Praca Inspektora ochrony danych potrafi (tak jak każdy zawód) przynieść satysfakcję, ale również być źródłem wielu zgryzot i niepewności. Satysfakcja pojawia się m.in. wtedy, gdy dostajemy trudny kazus do rozgryzienia i drogą dedukcji, odpowiedniej wykładni przepisów – potrafimy dotrzeć do rozwiązania. Gdy stykamy się z problemem, który nie był jeszcze rozwiązywany, a przyszłość (decyzje Prezesa UODO, wyroki sądów, ogólna praktyka) pokazuje nam, że mieliśmy słuszność.
No dobrze, to gdzie te zgryzoty i niepewność? Problem (a może szczęście?) w tym, że są one ściśle związane z wyżej wymienionymi zadaniami i bez siebie nie mogą istnieć. Niepewność bierze się przede wszystkim z niedookreślonych przepisów prawa, wyroków sądów czy rekomendacji i decyzji UODO. Zgryzota pojawia się wtedy, gdy brakuje takich przepisów lub co gorsza – są one ze sobą sprzeczne. Nie jest to oczywiście problem tylko ochrony danych osobowych. Tam, gdzie pojawia się słowo (np. w postaci aktu normatywnego), tam zawsze będą różnice interpretacyjne. Wyjątkowość tej działki prawnej polega na kilku charakterystycznych przymiotach:
- Dość krótkiej „kariery” ochrony danych osobowych pod względem przepisów prawnych jak i praktyki.
- Dynamicznie zmieniającej się technologii.
- Dynamicznie zmieniających się relacji międzyludzkich, systemu społecznego, biznesu.
- Globalizacji – pod względem ujednolicenia przepisów, zasad, jak i wymiany danych.
Ad. 1
Dość krótki okres obowiązywania przepisów o ochronie danych osobowych (w Polsce od 1997 roku), a także duże zmiany jakie zaszły w przeciągu ostatnich lat powodują, że niewiele mamy źródeł, z których możemy czerpać wiedzę. Oczywiście mamy przepisy powszechnie obowiązujące, których pionowy porządek systemu nie nastręcza problemów. Na samej górze znajduje się Ogólne rozporządzenie o ochronie danych, kolejno stosujemy zasady wynikające z Konstytucji RP, następnie ustawy, rozporządzenia, zarządzenia i w końcu – to co sami wypracujemy wraz z administratorem. Oczywiście akty niższego rzędu muszą być zgodne z tymi powyżej. Czyli co do zasady mamy to samo, co w przypadku innych działek prawnych. Z jednym jednak – „ale”. Po pierwsze – RODO nie świeci przykładem szczegółowości (jak zresztą każde prawo europejskie, o czym później). Po drugie polski ustawodawca nie spieszył się z uchwalaniem przepisów szczególnych. Ustawa o ochronie danych osobowych skupia się na Urzędzie oraz kontroli. Pakiety zmienianych ustaw, odpowiadały na wiele pytań, ale wiele zostały bez tych odpowiedzi.
Najczęstszym problemem nie jest CO ZROBIĆ, tylko JAK. Odpowiedzi na te pytania, nie powinny jednak zostać zawarte w przepisach powszechnie obowiązujących (wtedy cofnęlibyśmy się do systemu prawnego Mezopotamii), ale w naszych procedurach. Tylko co zrobić, kiedy nie wiemy jak? I tutaj dochodzimy do punktu, który wypada blado w stosunku do pozostałych gałęzi prawa. Chodzi o literaturę (glosy, opinie uznanych autorytetów prawa – żeby nie rzec jurystów), wyroki sądowe, decyzje Prezesa UODO a nade wszystko – jego rekomendacje. Jeżeli chodzi o glosy, to ich niewielka ilość wynika z niewielkiej ilości prawników, którzy postanowili się w tej dziedzinie wyspecjalizować. Niewielka ilość wyroków sądowych wynika z krótkiego czasu stosowania nowych przepisów i niewielkiej ilości spraw w tym przedmiocie. Nie oznacza to jednak, że nie powinniśmy korzystać z wyroków wydanych na podstawie poprzednich przepisów. Jeżeli dotyczyły one zasad, które znalazły również odzwierciedlenie w aktualnych przepisach – powinni one pozostać naszym drogowskazem. Przestrzegam jednak przed nadmiernym czy bezrefleksyjnym korzystaniem z wyroków.
- Po pierwsze – system prawa w Polsce należy do systemów kontynentalnych, gdzie prawo precedensu nie działa. Oznacza to tyle, że orzeczenia sądowe wywołują skutki tylko w ramach rozstrzyganej sprawy. Jednak dobrze wiemy, że w praktyce wygląda to trochę inaczej. Znane są w Polsce tzw. utrwalone linie orzecznicze (które w praktyce mogą się ze sobą kłócić, a każdy sąd rejonowy może się od nich wyłamać). Poza tym Sąd Najwyższy uchwałami może wprowadzić zasady prawne (które wyjaśniają dany problem lub usuwają rozbieżność w jego rozwiązywaniu). Należy jednak przy tym pamiętać, że podstawą prawną tych zasad prawnych jest prawo stanowione (art. 87 ustawy o Sądzie Najwyższym). I w tym wypadku sąd powszechny może się od tych zasad wyłamać, ale w praktyce nie zdarzają się to zbyt często (ponieważ można być prawie pewnym uchylenia takiego wyroku w wyższej instancji). Takie precedensowe podejście do stosowania prawa jest oczywiście wygodne i ujednolicające przepisy. Sprawa raz rozstrzygnięta może skrócić czas wydania kolejnych wyroków. W biznesie nazwalibyśmy to automatyzacją, standaryzacją oraz efektem skali 😉
- Po drugie – często spotykam się z praktyką „naciągania” danego wyroku pod swój kazus. Dzieje się to w sytuacji, gdy jak na złość brakuje nam rozstrzygnięcia w sprawie podobnej do naszej. Wtedy niektórych kusi, aby fragmenty uzasadnienia sądu wykorzystać do swojej interpretacji (bez szerszego kontekstu).
- Po trzecie – korzystanie z wyroków sądów okręgowych czy wojewódzkich sądów administracyjnych. Sąd Okręgowy w Bydgoszczy może mieć całkowicie odmienne zdanie jak Sąd Okręgowy w Poznaniu. Poza tym, nawet ugruntowana linia orzecznicza sądów niższych instancji może nie mieć odzwierciedlenia w wyrokach sądów wyższej instancji. Przykład? Ostatni wyrok NSA (I OSK 1482/18), który wyłamywał się z wypracowanej praktyki licznych wyroków sądów wojewódzkich.
Decyzje i rekomendacje Prezesa UODO nie mają również zbyt imponującej biblioteczki. Z decyzji Urzędu możemy wyczytać stanowisko organu kontrolującego, ale również to – czego w tych decyzjach nie zawarł. Przykładowo, jeżeli Urząd rozstrzyga daną sprawę i nakłada kary za dane działanie lub zaniechanie, możemy wówczas odczytać co w jego ocenie nie podlega karze, a więc jest prawidłowe. Nie musimy zgadzać się z decyzjami Urzędu. Często słyszę od innych Inspektorów (czy osób, które w przestrzeni ostatnich lat zbudowały sobie autorytet specjalistów w tej dziedzinie), że nie będą rekomendować swoim klientom danych rozwiązań „bo Urząd nie ma racji”. No cóż – jeżeli decyzja zostanie uprawomocniona (czy to przez termin czy wyrok sądu administracyjnego), to chcąc nie chcąc – Urząd ma rację. I tylko on jest władny nakładać administracyjne kary finansowe, których tak bardzo nasi klienci chcą się ustrzec. Największy jednak problem polega na tym, że Urząd nie wydaje wystarczającej ilości rekomendacji. Albo wydawane nie udzielą tak naprawdę żadnej odpowiedzi lub o zgrozo – są ze sobą sprzeczne. Przykładem dobrze napisanych rekomendacji jest podręcznik dla pracodawców, który został opublikowany w 2018 r. Są tam konkretne pytania z odpowiedziami i co ważniejsze – z przykładami. Nic tak nie tłumaczy jak dobry przykład czy porównanie. Z drugiej strony, przykładem gorszych rekomendacji mogą być niektóre newslettery, które tak naprawdę niczego nowego nie wnoszą – a mogą być przykładem dużego zamieszania, jak w przypadku PPK. Trzeba jednak spojrzeć na ten temat z pozycji Urzędu. Ochrona danych osobowych jest na tyle szeroką dziedziną, że ciężko napisać rekomendacje, które obejmowałyby całość tematu i byłyby prawidłowe dla wszystkich „podobnych” sytuacji. Jak w języku Inspektorów, najczęściej znajdziemy wyrażanie „to zależy”, tak w opinii Urzędu będzie to „odpowiednio do zagrożeń”. Ponadto Urząd musi uchodzić za nieomylny (tak jak każda instytucja państwowa). Dlatego zbyt szczegółowe, jednoznaczne odpowiedzi, mogą narazić Urząd na błąd, który będzie uciążliwą rysą na jego spiżowym pomniku.
Ad. 2
Zmieniająca się technologia z jednej strony sprawia, że praca Inspektora staje się dużo prostsza (np. upowszechnianie zabezpieczeń w postaci szyfrowania danych, chmury, pseudonimizacja), ale z drugiej strony może prowadzić do wielu nowych zagrożeń. Ciągły wyścig technologiczny odbija się również na ewentualnych dziurach w zabezpieczaniu danych. Dlatego też wymyślono takie obowiązki jak privacy by design. Nie tylko sama technologia może stanowić zagrożenie dla naszych danych, ale również sposób jej wykorzystania. Najlepszym przykładem jest okres pandemii i wykorzystywanie technologii (która poprzednio była używana w innych celach) do zapobiegania jej rozprzestrzeniania. Ale na ten temat chciałbym więcej powiedzieć innym razem.
Ad. 3
Dynamicznie zmieniające się relacje międzyludzkie prowadzą do zmiany wymiany informacji (w tym danych osobowych) pod względem ich sposobu jak i zakresu. Najpierw mieliśmy wymianę danych poprzez gesty, buczenia i groźne miny. Kolejno przeszliśmy do bardziej wysublimowanych sposobów jak mowa, pismo, druk – by w końcu przejść kolejną rewolucję, tj. cyfryzacja i Internet. To co jednak odróżnia Internet od wynalezienia pisma czy druku, to fakt, że po jego odkryciu nie mamy kilkuset lat spokoju. Od pierwszego wysłanego maila mija prawie 50 lat, od pierwszego w Polsce tylko 30.
Ile w tym czasie rzeczy się zmieniło w relacjach społecznych… Biznes oczywiście też nie próżnuje i korzysta pełnymi garściami z możliwości technologii w relacjach z pracownikami (praca zdalna) czy klientami. Mało która firma korzysta dziś z rozwiązań znanych z lat 90’, gdzie handlowiec potrzebował aktualnej książki telefonicznej i telefonu (oczywiście na kablu). Dzisiaj jest dużo więcej form dotarcia z ofertą do potencjalnych klientów. W pewnym momencie stało się to na tyle uciążliwe, że większe zainteresowanie czuliśmy od handlowców niż od naszych rodzin czy znajomych. Na szczęście ukróciły się te praktyki wydzwaniania, przesyłania ofert na maila – dzięki zmianom w przepisach ochrony danych (art. 5, 6, 13 RODO) jak również w przepisach szczególnych (art. 172 Prawa telekomunikacyjnego). Jest w tej kwestii dużo jeszcze do zrobienia. Prezes UODO wydaje się tego świadomy, co potwierdzają jego ostatnie sprawdzenia lub próby podjęcia kontroli (decyzja ZSPR.421.19.2019).
Ad. 4
Globalizacja. Mam tu na myśli nie tylko przepływ danych pomiędzy krajami EOG a pozostałą częścią świata, ale również standaryzacja prawa wewnątrz Unii. Chodzi przede wszystkim o RODO. Popularność tego aktu prawnego myślę, że wyprzedziła nie tylko oczekiwania, ale i marzenia jego autorów. Sam skrót RODO, który stał się marką samą w sobie, był i jest gwiazdą wielu memów, żartów i anegdot. Jest to zarazem tekst, który podlega ogromnej krytyce. Przyznaję, że sam cierpiałem czytając go za pierwszym razem. Tak jak zresztą przy każdej próbie zrozumienia prawa europejskiego. Główny zarzut stawiany wobec RODO jest jego ogólnikowość, która w mojej opinii jest zarazem jego mocną stroną i rzeczą… nieuniknioną. UE składa się z 27 państw. Każde z nich ma swoją odrębną historię, zwyczaje, kulturę – które kreowały na przestrzeni wieków przepisy prawa, kulturę jego przestrzegania i stosowania. W tym tyglu ciężko znaleźć wspólny mianownik, który by zaspokajał wszystkie potrzeby państw członkowskich. Dlatego Rozporządzenia są zbiorem wspólnych wartości, zasad a przede wszystkim celów – które każde z państw powinny osiągnąć. W tym wypadku jednak zdecydowano się na uchwalenie Rozporządzenia (które stosujemy wprost), a nie Dyrektywy, która daje wolną rękę co do wyboru drogi, jaką wybierze dane państwo do osiągnięcia wyznaczonego celu. Nie tylko podnosi to prestiż tego dokumentu, ale narzuca również większą dyscyplinę wszystkich państw członkowskich. Nie znaczy to jednak, że nie dano państwom pewnej przestrzeni do zagospodarowania. Po pierwsze – właśnie ta ogólnikowość dokumentu jest tego wyrazem. Po drugie – w Rozporządzeniu znajduje się wiele przepisów, które dają wolną rękę członkowi UE w luzowaniu lub zacieśnianiu pasa praw i obowiązków. Ogólnikowość zapisów wynika również z ciągłej zmiany technologii i stosunków społecznych. Szczegółowy tekst (np. uchylone Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r.), który dokładnie określałby obowiązkowe środki zabezpieczeń – stałby się po kilku latach nieaktualny. I cała machina biurokratyczna musiałaby ruszyć od nowa. Dlatego złość na ciągły brak podstawowych rozstrzygnięć, sposobu działania czy sprzeczności w przepisach, powinna być kierowana nie do autorów RODO, ale do naszych ustawodawców.
Podsumowując, stosowanie prawa potrafi być słodko-gorzkie. Na pocieszenie powiem tylko, że mogło być gorzej. Są dziedziny nauki, gdzie badacz musi się bazować na jeszcze bardziej niedookreślonych źródłach. Przykładowo historycy troszcząc się o porządek chronologiczny dziejów, muszą opierać się na kronikach, które czasookres potrafią określić słowami „Pozostawał tam przez wiele dni czy lat”[1]…
[1] Helmold, Kronika Słowian
Autor: Tomasz Nowiński, Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.
© Copyright by CompNet Sp. z o. o.