Żródła GDPR/RODO
Pojawiające się problemy interpretacji zapisów Rozporządzenia [GDPR/RODO] i trudności jego stosowania w codziennych sprawach prowadzi do wniosku, że niebawem trzeba będzie przeanalizować skutki jego wprowadzenia i zaproponować odpowiednie modyfikacje.
Postanawiam rozpocząć taką dyskusję w sferze logiczno-algorytmiczej, czyli kształtowaniu realizacji rzeczywistych potrzeb obywateli UE w zarządzaniu ich danymi osobistymi. Czytając zapisy prawne staram się wyodrębnić z nich istotę przesłanek takich zapisów, a nie samą formę zapisu, poszukując logicznych, spójnych i niesprzecznych relacji pomiędzy obiektami, których poprawne zachowanie jest kodyfikowane.
Prościej mówiąc, problemem zajmuje się inżynier informatyk jedynie rozumiejący niektóre (bo nie wszystkie) zapisy prawne. Zobaczymy co z tego będzie można potem wykorzystać do usprawnienia zapisów prawnych tego Rozporządzenia i aktów z nim powiązanych.
Zacznijmy więc od źródeł. Są one podane w konkluzji (1) treści Rozporządzenia:
(1) Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą praw podstawowych”) oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.
Warto je przytoczyć w całości po angielsku i po polsku:
Kpp 8.1 ang. | Everyone has the right to the protection of personal data concerning him or her. |
Kpp 8.1 pol. | Każdy ma prawo do ochrony danych osobowych, które go dotyczą. |
TFUE 16.1 ang. | Everyone has the right to the protection of personal data concerning them. |
TFUE 16.1 pol. | Każda osoba ma prawo do ochrony danych osobowych jej dotyczących. |
Po angielsku oba stwierdzenia są praktycznie identyczne. Nieco różnic mamy w tłumaczeniu na polski.
No to spróbujmy zrozumieć na jakiej podstawie prawnej (proszę zauważyć, że zostały wskazane tylko ustępy 8.1 i 16.1) powstało GDPR.
Każdy – domyślamy się, że chodzi o osoby fizyczne i widzimy, że nie ma żadnych wyjątków, a wyjątki przecież istnieją, gdyż:
- Posłowie, senatorowie, politycy, samorządowcy jako osoby publiczne (według definicji encyklopedycznej) nie mogą chronić swojego wizerunku, nazwiska, treści oświadczenia majątkowego i wielu innych danych osobistych,
- Kandydaci w wyborach ujawniają imię, nazwisko, wiek i ogólnie miejsce zamieszkania i niekiedy wizerunek,
- Kadra żołnierska, policyjna, strażacka, itp. na mundurach mają obowiązek nosić noszą identyfikator z imieniem oraz nazwiskiem.
- Aktorzy, muzycy, twórcy, celebryci (cokolwiek to znaczy) ujawniają swój wizerunek, nazwisko i inne dane osobiste.
- Członkowie rad nadzorczych, zarządów, prowadzący działalność gospodarczą, itp. w KRS oraz w CEiDG ujawniają swoje imię, nazwisko oraz numer PESEL.
Nie jest to pełna lista i takich osób jest dobrze ponad 2-3 miliony. Czyli mają prawo do ochrony swoich danych osobowych, ale muszą z tego prawa zrezygnować, jeżeli chcą dalej piastować tę funkcję, utrzymać stanowisko czy być znanym. A więc nie każdy - co już narusza spójność tego stwierdzenia.
I jeszcze pytanie czy każdy odnosi się tylko do obywateli Unii Europejskiej, czy też do każdego przebywającego na terenie UE oraz czy jest to też zobowiązanie do ochrony danych osobowych każdego posiadającego obywatelstwo kraju UE, a znajdującego się czasowo lub na stałe poza obszarem UE. I kto wtedy ma realizować to prawo do ochrony?
Jeszcze jedno pytanie. Czy każdy odnosi się tylko do osób żyjących, czy również do zmarłych i kto wtedy ma zadbać o ochronę danych osobowych zmarłych i jak długo ma trwać ta ochrona? [W Bibliotece Kongresu USA dokumenty osób zmarłych są przez 5 lat dostępne jedynie rodzinie].
Na powyższe pytania nie ma odpowiedzi.
…ma prawo do ochrony… - wydaje się zrozumiałe, ale tak po prawdzie to jaka ma być ta ochrona, bo może polegać tylko na tym, że:
- nikt inny nie może mieć takiego samego wizerunku czy imienia (nie może stać się sobowtórem),
- nikt inny nie może poznać i posługiwać się naszymi danymi osobowymi bez naszej wyraźnej zgody w określonym obszarze i czasie, co już uniemożliwia skuteczną ochronę,
- to my prawo chronić dotyczące nas dane osobowe, korzystając ze wszystkich dopuszczalnych (nie wiemy jakich) możliwości,
- możemy zlecić tę ochronę komuś innemu – tylko jak ktoś ten może to realizować z wyjątkiem pilnowania skrytki z naszymi (papierowymi) dokumentami,
- ten ktoś przechowujący nasze dane osobowe ma obowiązek je chronić przed nieuprawnionym dostępem, ale nie ma informacji jak skutecznie i na jakich warunkach, itp. ma to czynić.
I tak możemy jeszcze zadać kilka innych pytań dotyczących prawa do ochrony – ale odpowiedzi z tego stwierdzenia (8.1, 16.1) nie uzyskamy.
…danych osobowych, które go dotyczą… wprowadza w języku polskim pewien problem. Angielskie personal ma bowiem w polskim języku dwa pojęcia – osobowy, osobisty.
Uwzględniając ten niuans językowy, powinniśmy przyjąć, że owszem zbieramy dane osobowe o pewnej grupie osób, ale gdy te dane osobowe dotyczą określonej osoby, to są jej danymi osobistymi. W ten sposób łatwiej możemy się odnieść do zapisów Kodeksu Cywilnego, jeśli przyjmiemy, że dane osobiste są również dobrami osobistymi, którymi mogą być w szczególności - nazwisko lub pseudonim, wizerunek, informacja o zdrowiu, itp. – przy czym katalog ten jest otwarty.
Tylko tyle wiemy, zabierając się do analizowania treści Rozporządzenia. Nie wiemy na przykład po co, w jakim celu, mają być chronione danego osobowe – a celów może być kilka:
- obywatele Unii powinni czuć się wolni, samodzielni i niezależni od wszelkiej władzy, a jest to możliwe tylko wtedy gdy władza ich [zbytnio] nie inwigiluje.
- obywatele Unii nie powinni być nagabywani reklamami i ofertami towarów i usług ukierunkowanych bezpośrednio według informacji przejętych z ich danych osobistych.
- obywatele Unii nie powinni być narażeni na kradzież lub nieuprawnione użytkowanie dóbr osobistych przez e-przestępców.
Jaki cel przyświecał twórcom Karty praw podstawowych? Nie wiemy!
Spróbujmy może zajrzeć do następnego ustępu Kpp oraz TFUE (przypominam, te ustępy nie zostały wskazane w konkluzji (1) Rozporządzenia). Też warto je przytoczyć w całości po angielsku i po polsku:
Kpp 8.2 ang. | Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified. |
Kpp 8.2 pol. | Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania. |
Kpp 8.3 ang. | Compliance with these rules shall be subject to control by an independent authority. |
Kpp 8.3 pol. | Przestrzeganie tych zasad podlega kontroli niezależnego organu. |
Według 8.2 podano zalecenia dotyczące przetwarzania danych osobowe i jest przyzwolenie na określenie tych zasad ustawą. Przyznaje się też prawo dostępu do danych osobistych oraz do ich sprostowania, gdy zawierają błędy. Nie ma nic o możliwości zapominania – wycofania swoich danych z określonego zbioru.
W ustępie 8.3 jest jeszcze wskazanie na powołanie niezależnego organu (organów) kontrolnych. Wiemy, że takie są powołane, a o niezależności organu nie bardzo potrafimy teraz w Polsce dyskutować.
Tym bardziej zasadnym staje się pytanie, dlaczego te dwa ustępy (8.2, 8.3) nie znajdują swojego odwołania w konkluzji (1)? Może jest to zwykła pomyłka, którą jak najszybciej należy poprawić.
Karta praw podstawowych w treści Rozporządzenia pojawia się jeszcze raz z Art.11. Oprócz tego w kilku miejscach następuje odwołanie do terminu praw podstawowych bez wskazywania o jakie prawa chodzi.
I tak konkluzja (4) zaczyna się od górnolotnego stwierdzenia „ Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości.” i następnie jest odwołanie do praw podstawowych „Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności”. Pytaniem jest w jaki sposób wyważyć tę proporcjonalność oraz czy obecnie pojawiające się absurdy nie są właśnie wynikiem zaburzenia tej proporcjonalności.
Z kolei w konkluzji (153) ochrona danych osobowych jest zderzana z wolnością wypowiedzi i informacji określnej w Art.11 Karty praw podstawowych. Niestety sam zapis tej konkluzji jest mocno złożony, ale chyba też niepełny i wymaga dokładniejszej analizy. W Polsce zderza się on z prawem prasowym (pozostałym jeszcze w postaci z 1984 roku).
Nieco lepiej wygląda powiązanie z TFUE. Przytoczony poniżej Art. 16 ust.2 TFUE
TFUE 16.2 ang. | The European Parliament and the Council, acting in accordance with the ordinary legislative procedure, shall lay down the rules relating to the protection of individuals with regard to the processing of personal data by Union institutions, bodies, offices and agencies, and by the Member States when carrying out activities which fall within the scope of Union law, and the rules relating to the free movement of such data. Compliance with these rules shall be subject to the control of independent authorities. |
TFUE 16.2 pol. | Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów. |
jest wprost przytoczony w konkluzji (12) wskazując wykonawcę (i odpowiedzialnego) definiującego zasady ochrony i przepływu danych osobowych. Zapis jest na tyle otwarty, że daje praktycznie dużą swobodę w kształtowaniu treści Rozporządzenia.
Potem jeszcze kilkakrotnie są przywoływane artykuły TFUE dla uzasadnienia i wzmocnienia treści kolejnych konkluzji.
- art. 263 i 267 TFUE w konkluzji (143) dotyczącej wnoszenia spraw do Trybunału Sprawiedliwości.
- art. 101 i 102 TFUE w konkluzji (150) przy określaniu przedsiębiorstwa na które ma być nałożona kara za brak należytej ochrony danych osobowych.
- art. 179 ust. 1 TFUE określający europejską przestrzeń badawczą w konkluzji (159) dotyczącej zasada ochrony danych osobowych przetwarzanych dla celów naukowych.
- art. 338 ust. 2 TFUE w konkluzji (163) o badaniach statystycznych
- art. 17 TFUE o poszanowaniu statusu kościołom, związkom wyznaniowym,…. w konkluzji (165) gwarantuje im dotychczasowy status – co powoduje, że ochrona danych osobowych w kościołach jest dalej poza jurysdykcją organów UE.
- art. 290 TFUE mówi o aktach o charakterze nie ustawodawczych, o których mówi konkluzja (166).
Jak widzimy, istnieje powiązanie treści Rozporządzenia z Kartą Prawa podstawowych oraz TFUE (TFEU) ….., ale też nie zawsze jest to powiązanie jednoznaczne i wiele też zapisów Rozporządzenia nie ma takiego bezpośredniego umocowania.
Według Rozporządzenia do dnia 25 maja 2020 r., a następie co cztery lata Komisja przedkłada Parlamentowi Europejskiemu i Radzie sprawozdania z oceny i przeglądu niniejszego rozporządzenia. Sprawozdania te są podawane do wiadomości publicznej oraz w razie potrzeby Komisja przedkłada odpowiednie wnioski przewidujące zmianę niniejszego rozporządzenia, uwzględniając w szczególności rozwój technologii informacyjnych oraz postęp w społeczeństwie informacyjnym.
Myślę, że jest już dobry moment na dyskusje co należy zmienić w tym Rozporządzeniu, aby było ono skuteczniejsze w działaniu. Również i ja na Kontakt przyjmuję głosy w tej sprawie. Z czasem będę zamieszczał kolejne analizy treści rozporządzenia, przygotowywane przez informatyka