Unia Europejska: orzecznictwo, wytyczne i działania prawotwórcze
Niezwykle aktywny w ochronie danych osobowych mijający rok 2023 coraz dobitniej pokazuje nieuchronność procesu, w który od początku wbudowano ogólne rozporządzenie o ochronie danych (RODO): przeniesienie z państw członkowskich do ośrodków Unii Europejskiej ciężaru wykładni przepisów o ochronie danych osobowych oraz ustalania dalszych kierunków rozwoju prawa do ochrony danych osobowych. Trzeba tutaj wskazać trzy główne, oczywiście różne w swoich działaniach, ośrodki: Trybunał Sprawiedliwości Unii Europejskiej, Europejską Radę Ochrony Danych (EROD) oraz Komisję Europejską.
W 2023 r. TS UE wydał szereg istotnych orzeczeń w trybie prejudycjalnym. Na pierwszy plan wybijają się dwa jego orzeczenia dotyczące prawa dostępu, w tym uzyskania kopii danych: z 12.1.2023 r. (C-154/21, Österreichische Post) oraz z 4.5.2023 r. (C-487/22, Österreichische Datenschutzbehörde). Wyroki te zasadniczo bardzo szeroko zakreślają prawo dostępu. Gdy chodzi o odbiorców danych, prawo to oznacza podanie przez administratora dokładnej tożsamości danych odbiorców, chyba że nie jest możliwe ich zidentyfikowanie lub tenże administrator danych wykaże, że wnioski o uzyskanie dostępu są ewidentnie nieuzasadnione lub nadmierne w rozumieniu art. 12 ust. 5 RODO (w tych przypadkach administrator może przekazać podmiotowi danych wyłącznie kategorie odnośnych odbiorców) (C-154/21, Österreichische Post). Z kolei uzyskanie kopii własnych danych (art. 15 ust. 3 RODO), chociaż nie stanowi samodzielnego uprawnienia, ale element prawa dostępu z ust. 1, to oznacza przekazanie „wiernej i zrozumiałej kopii wszystkich oryginałów tych danych”, w przypadku których właściwie wyłączona jest możliwość dokonywania własnych opracowań przez administratora treści zgromadzonych danych (C-487/22, Österreichische Datenschutzbehörde). W najbardziej kontrowersyjnej kwestii, czy prawo do kopii danych polega również na przekazaniu kopii nośnika („kopii fragmentów dokumentów lub całych dokumentów, lub też wyciągów z baz danych”), Trybunał zajął jednak zachowawcze stanowisko, że powinno to nastąpić jedynie, jeżeli dostarczenie takiej kopii jest niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez RODO (C-487/22, Österreichische Datenschutzbehörde).
Kolejny ważny problem, którym zajmował się TSUE, to niezależność inspektora ochrony danych (IOD). W wyroku z 9.2.2023 r. (X‑FAB Dresden, C-453/21) i dotyczącym zbliżonej kwestii co w ubiegłorocznym wyroku z 22.6.2022 r. (Leistritz, C‑534/20) Trybunał po raz pierwszy odniósł się do przepisów RODO odnoszących się do IOD. Dotyczyły one środków chroniących niezależność inspektora, tj. ochrony inspektora przed odwołaniem lub innym karaniem (art. 38 ust. 3 zd. trzecie RODO), oraz unikania konfliktu interesów (art. 38 ust. 6 RODO). Według mnie kluczowe w obu wyrokach jest przyjęcie, że przedstawiona ochrona inspektora nie może zagrażać realizacji celów RODO, a takie zagrożenie spowoduje brak wymaganych w RODO kwalifikacji zawodowych oraz niewywiązywanie się ze swoich zadań przez IOD (Leistritz, C‑534/20, pkt 35; X‑FAB Dresden, C-453/21, pkt 32), jak również zaistnienie konfliktu interesów w działalności inspektora (X‑FAB Dresden, C-453/21, pkt 34).
To niezwykle celowościowe podejście do funkcji IOD, która ma charakter służebny wobec podstawowego celu RODO, jakim jest zapewnienie wysokiego stopnia ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych.
Inne ważne orzeczenia, które warto odnotować, to dotyczący reklamy internetowej wyrok z 4.7.2023 r. (C-252/21, Meta Platforms Inc i inni), odnoszący się do środka ochrony sądowej z art. 82 RODO wyrok z 4.5.2023 r. (C‑300/21, Österreichische Post AG) czy wyrok z 2.3.2023 r. (C‑268/21, Norra Stockholm Bygg AB). W tym ostatnim Trybunał potwierdził, że do cywilnego postępowania sądowego, w tym do przeprowadzania dowodów, znajdują zastosowanie przepisy RODO dotyczące podstaw prawnych przetwarzania danych osobowych (art. 6 ust. 3 i 4 RODO), ale przede wszystkim, że sąd pozostaje związany zasadą minimalizacji wyrażoną w art. 5 ust. 1 lit. c RODO i jest „zobowiązany uwzględnić interesy osób, których dane dotyczą, i wyważyć je w zależności od okoliczności każdej sprawy, rodzaju postępowania w sprawie i z należytym uwzględnieniem wymogów wynikających z zasady proporcjonalności”.
Krajowym akcentem jest wysłuchanie publiczne w Trybunale 16.11.2023 r. w sprawie pierwszego pytania prejudycjalnego dotyczącego wykładni RODO skierowanego przez polski sąd (Sąd Rejonowy dla m.st. Warszawy). Istota problemu prawnego w sprawie C-693/22 polega na tym, czy zasada określona w art. 5 ust. 1 lit. a w zw. z art. 6 ust.1 lit. a, c i e w zw. z. art. 6 ust. 3 RODO stoi na przeszkodzie prawu krajowemu, które zezwala na sprzedaż, w postępowaniu egzekucyjnym, bazy danych zawierającej dane osobowe, gdy osoby, których dane dotyczą, nie wyraziły zgody na taką sprzedaż. Niepokojący jest jednak całościowy obraz dialogu polskich sądów z Trybunałem Sprawiedliwości, czego przecież wyrazem są kierowane do niego pytania prejudycjalne. Od wejścia Polski do Unii Europejskiej sądy administracyjne, na których spoczywa główny ciężar orzeczniczy w sprawach ochrony danych osobowych, nigdy jeszcze nie skierowały takich pytań o wykładnię nie tylko o RODO, ale też poprzedzającej ten akt dyrektywy 95/46/WE.
Aktywne EROD i Komisja Europejska
W 2023 r. nadal aktywny pozostaje EROD. Oprócz swoich standardowych działań przyjmowania wytycznych, wśród których trzeba wyróżnić te oznaczone numerami: 04/2022 (w sprawie obliczania administracyjnych kar pieniężnych na mocy RODO), 05/2021 (w sprawie wzajemnych zależności między stosowaniem art. 3 a przepisami dotyczącymi międzynarodowego przekazywania danych zgodnie z rozdziałem V RODO), 03/2022 (w sprawie zwodniczych wzorców projektowych w interfejsach platform mediów społecznościowych) oraz 01/2022 (w sprawie prawa dostępu do danych), EROD wreszcie w swoich wiążących decyzjach w szerszym zakresie wykazał, że w Unii funkcjonuje mechanizm spójności pozwalający usuwać różnice stanowisk między krajowymi organami nadzorczymi w konkretnych sprawach. W 2023 r. EROD wydał wobec irlandzkiego organu nadzorczego trzy wiążące decyzje: z 13 kwietnia (w sprawie transferu przez Meta danych osobowych do państw trzecich), z 15 września (w sprawie nieuczciwych praktyk projektowych dotyczących dzieci w TikTok) oraz w trybie pilnym z 27 października (w sprawie przetwarzania danych osobowych do celów reklamy behawioralnej przez Meta).
Zupełnie nową formą działania EROD jest natomiast skoordynowane działanie egzekucji prawa (CEF ‒ The Coordinated Enforcement Framework), w ramach którego nadaje się priorytet określonemu tematowi, nad którym organy ochrony danych pracują na szczeblu krajowym. Wynikiem pierwszego CEF dotyczącego korzystania z usług w chmurze przez sektor publiczny był raport opublikowany 18.1.2023 r. Obecnie trwa drugi CEF dotyczący wyznaczenia i pozycji inspektora ochrony danych, a po przygotowywanym właśnie raporcie spodziewamy się propozycji ujednolicenia w EOG podejścia do pozycji inspektora (publikacja raportu planowana jest na koniec tego lub początek następnego roku). Tymczasem rozpoczęty został kolejny CEF, którego przedmiotem jest prawo dostępu.
W unijnej ochronie danych osobowych Komisja Europejska ma rolę prawotwórczą. Bezpośrednio dla ochrony danych osobowych z pewnością najważniejsza w 2023 r. pozostaje decyzja Komisji Europejskiej z 10.7.2023 r., stwierdzająca odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. Ramy ochrony danych UE-USA (EU-US Data Privacy Framework), mająca zapewnić podstawę prawną transatlantyckiego transferu danych osobowych. Ja jednak zwracam również uwagę na uzupełniający RODO wniosek KE z 4.7.2023 r. o przyjęcie rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego dodatkowe przepisy proceduralne dotyczące egzekwowania rozporządzenia (UE) 2016/679. Co prawda bezpośrednio odnosi się on do postępowań transgranicznych, jednak ingeruje w autonomię proceduralną państw członkowskich i przewiduje nowe rozwiązania w tym zakresie (np. jednolity formularz skargi czy ugodę między skarżącym a innymi stronami postępowania). Przyjęcie tego rozporządzenia na pewno sporo zmieni w sposobie wykonywania materialnych przepisów RODO.
Polska: wątpliwa niezależność Prezesa UODO
Formalnie w Polsce instytucjonalną ochronę danych osobowych mają zapewniać dwa ośrodki: Prezes Urzędu Ochrony Danych Osobowych oraz Minister Cyfryzacji. Przypomnę, że ustawowym zadaniem tego ministra pozostaje „kształtowania polityki państwa w zakresie ochrony danych osobowych” (art. 12a ust. 1 pkt 8 ustawy o działach administracji rządowej). Tymczasem zamiast partnerstwa w 2023 r. doszło do sporu między tymi organami w zakresie instytucjonalnego włączenia – w projekcie ustawy o zarządzaniu danymi – Prezesa UODO w wykonywanie unijnego aktu w sprawie zarządzania danymi. Organ nadzorczy nie zgodził się nawet na wprowadzenie prawnego obowiązku zawiadamiania go o ryzyku naruszenia ochrony danych w sytuacjach monitorowania pośrednictwa danych i altruizmu danych, o których mowa w tym akcie. Według niego ma to naruszać jego niezależność. To zły sygnał, ponieważ wyzwaniem w najbliższych latach będzie określenie roli Prezesa UODO w wykonaniu całej grupy nowych aktów unijnych mających wpływ na przetwarzanie i ochronę danych, począwszy od tych realizujących Europejską strategię w zakresie danych, a skończywszy na długo wyczekiwanym akcie w sprawie sztucznej inteligencji.
Niestety najgorsze w mijającym roku dla zaufania do organu ochrony danych osobowych było kwestionowanie jego niezależności wobec rządzących, co miało miejsce w tegorocznej dyskusji w komisjach sejmowych podczas wyboru na następną kadencję Prezesa. Co prawda dotyczyło to sytuacji z lat wcześniejszych (przetwarzanie danych osobowych w wyborach kopertowych oraz ujawnienie danych osobowych z list poparcia dla członków KRS), ale w 2023 r. w wyroku NSA z 6.4.2023 r., III OSK 2991/21, Legalis, znalazły się znamienne zdania: „Wydanie przez organ postanowienia (…), w którym organ administracji państwowej postawił się ponad polskie sądy i wydane przez nie prawomocne orzeczenia, jednoznacznie wskazuje, że Prezes UODO sprzeniewierzył się określonemu w art. 35 ust. 1 ustawy o ochronie danych osobowych ślubowaniu, w którego rocie wprost zapisano, iż zobowiązuje się on do dochowania wierności Konstytucji RP oraz strzeżenia prawa ochrony danych osobowych. Takie postępowanie jest bowiem charakterystyczne dla państw autorytarnych i faszystowskich”. Chociaż tłem wyroku są niejasne relacje między przepisami o ochronie danych osobowych a dostępem do informacji publicznej (zob. G. Sibiga, Granice poufności, Rzeczpospolita z 6.8.2019 r.), to jednak sposób postępowania organu nadzorczego skłonił sąd do tego chyba najczęściej powoływanego stanowiska judykatury odnoszącego się do pozycji polskiego organu nadzorczego.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
