Zakres stosowania RODO jest zbyt szeroki i przekształca je „w jedne z najbardziej de facto lekceważonych ram prawnych w prawie Unii” – uważa rzecznik generalny TSUE
Trybunał Sprawiedliwości Unii Europejskiej ma rozstrzygnąć, czy organ ochrony danych osobowych jest uprawniony do rozpoznawania skargi na sąd, który udostępnił dziennikarzowi akta toczącej się sprawy. Skargę taką złożył obywatel Niderlandów, który uważa, że tamtejszy sąd naruszył przepisy RODO, przekazując dziennikarzowi kopię akt. Urząd do Spraw Ochrony Danych Osobowych uznał jednak, że nie jest właściwy do jej zbadania, gdyż dane były przetwarzane przez sąd „w ramach sprawowania przez niego wymiaru sprawiedliwości”. Pytanie prejudycjalne złożone do TSUE wzbudziło spore zainteresowanie w kilku państwach, które przedstawiły swe stanowiska. Skłoniły również rzecznika generalnego Michala Bobeka do bardziej ogólnego spojrzenia na RODO, które jego zdaniem wymaga reformy. Uważa on bowiem, że obecny zakres stosowania tych przepisów jest zbyt szeroki.
Podczas rozprawy rzecznik wprost spytał przedstawiciela Komisji Europejskiej, czy jeśli spotka się ze znajomymi w pubie i podzieli z nimi niepochlebną opinią na temat swego sąsiada, którą właśnie otrzymał pocztą elektroniczną, to stanie się administratorem danych osobowych. KE stwierdziła, że nie, ale nie potrafiła wskazać, gdzie leży granica, od której stosuje się RODO. Tym bardziej że przyznała, iż może ono dotyczyć nawet incydentalnego przetwarzania.
„Jest to właśnie to pytanie, które w niniejszej sprawie ponownie wysuwa się na pierwszy plan: czy zakres RODO nie powinien zostać ograniczony pod względem materialnym? Czy każda forma interakcji międzyludzkiej, w której ujawniane są informacje o innych osobach, niezależnie od sposobu ich ujawniania, ma podlegać jego dość uciążliwym przepisom? - zauważył w swej opinii rzecznik generalny.
Michal Bobek uważa, że wynikający z art. 2 RODO (patrz: grafika) zakres stosowania RODO jest na tyle szeroki, że można pod niego podciągnąć niemal wszystko. Zwraca bowiem uwagę, że ograniczenie dotyczące automatyzacji w czasach powszechnej informatyzacji straciło na swym znaczeniu.
„Albo Trybunał, albo tym bardziej prawodawca Unii mogą być pewnego dnia zmuszeni do ponownego przeanalizowania zakresu RODO. Obecne podejście stopniowo przekształca RODO w jedne z najbardziej de facto lekceważonych ram prawnych w prawie Unii. Taki stan rzeczy niekoniecznie musi być zamierzony. Jest to raczej naturalny produkt uboczny zbyt szerokiego zakresu stosowania RODO, który z kolei prowadzi do sytuacji, w której wiele osób pozostaje po prostu w błogiej nieświadomości, że ich działania również podlegają przepisom RODO” - zauważa rzecznik generalny w swej opinii.
Okiem ekspertów
Zapytaliśmy polskich ekspertów, czy podzielają zastrzeżenia Michala Bobeka. Zdania są podzielone.
- Z pewnością niestety wiele osób i podmiotów nie stosuje RODO, ale mam wątpliwości, czy rzeczywiście ze względu na zbyt szeroki zakres działania. Oczywiście pewne instytucje, np. przetwarzanie czy nawet definicja danych osobowych, mogą wywoływać trudności interpretacyjne i być różnie oceniane (przykład: rozbieżności w orzecznictwie sądowym w zakresie uznania tablic rejestracyjnych za dane osobowe). Co może powodować nawet pewien dysonans w stosowaniu. Jednak wydaje mi się, że jeszcze nie uprawnia to do generalnego stwierdzenia, że RODO jest lekceważone przez zbyt szeroki zakres działania. Jak we wszystkich innych dziedzinach prawa, każdą sytuację należy ocenić indywidualnie, uwzględniając wszystkie okoliczności analizowanej sprawy i nigdy nie jest to łatwe - komentuje dr Edyta Bielak-Jomaa, była prezes Urzędu Ochrony Danych Osobowych, a dziś wykładowca na Uniwersytecie Łódzkim oraz of counsel w kancelarii Lubasz i Wspólnicy.
W 2020 r. KE przeprowadziła przegląd RODO po dwóch latach jego stosowania. Choć w raporcie wskazała na pewne problemy, to uznała, że za wcześnie jest, by mówić o ewentualnych zmianach
Doktor Arwid Mednis z kancelarii Kobylańska Lewoszewski Mednis przede wszystkim kwestionuje przykład wskazany przez rzecznika generalnego, który ma dowodzić zbyt szerokiego zakresu stosowania RODO. Jego zdaniem rozmowa w pubie ze znajomymi ma osobisty charakter (co wyłącza RODO), pomimo wymiany informacji w miejscu publicznym.
- Nie uważam również, żeby RODO było lekceważone, tym bardziej że organy nadzorcze orzekają wysokie kary. Wręcz przeciwnie - RODO jest dla wielu państw pozaeuropejskich jeśli nie wzorem, to przynajmniej punktem odniesienia. Gdyby nie było RODO, to prawdopodobnie w wielu krajach nie pojawiłyby się przepisy o ochronie danych osobowych - przekonuje radca prawny.
Profesor Grzegorz Sibiga z Instytutu Nauk Prawnych PAN oraz kancelarii Traple, Konarski, Podrecki i Wspólnicy przyznaje jednak, że przynajmniej częściowo przepisy RODO mogą być lekceważone.
- Mimo zapowiedzi nie doszło do zmniejszenia obciążeń administracyjnych, a wręcz przeciwnie, tworzonej dokumentacji i procedur jest znacznie więcej ze względu na zasadę rozliczalności. Nie zostały także wystarczająco uwzględnione potrzeby mikroprzedsiębiorców oraz małych i średnich firm, nie mówiąc już o zwykłych osobach fizycznych, które w przetwarzaniu danych osobowych wykraczają poza cel czysto osobisty czy domowy. Nakłady potrzebne na wykonanie obowiązków i poziom skomplikowania przepisów spowodowały istnienie bliżej nieustalonej szarej strefy, w której się po prostu nie wykonuje przepisów o ochronie danych osobowych, co dotyczy głównie mikroprzedsiębiorców - uważa ekspert.
KE: na razie bez zmian
W 2020 r. Komisja Europejska przeprowadziła przegląd RODO po dwóch latach jego stosowania. Choć w raporcie wskazała na pewne problemy (głównie zaobserwowane przez organy ochrony danych), to jednocześnie uznała, że za wcześnie jest, by mówić o ewentualnych zmianach.
- Myślę, że dopiero praktyka stosowania rozporządzenia w skali europejskiej pokaże, czy, kiedy i jakie obszary wymagają zmian przepisów - zgadza się z tym podejściem dr Edyta Bielak-Jomaa.
Pozostali z zapytanych przez nas ekspertów wskazują jednak, że już teraz należałoby pomyśleć, jeśli nie o gruntownej reformie, to przynajmniej o punktowych zmianach. Ponad trzy lata stosowania RODO pokazały bowiem, że nawet profesjonalnym podmiotom trudno jest poruszać się w tych przepisach.
- Parę przykładów pierwszych z brzegu. Jak rozumieć niektóre przesłanki legalności przetwarzania danych szczególnych kategorii? Jak zwięźle przedstawić w klauzuli informacyjnej aż 12 punktów wymaganych przez art. 13 i 14 RODO? Co to znaczy, że nie trzeba spełniać obowiązku informacyjnego, gdy udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku lub może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania? Przecież od wykładni tego przepisu zależy nie tylko wydatkowanie nierzadko setek tysięcy złotych, ale również groźba administracyjnej kary pieniężnej o ogromnej wysokości - wylicza dr Arwid Mednis.
- Administratorzy są przeciążeni obowiązkami. Dlatego np. w zakresie bezpieczeństwa danych przemyślenia wymaga przeniesienie części ich obowiązków na dostawców (np. oprogramowania) lub wyspecjalizowanych outsourcerów przetwarzających dane osobowe. Przedsiębiorca (administrator) powinien mieć możliwość korzystania nie tylko z niezależnie od niego zweryfikowanych „bezpiecznych usług”, ale także pewność, że nie poniesie nakładów i kary, jeżeli okażą się one wadliwe. Praktyka stosowania RODO jest wręcz odwrotna, np. to na klientach operatora pocztowego spoczywają obowiązki zarządzania incydentem bezpieczeństwa, jeżeli nadaną przez nich korespondencję z danymi osobowymi zagubi operator - dodaje prof. Grzegorz Sibiga.
Niezawisłość sądu
Jeśli chodzi o pytanie prejudycjalne, to rzecznik proponuje, by uznać, że udostępnienie akt przez sąd dziennikarzowi odbywa się „w ramach sprawowania przez niego wymiaru sprawiedliwości”. To zaś oznaczałoby, że organ ochrony danych, zgodnie z art. 55, nie może rozstrzygać skargi na bezprawne przekazanie danych. Wiąże się to z potrzebą ochrony niezawisłości sądów. O ile w zakresie spraw administracyjnych (rzecznik wskazał tu chociażby utrzymanie miejsc pracy czy dostaw) organy ochrony danych mają prawo kontrolować przestrzeganie RODO, o tyle w zakresie wszystkiego, co wiąże się z orzekaniem, już nie. Zdaniem Michala Bobeka decyzja co do udostępnienia akt sprawy ma już związek ze sprawowaniem wymiaru sprawiedliwości. Podobnie jak inne decyzje, które na pierwszy rzut oka mogą mieć charakter administracyjny, ale w rzeczywistości należy je powiązać z orzekaniem, np. nagrywanie rozpraw, transmitowanie ich czy nawet stosowanie środków bezpieczeństwa.
- Powyższa opinia, a zapewne też wyrok TSUE zmierzający w tym samym kierunku, będzie wpływała na wskazanie właściwego organu nadzorczego między prezesem UODO a np. Krajową Radą Sądownictwa, która sprawuje nadzór nad przetwarzaniem danych osobowych przez Trybunał Konstytucyjny, Trybunał Stanu, Sąd Najwyższy, Naczelny Sąd Administracyjny oraz sądy apelacyjne w ramach prowadzonych przez nie postępowań - zwraca uwagę Piotr Liwszic, prawnik i autor serwisu Judykatura.pl.
- W mojej opinii szalenie ważne jest wskazanie prawidłowej właściwości organu nadzorczego, gdyż organy właściwe w sprawach nadzoru nad sądami w zakresie sprawowania przez nie wymiaru sprawiedliwości nie posiadają uprawnień dotyczących np. nakładania administracyjnych kar pieniężnych. W naszych krajowych realiach organy te mogą jedynie wydawać ostrzeżenia dotyczące możliwości naruszenia przepisów RODO oraz udzielać upomnień w przypadku naruszenia tychże przepisów - dodaje ekspert. ©℗
/>
orzecznictwo
Opinia rzecznika generalnego Trybunału Sprawiedliwości Unii Europejskiej z 6 października 2021 r. w sprawie C-245/20. www.serwisy.gazetaprawna.pl/orzeczenia