GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

RODOza i Klauzuloza – czyli skutki uboczne reformy

RODOza i Klauzuloza – czyli skutki uboczne reformy

O błędach wynikających z interpretacji przepisów RODO napisano już bardzo dużo. Można nawet powiedzieć, że o RODO absurdach, bo tak je potocznie nazywano, napisano więcej niż o samym RODO. Zjawisko masowej nadinterpretacji przepisów RODO jest już też przedmiotem tworzonych licznych prac naukowych, a nagminne mówienie o tych absurdach w środkach masowego przekazu wskazywane jest jako jedna z przyczyn tak dużej społecznej niechęci do przepisów o ochronie danych osobowych oraz trudności w ich wykładni.

Na potrzeby tego tekstu warto więc odłożyć na bok określenie „RODO absurd” skupiając się na kilku największych i nadal nierozwiązanych problemach wynikających z interpretacji jego przepisów.

Pierwszy z nich ma charakter generalny i jako zjawisko dotyczy wszystkich bądź niemal wszystkich przypadków gromadzenia danych, a więc zarówno w Internecie jak i gromadzonych drogą tradycyjną. Powszechnie nazwano to „RODOzą” i „Zgodozą”, która obejmuje gromadzenie zgód na przetwarzanie danych we wszystkich bądź niemal wszystkich celach. Strach przed karami wynikającymi z RODO wzbudził wśród administratorów danych przekonanie, że królową wszystkich przesłanek przetwarzania danych osobowych jest zgoda. I tak tytułem przykładu w okresie wakacyjnym biura podróży nagminnie gromadzą dane osobowe wycieczkowiczów na przetwarzanie ich danych w związku ze świadczeniem usług turystycznych w tym przekazania tych danych do zakładu ubezpieczeń. Gromadzą zgody w sytuacji, gdy podstawą przetwarzania danych osobowych jest umowa i przepisy powszechnie obowiązującego prawa. Podobnie uczelnie wyższe poza nielicznymi przypadkami gdy uczelnia chciałaby wykorzystać wizerunek studenta, odbieranie od nich zgód na przetwarzanie danych przed rozpoczęciem roku akademickiego jest błędem. Sytuacji takich można byłoby wymieniać więcej, ale warto w tym zakresie skupić się na konsekwencjach takich zachowań. Po pierwsze, praktyka taka skutkuje nietrwałością związaną z możliwością każdorazowego cofnięcia takiej zgody. Gromadzenie danych mimo cofnięcia takiej zgody jest dopuszczalne, o ile dojdziemy do wniosku, że finalnie podstawą przetwarzania danych osobowych w tym zakresie jest inna przesłanka legalizująca ich gromadzenie. Jednak musi ona z zasady być wskazana w momencie zbierania danych, w przeciwnym przypadku możliwe jest przyjęcie, że pierwotnie dane gromadzone były z naruszeniem art. 13 ust. 2 lit. b RODO który nakłada obowiązek poinformowania o rzeczywistym prawie do usunięcia danych. W przypadku przetwarzania danych w oparciu o przesłankę zgody, po jej cofnięciu prawo takie przysługuje i administrator powinien o nim poinformować. W praktyce zdecydowanej większości przypadków, o których mowa powyżej, zmiana przesłanki przetwarzania danych po cofnięciu zgody wyklucza jednak możliwość skutecznego usunięcia danych. Administrator realizując więc wymóg z art. 13 RODO i informując, że prawo do usunięcia danych przysługuje – przekazuje informację nieprawdziwą. Po drugie, wskazana „zgodoza” ma charakter i kontekst stricte regionalny i dotyczy Polski. Doświadczenie współpracy z wieloma podmiotami zagranicznymi pokazuje, że zgoda nie jest przesłanką nadużywaną w innych państwach członkowskich UE. W konsekwencji nawet wewnątrz grupy spółek pełniących rolę współadministratora w rozumieniu przepisów RODO zrozumienie dla takich praktyki w Polsce jest bardzo małe. W praktyce coraz częściej korporacje zagraniczne decydują się na lokalizacje spółek odpowiadających w ramach struktury współadministratora za realizację wymogów RODO poza Polską. Powyższe nie jest zjawiskiem korzystnym dla naszej gospodarki.

Drugi z największych problemów z wykładnią przepisów RODO ma zupełnie inną naturą. Wynika ona bowiem nie tyle z błędnej praktyki w stosowaniu RODO ,a raczej z niejasności przepisów samej regulacji. Dla nikogo nie ulega wątpliwości, że ochrona życia oraz ochrona zdrowia są wartościami nadrzędnymi nad ochroną prywatności jako takiej. O ile bowiem przewidziane w art. 2 Karty Praw Podstawowych UE oraz a art. 38 Konstytucji RP prawo do życia ma charakter bezwzględny, o tyle ochrona danych osobowych oraz prawo do prywatności, o których mowa w art. 7 i 8 Karty Praw Podstawowych UE i art. 51 Konstytucji RP mogą podlegać ograniczeniom. Samo RODO w motywach preambuły stanowiącej kontekst normatywny całej regulacji mówi wyraźnie, że przekazywanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne w celu ochrony interesu, który ma istotne znaczenie dla żywotnych interesów osoby, której dane dotyczą, lub innej osoby, w tym integralności fizycznej lub życia, a osoba, której dane dotyczą, nie jest w stanie wyrazić zgody (motyw 112). Należy jednak zwrócić uwagę, że w samych przepisach RODO brak jest chociażby przesądzenia, że ochrona życia bądź zdrowia może uzasadnić niewykonywanie obowiązku informacyjnego, o którym mowa w art. 13 RODO. Dojście do takiego wniosku wymaga podjęcia wykładni samych przepisów RODO oraz przesądzenia ich relacji względem Konstytucji RP oraz wspomnianej już Karty Praw Podstawowych. Konsekwencją powyższego jest to, że wykorzystywane tak przez podmioty medyczne jak i zakłady ubezpieczeniowe infolinie bardzo często wykorzystują bardzo rozbudowane klauzule informacyjne w sytuacjach, w których nie powinny tego robić. Jakiś czas temu głośno było  o jednym z zakładów ubezpieczeń, który obok usługi asysty technicznej w przypadku incydentów drogowych oferował infolinię SOS służącą udzieleniu pomocy medycznej oraz zamówieniu jednoczesnemu tak samochodu z lawetą jak i karetki pogotowania. Możliwość skorzystania z takiej usługi poprzedzona została jednak kilkuminutowym obowiązkiem informacyjnym bez możliwości jego pominięcia. Tak więc osoba chcąca chronić życie swoje bądź innej osoby uczestniczącej w wypadku, przed uzyskaniem wsparcia medycznego musiała odsłuchać treść obowiązku informacyjnego, nie dającą się w żaden sposób pominąć. Niezależnie od  tego, że jak zostało wskazane ochrona życia i zdrowia uprawnia do pominięcia realizacji jakichkolwiek obowiązków mogących utrudnić udzielanie pierwszej pomocy, samo RODO w art. 13 mówi wyraźnie, że obowiązek taki można realizować podczas pozyskiwania danych osobowych. W sytuacji o której mowa powyżej, etapem takim może być chociażby koniec rozmowy gdy pomoc medyczna zostanie już udzielona.

Powyższe może być związane z pomijaniem celowościowej wykładni prawa unijnego, która powinna sprzyjać spójnemu stosowaniu przepisów RODO w całej UE. Być może racjonalne podejście wymusi na nas orzecznictwo TSUE i wytyczne Europejskiej Rady Ochrony Danych. Z pewnością będzie ono konieczne właśnie teraz, gdy rozwój techniki i aktywność międzynarodowych korporacji stawiają coraz to nowe wyzwania dla szeroko rozumianej prywatności, w tym – ochrony danych osobowych.