MACIEJ SIWICKI
Ochrona osób fizycznych w związku z przetwarzaniem i swobodnym przepływem danych osobowych
(uwagi w związku z projektem rozporządzenia Parlamentu Europejskiego i Rady)

Artykuł pochodzi z miesięcznika Państwo i Prawo 2016/3>>

1. Uwagi wprowadzające 
Niedozwolona ingerencja w wolność osobistą jednostki i jej prywatność, będąca efektem wykorzystania cudzych danych osobowych, staje się coraz poważniejszym problemem społecznym w Europie. Podstawową przyczyną tego stanu rzeczy jest szerokie wykorzystywanie nowoczesnych, skomputeryzowanych systemów przetwarzania danych, które umożliwiają nie tylko łatwiejszy dostęp do informacji o osobach, lecz także ich koncentrację, transgraniczną wymianę i kojarzenie zgodnie z najróżniej-szymi, także nielegalnymi i nieuczciwymi, celami. Skuteczną ochronę utrudnia dodatkowo niedostatek jednakowych czy też podobnych rozwiązań prawnych m.in. w europejskim i angloamerykańskim modelu ochrony danych osobowych, co prowadzi do nasilenia zjawiska forum shopping, polegającego na wyborze państwa z najbardziej przychylnym dla danego biznesu systemem prawnym w razie ewentualnych spraw sądowych . Pojawia się więc potrzeba przyjęcia rozwiniętych uregulowań służących ochronie danych osobowych, które z jednej strony zapewnią poszanowanie podstawowych, uznanych powszechnie praw i wolności jednostki, z drugiej zaś nie będą w nieuzasadniony sposób utrudniać prowadzenia działalności gospodarczej, naukowej czy też współpracy międzynarodowej.

W odpowiedzi na powyższe wyzwania w maju 2009 r. Komisja Europejska (dalej: KE) przedstawiła propozycję przyjęcia ogólnego rozporządzenia unijnego regulującego ochronę danych osobowych w Unii Europejskiej. Rada UE przyjęła 24.02.2011 r. konkluzje, w których wyraziła ogólne poparcie dla zamiaru zreformowania przez KE ram prawnych ochrony danych osobowych . Na ich podstawie Komisja Europejska przedstawiła 25.01.2012 r. wniosek rozporządzenie Parlamentu Europejskiego (dalej: PE) i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych, COM(2012) 11 final) . Tekst ten przewidywał wprowadzenie nowych, surowszych wymogów doty-czących ujawniania danych osobowych z państw trzecich oraz wysokie kary na naruszenie przyjętych reguł. Pod naciskiem rządu Stanów Zjednoczonych i lobbingu wiodących firm internetowych wprowadzono jednak liczne zmiany w projekcie i złagodzono reguły wymiany danych osobowych z państwami trzecimi . Pod koniec stycznia przedstawiono także poprawki parlamentarnej komisji IMCO (rynek wewnętrzny i ochrona konsumenta) do sprawozdania dotyczącego projektu rozporządzenia .
W dniu 21.10.2013 r. Komisja Wolności Obywatel-skich, Sprawiedliwości i Spraw Wewnętrznych (Committee on Civil Liberties, Justice and Home Affairs, dalej: LIBE) przedstawiła kompromisową, ostateczną wersję projektu rozporządzenia o ochronie danych osobowych , która została następnie zatwierdzona przez PE i Radę 12.03.2014 r. w pierwszym czytaniu, zaś latem 2014 r. podjęto rozmowy trójstronne między PE, Radą UE i KE, stanowiące pierwszy krok w europejskim procesie legislacyjnym. Obecnie, ze względu na podjęcie prac nad gospodarką cyfrową, która została powiązana z reformą danych osobowych, ministrowie państw członkowskich uznali podczas szczytu Rady Europejskiej 24 i 25.10.2013 r., którego przedmiotem był projekt dyrektywy dotyczącej europejskiej gospodarki cyfrowej (The Digital Single Market), że reforma ochrony danych osobowych powinna zostać przyjęta na początku 2015 r. Obecnie kontynuowane są także kolejne negocjacje i konsultacje między Unią a państwami trzecimi, przede wszystkim z USA . Jedna z ostatnich odbyła się 9–10.06.2014 r. Ostatnia debata w Radzie w sprawie przedmiotowego rozporządzenia odbyła się 4.12.2014 r. , zaś 15.06.2015 r. wniosek Komisji w sprawie nowych zasad ochrony danych został poparty przez ministrów sprawiedliwości . W dniu 18.12.2015 r. Komitet Stałych Przedstawicieli (Coreper) potwierdził teksty kompromisowe w sprawie reformy ochrony danych uzgodnione z Parlamentem Europejskim, a 15.12.2015 r. osiągnięto porozumienie między Radą, Parlamentem i Komisją . Rozporządzenie prawdopodobnie wejdzie w życie wiosną 2018 r.@page_break@

2. Podstawowe założenia i cele rozporządzenia
Podstawowe cele ogólnego rozporządzenia o ochronie danych zostały wskazane w art. 1, według którego rozporządzenie „ustanawia przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz przepisy dotyczące swobodnego przepływu danych osobowych”. Powyższe ogólne założenia znalazły swoje uszczegółowienie w motywach przyjęcia rozporządzenia wymienionych w jego części wstępnej.
W motywie 1 został skonkretyzowany zakres ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, według którego ochrona osób fizycznych w zakresie przetwarzania danych osobowych jest prawem podstawowym . Jednocześnie wskazano, że na mocy niniejszego rozporządzenia ochronie nie podlegają osoby prawne, w szczególności przedsiębiorstwa będące osobami prawnymi (motyw 12).
Jako kolejny cel rozporządzenia wskazano regulację swobodnego przepływu danych osobowych (ust. 1). Podkreślono, że nie należy ani ograniczać, ani też zakazywać swobodnego przepływu danych osobowych w UE z powodów związanych z ochroną osób fizycznych w zakresie przetwarzania danych osobowych . Wydaje się oczywiste, że realizacja tego założenia możliwa jest jedynie wówczas, gdy taki przepływ danych wewnątrz UE nie będzie ograniczany ze względu na transgraniczny przepływ danych między poszczególnymi państwami członkowskimi UE. Z powyższych względów – jak wskazuje się w motywach rozporządzenia oraz w części wniosku rozporządzenia dotyczących aspektów prawnych – celem niniejszego rozporządzenia jest likwidacja niepotrzebnych czy też za daleko idących ograniczeń w przepływie danych między państwami członkowskimi.
Mimo że w art. 1 ogólnego rozporządzenia o ochronie danych wymieniono tylko dwa cele, można zauważyć, że ustawodawca unijny za równie istotne uważa respektowanie zasady adekwatności (proporcjonalności). Na taką potrzebę zwrócono uwagę m.in. w części poświęconej aspektom prawnym wniosku, motywach 59, 83 oraz w art. 6 dotyczących legalności przetwarzania danych osobowych.
Wśród pierwszoplanowych zagadnień poddanych regulacji w świetle rozporządzenia należy w szczególności wskazać na: a) prawo każdej osoby, której dane są gromadzone, do uzyskania od administratora jasno i prosto sformułowanych informacji m.in. na temat celu przetwarzania danych, ich kategorii, odbiorcy, którym dane osobowe mają być lub zostały ujawnione (w tym odbiorcy w państwach trzecich), okresu przechowywania danych oraz istnienia prawa do żądania od administratora poprawienia lub usunięcia danych osobowych odnoszących się do podmiotu danych lub prawa wniesienia sprzeciwu wobec przetwarzania tych danych osobowych (art. 15) ; b) prawo do sprzeciwu wobec profilowania (art. 19) oraz wprowadzenie licznych ograniczeń i zakazów profilowania, ze względu m.in. na skutek w postaci dyskryminacji osób ze względu na ich rasę lub pochodzenie etniczne, poglądy polityczne, religię bądź przekonania, przynależność do związków zawodowych, orientację seksualną bądź tożsamość płciową (art. 20 rozporządzenia). W założeniu profilowanie ma być dopuszczalne wyłącznie pod określonymi warunkami; c) wyraźne określenie zasad przetwarzania danych osobowych obejmujących m.in. wymóg zbierania danych jedynie w konkretnych, bezpośrednich i zgodnych z prawem celach i nie-przetwarzane dalej w sposób niezgodny z tymi celami (zasada celowości – art. 5 ust. 1 lit. b), wymóg zgodności z prawem, uczciwości i przejrzystości przetwarzania danych osobowych (art. 5 ust. 1 lit. a) oraz wymóg minimalizacji danych, ścisłości, minimalizacji przechowywania, skuteczności, integralności oraz odpowiedzialności (art. 5 ust. 1 lit. c–f) ; d) dopuszczalność przetwarzania danych osobowych dziecka w wieku poniżej 13 lat (w tym względzie ujednolicono wiek, do którego jest się osobą małoletnią) jest możliwa jedynie po uzyskaniu zgody rodzica lub opiekuna prawnego dziecka; e) wzmocnienie prawa do dostępu i do uzyskiwania danych przysługujące podmiotowi danych (art. 16) oraz prawa do usunięcia danych (art. 17) m.in. przez możliwość uzyskania od administratora kopii dostarczonych danych osobowych w formacie elektronicznym i interoperacyjnym oraz prawo do żądania w określonych przypadkach od administratora i podmiotu przetwarzającego usunięcia danych osobowych odnoszących się do niego oraz zaprzestania dalszego rozpowszechniania tych danych, a także do uzyskania od stron trzecich usunięcia wszelkich linków do tych danych lub ich kopii lub replikacji.
Wybór rozporządzenia jako narzędzia harmonizacji przepisów krajowych z prawem unijnym oraz z innymi porządkami prawnymi państw członkowskich ma przyczynić się zarówno do stworzenia skutecznego systemu ochrony danych osobowych w UE przez stworzenie tzw. ogólnoeuropejskiego prawa ochrony danych osobowych (pan-European law for data protection), zastępującego obecną, niespójną mozaikę przepisów krajowych, jak również wprowadzić takie rozwiązania prawne, które zapewnią przepisom o ochronie danych skuteczność w obliczu nowych wyzwań wynikających z postępu technologicznego, transgranicznego charakteru wymiany danych, pojawienia się nowych kategorii danych osobowych oraz systematycznie rosnącej skali ich przetwarzania . Rozporządzenia unijne, w odróżnieniu od dyrektyw, stanowią przy tym instrument, którego celem nie powinno być jedynie wprowadzenie minimalnych standardów ochrony danych osobowych, ale także przyjęcie regulacji wiążących w całości i bezpośrednio we wszystkich państwach członkowskich. Wydanie aktów delegowanych (tzw. rozporządzeń wykonawczych), stanowiących uzupełnienie postanowień ogólnych, powinno zatem być zadaniem europejskiego ustawodawcy, a nie pozostawać w gestii ustawodawców krajowych. Takie są zresztą wymogi właściwej harmonizacji przepisów krajowych z prawem unijnym oraz z innymi porządkami prawnymi państw członkowskich .
Zatwierdzona przez PE i Radę wersja projektu z poprawkami LIBE, w odróżnieniu do propozycji KE, w wielu miejscach zdaje się nie dostrzegać zasadności wydania odpowiednich rozporządzeń wykonawczych, co może doprowadzić do tego, że mimo ujednolicenia zasad ochrony danych szczegółowe przepisy krajowe regulujące ich przetwarzanie w poszczególnych państwach członkowskich nadal będą się różniły. Przykładowo, w art. 84 w wersji zaproponowanej przez KE państwom członkowskim pozostawia się możliwość przyjęcia przepisów szczególnych określających uprawnienia dochodzeniowe organów nadzorczych w odniesieniu do administratorów i podmiotów przetwarzających, którzy podlegają obowiązkowi zachowania tajemnicy zawodowej, zaś w obecnej wersji (poprawka nr 196) na państwa członkowskie nakłada się w tym zakresie obowiązek. Dodatkowo m.in. w poprawkach nr 200 oraz nr 202 znacznie zawężono delegację KE do przyjęcia aktów delegowanych (np. dotyczących przetwarzania danych osobowych dotyczących dziecka, standardowych formularzy i procedur dotyczących udzielania informacji w wersji elektronicznej czy też szczególnych kategorii danych, tj. ujawniających rasę lub pochodzenie etniczne, poglądy polityczne, religię lub światopogląd, orientację seksualną lub tożsamość płciową).
Oczywiste wydaje się, że w pewnych wybranych obszarach należy dopuścić możliwość odmiennego uregulowania zasad dotyczących przetwarzania danych osobowych, np. w zakresie prawa pracy, oraz obowiązku notyfikacji zbiorów i przetwarzania danych. Propozycja LIBE jest jednak w tym względzie za daleko idąca i powoduje pojawienie się wątpliwości, czy projekt rozporządzenia w obecnym kształcie będzie w stanie realizować stawiane przed nim cele . Pozytywnie ocenić natomiast należy odrzucenie dwóch propozycji związa-nych z delegowaniem KE do wydawania opinii związanych ze sprawami wniesionymi na mocy art. 58 lub art. 61 oraz zawieszenia projektu środka (poprawka nr 168 oraz nr 169), w tym także ograniczenia możliwości przyjęcia przez ustawodawców krajowych włączeń i odstępstwa od przepisów dotyczących ogólnych zasad określonych w rozdziale II, praw podmiotów danych w rozdziale III, administratora i podmiotu przetwarzającego w rozdziale IV, przekazywania danych osobowych do państw trzecich w rozdziale V, niezależnych organów nadzorczych w rozdziale VI, współpracy i zgodności w rozdziale VII (poprawka nr 189).
W art. 2 projektu rozporządzenia ogólnego o ochronie danych osobowych z zakresu stosowania przepisów wyłączono przetwarzanie danych osobowych m.in. przez właściwe organy publiczne do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania sankcji karnych. Rozwiązanie to w znaczący sposób odbiega od rozwiązania przyjętego w polskim ustawodawstwie, w szczególności w art. 3 ustawy z 29.08.1997 r. o ochronie danych osobowych , który wytycza zakres stosowania ustawy od strony podmiotowej obejmujący wszelkie podmioty dokonujące przetwarzania danych, a więc zarówno podmioty prywatne, jak i publiczne. Wydaje się oczywiste, że przetwarzanie danych w każdym z tych sektorów powinno uwzględniać ich specyfikę i podlegać innemu reżimowi prawnemu, jednak brak jest uzasadnienia, aby kwestię regulacji tej materii na obszarze polityki i wymiaru sprawiedliwości całkowicie pominąć, tym bardziej że brak określenia zasad i procedur przetwarzania danych ze względu na interes państwa i wymiar sprawiedliwości może przyczynić się do znaczącego osłabienia ochrony praw i wolności obywatelskich np. w kwestii pozyskiwania danych telekomunikacyjnych na potrzeby prowadzonych dochodzeń .
Podstawowym celem regulacji normatywnych chroniących dane osobowe powinny być: ochrona prywatności podmiotu, którego dane są przetwarzane, oraz dążenie do stworzenia warunków do realizacji wolności wypowiedzi. Za niezadowalające należy uznać pozostawienie państwom członkowskim kwestii pogodzenia prawa do ochrony danych osobowych z przepisami dotyczącymi wolności wypowiedzi zgodnie z Kartą Praw Podstawowych (KPP) (por. art. 80, poprawka nr 189). Według propozycji KE państwa członkowskie mogły stanowić przepisy przewidujące wyłączenia i odstępstwa od przepisów przewidujących ogólne zasady jedynie „w przypadku przetwarzania danych osobowych wyłącznie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego, aby pogodzić prawo do ochrony danych osobowych z przepisami dotyczącymi wolności wypowiedzi”. Jeżeli zauważy się, że regulacje służące ochronie danych osobowych w cyfrowym, wzajemnie połączonym systemie wymiany informacji stanowią również ograniczenie w realizacji wolności wypowiedzi ze względu na reglamentowanie możliwości wymiany informacji na temat konkretnych osób, to wówczas stanie się jasne, że ustawodawca unijny nie powinien rezygnować z próby właściwego wyważenia prawa do ochrony danych osobowych z przepisami dotyczącymi wolności wypowiedzi. Rezygnacja z za-proponowanego przez KE przywileju m.in. dla mediów masowych w propozycji rozporządzenia wydaje się nieuzasadniona.@page_break@

3. Definicja danych osobowych i pseudonimicznych oraz podstawowe zasady ich przetwarzania
W art. 6 (Zgodność z prawem przetwarzania danych) określono warunki legalności przetwarzania. Przyjęto, że podmiot przetwarzający dane, decydujący o celach i środkach przetwarzania, może przetwarzać pozyskane legalnie dane wtedy, gdy zostanie zrealizowana jedna z przesłanek usprawiedliwiających. Wyrażonej w art. 6 zasadzie zgodności z prawem przetwarzania towarzyszy ponadto określona w art. 5 ust. 1 lit. e zasada ograniczenia czasowego (minimalizacja przechowywania), zasada celowości (art. 5 ust. 1 lit. b), zgodność z prawem, uczciwość i przejrzystość (art. 5 ust. 1 lit. a), zasada ścisłości (art. 5 ust. 1 lit. d), skuteczności (art. 5 ust. 1 lit. ea), integralności (art. 5 ust. 1 lit. eb) oraz odpowiedzialności (art. 5 ust. 1 lit. f) . Jednocześnie w art. 5 ust. 1 lit. b rozporządzenia przyjęto niedopuszczalność wykraczania poza zakres danych niezbędnych w stosunku do celów przetwarzania. Za istotne naruszenie, jednak nie w każdym przypadku przesądzające o nielegalności przetwarzania, uznano niewykonanie obowiązku informacyjnego z art. 14 ust. 1–3 rozporządzenia.
Pojęcie danych osobowych zostało zdefiniowane w art. 4 ust. 2 rozporządzenia, według którego „dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („podmiotu danych”). Przyjęto też, że możliwa jest do zidentyfikowania osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności za pomocą takich danych identyfikujących, jak imię i nazwisko, numer identyfikacyjny, miejsce pobytu, niepowtarzalny identyfikator lub co najmniej jeden szczególny czynnik określający tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową czy społeczną lub płciową tej osoby.
Dane identyfikujące to informacje odnoszące się do konkretnej osoby. Nie muszą one jednak odnosić się wprost do określonej osoby, ale umożliwiać jej identyfikację. Mogą to być np. informacje na temat innego członka rodziny, jeśli pozwalają one ustalić więź społeczną czy rodzinną i dzięki temu identyfikację konkretnej osoby. Do danych identyfikujących zaliczyć będzie można ponadto: podanie przynależności do grupy osób, oznaczenie zawodu, branży, stopnia akademickiego lub pola działalności gospodarczej.
Szerokie ujęcie zakresu pojęcia danych osobowych stanowi efekt dążenia do tworzenia – jak jest to określane w niemieckiej literaturze przedmiotu – „absolutnego” (całkowitego, pełnego) pojęcia danych osobowych likwidującego wszelkie luki umożliwiające jego relatywizację . Założenie to znajduje wyraz m.in. w motywie 24 (poprawka nr 7), według którego „niniejsze rozporządzenie powinno mieć zastosowanie do przetwarzania z użyciem identyfikatorów internetowych, które znajdują się w urządzeniach, aplikacjach, narzędziach i protokołach, takich jak adresy IP lub identyfikatory plików cookie, oraz identyfikatory radiowe, chyba że identyfikatory te nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Nie powinno zatem budzić żadnych wątpliwości, że adres IP czy też inne adresy internetowe mogą być uznane co najmniej za dane identyfikujące, nawet wówczas, gdy samoistnie ze względu na swoją treść nie będą spełniały kryteriów przewidzianych dla danych osobowych, jeśli umożliwią one nawet pośrednio identyfikację konkretnej osoby . Mimo że w motywie 24 stwierdza się, że wszystkie podane w nim elektroniczne identyfikatory powinny stanowić dane osobowe, wydaje się oczywiste, że chodzi jedynie o te, które są trwale przypisane do konkretnej osoby.
Wydaje się, że zaprezentowana w rozporządzeniu definicja danych osobowych powinna przyczynić się do ograniczenia zróżnicowanej wykładni tego pojęcia w państwach członkowskich i do zrównania w tym względzie poziomu ochrony w UE. Pojawia się jednak wątpliwość, czy tak szerokie ujęcie nie przyczyni się do nadmiernego ograniczenia przetwarzania danych w systemach informatycznych . Ze względu na znaczącą liczbę danych osobowych (w tym także elektronicznych identyfikatorów użytkowników) i częsty automatyzm ich przetwarzania może bowiem dojść do sytuacji, że administrator, nadmiernie obciążony różnymi formalnymi obowiązkami, nie będzie w stanie zapewnić porządku i bezpieczeństwa przetwarzanych danych, co spowoduje, że postulowana ochrona stanie się iluzoryczna.
Do spełniania obowiązków związanych m.in. z minimalizacją przechowywania danych osobowych (art. 5 ust. 1 lit. e propozycji rozporządzenia) wystarczy modyfikacja danych w sposób wykluczający identyfikację osoby, której dane dotyczą. W wyniku takiej modyfikacji powstają tzw. dane pseudonimiczne. Definicję tego pojęcia zawiera art. 4 ust. 2 lit. a propozycji rozporządzenia, według której dane takie „oznaczają dane osobowe, których nie można przypisać konkretnemu podmiotowi danych bez użycia dodatkowych informacji, o ile takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie podmiotowi danych”.
O ile z uznaniem należy ocenić propozycję przyjęcia definicji danych pseudonimicznych, o tyle sposób zdefiniowania tego pojęcia nie jest zbyt trafny, ponieważ za takie dane będzie można uznać jedynie te, które początkowo odnosiły się do konkretnej osoby i które następnie zostały poddane anonimizacji (ukryciu tożsamości). Jedynie bowiem w przypadku anonimizacji powstają dane pseudonimiczne oraz informacje dodatkowe, do których odnosi się definicja . Takie ograniczenie wydaje się jednak nieuzasadnione, zważywszy na to, że obecnie identyfikację umożliwiają nie tylko dane powiązane z konkretną osobą, ale także inne rozczłonkowane dane (np. metadane wykorzystywane w sieciach komputerowych), które dzięki nowoczesnej technologii oraz ich znaczącej liczbie mogą zostać dość szybko i łatwo ze sobą powiązane. Niemalże powszechną praktyką jest również wykorzystywanie pseudonimów przez użytkowników.
Posługiwanie się w rozporządzeniu pojęciem danych pseudonimicznych zostało wskazane w motywie 38 (poprawka nr 15), zgodnie z którym: „O ile interesy lub podstawowe prawa i wolności podmiotu danych nie przeważają, należy zakładać, że przetwarzanie ograniczone do danych pseudonimicznych odpowiada racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem”. Określeniem „ra-cjonalnych oczekiwań podmiotu danych” posługuje się również art. 6 ust. 1 lit. f (poprawka nr 100), określający podstawy zgodne z prawem przetwarzania danych osobowych, według którego takie przetwarzanie jest zgodne z prawem, o ile „(...) jest konieczne dla celów wynikających z uzasadnionych interesów realizowanych przez administratora lub, w przypadku ujawnienia, strony trzeciej, której ujawniono dane, odpowiadających racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem”. Na tym tle pojawia się wątpliwość, na którą zwraca uwagę H. Harting, czy administrator, realizując ciążące na nim obowiązki m.in. ze względu na trudności z określeniem, co stanowi „uzasadniony interes”, nie będzie „wymuszał” podawania danych osobowych i udzielania zgody na ich przetwarzanie . Rozwiązanie takie może zatem przyczynić się do dalszego stosowania praktyki uzależniania świadczenia usług od podania przez usługobiorcę danych osobowych. Brak określenia w sposób wyczerpujący kryteriów pozwalających ocenić, co stanowi „racjonalne oczekiwania”, wywołuje ponadto możliwość różnorodnej ich interpretacji, a w konsekwencji prowadzić może do rozbieżności w praktyce. Taki stan rzeczy zdecydowanie nie służy pewności obrotu prawnego.
Mimo że w propozycji rozporządzenia zachęca się usługodawców do zapewnienia usługobiorcom dostępu do usług świadczonych drogą elektroniczną oraz uiszczania opłat za te usługi w sposób anonimowy lub przy użyciu pseudonimu, brak jest odpowiednich regulacji nakładających na usługodawców dodatkowe obowiązki w tym zakresie. Dotyczy to w szczególności obowiązku poinformowania użytkownika końcowego o możliwości korzystania z internetu anonimowo lub z wykorzystaniem pseudonimu czy też obowiązku zapewnienia anonimowego lub z wykorzystaniem pseudonimu dostępu do usług wówczas, gdy jest to technicznie możliwe oraz zwyczajowo przyjęte. Z tego też względu postulowane rozwiązanie może być postrzegane, co najmniej na tle polskiego ustawodawstwa, w tym m.in. z art. 22 ust. 1 oraz art. 19 ust. 5 ustawy z 18.07.2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2013 r. poz. 1422 ze zm.) , jako krok wstecz.@page_break@

4. Podwójne znaczenie zgody zainteresowanego na wykorzystywanie jego danych osobowych
Jak słusznie wskazuje P. Fajgielski, wyrażenie przez osobę zgody na przetwarzanie danych osobowych oznacza godzenie się na to, aby informacje jej dotyczące były gromadzone i wykorzystywane przez administratora danych . W literaturze przedmiotu zauważa się, że zgoda ma podwójne znaczenie – z jednej strony stanowi instrument, dzięki któremu jednostka korzysta z prawa do infor-macyjnego samookreślenia, z drugiej zaś przenosi ona na nią konieczność (obowiązek) samodzielnego dbania o ochronę jego własnej prywatności .
W tym kontekście warto odwołać się do poglądów F.H. Cate i V. Mayer-Schönbergera , którzy zauważają, że w dzisiejszych czasach w przypadku niemalże każdej usługi online użytkownicy, aby z niej skorzystać, muszą wyrazić zgodę na przetwarzanie ich danych osobowych. Często również muszą wyrazić zgodę na przetwarzanie danych w celach marketingowych. Ta sytuacja stanowi istotne odstępstwo od tego, co było podstawą przyjęcia przed wieloma laty przez ustawodawców rozwiązań służących ochronie danych osobowych, które wówczas skupiały się na tym, że pełnoletni, dobrze poinformowany obywatel podejmował decyzję co do rozpowszechniania danych związanych z jego osobą. Powyższe uwagi autorzy podsumowują tym, że w praktyce obecnie świadome podejmowanie decyzji nie stanowi optymalnego mechanizmu, aby zapewnić właściwą ochronę prywatności oraz zagwarantować uprzednie dostarczenie tej osobie informacji o administratorze, zbiorze danych, jego charakterze czy też celu przetwarzania danych.
Podobnie D.J. Solove zauważa, że im większy zakres dysponowania cudzymi danymi osobowymi administrator uzyska dzięki zgodzie ich właściciela, tym rzadziej w przyszłości będzie musiał zwracać się do niego po kolejną zgodę . Jak zauważa autor, możliwość samookreślenia zakresu przetwarzania danych osobowych zanika w instytucji wyrażania zgody, która już nie koncentruje się na tym, czy przetwarzanie, gro-madzenie i wykorzystanie danych jest dobre lub złe, ale czy osoba wyraziła zgodę na przetwarzanie określonych danych osobowych. W praktyce zgoda legitymizuje zatem każdą formę gromadzenia, wykorzystania i przetwarzania danych osobowych.
W 2009 r. w wyniku współpracy między ekspertami z Europy i USA został zapoczątkowany projekt „Galway”. W wydanym na zakończenie prac opracowaniu zauważono, że ochrona danych osobowych powinna być oparta na odpowiedzialności podmiotów gromadzących i przetwarzających dane osobowe (accountability-based approach), a nie jedynie na samym fakcie uzyskania zgody. Podkreślono, że konsumentowi jest coraz trudniej podejmować świadome decyzje nawet wówczas, gdy ma dostęp do odpowiednich informacji na temat polityki prywatności. Z tego też względu konieczne jest odpowiedzialne podejście do danych osobowych, w szczególności zwrócenie uwagi na to, czy i ewentualnie w jakim zakresie konsument wyraził zgodę na wykorzystanie jego danych.
W opracowaniu postuluje się, aby każdy podmiot zajmujący się gromadzeniem i przetwarzaniem danych: a) zobowiązał się do odpowiedzialnego przetwarzania i gromadzenia danych oraz przyjął wewnętrzną politykę przetwarzania danych zgodnie z krajowymi wymogami (np. obowiązującymi przepisami, powszechnie stosowanymi zasadami przetwarzania lub najlepszymi praktykami itp.); b) wprowadził mechanizmy efektywnej ochrony danych, w tym także podjął się trudu edukacji i kształcenia na tym obszarze; c) weryfikował i na bieżąco oceniał działające systemy przetwarzania danych; d) zapewnił transparentność i wprowadził mechanizmy udziału (korekty) danych przez zainteresowanych; e) przyjął mechanizmy i systemy poprawy procedur i zasad przetwarzania danych.
We wskazanym modelu ciężar ochrony danych osobowych przenosi się zatem na podmioty przetwarzające dane, od których wymaga się przede wszystkim odpowiedzialnego (rozważnego) podejścia do zgody wyrażonej przez osobę, której dane są przetwarzane.
Przyjęcie takiej szerszej perspektywy uzmysławia, że właściwa regulacja ochrony danych osobowych wymaga, po pierwsze, wyważenia potrzeb i interesów związanych z ochroną prywatności, godności czy osobowości człowieka z takimi interesami powszechnymi, jak swobodny przepływ i dostęp do informacji; po drugie zaś – wsparcia (ochrony) osób, których dane osobowe są przetwarzane, w stosunkach z profesjonalistami (przedsiębiorcami), dla których stanowią oni faktycznie słabszą stronę stosunków prawnych, która jest dodatkowo gorzej zorganizowana, często źle poinformowana i zdezorientowana.
Ustawodawca unijny nie zauważa jednak konieczności nowego ujęcia zgody zainteresowanego. Co więcej, w świetle proponowanego rozporządzenia odpowiedzialność (accountability) jest rozumiana niewłaściwie. Według definicji zawartej w art. 5 lit. f jest ona bowiem rozumiana jako „przetwarzane pod nadzorem i na odpowiedzialność administratora, który zapewnia i jest w stanie wykazać zgodność z przepisami niniejszego rozporządzenia (odpowiedzialność)”. W tym ujęciu odpowiedzialność to jedynie zobowiązanie administratora do postępowania zgodnie z obowiązującym prawem. W wersji LIBE rozporządzenia zrezygnowano przy tym z dobrej propozycji KE, według której: „Zgoda nie stanowi podstawy prawnej przetwarzania w sytuacji poważnej nierówności między podmiotem danych a administratorem” (poprawka nr 101), przyjmując jednocześnie założenie, że zgoda „dotyczy konkretnego celu” (art. 7 ust. 4 rozporządzenia). Również to założenie pozostaje w sprzeczności z koncepcją odpowiedzialności administratora za należyte przetwarzanie danych osobowych.@page_break@

5. Znormalizowana polityka informacyjna
Obowiązek prowadzenia dokumentacji przetwarzania danych, udzielania informacji m.in. na temat celu przetwarzania danych, ich kategorii, odbiorcy, którym dane osobowe mają być lub zostały ujawnione (w tym odbiorcy w państwach trzecich), często ze względu na stopień ich skompilowania będzie wymagać szczególnego doświadczenia i wiedzy.
Regulacje przyjęte w projekcie rozporządzenia odnoszą się nie tylko do przedsiębiorstw średnich i dużych, które zajmują się przetwarzaniem danych osobowych w internecie, ale także do mikroprzedsiębiorstw i przedsiębiorstw małych , które prowadzą zbiór danych klientów czy też komunikują się ze swoi-
mi klientami przy użyciu poczty elektronicznej. Można przy tym odnieść wrażenie, że europejski ustawodawstwa nie przewiduje zbyt wielu ułatwień dla takich podmiotów. Przykładowo, w art. 13a (poprawka nr 109) dotyczącym znormalizowanej polityki informacyjnej na wszystkie podmioty nakłada się obowiązek udzielenia podmiotowi, którego dane osobowe są gromadzone, informacji obejmujących m.in.: czy dane osobowe są gromadzone dłużej niż przez okres niezbędny do realizacji każdorazowego szczególnego celu przetwarzania lub czy dane osobowe są przetwarzane w innych celach niż cele, do których zostały zgromadzone. Co więcej, dane takie muszą być przedstawione zgodnie z załącznikiem do niniejszego rozporządzenia w formie uporządkowanej tabeli, przy użyciu tekstu i symboli, w odpowiednich trzech kolumnach. Pewne ułatwienie przewidziano w art. 14 (poprawka nr 110), zgodnie z którym administrator zobowiązany jest udzielić takich informacji tylko na żądanie, gdy dane są przetwarzane przez małe przedsiębiorstwo lub mikroprzedsiębiorstwo, które przetwarza dane osobowe jedynie w ramach działalności pobocznej (art. 14 lit. ba).
Wiele propozycji KE ułatwiających funkcjonowanie takich podmiotów zostało skreślonych. Dotyczy to w szczególności przepisów, które nakładały na KE konieczność uwzględniania specyfiki mikroprzedsiębiorców oraz małych i średnich przedsiębiorców: a) przy doprecyzowaniu kryteriów i wymogów dotyczących sposobów zweryfikowania zgody na przetwarzanie danych osobowych dziecka (art. 8 ust. 3, skreślony poprawką nr 102); b) przy tworzeniu standardowych formularzy służących przekazywaniu informacji podmiotowi danych oraz określenia standardowych procedur dotyczących realizacji obowiązków informacyjnych (art. 12 ust. 6 skreślony poprawką nr 107 oraz art. 12 ust. 6 skreślony poprawką nr 110); c) przy określeniu kryteriów i wymogów dotyczących właściwych środków (m.in. warunków mechanizmów weryfikacji i audytu) w celu zapewnienia, by przetwarzanie danych osobowych przez administratora odbywało się zgodnie z wymogami określonymi w analizowanym projekcie rozporządzeniem (art. 22 ust. 4 skreślony poprawką nr 117); d) przy doprecyzowaniu kryteriów i warunków operacji przetwarzania mogących stwarzać szczególne ryzyko oraz wymogów w zakresie oceny skutków przetwarzania danych stwarzających szczególne ryzyko dla praw i wolności podmiotów danych z racji swego charakteru, zakresu lub celów (art. 33 ust. 6, skreślony poprawką nr 129).
Jednocześnie w propozycji rozporządzenia stwierdza się dość ogólnie w motywie 130 (poprawka nr 92), że KE, aby zagwarantować jednolite warunki wdrażania niniejszego rozporządzenia, realizując uprawnienia wykonawcze w zakresie opracowania standardowych formularzy, „powinna rozważyć wprowadzenie szczególnych środków dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców”.
Warto zauważyć, że w projekcie rozporządzenia szczególna uwaga została poświęcona polityce informacyjnej, a przede wszystkim przedsiębiorcom, którzy online gromadzą oraz przetwarzają dane osobowe. Jednak kwestia wewnętrznego przetwarzania danych oraz związanych z tym procesów przeprowadzanych przez takich przedsiębiorców rzadko jest przedmiotem stosownych regulacji. W sytuacji gdy dane osobowe dotyczące podmiotu danych są gromadzone, przed przekazaniem informacji administrator udziela temu podmiotowi danych następujących informacji: a) czy dane osobowe są gromadzone dłużej niż przez okres niezbędny do realizacji każdorazowego szczególnego celu przetwarzania; b) czy dane osobowe są zatrzymywane dłużej niż przez czas niezbędny do realizacji każdorazowego szczególnego celu przetwarzania; c) czy dane osobowe są przetwarzane w innych celach niż te, dla których zostały zgromadzone; d) czy dane osobowe są przekazywane komercyjnym stronom trzecim; e) czy dane osobowe są sprzedawane lub wynajmowane; f) czy dane osobowe są przechowywane w zaszyfrowanej formie (art. 13a ust. 1).
Nałożenie takiego obowiązku na przedsiębiorstwa internetowe, takie jak Facebook, Google, Yahoo, Amazon itp., wydaje się jak najbardziej uzasadnione . Prawdopodobnie jednak stanowi zbyt daleko idące obciążenie (głównie pod względem finansowym) dla mikroprzedsiębiorców i małych przedsiębiorstw zbierających np. dane klientów sklepów internetowych. Na tym tle pojawia się wątpliwość, czy wskazane wyżej przepisy we właściwy sposób respektują istotę prawa do ochrony danych osobowych, w szczególności zasadę proporcjonalności.@page_break@

6. Procedura nakładania i określania wysokości sankcji administracyjnych
Właściwa ochrona danych osobowych wymaga właściwego określenia zasad stosowania i nakładania sankcji administracyjnych za sprzeczne z prawem przetwarzanie, gromadzenie i przesyłanie danych osobowych.
Zgodnie z propozycją KE każdy organ nadzorczy jest uprawniony do nakładania sankcji administracyjnych za naruszenie przepisów prawa administracyjnego, o którym mowa w szczególności w art. 79 ust. 4, 5 i 6 (art. 53 ust. 4). W art. 79 maksymalna wysokość grzywny została określona w przypadku przedsiębiorstw w ten sposób: „do 2% jego rocznego światowego obrotu, na każdy podmiot” (ust. 6). Wysokość grzywny uzależniona została m.in. od tego, do jakiego naruszenia przepisów doszło. Przykładowo, za umyślne lub lekkomyślne nieu-stanowienie mechanizmów umożliwiających podmiotom danych składanie wniosków lub pobieranie opłat za informację lub odpowiedzi na wnioski przewidziano karę do wysokości 250 000 euro lub – w przypadku przedsiębiorstwa – do 0,5% jego rocznego globalnego obrotu, na każdy podmiot. Jednocześnie w ust. 3 przewidziano, że w razie zaistnienia pierwszego przypadku nieumyślnego naruszenia nie nakłada się sankcji niniejszym rozporządzeniem, lecz udziela ostrzeżenia na piśmie.
Obecna propozycja rozporządzenia jest w tym zakresie znacznie mniej precyzyjna. Zgodnie bowiem z art. 79 ust. 2a (poprawka 188): „Na podmioty, które nie wywiązują się z zobowiązań określonych w niniejszym rozporządzeniu, organ nadzorczy nakłada co najmniej jedną z następujących sankcji: a) ostrzeżenie pisemne w przypadku pierwszej i niezamierzonej niezgodności; b) regularne okresowe kontrole w zakresie ochrony danych; c) wyższa z kwot: grzywna w wysokości 100 000 000 EUR lub 5% rocznego światowego obrotu w przypadku przedsiębiorstw”. Natomiast według ust. 2b tego przepisu: „Jeżeli administrator lub podmiot przetwarzający posiada ważną europejską pieczęć w zakresie ochrony danych, zgodnie z art. 39, grzywnę, o której mowa w ust. 2a lit. c, nakłada się tylko wówczas, gdy naruszenie przepisów było zamierzone lub wynikało z zaniedbania”.
Odmiennie niż w propozycji KE, przewidziano możliwość nakładania drakońskich kar niezależnie od „charakteru, powagi i czasu trwania naruszenia, umyślnego lub lekkomyślnego charakteru naruszenia, stopnia odpowiedzialności osoby fizycznej lub prawnej oraz poprzednich naruszeń popełnionych przez tę osobę, technicznych i organizacyjnych środków i procedur wdrażanych na mocy art. 23 i stopnia współpracy z or-ganem nadzorczym w celu usunięcia naruszenia”. Nieznaczne uzupełnienia w tym zakresie zawiera art. 79 ust. 2c rozporządzenia, według którego dobór sankcji administracyjnych musi wynikać z oceny kryteriów, m.in. takich jak charakter, powaga i czas trwania naruszenia, umyślny lub lekkomyślny charakter naruszenia, stopień odpowiedzialności osoby fizycznej lub prawnej oraz poprzednie naruszenia popełnione przez tę osobę.
Na tym tle pojawiają się liczne wątpliwości. Po pierwsze, czy zasadne (i ewentualnie z jakich względów) jest uprzywilejowanie w ust. 2 lit. b podmiotów , które posiadają ważną europejską pieczęć w zakresie ochrony danych?
Po drugie, czy przyznanie organowi nadzorczemu uprawnienia do nałożenia sankcji administracyjnych bez wymogu udowodnienia winy nie stanowi naruszenia domniemania niewinności, o którym wspomina m.in. art. 6 ust. 2 Konwencji z 4.11.1950 r. o ochronie praw człowieka i podstawowych wolności , według którego: „Każdego oskarżonego o popełnienie czynu zagrożonego karą uważa się za niewinnego do czasu udowodnienia mu winy zgodnie z ustawą”?
Oczywiście, bliskość odpowiedzialności karnej i administracyjnej wynikająca z ich represyjnego charakteru nie oznacza ich tożsamości. Niemniej jednak domniemanie niewinności służy zagwarantowaniu obwinionemu odpowiedniego traktowania. W tym ujęciu, także w przypadku stosowania sankcji administracyjnych, domniemanie niewinności powinno być postrzegane nie tylko jako reguła dowodowa, ale także jako kluczowa zasada nakładania sankcji administracyjnych. Należy tu zauważyć, że także Europejski Trybunał Praw Człowieka (dalej: ETPC) w Strasburgu wielokrotnie podkreślał, że domniemanie niewinności znajduje zastosowanie nie tylko do postępowania w sprawach karnych, ale także w sprawach, w których na obywatela nakładane są grzywny (np. sprawy o wykroczenia drogowe) .
Zasada niewinności wyklucza zatem zastosowanie sankcji administracyjnych dopóty, dopóki nie dojdzie do prawomocnego potwierdzenia winy podmiotu, który nie wywiązał się ze zobowiązań określonych w niniejszym rozporządzeniu, jeśli w ochronie interesu publicznego konsekwencji takich nie przewidują przepisy szczególne. Oczywiste jest przy tym, że takie negatywne konsekwencje bez prawomocnego wyroku mogą być stosowane tylko tymczasowo. Takiego ograniczenia nie można jednak odnaleźć w treści rozporządzenia. W tym kontekście jasne wydaje się, że art. 79 rozporządzenia w obecnym kształcie jaskrawo narusza domniemanie niewinności i z tego też względu wymaga odpowiednich zmian.
W świetle polskiego ustawodawstwa tę ważną zasadę powszechnie uznawaną w demokratycznych systemach ustrojowych w postaci domniemania niewinności ustala art. 42 ust. 3 Konstytucji . Nakazuje on za niewinnego uważać każdego, dopóki sąd prawomocnym wyrokiem winy tej nie stwierdzi. Równie ważna gwarancja została wyrażona w art. 78 w postaci prawa stron do zaskarżania orzeczeń i decyzji wydanych w I instancji.
Warto też nadmienić, że Konstytucja RP z 2.04.1997 r. przyznaje obywatelowi ochronę najważniejszych interesów obywatelskich obejmujących m.in. prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych; ograniczenie tego prawa może określić ustawa (art. 51 ust. 3). Jednocześnie art. 51 ust. 2 Konstytucji RP przewiduje, że: „Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycz-nym państwie prawnym”.
Jak wynika z zacytowanych norm prawnych, regulacją konstytucyjną obejmuje się w szczególności takie pozyskiwanie, przetwarzanie i udostępnianie informacji o obywatelach, które prowadzone jest przez władze publiczne. Potrzeby ochrony obywatela przed ingerencją władzy w jej życie prywatne, która jest przecież szczególnie zainteresowana w zdobywaniu informacji na temat swoich obywateli, nie zauważa się jednak w ogóle w projekcie rozporządzenia. W szczególności postępowanie kontrolne skierowane czy to przeciwko obywatelowi, czy przedsiębiorcy niewątpliwie oceniać należy w kategorii realizacji przez ten podmiot przymusu państwowego . Oceniając pod tym kątem rozwiązania przyjęte w rozporządzeniu, za niewystarczające uznać należy regulacje art. 74 dotyczące prawa do sądowego środka ochrony prawnej przeciwko organowi nadzorczemu i to zarówno w wersji zaproponowanej przez KE, jak i LIBE, głównie ze względu na brak uszczegółowienia zasad i procedury wykonywania czynności kontrolnych, np. określenia maksymalnego czasu prowadzenia kontroli. Należy także zauważyć, że mimo iż poprawką nr 183 do art. 74 rozporządzenia nastąpiło wzmocnienie pozycji Europejskiej Rady Ochrony Danych (European Data Protection Board) jako najwyższego europejskiego organu ochrony danych osobowych, jednocześnie jednak obywatelowi (zarówno w sprawach o zakresie ogólnym, jak i w przypadkach indywidualnych) nie została przyznana jakakolwiek możliwość, w ramach tzw. mechanizmu zgodności (art. 57 i kolejne rozporządzenia ), zakwestionowania np. zbyt daleko idącej interpretacji treści niniejszego rozporządzenia przez krajowy organ nadzorczy.@page_break@

7. Podsumowanie
Niewątpliwie wdrożenie rozwiązań prawnych przyjętych w niniejszym rozporządzeniu zdecydowanie zmieni poziom ochrony danych osobowych w UE zarówno z uwagi na harmonizację w tym względzie przepisów krajowych z prawem unijnym, jak i z powodu dostrzeżenia konieczności szczególnej ochrony prawa do prywatności zagrożonego głównie przez stale rosnący przepływ danych osobowych poza granice UE oraz coraz powszechniejsze ich automatyczne przetwarzanie. Chociaż proponowana wersja rozporządzenia uwzględniająca głównie poprawki zaproponowane przez Komisję Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych jest w dużym stopniu dostosowana do obecnej specyfiki przetwarzania danych osobowych, w tym także do warunków ich elektronicznego przetwarzania, nie może to jednak przysłaniać istotnych mankamentów niektórych zaproponowanych przepisów prawnych. Analiza obecnego kształtu propozycji rozporządzenia skłania do wniosku, że w wielu przyjętych w nim postanowieniach nie zauważa się w szczególności potrzeby poszukiwania równowagi między chronionymi dobrami z uwzględnieniem charakteru, wagi i rodzaju interesów wchodzących w rachubę. Nie można przecież przyjąć, że wszystkie informacje dotyczące konkretnej osoby są warte ochrony. Wymaga to przede wszystkim oceny kontekstu przetwarzania danych z zachowaniem proporcji między celem ingerencji a zastosowanymi środkami.

A few critical comments on the proposal for a regulation on the protection of individuals with regard to the processing of personal data  and on the free movement of such data (General Data Protection Regulation)
On 21 October 2013 Committee on Civil Liberties, Justice and Home Affairs (LIBE) presented the final version of the draft regulation on the protection of personal data, which was approved by the European Parliament and the Council in March 2014, in the first reading. Implementation of the legal solutions adopted in this Regulation definitely changes the level of protection of personal data in the EU.
Presented elaboration is devoted to the analys the provisions concerning the basic principles of the processing of personal data, including the definition of personal data and data protection rules. It concerns also European certification, the obligation to standardized information policy (in particular in the context of the processing of personal data by micro and small enterprises), as well as the regulations on administrative penalties aimed specifically towards their exacerbation.

Autor: dr Maciej Siwicki, Uniwersytet Mikołaja Kopernika w Toruniu

Artykuł pochodzi z miesięcznika Państwo i Prawo 2016/3>>