sformułowanie „zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna”. O ile zwrot „osoba zidentyfikowana” nie powinien nastręczać wątpliwości, gdyż znaczy tyle co „osoba rozpoznana”, czy też „osoba, której tożsamość ustalono”, to „możliwa do zidentyfikowania osoba fizyczna” jest już pojęciem, nad którym należy się zastanowić. Co to znaczy, że ktoś jest możliwy do zidentyfikowania? Pewnej wskazówki w tym zakresie udziela nam motyw dwudziesty szósty zdanie trzecie i czwarte preambuły RODO, które stanowią, że:
Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.
Z powyższego wynika, że aby ustalić, czy określone dane są danymi osobowymi, trzeba odpowiedzieć sobie na pytanie czy podmiot, który dysponuje tymi danymi, jest w stanie zidentyfikować (tj. ustalić tożsamość, rozpoznać) osobę, której te dane dotyczą, biorąc pod uwagę środki, do jakich ten podmiot ma dostęp. Jeżeli będzie odpowiedź negatywna, to określone dane nie będą danymi osobowymi. Z uwagi na to te same dane mogą w pewnych sytuacjach przybierać status danych osobowych, a w innych nie.
Przykład: Numer PESEL będzie można w określonej sytuacji zakwalifikować jako dane osobowe, jeżeli podmiot, który zna numer PESEL innej osoby, będzie bądź wiedział, do kogo on należy, bądź będzie dysponował dostępem do bazy PESEL, który to dostęp pozwoli mu na takie ustalenia. W przeciwnym wypadku będzie to jedynie ciąg liczb, który niesie ze sobą pewne informacje (data urodzenia oraz płeć osoby, do której dany PESEL należy), ale nie będzie stanowił danych osobowych. Tak samo sytuacja będzie wyglądać w przypadku dysponowania czyimś numerem rejestracyjnym, przy czym zamiast bazy PESEL istotny będzie tu dostęp do Centralnej Ewidencji Pojazdów i Kierowców.
Ciekawostka: W określonych sytuacjach nawet imię i nazwisko nie będzie stanowiło danych osobowych, co będzie to miejsce np. wówczas, gdy kilka osób nosi to samo imię i nazwisko, a brak będzie innych danych doprecyzowujących (np. wykonywany zawód, miejsce zamieszkania, itp.).
Co to oznacza w praktyce? Zgodnie z motywem dwudziestym szóstym preambuły rozporządzenia – nie dotyczy ono przetwarzania takich anonimowych informacji i nie stosuje się do nich zasad ochrony danych.
Dane osobowe ponad wszystko – czy na pewno?
W kilku pierwszych miesiącach po wejściu w życie omawianego rozporządzenia nie ustawały wątpliwości, co tak właściwie należy czynić, żeby przypadkiem nie narazić się na zarzut naruszenia przepisów RODO, a dość powszechnym było przekonanie, że wszystkie działania, które nie dadzą się pogodzić z bezwzględną ochroną danych osobowych są niedopuszczalne. Samo RODO zaś w opinii wielu osób miało wyłączać stosowanie innych przepisów, jeżeli nie dały się one pogodzić z postanowieniami rozporządzenia.
Jest to założenie nieprawdziwe, ponieważ rozporządzenie – mimo że wzmacnia ochronę osób fizycznych w związku z przetwarzaniem danych osobowych – już w swej preambule kilkukrotnie podkreśla, że prawo do ochrony danych osobowych nie jest prawem bezwzględnym i może dochodzić do jego kolizji z innymi prawami przyznawanymi i chronionymi przez Unię Europejską. W motywie czwartym preambuły prawodawca unijny wskazał wprost, że
prawo do ochrony danych osobowych nie jest prawem bezwzględnym (…) Niniejsze rozporządzenie nie narusza praw podstawowych (…) w szczególności prawa do (…) wolności myśli, sumienia i religii, wolności wypowiedzi i informacji (…)”.
W kilku dalszych motywach ponownie zwrócono uwagę na możliwe konflikty prawa do ochrony danych osobowych z innymi prawami[1].
Co ciekawe, prawodawca unijny pozostawia państwom członkowskim dość dużą swobodę we wprowadzaniu ograniczeń czy odstępstw od zasad ochrony ustanowionych w RODO[2]. Przykładem takiego ograniczenia w prawie polskim może być art. 2 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zgodnie z którym pewnych przepisów RODO w ogóle nie stosuje się do wypowiedzi w ramach działalności literackiej lub artystycznej. Twórca przetwarzający dane osobowe na potrzeby sporządzenia utworu w rozumieniu ustawy z dnia z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2019 r., poz. 1231) nie będzie miał zatem np. obowiązku informowania innych osób o przetwarzaniu ich danych w tym celu, a osobom takim nie będzie przysługiwało np. prawo do sprzeciwu wobec przetwarzania ich danych.
Szczegółowe wyliczenie i objaśnienie wszystkich możliwych wyjątków od prawa do ochrony danych osobowych jest oczywiście niemożliwe i niecelowe na gruncie niniejszego artykułu. W tym miejscu chciałem jedynie zasygnalizować, że samo prawo do ochrony danych osobowych nie jest prawem w każdym przypadku nadrzędnym względem innych praw i może doznawać ograniczeń, a kolejne, wybrane przykłady będą omawiane bardziej szczegółowo w ramach kolejnych wpisów.
Reasumując
RODO przyznaje ochronę tylko osobom fizycznym w związku z przetwarzaniem danych osobowych, przy czym nie każde dane dotyczące określonej osoby będą w każdym przypadku uzyskiwać status danych osobowych. Będzie to bowiem zależało od tego, czy podmiot dysponujący danymi będzie miał możliwość na ich podstawie i z wykorzystaniem dostępnych mu środków – jednakże bez potrzeby nadzwyczajnego nakładu czasu pracy czy angażowania nadzwyczajnych kosztów – zidentyfikować, czyli ustalić tożsamość osoby, której dane dotyczą, a oceny, czy określone dane są danymi osobowymi, należy dokonywać odrębnie w każdym przypadku z osobna. Trzeba też pamiętać, że prawo do ochrony danych osobowych nie ma statusu nadrzędnego względem innych praw, czego w pełni świadom jest prawodawca unijny i nie tylko sygnalizuje to na samym początku preambuły rozporządzenia, ale też pozwala państwom członkowskim na wprowadzanie stosownych ograniczeń. Nie należy zatem postrzegać prawa do ochrony danych osobowych jako nadrzędnej wartości samej w sobie, tylko w każdej sytuacji zastanowić się nad tym, czy aby nie dochodzi do kolizji z innym uznawanym i chronionym prawem, które być może wyłącza pewne zasady dotyczące ochrony danych.
[1] Patrz: motyw 13. – ochrona danych osobowych a swobodny przepływ tych danych w UE dla potrzeb prawidłowego funkcjonowania rynku wewnętrznego UE, czy motyw 113. – ochrona danych osobowych a przekazywanie danych do państw trzecich z uwagi na ważne prawnie uzasadnione interesy administratora.
[2] Oczywiście ograniczenia te muszą spełniać pewne wymogi stawiane przez prawodawcę unijnego, takie jak zakaz naruszania istoty podstawowych praw i wolności oraz niezbędność i proporcjonalność (por. art. 23 oraz Rozdział IX RODO).
RADCA PRAWNY KRZYSZTOF ŻABIŃSKI
ukończył studia prawnicze na Uniwersytecie Szczecińskim. Następnie odbył aplikację radcowską w Okręgowej Izbie Radców Prawnych w Koszalinie, a w 2017 r. uzyskał uprawnienia do wykonywania zawodu.
Przed wpisem na listę radców prawnych i otwarciem własnej kancelarii pracował w kancelarii notarialnej, w sądzie jako asystent sędziego, a później w kancelarii innego radcy prawnego. W roku akademickim 2018/2019 ukończył studia podyplomowe z ochrony danych osobowych na Uniwersytecie Gdańskim.
Obecnie specjalizuje się w sprawach z zakresu ochrony danych osobowych, kredytów walutowych, odszkodowania i zadośćuczynienia wskutek wypadków komunikacyjnych, sporów gospodarczych miedzy przedsiębiorcami, sporów dotyczących współwłasności, a także prawa rodzinnego. Posługuje się również językiem angielskim na poziomie C1.
Więcej: klik.