GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Recenzja: RODO Rozproszona władza publiczna

Na tle fali RODO-publikacji książka autorstwa Arkadiusza Sobczyka wyróżnia się na plus doskonałym kunsztem pisarskim, a także śmiałością tez stawianych częstokroć w poprzek dominującej wykładni przepisów. Jest to też istotny głos w dyskusji dotyczącej charakteru RODO jako aktu i jego miejsca w porządku prawnym. Lektura wymaga jednak uwagi w przyswajaniu i ostrożności w stosowaniu, gdyż nie wszystkie poglądy Autora są podzielane przez większość przedstawicieli doktryny i orzecznictwa. Postaramy się przybliżyć je nieco Czytelnikowi.

Niełatwa lektura

Już we wstępie Autor zastrzega, iż książka nie jest łatwa w czytaniu dla osób niebędących prawnikami – „Sądzę również, że dla wielu – o ile nie dla większości – prawników także nie będzie łatwa”. I tutaj trzeba uczciwie przyznać – Autor słowa dotrzymał.

Poziomy ochrony prywatności

W publikacji omówiono poziomy ochrony prywatności i autonomii informacyjnej, takie jak:

  1. ochrona prywatności i autonomii informacyjnej w prywatnych relacjach nieprofesjonalnych,
  2. ochrona danych osobowych w relacji z podmiotami gospodarczymi,
  3. ochrona danych osobowych w związku z wykonywaniem funkcji publicznych przez podmioty prywatne,
  4. relacje z podmiotami wykonującymi zawody zaufania publicznego,
  5. ochrona prawno-karna w relacjach profesjonalnych na przykładzie art. 266 k.k.
  6. relacje z podmiotami publicznymi,
  7. RODO.

Autor formułuje tezę, iż RODO nie będzie miało zastosowania, gdy podmiot danych korzysta z własnej wolności i przekazuje dane samodzielnie, ustalając wprost lub pośrednio cel swojego działania. Zatem w przypadkach a-f „dane są przekazywane z woli podmiotu danych lub są zbierane tylko dlatego, że państwo nakazało je zebrać, powyższe rozwiązania ochronne trudno uznać za niewystarczające. Co więcej, stosowanie w powyższych przypadkach RODO byłoby nieproporcjonalnym obciążaniem obowiązkami oraz ryzykami prawnymi podmiotu, który dane przetwarzać musi lub czyni to w zakresie przez siebie samodzielnie nieustalonym” (s.58).

RODO a władza publiczna

Kolejny rozdział poświecono RODO jako aktowi prawa administracyjnego, który to „reguluje materię wykonywania władzy publicznej uzupełnioną o towarzyszące jej zadania publiczne o charakterze nie władczym. Centralnym jego punktem jest więc zgodny lub niezgodny z prawem indywidualny akt administracyjny polegający na ustalaniu celów i sposobów przetwarzania danych osobowych”.

Autor wskazuje, że w istocie administrator danych, nie będący podmiotem państwowym, jest podmiotem (organem) administrującym i jako taki wykonuje zadania i funkcje publiczne (ingeruje w prawa i wolności jednostek w imię dobra wspólnego), co nie zmienia jego prywatnego charakteru. Prowadzi go to do wniosku, iż „RODO jest aktem prawnym decentralizującym kompetencje do wykonywania władzy publicznej. W przypadku modelu scentralizowanego podmiot mający interes w dostępie do danych osobowych, czyli de facto interes w tym, aby zaingerować w cudze prawo do prywatności i autonomię informacyjną, powinien był wystąpić do organu państwowego, aby ten przyznał mu prawo aktem władczym. Tymczasem RODO pozwala na to, aby zainteresowany podmiot wydal taką decyzję (akt administracyjny) sam. Niemniej jest to wciąż czynność publiczna i podlegająca publicznej kontroli, ze skargą jako typowym dla kontroli działania narzędziem kontroli łącznie” (s. 101-102).

Podstawy prawne przetwarzania

Omówione zostały także podstawy przetwarzania danych wymienione w art. 6 RODO, co wieńczy konkluzja, iż stanowią one w istocie normy kompetencyjne, który łączy cecha wspólna – interes publiczny (dotyczą bowiem realizacji podstawowych praw jednostek albo działania wspólnoty). Nowe w RODO jest zatem tylko to, iż „polska doktryna prawa nie dostrzegała masowości skali, w jakiej czynności władcze mogą być wykonywane poza aparatem administracji państwowej” (s. 185-186).

 Polecenie a upoważnienie

Podkreślono, że w zakresie „upoważnień”, przepis art. 29 RODO nie odnosi się do dokumentu, lecz do działania w ramach władzy przyznanej przez prawo administratorowi, a więc osoba lub podmiot dokonujący czynności przetwarzania nie ma żadnych własnych uprawnień a porusza się jedynie w ramach kompetencji administratora. Nie ma więc potrzeby dublowania czynności i dokumentów (s. 204). Autor przyznaje jednak wcześniej, iż upoważnienia mogą mieć sens „o tyle, że rejestr jest elementem proceduralnym, który porządkuje przepływ danych w organizacjach. Dlatego wprowadzenie rejestrów co do części procesów przetwarzania danych ma sens nie z powodu zasady rozliczalności, ale z powodu zasady przejrzystości” (s. 200).

Status prawny inspektora ochrony danych

W ostatnim rozdziale Autor omawia m.in. kwestię wyznaczenie IOD, jego relację do usług publicznych, pozycję prawną, autonomię, kwestie odwołania a także odpowiedzialność za niewykonanie lub nienależyte wykonanie obowiązków IOD (w tym również ewentualną odpowiedzialność Skarbu Państwa). Autor wskazuje, iż „z pewnym uproszczeniem – prawo nakazuje, a czasem tylko pozwala administratorowi „kupić” sobie urzędnika” (s. 243).

Libri amici, libri magistri

RODO. Rozproszona władza publiczna to pozycja niełatwa.  Autor stawia śmiałe tezy przeprowadzając Czytelnika przez złożone ciągi asocjacyjne mające swoje w źródło w tezie podstawowej – RODO to akt prawa administracyjnego pozwalający podmiotom partycypować we władzy publicznej, tam gdzie pozwalają na to odpowiednie normy kompetencyjne. Książka to odważny głos polemiczny przy (braku) realnej dyskusji dotyczącej miejsca RODO w systemie prawa i zakresu jego stosowania.