Cele archiwalne w interesie publicznym w rozporządzeniu ogólnym o ochronie danych
Specyficznym pomniejszeniem praw i wolności na rzecz celów archiwizacji, zapewnionym bezpośrednio w rozporządzeniu, są częściowe zwolnienia z obowiązków informacyjnych administratora danych, związanych z kontrolą ich przetwarzania w przypadkach, gdy nie pozyskano ich od osoby, której one dotyczą. Są to sytuacje typowe, gdy archiwizacja wiąże się ze zmianą administratora. Trzeba postrzegać je jednak w szerokim kontekście komunikacyjnych standardów.
Szereg powinności administratorów danych wobec wszelkich osób, których te dane dotyczą, zamierza do zapewnienia rzetelności przetwarzania – splecionej z przymiotem przejrzystości[1]. Dlatego każda z tych osób musi być przede wszystkim powiadomiona, że jest władna wywierać wpływ na zarządzanie wiedzą o sobie samej – korygując je lub nawet blokując. Następnie – że ma prawo zażądać dostępu do danych na swój temat, wnieść do nich sprostowanie, sprzeciwić się ich przetwarzaniu, domagać się ich usunięcia albo cofnąć zgodę, o ile taka była podstawa zgromadzenia danych i dalszego ich używania. Ponadto – że może wystąpić o ograniczenie przetwarzania tych danych. Należy wreszcie poinformować ją o prawie wniesienia skargi do organu nadzorczego, właściwego w dziedzinie ochrony danych osobowych.
Mowa więc o powinności wyposażenia jednostki w instrumenty kontroli nad odnoszącymi się do niej informacyjnymi operacjami. Widać, że jest to tylko jeden z aspektów rzetelności przetwarzania, jej gwarancje zewnętrzne, egzekwowane bezpośrednio przez tych, którzy podlegają rozpoznaniu i badaniu przez administratorów danych. Poza tym, oczywiście, owi administratorzy zobligowani są do wierności standardom, choćby nawet nikt z zainteresowanych do nich się nie zwracał, niczego nie żądał. Praktyczne prawidła przetwarzania wiedzy o ludziach oraz etyczny naddatek wzajemnie dopełniają się w rozporządzeniu.
Jednocześnie, nie sposób precyzyjnie rozgraniczyć obowiązków informacyjnych, których respektowanie odsuwa ryzyko nieuczciwych praktyk, od służących temu tylko, by ludzie byli świadomi, że ktoś na nich patrzy (choćby w istocie posiłkował się przy tym bezrozumnymi algorytmami), a w pewnym stopniu również – co może wyniknąć dla zainteresowanego z takiej obserwacji. Katalog tych obowiązków podzielony został na moduły, które jednak nie odzwierciedlają ukrytego rozróżnienia.
Rozporządzenie zastrzegło w każdym razie, by każdy, kto został poddany informacyjnym operacjom, miał w nich pełne rozeznanie, a przynajmniej, by mógł je uzyskać – tak więc, by przetwarzanie dotyczących go danych było dla niego przejrzyste, wraz z jego istotnymi okolicznościami i kontekstem. Powinien dowiedzieć się zwłaszcza, kto, w jakim celu i jakie wiadomości o nim przetwarza. Również – jak długo, a jeśli nie można wskazać okresu, niechby to były przynajmniej kryteria, które posłużą do wyznaczenia czasowych granic. Gdyby zaś dane zostały ujawnione jakimkolwiek podmiotom albo takie zdarzenie jest przewidywane, trzeba wskazać tych odbiorców lub przynajmniej ich kategorie. Podobną naturę ma powinność podania do wiadomości zamiaru przekazania danych do innego państwa albo organizacji międzynarodowej.
Konsekwentnie, osoba, której dotyczą przetwarzane dane, powinna dowiedzieć się o ewentualnym zamiarze dalszego ich przetwarzania w celu odmiennym niż ten, do którego uprzednio zostały pozyskane – od niej albo z innego źródła. Tak radykalna modyfikacja z zasady prowadziłaby do wznowienia sekwencji komunikatów ze strony administratora danych.
Wzorzec przejrzystości przetwarzania danych objął nie tylko przekazywanie określonych treści, ale i formę tego działania – z naciskiem na prostotę i jasność języka używanego przy informowaniu i pouczaniu o przysługujących prawach. Przekaz powinien bowiem być zrozumiały dla zróżnicowanych odbiorców, w tym dla dzieci.
Ważne pozostaje również, czy owe specyficzne przejawy zainteresowania zidentyfikowaną jednostką są w ogóle dozwolone. Stąd obowiązek przekazania informacji o prawnej podstawie przetwarzania albo – odpowiednio – o prawnie uzasadnionym interesie administratora bądź strony trzeciej, którego realizacji ma służyć to przetwarzanie.
Gdyby osoba, której dane dotyczą, sama ich dostarczyła, powinna dowiedzieć się na początku, czy ich podania wymaga ustawa, czy też stanowi ono warunek zawarcia umowy albo wynika z umowy już zawartej[2]. Także – czy jest obowiązana podać wiadomości o sobie i z jakimi konsekwencjami musi się liczyć, gdyby tego nie uczyniła. Z tego tytułu, że przekazała dane na swój temat, może wystąpić o ich przeniesienie do innego administratora.
W razie pozyskiwania danych nie od osoby, której one dotyczą – co może być standardem w przypadku celów archiwizacji – ich administrator powinien dodatkowo ujawnić wobec niej źródło ich pochodzenia, wskazując, czy jest publicznie dostępne[3]. Jest też zobligowany do poinformowania, jakie kategorie danych wchodzą w rachubę. Z drugiej strony, osoby, które nie dostarczyły danych na swój temat, nie mogłyby domagać się przeniesienia tych danych do innego administratora. Wolno też wobec nich – prawem kluczowego wyjątku – odstąpić od powiadomień, gdyby ich udzielenie okazało się niemożliwe lub wymagało „niewspółmiernie dużego wysiłku” albo gdyby literalne wykonywanie informacyjnych obowiązków miało uniemożliwić bądź poważnie utrudnić osiągnięcie celów przetwarzana. Pod tym względem wyróżnieniu uległo – choć nie na zasadzie wyłączności – przetwarzanie do celów archiwizacji w interesie publicznym, do celów badań naukowych bądź historycznych albo do celów statystycznych. Prawodawcy wzięli pod uwagę występujące w takich sytuacjach komunikacyjne utrudnienia, choć nie zwolnili zarazem administratorów danych ze staranności w chronieniu praw i wolności oraz prawnie uzasadnionych interesów osób, których dane dotyczą. Wskazali w szczególności możliwość zastępczego przekazania wymaganych informacji – poprzez ich odpowiednie upublicznienie.
Rozporządzenie bezpośrednio przesądziło też o ograniczeniu albo wręcz wyłączeniu prawa do usunięcia danych, tzw. prawa do bycia zapomnianym – gdyby okazało się prawdopodobne, że jego wykonywanie „uniemożliwi lub poważnie utrudni” osiągnięcie celów archiwizacji lub pozostałych obok nich wymienianych[4]. Żądanie zatarcia informacyjnych śladów po sobie nie powinno być natomiast odrzucone przede wszystkim w sytuacji, gdy „dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane”[5]. Takie sformułowanie odnosi się do pierwotnego przeznaczenia informacji, a także do ewentualnych kolejnych, po tamtym następujących, włącznie z celami archiwizacji. Powyższe ujęcie europejscy prawodawcy uznali za w miarę kompletne, przezornie nie zostawiając wielu dróg do jego precyzowania albo dostosowania w przepisach krajowych[6].
Utrata niezbędności danych jako przesłanka zapomnienia jest więc, jak wynika ze złożenia cytowanych zwrotów, stopniowalna. Obejmuje zarówno przypadki „nabytej” całkowitej zbyteczności danych, jak i spadku ich przydatności do takiego poziomu, że gdyby je usunąć, realizacja celu przetwarzania uległaby umiarkowanemu tylko utrudnieniu. W takich sytuacjach, osoba, której dane dotyczą, występowałaby właściwie w funkcji sygnalisty, kwestionującego to, co powinno ustać nawet bez interwencji. W istocie, chodziłoby o wadę nieadekwatności, uchybienie standardowi minimalizacji – zaistniałe w następstwie zmiany okoliczności, w pewnym momencie procesu. Równie dobrze można by jednak domagać się usunięcia danych, które nigdy nie były przydatne do zadeklarowanych i urzeczywistnianych celów. Widać, nawiasem mówiąc, jak bardzo kryteria przetwarzania danych nie poddają się rozgraniczeniom, nawzajem się przenikają.
Niezależnie od tego, czy administrator nie potrzebuje danych, których usunięcia od niego się żąda, czy też dalsze ich przetwarzanie byłoby przydatne do jego celów, w szczególności archiwizacyjnych, lecz jednak niekonieczne, a nawet niepowodujące krytycznych utrudnień – przeważałoby prawo do bycia zapomnianym.
Względnie jednoznaczne w skutkach byłoby też cofnięcie zgody, jeśli była podstawą przetwarzania danych. Nie jest to jednak sytuacja typowa dla celów archiwizacji, gdyż w związku z nimi danych zwykle nie pozyskuje się od osób, których dotyczą. Osoby te z reguły zdolne są kwestionować dopiero skutki archiwizacji dokonanej bez nich.
Szczególnej refleksji wymaga ewentualność usunięcia danych w następstwie sprzeciwu, który nie napotyka nadrzędnych w stosunku do niego uprawnionych podstaw przetwarzania[7]. Akcent położyć trzeba na skonfrontowanie ze sobą wagi przesłanek sprzeciwu i wagi podstaw przetwarzania. W tym miejscu w zasadzie nie ma w ogóle mowy o braku takich podstaw, oczywistym naruszeniu prawa do ochrony danych. Sprzeciw mógłby być wniesiony wobec przetwarzania niezbędnego do wykonywania zadań w interesie publicznym lub sprawowania władzy publicznej albo „niezbędnego do celów wynikających z prawnie uzasadnionych interesów”.
Tymczasem „cele archiwalne w interesie publicznym”, powinny być traktowane – jak wykazane zostało wyżej, w związku z zagadnieniem ich legalności – odrębnie w stosunku do „zadań w interesie publicznym”[8], nie mówiąc już o sprawowaniu władzy. Natomiast na „prawnie uzasadnione interesy” administratora danych nie mogłyby powoływać się organy publiczne. Formalne umocowanie podejmowanego przez nie przetwarzania danych jest bowiem w gestii ustawodawcy, a nie zależy od faktycznych okoliczności[9]. Organy publiczne, także te, które realizują cele archiwizacji, działają w granicach i na podstawie prawa, a przy tym nie są podmiotami własnych interesów. Wiele instytucji dążących do celów archiwizacji w interesie publicznym nie spełnia więc kryterium przetwarzania opartego na prawnie uzasadnionych interesach. Tak sformułowana podstawa przetwarzania odzwierciedla raczej sytuację graczy rynkowych, stowarzyszeń, związków wyznaniowych itp.
Niemniej jednak, tylko w związku ze wskazanymi tu motywami przetwarzania osoba, której dane dotyczą, mogłaby przeciwstawić racjom owego przetwarzania „swoją szczególną sytuację”. Nie będzie podważać potrzeby realizacji prawnie uzasadnionych interesów ani wykonywania zadań w interesie publicznym, ale zakwestionuje przetwarzanie do tych celów jako godzące w jej interesy. Z tej przyczyny wolno jej domagać się zaprzestania przechowywania danych i dalszego użytku, nawet gdyby odznaczały się niezbędnością dla ich administratora. Wielu zarządców archiwalnych zasobów w ogóle jednak nie spełnia przytoczonych w tym miejscu przesłanek przyjęcia i rozpatrzenia sprzeciwu wobec przetwarzania danych.
W kontekście prawa do sprzeciwu cele archiwizacji zostały odróżnione od pozostałych, wraz z nim uprzywilejowanych. Wolno bowiem – ze względu na szczególną sytuację osoby – wnieść sprzeciw wobec przetwarzania danych do celów badań naukowych lub historycznych lub celów statystycznych, a osłonić mógłby je w takiej sytuacji tylko argument służenia interesowi publicznemu[10]. To jednak nie nobilitacja: tylko te cele archiwizacji mają w rozporządzeniu wyjątkowy status, które są w interesie publicznym. Od pozostałych z wymienionych rodzajów celów tego się nie wymaga; wolno im korzystać z przywilejów, choćby ich rezultaty nie były użyteczne dla ogółu – a tylko w szczególnych przypadkach to przyzwolenie ulega wyłączeniu.
Żądanie zapomnienia, gdyby zostało wysunięte w opozycji do celów archiwizacji w interesie publicznym, w ograniczonym stopniu mogłoby więc bazować na cofnięciu zgody, a jeszcze mniej na sprzeciwie wobec przetwarzania. To ostatnie stało się jednak przedmiotem rozsądnego zastrzeżenia: nie sposób przyjąć, by interes publiczny z samej zasady miał przeważać nad interesem osoby, której dotyczą dane[11]. Jego ewentualna nadrzędność każdorazowo wymagałaby rzetelnego wykazania. Choć nominalnie w drodze sprzeciwu trudno by podważyć przetwarzanie danych do celów archiwizacji w interesie publicznym, to wolno kwestionować jego służebny związek z takim interesem. Co więcej też – zasada proporcjonalności w istocie otwiera drogę do zakwestionowania należytej wagi publicznego interesu w stosunku do uszczerbku, jaki przetwarzanie, w tych celach podjęte, przyniosłoby zainteresowanej osobie.
Podobnie, trudno skutecznie wywieść żądanie zapomnienia z niezgodności przetwarzania z prawem, bo przepisy krajowe właściwie wyłączyły z jej zakresu – jako świadectwo przeszłości – bezprawność „historyczną”, poprzedzającą archiwalny etap bytowania informacji[12]. Niektóre okoliczności, które uzasadniałyby usunięcie danych, nigdy wręcz nie zachodzą w związku z celami archiwizacji[13]. Wobec tego, spór o zapomnienie rozgrywałby się na ogół w przestrzeni między niezbędnością a zbytecznością danych. Konieczność posłużenia się wiadomościami o ludziach do osiągnięcia względnie skonkretyzowanych celów archiwizacji z zasady nacechowana jest nadrzędnością wobec racji osoby, której te wiadomości dotyczą. Często zresztą pozostaje jedynym argumentem administratora danych.
Rozporządzenie mówi o usunięciu danych, fizycznym zatarciu[14]. W zakresie celów archiwizacji może być dokonywane bez zaprzeczenia niezbędności informacji do ich osiągnięcia. Zapomnieniu podlegają dane osobowe, więc jest do rozważenia – zgodnie z wcześniejszą uwagą na temat minimalizacji – eliminacja ściśle tych komponentów informacji, które identyfikują jednostki. Pozostała część, już odosobowiona, podlegałaby dalszemu przetwarzaniu, bez obrazy praw i wolności – i mogłaby nawet wystarczyć do celów administratora. Rozwiązanie to działa w obie strony, bo nie wolno niezbędnością informacji automatycznie zasłaniać zawartych w niej danych osobowych przed żądaniem usunięcia. Takie rozdzielenie niekiedy bywa wprawdzie niewykonalne i dopiero wówczas aktualizowałaby się ewentualność zatarcia całej informacyjnej treści.
Poza tym jednak, nie bez racji bywa
podnoszone, że usunięcie danych przeprowadzić
należy w zakresie, który wykluczy dostęp do nich oraz identyfikację osoby. Nie byłoby
to równoznaczne z ich faktycznie całkowitym zapomnieniem, bo takie operacje na danych w systemach informatycznych
sprowadzają ryzyko dla integralności zasobów. Dosłowne zniszczenie informacji może też kolidować z wymogami
rozliczalności przetwarzania. Dla zaradzenia temu przywoływane więc bywa znane w księgowości
pojęcie storno, odnoszące się do
pozostawienia błędnego zapisu, z jednoczesnym przypisaniem mu „stanu
negatywnego”[15].
Pozostaje jeszcze kontrowersyjna i odznaczająca się dyskusyjną
skutecznością droga usuwania kwestionowanych danych osobowych z zakresu obowiązywania rozporządzenia poprzez
zdegradowanie ich wyszukiwalności. Na poparcie takiego działania przypominany jest wyrok
Trybunału Sprawiedliwości UE, bazujący wprawdzie na przepisach uchylonej dyrektywy (choć na podobnym do obecnego
stanie prawnym) i dotyczący danych wyszukiwanych w Internecie[16].
[1] M. Jagielski utożsamia rzetelność z dbałością administratora danych o interesy osoby, której one dotyczą (Prawo do ochrony, s. 79).
[2] Art. 13 i 15 R.2016/679.
[3] Tamże, art. 14 i 15.
[4] Tamże, art. 17 ust. 3 lit. d.
[5] Por. tamże, art. 17 ust. 3: „Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne [do] (…):”.
[6] Ślad ujęcia szerzej dopuszczającego wyjątki krajowe, zachował się jednak tamże w mot. 156.
[7] Tamże, art. 17 ust. 1 lit. c.
[8] Tamże, art. 6 ust. 1 lit. c, e.
[9] Paweł Fajgielski, Ogólne rozporządzenie, komentarz do art. 6 [34]; Litwiński, Rozporządzenie UE, komentarz do art. 6 [57].
[10] Art. 21 ust. 6 R.2016/679.
[11] Gawroński, Ochrona danych, s. 282.
[12] Art. 12 pkt 4 ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwana „ustawą sektorową” (Dz.U. z 2019 r., poz. 730) – dodający w unza m.in. art. 22b ust. 1 pkt 2.
[13] Art. 17 ust. 1 lit. e, f R.2016/679.
[14] EAG. Guidelines, s. 18.
[15] Gawroński, Ochrona danych, s. 250-257.
[16] Wyrok Trybunału (Wielka Izba) z dnia 13 maja 2014 r. – Google Spain SL, Google Inc. przeciwko Agencia de Protección de Datos (AEPD), Mario Costeja González (sprawa C-131/12), Dz.Urz. UE C 212/4 z 7 lipca 2014 r.; EAG. Guidelines, s. 17-18.
dariuszgrot 