GDPR przyniesie doniosłą zmianę w systemie ochrony danych osobowych. Nie zawsze będzie to jednak zmiana polegająca na wprowadzeniu nowych dotychczas nieznanych regulacji. W niektórych przypadkach zmiana będzie musiała nastąpić w naszym sposobie myślenia. W sposobie interpretacji konkretnych stanów faktycznych, którwypracowaliśmy w okresie niemalże 20 lat obowiązywania polskiej ustawy.

Zwróćmy uwagę na treść art. 2 ust.  2 lit. c GDPR, który stanowi, że „Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze”.

reklama

Brzmi znajomo?

To zapewne dlatego, że powyższy przepis jest w zasadzie powtórzeniem funkcjonującego w naszej rzeczywistości art. 3a ust. 1 pkt 1 uodo (), który stanowi, że „Ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych.”

Czym jest cel osobisty lub domowy pod reżimem UODO

W praktyce GIODO niezmiennie „…Przez cel osobisty rozumie się przetwarzanie danych na własny użytek, nie w związku z prowadzoną działalnością gospodarczą, działanie nieprzynoszące jakichkolwiek korzyści majątkowych…”[1]. Z kolei komentarz do najbardziej typowych przykładów spełniających przesłanki art. 3a ust. 1 pkt 1 uodo zalicza „… gromadzenie danych w osobistych notatnikach, notebookach i domowych komputerach”[2]. Jednocześnie wskazuje, że o ile założenia celu osobistego lub domowego są spełnione to „… nie ma istotnego znaczenia, czy zbieranie, przetwarzanie dokonywane jest <osobiście> czy przez inną osobę. Nie ma również znaczenia sposób pozyskania danych oraz ich rodzaj, np. czy są to dane sensytywne”[3]. Zgodnie z orzeczeniem z dnia 22 marca 2007 r. Wojewódzkiego Sądu Administracyjnego w Warszawie, sygn. II SA/Wa 1933/06, możemy zaliczyć do celów osobistych i domowych w rozumieniu art. 3a ust. 1 pkt 1 uodo działanie polegające na wykorzystaniu danych osobowych w toczącym się procesie karnym. Tym samym, obrona w procesie karnym albo dochodzenie praw przed sądem podejmowane przez osoby fizyczne i nie związane z ich działalnością zarobkową lub zawodową, podlega ustawowemu wyłączeniu stosowania przepisów o ochronnie danych osobowych.

Doktryna nie jest jednak zgodna co do tego czy cel osobisty lub domowy może przynosić korzyści materialne i choć co do zasady podkreśla się niematerialny charakter czynności określonych w art. 3a ust. 1 pkt 1 uodo to zaznacza się, że powyższa reguła nie ma charakteru niewzruszalnego. Przykładami mogącymi przynosić korzyści finansowe, będącymi jednocześnie realizacją celu osobistego lub domowego jest np. zakładanie aukcji elektronicznych w popularnych serwisach, albo kolekcjonowanie (i dalszy obrót) dowolnych przedmiotów mogących osiągać dużą wartość.[4]

reklama

Największe wątpliwości budzi jednak możliwość wyłączenia stosowania przepisów ustawy do działalności polegającej na udostępnieniu danych osobowych. Wśród wypowiedzi GIODO przeważa stanowisko, że cel osobisty kończy się tam gdzie granica naszego zacisza domowego, w związku z powyższym, żeby udostępnić komukolwiek dane osobowe zgromadzone w uprzednio w ramach naszej działalności osobistej lub domowej musimy spełnić obwiązki wynikające z ustawy, a także zapewnić legalność takiego udostępnienia poprzez legitymowanie się odpowiednią podstawą prawną.[5]Podobnego stanowiska są przedstawiciele doktryny, wskazując, że wyłączenie stosowania ustawy do celów osobistych lub domowych „…nie znajduje zastosowania w wypadku umieszczania danych innych osób w serwisie, ponieważ element <osobistego> korzystania z danych osobowych przybiera postać ich upublicznienia, a z danymi może zapoznać się potencjalnie nieograniczony krąg osób. Celem ustanowienia wyłączenia było natomiast ułatwienie korzystania ze zbioru danych osobowych dla własnych celów przez pojedynczą osobę fizyczną, która ten zbiór utworzyła.”[6] Z drugiej strony komentarz P. Barty i P. Litwińskiego[7] dopuszcza udostępnianie danych osobowych nieograniczonemu kręgu odbiorców np. przez użytkowników serwisów społecznościowych, o ile ich działanie nie ma charakteru zarobkowego.

Ostatecznie za zawężającą interpretacją celów osobistych lub domowych w rozumieniu Dyrektywy 95/46/WE opowiedział się Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku z dnia 11 grudnia 2015 r. argumentując, że „…wykorzystywanie systemu kamer zainstalowanego przez osobę fizyczną na jej domu rodzinnym, monitorującego również przestrzeń publiczną, nie stanowi przetwarzania danych w trakcie czynności o czysto osobistym lub domowym charakterze.”[8] I choć powyższe orzeczenie spotkało się  z krytyką części środowisk prawniczych[9] to w praktyce stanowi kolejny argument przemawiający za tym, żeby cel osobisty lub domowy rozumieć wąsko. Jako naszą działalność prywatną ukierunkowaną wyłącznie na przetwarzanie danych polegające na przechowywaniu, względnie udostępnianiu ograniczonemu i z góry określonemu kręgowi odbiorców (np. odtwarzanie nagrań na spotkaniach towarzyskich). Wszelkie dodatkowe elementy takie jak nieograniczony (lub nieoznaczony) krąg odbiorców, możliwość przynoszenia zysku finansowego, wkraczanie w przestrzeń publiczną może przesądzić o konieczności zastosowania przepisów uodo.

Cel osobisty lub domowy pod reżimem GDPR

Jednakże w niedalekiej przyszłości wyłączenie stosowania przepisów rozporządzenia będzie odnosić się (zgodnie z art. 2 ust. 2 lit. c GDPR) do „czynności o czysto osobistym lub domowym charakterze”. Zmiana tekstu jest w zasadzie kosmetyczna. Zwróćmy jednak uwagę na motyw 18 rozporządzenia, który jest kluczowy dla rozstrzygnięcia tego jak należy rozumieć „cel czysto osobisty lub czysto domowy charakter”. W przytoczonym motywie zawarto wskazówki dotyczące sposobu interpretowania czynności czysto osobistych, lub o czysto domowym charakterze. Przede wszystkim działalność taka nie może pozostawać w związku z działalnością zawodową lub handlową. Jeśli już jednak ten warunek jest spełniony to w rozumieniu rozporządzenia działalność osobista, lub o domowym charakterze może polegać na „…korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności [osobistej lub o domowym charakterze – przyp. autor]”.

reklama

Oczywiście nadal pozostaje z uwagi na nieostre pojęcia pole do różnic w interpretacji stanów faktycznych. Jednak problematyka wszelkiego rodzaju działalności w wirtualnym świecie – nieznana w momencie tworzenia zarówno dyrektywy 95/46/WE jak i uodo – znajduje swoje odbicie w tekście przyszłego aktu prawnego. W mojej ocenie na podstawie przepisów rozporządzenia dzielenie się treścią mogącą obejmować dane osobowe przez wszelkiego rodzaju media internetowe, o ile będzie pozostawało bez związku z działalnością zawodową czy handlową nie będzie podlegać przepisom rozporządzenia. Sądzę, że jest to zabieg całkowicie zamierzony. Stały wzrost użytkowników mediów internetowych i powszechne ich wykorzystanie w związku z naszym życiem prywatnym rodził szereg wątpliwości na gruncie przepisów prawa. Wzrost aktywności ludzi polegającej na oznaczaniu znajomych na wspólnych zdjęciach (często bez ich wiedzy, czy zgody wyrażonej expressis verbis), publikowaniu tras przejazdów (zawierających wizerunki kierowców czy rejestracje pojazdów), wskazywaniu w statusie użytkowników, z którymi dzieliliśmy wspólne chwile podczas wyjazdów, prowadzeniu blogów czy wideoblogów w których niejednokrotnie występują nawet dane wrażliwe dotyczące stanu zdrowia czy nałogów innych niż autorzy osób, w obliczu braku wytyczenia granicy celu osobistego lub domowego powodował trudności interpretacyjne. W konsekwencji powyższych rozważań wszelkiego rodzaju blogerzy, vlogerzy, youtuberzy, użytkownicy Facebooka, Twittera, Instagrama i wszyscy pozostali użytkownicy innych aplikacji/mediów społecznościowych których nie wymieniłem (albo którzy jeszcze nie powstali z uwagi na brak nowej aplikacji) nie będą stanowić administratorów danych osobowych w rozumieniu prawa. Oczywiście tylko do momentu kiedy ich działalność nie nosi charakteru handlowego czy zawodowego, który najczęściej występuje wraz ze wzrostem popularności i może polegać, na sprzedaży koszulek czy gadżetów swojego pomysłu, zawieraniu umów na promowanie produktów/marek czy udział w eventach marketingowych.

Podsumowanie

Przetwarzanie danych osobowych chyba od zawsze stanowiło istotny element naszego życia prywatnego. Jednak dopiero wraz z rozwojem technik komunikacji nastąpiło przeniesienie danych z przytaczanych w komentarzu[10] „osobistych notatników, notebooków, domowych komputerów” do przestrzeni wspólnej, a nawet publicznej w rozumieniu potocznym. Powszechność zjawiska i jego aprobata przez współczesnych znajduje odzwierciedlenie w przepisach rozporządzenia. Jednocześnie w pewnym zakresie nowe przepisy zdają się burzyć dotychczasowe poglądy, które mimo pewnych wyjątków, zmierzały do zwężania granic tego co prywatne i domowe.

Artykuł został pierwotnie opublikowany na portalu: e-ochronadanych.pl pod tytułem: „Przetwarzanie danych osobowych w celach osobistych lub domowych obecnie i w przyszłości GDPR

[1] por. decyzje DOLiS/DEC-1/13; DOLiS/DEC-314/13;  .

[2] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, komentarz wyd. 5, Wolters Kluwer Polska sp. z o.o. 2011 r.

[3] ibidem

[4] por. A. Drozd, Ustawa o ochronie danych osobowych, komentarz. Wzory pism i przepisy, wyd. IV LexisNexis 2008 r. oraz  J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, komentarz wyd. 5, Wolters Kluwer Polska sp. z o.o. 2011 r.

[5] por. Gazeta Prawna, Samochodowe kamerki w oparach absurdu. Chcesz wykorzystać nagranie? Złamiesz prawo, S. Wikariak, 30 maja 2014 r.

[6] por. Rzeczpospolita, Wizerunek w Internecie bez pełnej ochrony, X.Konarski, G.Sibiga, 10 czerwca 2008 r.

[7] P.Barta, P.Litwiński, Ustawa o ochronie danych osobowych, Komentarz wyd. 3, C.H.Beck 2015 r.

[8] wyrok TSUE z dnia 11 grudnia 2014 r. w sprawie C-212/13 František Ryneš v. Úřad pro ochranu osobních údajů.

[9] por. glosa M. Czerniawskiego do wyroku TSUE z dnia 11 grudnia 2014 r., C-212/13, LEX/el. 2015.

[10] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, komentarz wyd. 5, Wolters Kluwer Polska sp. z o.o. 2011 r.

Przeczytaj również:

UDOSTĘPNIJ
Poprzedni artykułZasada prywatności w ustawieniach domyślnych (privacy by default)
Następny artykułWykorzystanie danych biometrycznych a GDPR
Prawnik, absolwent Akademii Leona Koźmińskiego w Warszawie. Doświadczenie zawodowe zdobywał wspierając merytorycznie zespół międzynarodowej firmy farmaceutycznej oraz w Sądzie Okręgowym w Warszawie. W latach 2013-2014 specjalista w Departamencie Orzecznictwa Legislacji i Skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Prowadził postępowania administracyjne dotyczące nieprawidłowości w przetwarzaniu danych osobowych. Odbył szkolenie dla Administratorów Bezpieczeństwa Informacji. Prywatnie miłośnik sztuk walki, żeglarstwa i narciarstwa.