Po 25 latach stosowania przepisów o ochronie danych osobowych wciąż trudno w Polsce mówić o kompleksowej regulacji prawnej, która zapewniałaby uprawnionym skuteczną realizację ich praw i sprawne rozstrzyganie sporów.
W niedzielę 30 kwietnia minie ćwierć wieku obowiązywania w Polsce przepisów o ochronie danych osobowych. Tego dnia w 1998 r. weszła w życie uchwalona w roku wcześniejszym ustawa o ochronie danych osobowych. Samo przyjęcie i kształt ustawy już można uznać za sukces polskiej myśli prawniczej, mimo że była ona aktem dostosowującym do prawa unijnego i wykonaniem zapowiedzi zawartych w niewiele starszej wówczas konstytucji z 1997 r. W latach 90. tworzyły się dopiero w Unii Europejskiej prawne regulacje ochrony danych osobowych. Pierwszym kompleksowym aktem prawnym była unijna dyrektywa z 1995 r. Tymczasem u nas pierwszy poselski, ale jeszcze roboczy, projekt ustawy o ochronie danych osobowych jest datowany na 1992 r., a postulaty uchwalenia tego aktu pojawiły się już na początku lat 80. XX w. w opracowaniach prof. Ireny Lipowicz. Warto również dziś przytoczyć jej słowa z 1980 r., że brak prawa do ochrony danych osobowych wywołuje w człowieku poczucie bezsilności i alienacji wobec zautomatyzowanego aparatu przetwarzania danych. Rolą prawodawcy pozostaje zaś nie tylko ustanowienie uprawnień jednostki w tym względzie, lecz także zapewnienie, aby wyspecjalizowany organ państwa władczo (czytaj: skutecznie) wspomógł ich realizację.
Gąszcz przepisów
Propozycje nowej regulacji prawnej mogły się ziścić dopiero w państwie demokratycznym, a ustawa o ochronie danych osobowych z 1997 r. słusznie jest uważana za etap tworzenia demokracji nastawionej na prawa jednostki nowego typu (trzeciej generacji). Uprawnienia określone w tej ustawie, najpierw nieznane i egzotyczne w naszej kulturze prawnej, później mocno zakorzeniły się w społeczeństwie. Dlatego dla mnie największym sukcesem tych 25 lat jest ukształtowanie się świadomości społecznej w zakresie ochrony danych osobowych, a przepisy ustawy na pewno były początkowym i głównym jej źródłem. W badaniach jesteśmy wskazywani w tym względzie jako jeden z liderów w UE, a pojęcie prawa do ochrony danych osobowych chyba już nie brzmi obco dla nikogo z uprawnionych i zobowiązanych. Co więcej, nie tak dawna sprawa wyborów kopertowych i przekazywania na ich potrzeby danych osobowych z gmin uzmysłowiła nam, że zasady ochrony danych osobowych nie tylko odnoszą się do wąsko rozumianych praw jednostek, lecz także wpływają na funkcjonowanie i jakość demokratycznego państwa.
Osoba, która zdecyduje się na złożenie skargi, musi niekiedy czekać latami na jej rozstrzygnięcie. Skalę problemu pokazuje to, że ciągle jeszcze są prowadzone przez prezesa UODO postępowania w wyniku skarg złożonych przed rozpoczęciem stosowania RODO w maju 2018 r.
Z pewnością kluczowym etapem rozwoju przepisów o ochronie danych osobowych stało się przyjęcie ogólnego rozporządzenia o ochronie danych (RODO). Na jego treść wpływ miały nie tylko dotychczasowe doświadczenia i próba większej harmonizacji zasad ochrony danych w UE, lecz także potrzeba lepszego dostosowania prawa osób fizycznych do wyzwań rewolucji cyfrowej. Mylił się jednak ten, kto się spodziewał, że bezpośrednio stosowane unijne rozporządzenie uprości przepisy, chociażby poprzez wyeliminowanie przepisów krajowych, oraz sprawi, że łatwiej będą one wykonywane. Przepisy RODO są w naszym prawodawstwie uzupełniane nie tylko nową ustawą o ochronie danych osobowych z 2018 r. (t.j. Dz.U. z 2019 r. poz. 178 ze zm.), lecz także ponad 230 dalszymi ustawami, które odnoszą się w swojej treści do RODO. Przepisy tych ustaw modyfikują i uszczegóławiają przepisy RODO albo z drugiej strony ograniczają lub nawet znoszą stosowanie RODO. Z kolei wyodrębniony od RODO tzw. sektor policyjny wymagał przyjęcia ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125 ze zm.). W sumie został stworzony gąszcz przepisów tak znaczny, że nawet wśród prawników zajmujących się ochroną danych osobowych tworzą się subspecjalizacje. Osoba fizyczna, której dane dotyczą, nie jest w stanie sprawnie poruszać się w treści przepisów. Wydaje się, że trudno nawet zwykłemu Kowalskiemu zrozumieć sens części prawnych instytucji, które mają gwarantować jego prawa. A przecież wszystkie instytucje prawne w tym akcie powinny być jedynie refleksem prawa do ochrony danych osobowych.
Trudno dochodzić swych praw
Tym bardziej należy przypominać, że nieodłącznym elementem publicznoprawnej ochrony danych osobowych powinno być skuteczne instytucjonalne wsparcie realizacji uprawnień osób, których dane dotyczą. Przed RODO było ono wykonywane jedynie przez krajowy organ ochrony danych osobowych, ale w wyniku tego aktu jest przez sieć organów krajowych i unijnej Europejskiej Rady Ochrony Danych. Jednak te organy zostały przytłoczone skalą nowych zadań do tego stopnia, że mimo upływu prawie pięciu lat od rozpoczęcia stosowania RODO niektóre jego przepisy uzależnione od działania tychże organów nie zostały wciąż wykonane (np. certyfikacja w zakresie ochrony danych) lub są realizowane w minimalnym zakresie (branżowe kodeksy postępowania). Nie tylko w naszym kraju osoba fizyczna, która zdecyduje się na złożenie skargi we własnej sprawie do organu ds. ochrony danych osobowych, musi niekiedy czekać latami na jej rozstrzygnięcie na poziomie administracyjnym. Skalę problemu pokazuje to, że ciągle jeszcze są prowadzone przez prezesa UODO postępowania w wyniku skarg złożonych przed rozpoczęciem stosowania RODO w maju 2018 r. Nie równoważy tej opieszałości przewidziany w RODO mechanizm kar pieniężnych nakładanych przez organ nadzorczy na zobowiązanych. Z punktu widzenia skarżącego kluczowe jest skuteczne i najczęściej szybkie zrealizowanie jego uprawień w wyniku interwencji organu ochrony danych osobowych, a nie nałożenie sankcji. Jednocześnie trzeba jednak przyznać, że kary pieniężne stały się potężnym instrumentem prewencji, dzięki któremu przedsiębiorcy nadają niespotykany wcześniej priorytet w wykonywaniu swoich obowiązków w zakresie ochrony danych osobowych.
Nie wspomogła wystarczająco możliwości egzekwowania praw do ochrony danych osobowych nowa ustawa o ochronie danych osobowych, którą oceniam niezwykle krytycznie. Jej głównym celem pozostaje uzupełnienie przepisów RODO w zakresie procedur w sprawach indywidualnych i ustroju organu krajowego (prezesa UODO). Trudno jednak mówić o prawidłowym ukształtowaniu procedur, jeżeli w żadnym przepisie ustawy nie odniesiono się do sytuacji skarżącej się osoby, która dochodzi swojego prawa. Coraz częściej są też zadawane pytania, czy wystarczająca jest kontrola sądu administracyjnego nad działaniami prezesa UODO, szczególnie w tych sprawach, które wymagają specjalistycznej wiedzy w zakresie zarządzania bezpieczeństwem informacji czy stosowania konkretnych zabezpieczeń informatycznych. Problem ten nie był w ogóle poważnie analizowany podczas prac legislacyjnych nad ustawą. Wreszcie RODO przewiduje możliwość samodzielnego dochodzenia przez jednostkę realizacji swoich uprawnień z tego aktu przed sądem. Jednak przepisy polskiej ustawy są na tyle zagmatwane, że do dzisiaj trwa dyskusja, czy w naszym prawodawstwie w ogóle dopuszczalne jest takie roszczenie do sądu powszechnego.
Reforma wciąż niedokończona
Na ustawie krajowej spoczywa jednak jeszcze cięższy grzech, ponieważ pozostawiła ona znaczący zakres spraw przetwarzania danych osobowych poza regulacją prawną gwarantującą ochronę danych osobowych. RODO nie znajduje bowiem zastosowania do przetwarzania danych w ramach działalności nieobjętej zakresem prawa Unii, a polski ustawodawca nie rozstrzygnął całościowo problemu przepisów odnoszących się do takiej „nieunijnej” działalności. Nie zdecydował się on wzorem niektórych innych państw Unii na rozszerzenie zakresu RODO i objęcie nim także naszych wewnętrznych spraw. Konsekwencją tego jest brak regulacji w bliżej nieznanym, niezidentyfikowanym obszarze, do którego RODO nie znajduje zastosowania.
Dlatego na poziomie krajowym głównym postulatem jest dokończenie reformy ochrony danych osobowych. Ciągle aktualna pozostaje potrzeba stworzenia kompleksowej regulacji prawnej, w której przepisy proceduralne i ustrojowe pozwolą na znacznie bardziej efektywne i przystępne dla uprawnionych rozstrzyganie sporów, zarówno na etapie administracyjnym (przed prezesem UODO), jak i sądowym. Obserwując apetyt prawodawcy unijnego na regulowanie ciągle nowych obszarów informacyjnych, uproszczenia samych zasad ochrony danych osobowych na tym poziomie się nie spodziewam.©℗