Cele archiwalne w interesie publicznym w rozporządzeniu ogólnym o ochronie danych
W świetle rozporządzenia prawo do ochrony danych osobowych wolno ograniczać, gdyby w związku z realizowaniem celów archiwizacji literalne wypełnienie obowiązków administratorów danych okazywało się niemożliwe albo wymagało od nich niewspółmiernego wysiłku[1]. Pojęcie niewspółmierności pozostawione zostało bez żadnego odniesienia, lecz bez wątpienia mowa w tym miejscu o zróżnicowanych nakładach – w tym organizacyjnych, finansowych i czasowych – przyrównanych do korzyści osób, których dane dotyczą, płynących z pełnego respektowania ochronnych gwarancji. Występują też podobne zwroty, które dopuszczają ograniczenie prawa do ochrony, gdyby całkowite jego egzekwowanie miało „uniemożliwić albo poważnie utrudnić” osiąganie celów archiwizacji[2]. Ta ostatnia przesłanka została wzmocniona zastrzeżeniem, że wyjątki mogą być dopuszczone, o ile konieczne są do realizacji konkretnych celów. Takie sformułowanie wyklucza, co do zasady, przywileje blankietowe, motywowane np. wagą ogólnie ujmowanej działalności administratora danych. Oblig, by stosowanie się do zasad przetwarzania było rozliczalne, potencjalnie oznacza zdanie rachunku z każdego odstępstwa od podstawowego standardu. Rozporządzenie opiera się bowiem – co w literaturze trafnie podkreślono – na zasadzie domniemania winy administratora danych[3]. To na nim spoczywa ciężar wykazania, że działa zgodnie z prawem.
Nawet uzasadnione wyjątki nie mogłyby skutkować całkowitym uchyleniem gwarancji, które rozporządzenie przewiduje. Postulat strzeżenia elementarnego sensu europejskiej regulacji przed ekscesami praktyki skierowany został do wszystkich administratorów i objął wszelkie wiadomości o żyjących ludziach – z zastrzeżeniem ich rozsądnej i prawdopodobnej wyszukiwalności – bo każdą z nich można posłużyć się na szkodę jednostki. Dozwolone odstępstwa, zwłaszcza na rzecz władzy publicznej, nie są błahe, ale brzegowe pryncypia wiążą, co do zasady, wszystkich.
Przetwarzanie danych z pewnością powinno pozostawać umocowane w akceptowanych
i formalnie usankcjonowanych wartościach. Nawet niecelowość stanowi w tej dziedzinie poważne naruszenie. Nie byłoby dopuszczalne używanie informacyjnych instrumentów do wtargnięcia w ludzką prywatność, do inwigilacji, społecznej stygmatyzacji, dyskryminowania ani represjonowania ludzi, wywierania na nich niechcianego wpływu, a w tym niejawnego manipulowania ich zachowaniami. Problematyczne bywa samo upublicznianie tożsamości osób. Kategoryczny sprzeciw budzi zresztą dopuszczenie do takich skutków przez administratora danych, choćby nieumyślnie. Niedozwolone stało się również – z wyjątkami zawarowanymi w rozporządzeniu – stawianie ludziom przeszkód w sprawowaniu kontroli nad przetwarzaniem dotyczących ich danych. Dotyczy to utrudniania przepływu wiedzy o odnoszących się do nich operacjach na danych osobowych, a także pozbawiania ich możności oddziaływania na te dane, w tym ich modyfikacji i kwestionowania.
Kwalifikowaną formą limitowania wyjątków na rzecz wybranych celów przetwarzania jest wzbronienie naruszeń istoty prawa do ochrony danych. Nie budzi wątpliwości, że owego rdzenia osłonowych gwarancji nie wolno naruszać w ogóle, ale zakaz wyrażony został w kontekście przetwarzania szczególnych kategorii danych osobowych (tzw. danych wrażliwych) – m.in. w związku z realizowaniem celów archiwizacji[4]. Rozumieć go należy jako przeciwwagę dla uchylenia – na rzecz realizacji tych celów – generalnego zakazu przetwarzania takich danych[5].
„Istota prawa do ochrony” to klauzula generalna, która z natury nie poddaje się precyzowaniu in abstracto[6]. Wolno niemniej przyjąć, że, jej wyróżnienie w powiązaniu ze szczególnymi kategoriami danych wynika z podwyższonej dbałości o interesy osób, których te dane dotyczą. Europejscy prawodawcy podjęli się skatalogowania typów informacji, których przetwarzanie uznali za szczególnie ryzykowne. Jest to – a nie mógł być inny – zestaw arbitralny i nieuchronnie niepełny. Obejmuje dane, które mogą ujawniać pochodzenie rasowe lub etniczne określonych ludzi, ich poglądy polityczne, religijne lub filozoficzne przekonania, przynależność do związków zawodowych, stan zdrowia, życie seksualne i seksualną orientację, a także cechy genetyczne lub biometryczne.
W związku z ich przetwarzaniem w rozporządzeniu mówi się ogólnie o ryzyku dla podstawowych praw i wolności[7]. Jest więc ono złożone, wymagające przyrównywania do tak określonych prawnie chronionych dóbr. Ujawnienie tego rodzaju danych mogłoby stawiać ludzi w niekorzystnej sytuacji społecznej bądź osobistej[8]. Nieakceptowane oddziaływania, bazujące na informacyjnych nadużyciach, z zasady nie są co do rodzaju inne niż w przypadku „zwykłych” danych osobowych. Bywają jednak znacznie bardziej intensywne. Ponadto jednak pojawiają się zagrożenia specyficzne, bo np. danymi biometrycznymi lub genetycznymi można posłużyć się nie tylko do zbanalizowanej kradzieży tożsamości, ale też do występków przeciw integralności człowieka, nie wyłączając zakazanej eugenicznej selekcji albo reprodukcyjnego klonowania[9].
Istota prawa do ochrony danych osobowych nie znajduje w rozporządzeniu pozytywnego zdefiniowania, ale dostrzegalny jest jej odwrócony cień: wszystko, co w toku przetwarzania nie może się zdarzyć, jeśli miałaby być uchroniona.
Kategoryczne, choć inne ograniczenie przetwarzania objęło również dane osobowe, które dotyczą „wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa”[10]. W stosunku do nich rozporządzenie nie przewiduje specjalnego traktowania celów archiwizacji, a nawet nie wynika z niego wyraźnie, by uwzględniało ich wypełnianie. Można, co najwyżej, powiązać posługiwanie się tego rodzaju informacjami z pozytywnie wyróżnioną w rozporządzeniu archiwizacją, która służy rozliczaniu rządów dyktatorskich i zbrodni. W Polsce ustalił się skądinąd kontrowersyjny model niemal całkowitego wyłączania tego rodzaju rozliczeń spod działania prawa ochrony danych – co wydaje się aberracją[11]. Rozporządzenie formułuje, w każdym razie, warunek nadzoru władz publicznych nad przetwarzaniem takich danych, a także wymaga, by przepisy pozwalały na ich przetwarzanie, przewidując zarazem odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Natomiast polskie prawo krajowe nie krępuje archiwizacji wskazanych danych na ogólnych zasadach – i odpowiednio do tego kształtuje się praktyka, sprowadzając ryzyko naruszania prawa do ochrony danych. Przeciwdziałania mu można upatrywać w ustawowej karencji na udostępnianie akt spraw sądowych i dochodzeniowych[12]. Ma ona niemniej wpływ na jeden tylko – krytycznie wprawdzie ważny – przejaw przetwarzania danych. Ponadto, owa karencja należy do najżywiej kwestionowanych przez zawiedzionych badaczy i publicystów, a poddanie jej uznaniowym wyjątkom zostało przesądzone przez sejmową komisję[13].
[1] Art. 14 ust. 5 lit. b, art. 19, art. 34 ust. 3 lit. c, mot. 62 R.2016/679.
[2] Tamże, art. 14 ust. 5 lit. b, art. 17 ust. 3 lit. d, art. 89 ust. 3, mot. 62.
[3] Gawroński, Ochrona danych, s. 51.
[4] Art. 9 ust. 2 lit. j (por. też lit. g) R.2016/679.
[5] Tamże, art. 9 ust. 1, mot. 52 i 53.
[6] Specyficznie sformułowała to Ewa Kulesza: „podstawowe uprawnienia stanowiące istotę ochrony danych: prawo do informacji i prawo do kontroli przetwarzania danych osobowych”, Ochrona danych osobowych klientów jako element działania etycznego przedsiębiorcy (w:) „Annales. Etyka w życiu gospodarczym” 2010, vol. 13, nr 1, s. 97-98 (http://www.annalesonline. uni.lodz.pl/archiwum/2010/ 2010_01_kulesza_97_105.pdf [odczyt 2018 09 18]).
[7] Mot. 51 R.2016/679.
[8] Por. Sakowska-Baryła, Ogólne rozporządzenie, komentarz do art. 9 [1]; Fajgielski, Ogólne rozporządzenie, komentarz do art. 9 [6]. Oboje autorzy szczególnie wyróżnili ryzyko dyskryminacji.
[9] KPP UE, art. 3.
[10] Art. 9 ust. 4 lit. c, art. 10, mot. 75, 97 R.2016/679.
[11] Art. 71 ustawy z dnia 18 grudnia 1998 r. o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu (Dz. U. z 2018 r. poz. 2032, 2529, z 2019 r. poz. 131); por. mot. 73 R.2016/679. Podobne wątpliwości sygnalizowane są w związku z art. 6 ustawy o ochronie danych osobowych, w zakresie, w jakim wyłącza on ochronę w stosunku do całościowo ujętej działalności służb specjalnych – zob. Sakowska-Baryła (red.), Ogólne rozporządzenie, K. Wygoda, komentarz do art. 2 [1] R.2016/679, s. 54.
[12] Art. 16b ust. 2 pkt 4 unza. Litwiński, Rozporządzenie UE – komentarz do art. 89 [1] R.2016/679.
[13] Zapis przebiegu posiedzenia Komisji [Sejmu] do spraw Petycji (nr 70) z dnia 5 kwietnia 2017 r. – http://orka.sejm.gov.pl/zapisy8.nsf/0/008BDD008D5E4FA0C12580FE0048BB7B/%24File/0175208.pdf [odczyt 2018 07 08]. Rozstrzygnięcie komisji przez kolejne lata pozostało wprawdzie bez skutku.
dariuszgrot 