Transfery danych osobowych poza EOD
Ze względu na upływający 27.12.2022 r. okres przejściowy na dostosowanie zawartych przed 27.9.2021 r. umów transferowych opartych na „starych” standardowych klauzulach umownych (dalej: SKU) do nowych SKU zagadnienie to pod koniec roku wydaje się najistotniejszym tematem dla osób zajmujących się ochroną danych osobowych. Pomimo że termin i sama konstrukcja zastąpienia nowymi dotychczasowych SKU zostały wprowadzone decyzją wykonawczą Komisji (UE) 2021/914 z 4.6.2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (Dz.Urz. UE L z 2021 r. Nr 199, s. 31), to w tle istnieje stały problem wynikający z samego RODO ‒ potrzeba zapewnienia odpowiedniego stopnia ochrony danych osobowych, zagwarantowanego w RODO przy każdym transferze danych osobowych poza Europejski Obszar Gospodarczy (EOG). Zastosowanie SKU nie znosi konieczności przeprowadzania przez eksportera oceny skutków transferu danych według schematu z zaleceń Europejskiej Rady Ochrony Danych z 2020 r., które z kolei były pokłosiem wyroku TSUE z 16.7.2020 r., Schrems II, C-311/18, Legalis.
Rzeczywiste przyczyny problemu pochodzą z 1995 r., ponieważ to przyjęta wówczas dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. UE L z 1995 r. Nr 281, s. 31) przewiduje konstrukcję „odpowiedniego stopnia ochrony” i wprowadza dwa obszary ochrony danych osobowych: Unię Europejską (czy szerzej EOG), zapewniającą jednolitą prawną ochronę danych osobowych, oraz resztę świata, którą należy oceniać pod kątem zapewnienia odpowiednich gwarancji do tych w prawie unijnym. Przepisy dyrektywy 95/46/WE, a później RODO określają coraz bardziej skomplikowane mechanizmy prawne pozwalające ustalić ten odpowiedni stopień ochrony lub dopuszczalne odstępstwa. Jednym z tych mechanizmów są właśnie SKU, wprowadzane kolejnymi decyzjami Komisji Europejskiej (od 2001 r.), z których ostatnią jest decyzja z 4.6.2021 r.
Jednak w istocie ciągle czekamy na rozwiązanie problemu transgranicznych przepływów danych, być może nawet na nowy model ochrony danych. Konstrukcja z 1995 r. nie przystaje już bowiem do globalnej cyfrowej gospodarki, której nieodłączną częścią są dane osobowe.
Cyfrowa „zupa legislacyjna”
W trakcie listopadowej, bodajże największej w Europie, konferencji poświęconej ochronie danych osobowych – kongresu IAPP (International Association of Privacy Professionals), pojawiło się pojęcie wieloskładnikowej „zupy legislacyjnej” w UE. Bieżący rok to prawdziwa fala przepisów mających zwiększyć cyfrową dostępność danych oraz uregulować rozwiązania i usługi nowej gospodarki. Co ważne, nie są to przepisy, których celem i przedmiotem jest ochrona danych osobowych, ale wywołują one konsekwencje w sferze przetwarzania i ochrony tych danych. Tym samym wymuszą w przyszłości potrzebę odpowiedniego dostosowania do nich zasad i trybu ochrony danych osobowych.
Do tych aktów zaliczymy rozporządzenia Parlamentu Europejskiego i Rady w ramach europejskiej strategii w zakresie danych, tj. przyjęty już akt w sprawie zarządzania danymi oraz będący w trakcie prac projekt aktu w sprawie danych. Uzupełniająco mają zostać ustanowione wspólne europejskie przestrzenie danych w poszczególnych dziedzinach, a pierwszym efektem jest projekt rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia.
Trwają również prace nad projektem aktu w sprawie sztucznej inteligencji, który ma ustanowić zharmonizowane przepisy dotyczące sztucznej inteligencji, przewidując zasady mające zastosowanie do projektowania, rozwoju i wykorzystywania niektórych systemów SI wysokiego ryzyka oraz ograniczenia odnoszące się do niektórych zastosowań systemów zdalnej identyfikacji biometrycznej. Usługi w sieci reguluje przyjęty już akt o usługach cyfrowych oraz będący przedmiotem prac projekt aktu o rynkach. W rozporządzeniach zostaną również uregulowane niektóre szczegółowe zagadnienia funkcjonowania sieci: gromadzenia i udostępniania danych dotyczących krótkoterminowego wynajmu miejsc zamieszkania czy przejrzystości i targetowania reklamy politycznej.
Warto wspomnieć, że w Polsce czekamy na uchwalenie nowelizacji Kodeksu pracy, dotyczącej badania trzeźwości, oraz ustawy o ochronie osób zgłaszających naruszenia prawa (UC101), której już trzeci projekt opublikowano w lipcu 2022 r. na stronach RCL.
Wyłączyć lub ograniczyć stosowanie RODO
Zgoła odmienny kierunek zmian w prawie przyjmuje polski prawodawca ‒ to wyłączenie stosowania RODO, a przynajmniej ograniczenie przewidzianych w nim gwarancji.
Ustawa z 11.3.2022 r. o obronie Ojczyzny (t.j. Dz.U. z 2022 r. poz. 2305) całościowo wyłącza stosowanie RODO do przetwarzania danych osobowych przez organy wojskowe, mimo że ich właściwość rozciąga się nie tylko na sprawy bezpośrednio dotyczące bezpieczeństwa narodowego. To kolejny akt ustawowy po ustawie o ochronie informacji niejawnych oraz ustawie o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (w zakresie danych osobowych znajdujących się w aktach spraw lub w urządzeniach ewidencyjnych w sprawach karnych i wykonawczych), w którym dokonuje się kompleksowego wyłączenia stosowania przepisów o ochronie danych osobowych (RODO lub DODO). Przepisy RODO (DODO) są traktowane jak problem, który można rozwiązać, znosząc w pełni stosowanie tych aktów. Jednocześnie w wymienionych ustawach nie wprowadza się innych gwarancji ochrony danych osobowych, tak jakby celowo zapominano, że prawo do ochrony danych osobowych znajduje swoje źródło nie tylko w aktach unijnych, ale przede wszystkim w Konstytucji, która w kilku przepisach wymaga ustawowej regulacji w zakresie przetwarzania i ochrony danych osobowych.
Inne zagrożenie widoczne w uchwalonych ustawach to nierespektowanie wymagań RODO dotyczących prawa krajowego. Już się przyzwyczailiśmy, że liczne przepisy uszczegóławiające podstawy prawne przetwarzania danych osobowych nie spełniają warunków określonych w art. 6 ust. 2‒3 RODO (np. wskazanie celu przetwarzania czy też rodzajów danych). Mniej dostrzeżony jest inny trend w przepisach prawa polskiego ‒ dopuszczenie podejmowania zautomatyzowanych decyzji indywidualnych bez zapewnienia wymaganych w RODO gwarancji dla osób, których dane dotyczą. W kolejnych uchwalanych ustawach całkowicie pomija się wprowadzenie „środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą”, co jest wymagane, gdy to przepis prawa zezwala na automatyzację (art. 22 ust. 2 lit. b) RODO). Niepokoi także ustawowe przyznawanie administratorowi blankietowych upoważnień do samodzielnego i uznaniowego ustalania zakresu automatyzacji swoich działań, podczas gdy taką rolę powinien pełnić prawodawca krajowy. Najnowszym przykładem jest ustawa z 8.6.2022 r. o zmianie niektórych ustaw w celu automatyzacji załatwiania niektórych spraw przez Krajową Administrację Skarbową (Dz.U. z 2022 r. poz. 1301), która przyznaje Szefowi KAS kompetencję do zautomatyzowania każdego swojego działania w systemie e-Urząd Skarbowy, oczywiście bez jakichkolwiek gwarancji dla osób, których dane dotyczą. Szerzej temat ten omawiam w tegorocznym dodatku specjalnym do Monitora Prawniczego „Prawna ochrona danych osobowych 2022” (nr 21/2022).
Samotne sądy administracyjne
Równie niepokojąca jest część orzeczeń sądów administracyjnych w sprawach ochrony danych osobowych. W 2022 r. znacząco wzrosła liczba orzeczeń tych sądów, które kontrolując działalność organów administracji publicznej w sprawach indywidualnych, dokonują wykładni RODO i innych przepisów o ochronie danych osobowych. Chodzi o kontrolę organu nadzorczego, ale również w innych rodzajach spraw indywidualnych (np. z zakresu dostępu do informacji publicznej czy aktów prawa miejscowego).
Celem RODO jest nie tylko ściślejsza harmonizacja prawa, lecz także jego jednolite stosowanie. Tymczasem polskie sądy tylko wyjątkowo biorą pod uwagę orzecznictwo TSUE oraz dorobek Europejskiej Rady Ochrony Danych (a wcześniej Grupy Roboczej, art. 29). W polskich sądach w ogóle nie analizuje się orzecznictwa sądów innych państw członkowskich. Nacisk często położony jest natomiast na prostą wykładnię gramatyczną przepisów o ochronie danych osobowych.
Wynikiem tego są zupełnie odosobnione poglądy polskiej judykatury w obszarze stosowania RODO. W niektórych sprawach prowadzą one do zbytniego uproszczenia wymogów przewidzianych w RODO, jak w wyroku WSA w Warszawie z 19.4.2022 r., II SA/Wa 2259/21, Legalis, w którym uznano, że wystarczy renoma dostawcy usługi, aby uznać, że podmiot przetwarzający gwarantuje wystarczające środki organizacyjne i techniczne ochrony danych (art. 28 ust. 1 RODO). Jednak konsekwencje takich orzeczeń mogą być dalej idące, także ograniczające stosowanie RODO. W jednym z najbardziej kontrowersyjnych wyroków NSA przyjął, że numer rejestracyjny samochodu nie stanowi danych osobowych (wyrok z 3.11.2022 r., III OSK 1522/21, Legalis), a nie jest to pierwsze orzeczenie z taką tezą (wyrok NSA z 14.5.2021 r., III OSK 1466/21, Legalis). Co istotne w sprawie nie chodziło o odizolowane numery rejestracyjne, ale o nagranie z policyjnego wideorejestratora z zarejestrowanymi zachowaniami kierowców poruszających się pojazdami o określonych numerach. Sąd stworzył własne, oryginalne kryterium identyfikacji osoby fizycznej, tj. „wykorzystanie prostych narzędzi identyfikujących będących w posiadaniu podmiotu, który chce takie dane uzyskać lub przetwarzać”. Zagadnienie kwalifikacji prawnej numerów rejestracyjnych samochodów było też przedmiotem stanowisk organów w innych państwach, ale jeszcze nikt nie doszedł do takich wniosków, jak polskie sądy administracyjne.