W ostatnich dniach została wzniecona burza w mediach i wśród specjalistów z zakresu ochrony danych osobowych w sprawie faktycznego zakresu zastosowania RODO. Wszystko za sprawą opinii Rzecznika Generalnego TSUE – Michała Bobeka, wydanej w ramach postępowania prowadzonego przez TSUE (wniosek prejudycjalny). Stroną w tym postępowaniu jest holenderski organ właściwy do spraw ochrony danych osobowych (Autoriteit Persoonsgegevens). Opinia ta momentami wywołuje uśmiech na twarzy, ale w istocie skłania do głębokiego zastanowienia, czy RODO w istocie nie jest stosowane zbyt szeroko lub też, czy nie wymaga ono nowelizacji po przeszło trzech latach obowiązywania. Wątpliwości te częściowo może rozwiązać wyrok TSUE we wskazanej sprawie.
Udostępnienie akt to RODO, czy nie RODO
Zgodnie z RODO (art. 55 ust. 3 RODO), organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. W praktyce powstaje wątpliwość, do kiedy mówimy o sprawowaniu wymiaru sprawiedliwości przez sądy. W przywołanym postępowaniu TSUE musi rozstrzygnąć, czy udostępnienie przez sąd akt postępowania dziennikarzowi mieści się w zakresie zastosowania RODO, czy też nie, a konsekwentnie, czy organ nadzorczy (w tym przypadku z Holandii) może ocenić takie zdarzenie z punktu widzenia ochrony danych osobowych. Potencjalnie wyrok w tej sprawie może mieć bardzo duży wpływ na praktykę stosowania przepisów RODO, de facto we wszystkich państwach członkowskich.
Rzecznik Generalny wywołuje dyskusję
Rzecznik Generalny w dość groteskowy sposób wskazał przykład w swojej opinii, który jego zdaniem obrazuje wątpliwości w zakresie zastosowania RODO. W istocie sprowadza się on do pytania, czy informacje uzyskane bądź przekazane kolegom w toku luźnej rozmowy w barze podlegają pod przepisy RODO, a konsekwentnie, czy powodują, że określone osoby stają się administratorami, w rozumieniu RODO. Odpowiedź twierdząca pociągałaby za sobą poważne skutki, biorąc pod uwagę liczne obowiązki administratorów wynikające z przepisów o ochronie danych osobowych. Przykład wskazany przez Rzecznika Generalnego jest trochę przejaskrawiony, niemniej skłania do refleksji co do faktycznego zakresu zastosowania RODO, również w kontekście przetwarzania danych osobowych przez sądy.
Opinie EROD w sprawie przekazywania danych do Wielkiej Brytanii
Nieprecyzyjne przepisy to niejednolita praktyka
Trafnie wskazuje się, że przepisy RODO są w wielu miejscach bardzo nieprecyzyjne, co może prowadzić do niejednolitego ich zastosowania w różnych państwach członkowskich. Taka sytuacja z kolei może mieć duży wpływ na funkcjonowanie administratorów, którzy przekazują dane osobowe za granicę. Muszą oni bowiem mieć na uwadze różne interpretacje RODO przez organy nadzorcze z różnych państw członkowskich i narażać się na większe ryzyko potencjalnego naruszenia. Wydaje się jednak, że nie taki był cel wprowadzenia RODO, które miało co do zasady tworzyć spójny system ochrony danych osobowych w UE.
KE: zmiany nie są konieczne
Eksperci podnoszą, że z RODO wynika szereg obowiązków, które wręcz przytłaczają administratorów. Brak precyzyjnych regulacji i jednolitej praktyki niejednokrotnie prowadzi do konieczności zaangażowania dużych zasobów personalnych i finansowych, aby działać – przynajmniej hipotetycznie – zgodnie z przepisami o ochronie danych osobowych i nie narazić się na kary ze strony regulatora, które – jak wiadomo – mogą być bardzo surowe. Taka sytuacja bez wątpienia może mieć negatywny wpływ na rozwój ogólnie pojętego biznesu.
Z drugiej strony, warto zauważyć, że Komisja Europejska dokonała przeglądu stosowania RODO w UE. Wskazała na różne problemy, które pojawiały się w toku ostatnich dwóch lat jego stosowania. Zdaniem KE nie ma jednak konieczności nowelizacji przepisów, pomimo pojawiających się licznych wniosków w tym zakresie. Wydaje się więc, że w tej sytuacji ratunkiem dla administratorów może być orzecznictwo TSUE, które dostarczy bardziej praktyczne i zdroworozsądkowe wskazówki dotyczące właściwego stosowania RODO.
UK zmniejsza obciążenia dla przedsiębiorców
Warto przypomnieć, że Wielka Brytania już podjęła kroki w celu zmniejszenia obciążeń przedsiębiorców w kontekście przepisów o ochronie danych osobowych.
Wielka Brytania zmienia przepisy o ochronie danych osobowych
W ocenie rządzących zaproponowany kierunek zmian regulacji prawnych zmierzać będzie do pobudzenia gospodarki i zmniejszenia barier dla swobodnego przepływu danych osobowych.
Nie można wykluczyć, że Wielka Brytania obrała lepszą drogę w zakresie poprawy przepisów o ochronie danych osobowych. Być może za jakiś czas okaże się, że UE powinna pójść w podobną stronę i odpowiednio znowelizować przepisy RODO, uwzględniając dotychczasowe doświadczenie związane z jego funkcjonowaniem w EU.
Treść opinii Rzecznika Generalnego:
