1. Co pod ochroną, a co nie
Posługiwanie się informacjami, które odkrywają tożsamość żyjących ludzi, z zasady uważa się za ryzykowne, stanowiące swoistą ostateczność. Obawy, jakie wzbudza przetwarzanie danych osobowych, znalazły wyraz w wiele razy przywoływanym warunku, że może być podjęte, o ile jest niezbędne [1]. Powinno mieć miejsce jedynie wtedy, jeśli określonych i uprawnionych celów nie można „w rozsądny sposób” osiągnąć inną drogą [2]. Spersonalizowana wiedza nie jest jednak źródłem tylko zagrożeń, ale także informacyjnym bogactwem. Europejskie rozporządzenie ogólne w sprawie ochrony danych deklaruje – nawiązując do swego dwoistego tytułu – że osłania szeroko ujmowane podstawowe prawa i wolności ludzi, a wśród nich tylko w szczególności ich prawo do ochrony tych danych [3].
To znamienne, że akt ten kilkadziesiąt razy odwołuje się do kategorii rozsądku – intuicyjnie i wspólnie odczuwanej racjonalności, źródła potocznego przeświadczenia. Rozsądek uzupełnia siłę stanowionych norm. Bywają one niepewne i nie wszędzie sięgają; same nie dawałyby skutecznych gwarancji. Podobną wymowę ma w rozporządzeniu etyczny postulat rzetelności przetwarzania danych. Topos skonfrontowany z grą, na której opiera się stanowienie i stosowanie praw.
Zdolność identyfikowania określonych ludzi nie cechuje wyłącznie pełnych i spójnych informacji; definiowanie indywidualnej tożsamości bywa składane z detali, poddawanych zestawianiu ze sobą. Może obywać się bez imion, nazwisk albo identyfikacyjnych numerów, bo człowiek pozostawia za sobą inne tropy. W tym sensie rozporządzenie wyróżnia jego „fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość” [4]. W środowisku cyfrowym jego bywalców ujawniają m.in. loginy lub przydomki, ale też parametry „nieludzkie”: lokalizacja albo identyfikatory urządzeń i aplikacji.
Modele ochrony danych osobowych od czasu pierwszych ich konceptualizacji odnoszone były do osób fizycznych – żyjących ludzi, będących podmiotami praw [5]. Wolno im bronić swojej informacyjnej autonomii, działać we własnej sprawie. Wraz z zamknięciem fizycznej egzystencji człowieka gaśnie ochrona dotyczących go danych.
Osłonowe rygory znajdują zastosowanie do zautomatyzowanego przetwarzania danych osobowych – tzn. opartego na operacjach logicznych albo arytmetycznych, które w całości albo w części wykonywane są maszynowo. W praktyce, automatyzacja oparta jest niemal wyłącznie na technologiach cyfrowych, których nie należy jednak postrzegać tylko w skojarzeniu z systemami informatycznymi [6].
Te same rygory stosuje się też do przetwarzania ręcznego, gdyby dane objęte były systemem dokumentowania (filing system), który w polskiej tradycji językowej przyjęło się nazywać „zbiorem”, albo nawet gdyby tylko były przeznaczone do umieszczenia w nim [7]. Za nieodłączną cechę zbioru uważa się takie jego uporządkowanie, że zawarte w nim dane dostępne są według określonych kryteriów[8].
Co więcej, jeśli zastosowane sposoby identyfikowania ludzi nie byłyby „rozsądnie prawdopodobne” (z uwzględnieniem kosztu i czasu niezbędnych operacji, a także dostępnej technologii), wątpliwa byłaby celowość uruchamiania mechanizmów ochrony danych [9]. To nie okazjonalne wyczyny sprowadzają godne uwagi zagrożenie. Nie warto zaprzątać uwagi wyrafinowanymi arcydziełami inwigilacji w obliczu destrukcyjnej potęgi zwyczajnych a powszechnie występujących praktyk. Jest to kolejne w rozporządzeniu odwołanie do potęgi rozsądku.
Jest niepisaną prawidłowością, że wyróżnione sposoby przetwarzania w praktyce nie odnoszą się do sporadycznych operacji na wyosobnionych danych. Zarówno zautomatyzowane procedury, jak i nieautomatyczne zbiory mają – poza użytkiem osobistym – marginalne zastosowanie do informacyjnych mikrozasobów, często natomiast służą zarządzaniu informacją masową. Sposób działania wskazuje pośrednio na jego skalę.
Tym samym, ochroną danych osobowych nie rządzi logika oczywistych znamion tożsamości, ale też nie wszystkie dane i nie wszystkie sposoby ich przetwarzania podlegają rygorom tej ochrony [10]. Uwagę europejskich prawodawców zawsze przyciągały rozwiązania zapewniające skuteczność wyszukiwania informacji, które jednoznacznie wskażą na konkretne osoby [11]. Przetwarzanie danych pozbawione tej właściwości – niebezpiecznej i pożądanej – nie sprowadza krytycznego ryzyka, choćby i polegało na prześwietlaniu ludzi [12]. Naruszyć wolności i prawa można też w drodze niewydajnych wyszukiwawczych procedur, tropienia krok po kroku rozproszonych wiadomości, ale ochronny system nie został zbudowany przeciw incydentalnym, żmudnym i zawodnym sposobom działania. Rozporządzenie wprost wprawdzie nie przywołuje już kryterium wyszukiwawczej łatwości; jest bardziej kategoryczne niż regulacja je poprzedzająca – lecz nadal selektywne [13].
Sformułowaniu pozytywnych kryteriów, które określają materialny zakres stosowania rozporządzenia, towarzyszy katalog negatywny, pełniący w istocie tę samą funkcję – wytyczania granic regulacji, z tym, że „od zewnątrz” [14]. Między przeciwstawnymi wyróżnikami utrzymują się ponadto nierozpoznane przestrzenie, wypełnione przetwarzaniem danych niezautomatyzowanym albo zachodzącym poza zbiorami i nawet bez zamiaru przetwarzania ich w zbiorach. Doktryna prawa ma z nimi dolegliwy problem.
W jej obrębie silną pozycję (daleką niemniej od wyłączności) zyskał pogląd odmienny od powyższego ujęcia, maksymalizujący ów materialny zakres. Akcentuje, że kluczową intencją rozporządzenia jest generalnie ochrona danych osobowych, a wobec tego okoliczności i cechy przetwarzania muszą być uznane za drugorzędne lub zgoła nieistotne [15]. Mimo przemilczenia w przytoczonej argumentacji drugiego z „tytułowych” motywów – swobodnego przepływu danych – jej celowościowa osnowa wydaje się niepozbawiona racji. Nie sposób byłoby jednak przychylić się do jej rozwijania w kierunku wykładni asemantycznej, która ignorowałaby wyraźnie ograniczające sformułowania przepisów rozporządzenia o zakresie jego stosowania [16]. Choć ochrona danych osobowych, bez względu na sposób ich zorganizowania, niespornie stanowi jedno z praw podstawowych, pochopny byłby wniosek, jakoby rozporządzenie miało stanowić w tej dziedzinie całościową regulację [17]. Wiele natomiast przemawia za odnoszeniem go ściśle do kluczowych zagrożeń, które godzą w informacyjną autonomię człowieka, a nie do zjawisk pomniejszych i przygodnych.
Ważny motyw tego aktu nadal stanowi nie tyle holistycznie ujmowana ochrona danych, co unifikacja jej standardów w zjednoczonej Europie – w takim zakresie oraz stopniu, w jakim ma znaczenie dla regionalnej integracji [18]. Unia Europejska genetycznie wywodzi się bowiem z projektu współpracy gospodarczej, a dopiero stosunkowo niedawno zdobyła się na własne sformułowanie katalogu praw i wolności [19]. Dbałość o funkcjonowanie wspólnego rynku, uzupełniona o wątki współpracy administracyjnej, jest w rozporządzeniu dobitnie eksponowana. W świetle powyższego, kompleksowa, a zwłaszcza docelowo rozumiana regulacja w zakresie ochrony danych osobowych nie sprawiałaby wrażenia naturalnej materii unijnego prawodawstwa.
Rozporządzenie wydane zostało wprawdzie w normatywnym porządku, w którym prawom człowieka przypisuje się szczególną ważność. Jego przepisy były też formułowane tak, by pomniejszyć ryzyko omijania rygorów ochrony. Różni się więc w wielu miejscach od uchylonej dyrektywy, jawnie naznaczonej prymatem budowania Wspólnoty. Gdy mowa jednak o konfrontacji motywu integracyjnego z motywem ochrony danych, wydaje się, że przesunięcie punktu ciężkości rozporządzenia ku temu drugiemu ma źródła formalnoprawne oraz poprawnościowe. W istocie zaś prawodawcy co najmniej na równi skupieni byli na drugiej części tytułu aktu: aspekcie swobodnego obiegu informacji na obszarze Unii Europejskiej.
Wskazanie na przewagę wykładni językowej, która nie napotyka dostatecznie mocnych celowościowych kontrargumentów, nie równa się, z drugiej strony, akceptacji dla odczytu naiwnie literalnego [20]. Wytyczanie granicy ochrony danych w reżimie rozporządzenia nie mogłoby obyć się bez badania „ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia” [21]. Równoczesnego uwzględnienia wymagałby przy tym „charakter, zakres, kontekst i cele przetwarzania”. Nie wystarczy więc, nawet przy użyciu trafnych kryteriów, zdyskwalifikować dane albo sposób ich przetwarzania by móc odstąpić od stosowania ochronnych środków i procedur. Pierwsze miejsce przypada ocenie zagrożenia praw i wolności w związku z gromadzeniem i używaniem wiadomości o ludziach. Nie jest ona oderwana od wyróżnionych powyżej aspektów operatywności danych, a tym bardziej nie powinna być im przeciwstawiana. Istotne, że w braku standardowych alertów to z tej oceny wyniknąć może prognoza nieakceptowalnych następstw przetwarzania danych. Jej zaniechanie albo niestaranne bądź nierzetelne przeprowadzenie rzutowałoby na stopień odpowiedzialności administratora danych za ewentualne naruszenia [22]. Nadal niemniej z tym zastrzeżeniem, że nie każde nieuprawnione użycie spersonalizowanych wiadomości mieściłoby się w kręgu europejskiej regulacji.
Położenie akcentu na faktyczne zagrożenie praw albo wolności pozostaje w logicznym powiązaniu z inną wskazówką – że ochrona danych nie powinna być uzależniana od stosowanych technik, bo sprowadziłoby to „poważne ryzyko obchodzenia prawa” [23]. Raz jeszcze rozporządzenie odwołuje się do rozsądnego i wnikliwego osądu, komplementarnego względem schematów procedowania.
Trwanie prawnej podmiotowości osób, których dotyczą dane, zdolność tych danych do określania indywidualnej tożsamości, operacyjna sprawność łączenia informacji z określoną osobą, a także istotność ryzyka naruszenia praw i wolności – to parametry, według których uruchamiane są albo wstrzymywane osłonowe mechanizmy.
Krajowa ustawa o ochronie danych osobowych uległa zamknięciu w granicach rozporządzenia [24]. Poza obszarem unormowań – przynajmniej tych z tytułowego zakresu owych aktów – pozostało więc niezautomatyzowane przetwarzanie danych niedostępnych według określonych kryteriów, w tym danych rozproszonych [25]. Zdaje się to skutkiem zamysłu, nie zaś legislacyjnego niedopatrzenia. Nie wszystkie przypadki przetwarzania wymagają bowiem interwencji legislatyw wyrażonej w przepisach szczególnych, choć z drugiej strony rozgraniczenie z pewnością tak trzeba miarkować, by nie dopuścić do milczenia prawa. Wśród państw, które podlegają rozporządzeniu, obserwowane są rozwiązania odmienne niż w Polsce – np. brytyjski Data Protection Act (2018) normuje m.in. przetwarzanie wybranych nieustrukturalizowanych danych, nie zdając się całkowicie na wspólną regulację [26]. W dziedzinie ochrony danych osobowych reguły gwarancyjne bez limitacyjnych zastrzeżeń, właściwych europejskim unormowaniom, występują w art. 51, a pośrednio też w art. 47 Konstytucji RP [27]. Uważa się je za adresowane do organów publicznej władzy, nie zaś przeznaczone do stosowania horyzontalnego, w stosunkach między różnorakimi osobami [28]. Trudno by więc wypełnić nimi ewentualną prawną lukę. Można dopatrzyć się w nich natomiast katalogu wartości zasługujących na ochronę – na poziomie przewyższającym standardy rozporządzenia.
[1] Art. 5 ust. 1 lit. c, e, art. 6 ust. 1 lit. b-f i ust. 3, art. 7 ust. 4, art. 9 ust. 2 lit. b, c, f-j, art. 17 ust. 1 lit. a i ust. 3, art. 20 ust. 3, art. 21 ust. 6, art. 35 ust. 7 lit. b, art. 49 ust. 1 lit, b-f, a także motyw 31, 39, 44, 45, 46, 47, 49, 50, 52, 53, 54, 65, 68, 69, 71, 111, 112, 115, 156, 162 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz. UE z dnia 4 maja 2016 r. L 119/1 (dalej jako „R.2016/679”).
[2] Tamże, mot. 39.
[3] Tamże, art. 1 ust. 2.
[4] Tamże, mot. 30.
[5] Tamże, art. 1 ust. 1 i 2; mot. 27 i 158.
[6] Por. Paweł Litwiński (red.), Paweł Barta, Maciej Kawecki,Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018 (komentarz do art. 2/[5], s. 140); Marlena Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018 (K. Wygoda, komentarz do art. 2 [3], s. 56).
[7] Art. 2 ust. 1, mot. 15 R.2016/679.
[8] Tamże, art. 4 pkt 6. Wyraz „zbiór” nie oddaje sensu zwrotu „filing system”, ale utrwalił się w terminologii, a ponadto kluczowe znaczenie ma w tym miejscu warunek „określonych kryteriów”.
[9] Tamże, mot. 26.
[10] Tamże, mot. 15.
[11] Ujęcie R.2016/679 przewyższa rygoryzmem dyrektywę 95/46/WEParlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE z 23 listopada 1995 r., L 281/31), mot. 15 (dalej jako „D.95/46/WE”) – i bywa np. uważane za obejmujące chronologicznie uporządkowane akta, które zawierają dane osobowe. Tak w: Overview of the General Data Protection Regulation (GDPR). ICO – Information Commissioners Office (2017) – https://ico.org.uk/media/for-organisations/data-protection-reform/overview-of-the-gdpr-1-13.pdf [odczyt: 2019 05 01]. Por. mot. 27 dyrektywy 95/46/WE. Tak radykalne rozumienie dostępności danych według określonych kryteriów można uważać jednak – niezależnie od renomy ICO – za kontrowersyjne, reprezentatywne dla odrębności brytyjskiej doktryny prawa.
[12] Art. 4 pkt 4, art. 24, art. 35 ust. 3 lit. a; mot. 24, 71 R.2016/679.
[13] M. Jagielski, Prawo do ochrony danych osobowych. Standardy europejskie, Warszawa 2010, s. 44-47.
[14] Art. 2 ust. 2 R.2016/679. Skatalogowane w tym miejscu wyłączenia pozostają bez znaczenia w sporze o materialny zakres stosowania rozporządzenia. Mają niebudzącą wątpliwości treść, obejmując przetwarzanie do działalności nieobjętej prawem Unii, w ramach działań państw członkowskich w sprawach wspólnej polityki zagranicznej oraz bezpieczeństwa, zapobiegania przestępczości, postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym zapobiegania zagrożeniom bezpieczeństwa publicznego, a także przetwarzania podejmowanego przez osoby fizyczne do celów o charakterze domowym lub osobistym.
[15] Por. Litwiński, Rozporządzenie UE. Komentarz do art. 2 [4-10] s. 139-143, który zdaje się zresztą krążyć wokół głównego zagadnienia. Zrąb argumentacji na rzecz maksymalistycznego stosowania rozporządzenia ukształtował się na tle zadawnionych sporów, czy podlegają ochronie dane, które dopiero mogą znaleźć się w zbiorze, nawet gdyby do tego nie doszło. Z pozytywną odpowiedzią na tak formułowane pytanie wypada się zgodzić, z tym jednak, że nie rozstrzyga ona (niezależnie od art. 2 ust. 2), kiedy europejskiego aktu się nie stosuje.
[16] Koncepcję integralnej ochrony danych osobowych prezentuje Mariusz Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, Warszawa 2016 (komentarz do art. 2 [3], s. 31). Katarzyna Kloc i Maciej Gawroński podkreślają natomiast trudności ze stosowaniem rozporządzenia do danych nieustrukturyzowanych, odnosząc je nawet do elektronicznego przetwarzania (w:) Ochrona danych osobowych. Przewodnik po ustawie i RODO z wzorami, red. Maciej Gawroński, Warszawa 2018, s. 58. Autorzy opowiadają się za stosowaniem do tych danych art. 11 R.2016/679, podkreślając jego znaczenie w systemie ochrony. „Nieustrukturyzowane” różni się oczywiście od niezautomatyzowanych lub przetwarzanych ręcznie poza zbiorem – mowa niemniej o danych częściowo wymykających się z przedmiotowego zakresu rozporządzenia.
[17] Sakowska-Baryła (red.) , Ogólne rozporządzenie, komentarz do art. 2 [3], s. 56: K. Wygoda potwierdził, że art. 2 ust. 1 R.2016/679 współdefiniuje ograniczenia zastosowania tego aktu. Agnieszka Grzelak zwróciła natomiast uwagę na niekompleksowość R.2016/679 ze względu na pozostawienie szerokiego zakresu unormowań prawu państw członkowskich – Główne cele ogólnego rozporządzenia o ochronie danych (w:) Ogólne rozporządzenie o ochronie danych osobowych. Wybrane zagadnienia, pod. red. Macieja Kaweckiego i Tomasza Osieja, Warszawa 2017, s. 21.
[18] Na integracyjną celowość R.2016/679 wskazuje P. Litwiński, Rozporządzenie UE, komentarz do art. 1 [4], s. 134. Odmiennie natomiast A. Grzelak, Główne cele, s. 19. Autorka podkreśla, że R.2016/679 oparty został na art. 16 – przeciwstawionym „prorynkowemu” artykułowi 14 – Traktatu o funkcjonowaniu Unii Europejskiej (Dz. Urz. UE z 2016 r. C 202), co świadczy, w jej ocenie, o nadrzędności prawa podstawowego do ochrony danych nad motywem regionalnej integracji.
[19] Karta Praw Podstawowych Unii Europejskiej, Dz. Urz. UE z 26.10.2012 r., C 326/391.
[20] O pierwszeństwie wykładni językowej m.in. Naczelny Sąd Administracyjny w wyroku z 20 października 2016 r. w sprawie II FSK 1582/16.
[21] Art. 24 ust. 1 R.2016/679. Por. Anna Dmochowska, Marcin Zadrożny, Unijna reforma ochrony danych osobowych. Analiza zmian, s. 78-86, Warszawa 2016; M. Gawroński zwraca uwag, że „ryzyko” to kolejny wyraz powtórzony w rozporządzeniu kilkadziesiąt razy, Ochrona danych, s. 86-87.
[22] Termin „administrator” (danych) stosowany w polskiej wersji rozporządzenia 2016/679, podobnie jak w akcie je poprzedzającym, wydaje się znaczeniowo niewyrazisty. Pod tym względem poszczególne wersje językowe nie są spójne, eksponując różne aspekty opisywanej funkcji: m.in. władztwo zarządcze albo odpowiedzialność. Termin ten, oznaczający podmiot, który zarządza danymi osobowymi, uległ już utrwaleniu w języku prawa – nie sposób więc zastępować go bardziej adekwatnym określeniem. Por. art. 4 pkt 7 R.2016/679.
[23] Mot. 15 R.2016/679.
[24] Art. 1 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000).
[25] Por. Sakowska-Baryła, Ogólne rozporządzenie, komentarz do art. 2 [3], s. 55: K. Wygoda potwierdził, że poza sposobami przetwarzania (przesłankami) określonymi w art. 2 ust. 1 R.2016/679 ani regulacja krajowa, ani europejska nie znajdą zastosowania.
[26] http://www.legislation.gov.uk./ukpga/2018/12/pdfs/ukpga_20180012_en.pdf [odczyt 2019 05 09].
[27] Ustawa z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej Polskiej, Dz.U. Nr 78, poz. 483, z 2001 r. Nr 28, poz. 319, z 2006 r. Nr 200, poz. 1471 oraz z 2009 r. Nr 114, poz. 946. Por. RODO. Przewodnik dla adwokatów i aplikantów adwokackich, pod red. Andrzeja Zwary, Arwida Mednisa i Macieja Pisza, Warszawa 2018, s. 1-11.
[28] Mikołaj Wild, komentarz do art. 51 Konstytucji RP [III.15 (1)] s. 1226 (w:) Marek Safjan, Krzysztof Bosek, Konstytucja RP. Tom I. Komentarz do art. 1-86, Warszawa 2016.
dariuszgrot 