Przed III Forum Informacji i Ochrony Danych Osobowych
z dr Marleną Sakowską-Baryła rozmawia

Marlena Sakowska-Baryła: Forum Informacji i Ochrony Danych Osobowych to wydarzenie skupiające osoby zajmujące się w praktyce ochroną danych osobowych i prawem informacyjnym, często z różnych perspektyw i w różnym zakresie. Dlatego też bardzo dbamy o to, aby wszyscy nasi goście otrzymali podczas każdej edycji forum możliwie dużo rzetelnej wiedzy, co do tego jak w praktyce stosować przepisy o ochronie danych osobowych, dostępie do informacji publicznej, ponownym wykorzystywaniu informacji sektora publicznego. Szczególnie istotne jest to, że koncentrujemy się na kwestiach, które mogą być problematyczne i budzą wiele wątpliwości przy interpretacji, np. będziemy skupiać się nad tym, jak stosować RODO, zapewniając dostęp do informacji publicznej, w jaki sposób ujawniać oświadczenia majątkowe w BIP, jak prawidłowo stosować monitoring, prowadzić akta pracownicze, respektować prawa autorskie przy ponownym wykorzystywaniu informacji sektora publicznego oraz dostępie do informacji publicznej, jak spełniać obowiązki informacyjne, których realizacja w dość osobliwy sposób została opisana w KPA. Praktyka pokazuje, że wszystkie te zagadnienia są niezwykle ważkie dla osób, które muszą podjąć jednoznaczne decyzje chociażby co do udostępniania czy też nieudostępnienia informacji. Dla mnie oczywiste jest współstosowanie przepisów o ochronie danych osobowych oraz regulacji dotyczących odpowiednio dostępu do informacji publicznej oraz ponownego wykorzystywania informacji sektora publicznego, ale mam nieodparte wrażenie, że w obiegowej opinii pokutuje przeświadczenie, że RODO wyłącza dostęp do informacji, tymczasem tak nie jest. Wielokrotnie okazuje się, że po prawie 20 latach stosowania tych dwóch reżimów – ochrony danych osobowych i systemu dostępu do informacji publicznej, ich relacje bywają przedmiotem kontrowersji. Na tym tle, na istotną uwagę zasługuje również to, że podczas forum będziemy chcieli porozmawiać o zasadach prawa ochrony danych osobowych także z perspektywy konstytucyjnej i ustrojowej, a nadto skupić się na ważnej regulacji sektorowej, jaką pozostaje „ustawa DODO” – czyli ustawa wdrażająca tzw. dyrektywę policyjną. Mamy wiele problemów z interpretacją jej przepisów, w tym ustalających jej zakres podmiotowy i przedmiotowy. To problematyka bardzo istotna także dla administrowania danymi osobowymi w sądach, ponieważ wciąż bywa kłopotliwe, kiedy właściwie w sądzie stosuje się tę ustawę.

A.F.: W dniu 25.5.2019 r. minął rok od rozpoczęcia obowiązywania RODO. Jakie główne problemy praktyczne pojawiły się w stosowaniu tych przepisów?

M.S.-B.: W mojej ocenie głównym problemem w stosowaniu RODO są nadinterpretacje, absurdalne wnioski co do sposób stosowania tego rozporządzenia oraz ogólne niezrozumienie na czym właściwie polega ochrona danych osobowych. Jakiś czas temu zostałam spytana w jednym z sądów, czy ze względu na RODO urzędnik sądowy, odbierając połączenie telefoniczne, może przedstawiać się imieniem i nazwiskiem. Osoba pytająca argumentowała, że przecież rozpoczęło się stosowanie RODO, a rzeczone imię i nazwisko to bez wątpienia dane osobowe, więc RODO je chroni, więc nie można go udostępniać. Tymczasem to wszystko nie tak. Ochrona danych osobowych to procedury postępowania z danymi osobowymi. Obecnie opisane w głównej mierze w RODO. Należy uznawać, że chronię dane osobowe nie wtedy, gdy żadnych danych nie ujawniam albo żadnych danych nie zbieram (na marginesie, gdyby tak było, sądy przestałyby funkcjonować), ale wówczas, gdy znam zasady ochrony danych osobowych opisane w RODO oraz w innych przepisach prawa i działam zgodnie z tymi zasadami. Jako osoba, która zajmuje się ochroną danych osobowych od kilkunastu lat, boleję nad tym, że stosowanie RODO sprowadzono do zalewu klauzul informacyjnych, w przypadku których, na dowód spełnienia obowiązku informacyjnego, wielokrotnie wymusza się od nas ich podpisywanie czy dostarczanie administratorowi z odpowiednią adnotacją, czy też do lawinowo pobieranych zgód na przetwarzanie danych osobowych, do fasadowych procedur oferowanych przez rozlicznych obecnie „ekspertów” w dziedzinie ochrony danych osobowych oraz eskalacji strachu przed administracyjnymi karami pieniężnymi. Po przeszło 22 latach obowiązywania w naszym kraju zasad ochrony danych osobowych często zachowujemy się niestety tak, jakbyśmy nigdy owych zasad nie stosowali i absolutnie nie mieli rozeznania, kiedy chronimy sferę informacyjną osoby fizycznej, a kiedy stosujemy wysublimowane rozwiązania proceduralne, które właściwie niczemu nie służą. Niestety uczucia chaosu nie zmniejszyły zabiegi legislacyjne, których celem miało być tzw. wdrożenie reformy ochrony danych osobowych, czyli RODO i DODO. Ustawa sektorowa zmieniła ponad 160 ustaw, ale nie sposób stwierdzić, że zmiany te znacząco przyczyniły się do zmniejszenia niepewności co do prawidłowości stosowania wymogów wynikających z RODO. Ponadto, choć RODO obowiązuje już ponad rok, wciąż nie do końca pamiętamy, że akt ten dotyczy wszystkich danych osobowych, a nie tylko tych ze sfery prywatności. Wielokrotnie spotykam się z przypisywaniem ochronie danych osobowych wyłącznie funkcji ochrony prywatności. Zupełnie tak, jakby te „nieprywatne” czy powszechnie dostępne informacje o człowieku, były wyjęte spod RODO.

A.F.: Wielu uznało, że obowiązywanie RODO wiąże się ze znacznym ograniczeniem używania danych osobowych. Jaki jest natomiast rzeczywisty zakres obowiązywania ochrony danych osobowych?

M.S.-B.: Jak już wspomniałam, w RODO nie tyle chodzi o ograniczenie używania danych osobowych, a o określenie procedur, które pozwolą nam ustalić, kiedy korzystanie z danych osobowych – czyli ich przetwarzanie – jest legalne. I tu być może dla wielu osób zaskakujące jest, że w tym zakresie przepisy RODO są bardzo zbliżone do regulacji zawartych w przepisach ustawy o ochronie danych osobowych z 1997 r. Tu tak, jak poprzednio dzielimy dane na dane zwykłe i dane wrażliwe (szczególne kategorie danych) i poszukujemy podstawy prawnej przetwarzania w obrębie tych kategorii, a podstawy są podobne, jak miało to miejsce wcześniej, choć nieidentyczne. Można mówić o pewnych ograniczeniach przetwarzania w związku z tym, że RODO precyzuje pewne kwestie lub wprowadza nowe rozwiązania, np. odnosi się do przetwarzania danych biometrycznych, kwalifikując je jako „szczególne kategorie danych”, reguluje profilowanie, precyzuje, że dane poddane pseudonimizacji to w dalszym ciągu dane osobowe, wskazuje, że administrator może przetwarzać dane, gdy ciąży na nim obowiązek prawny, stąd nie wystarczy już powoływanie się na uprawnienie. Z drugiej strony, na gruncie RODO wyroki i innego rodzaju orzeczenia nie pozostają już wśród tzw. danych wrażliwych wymienionych w art. 9 ust. 1 RODO jako te, których zasadniczo nie można przetwarzać. W tym przypadku zmniejszył się rygoryzm, bo dane te kwalifikuje się jako przetwarzane na podstawie art. 6 RODO, a więc „dane zwykłe”.

A.F.: Jakie mogą być konsekwencje naruszenia RODO?

M.S.-B.: W RODO szerzej niż poprzednio rozwiązano sprawę odpowiedzialności za naruszenia – obok orzekanych w drodze decyzji administracyjnej dolegliwości określanych w rozporządzeniu jako „uprawnienia naprawcze” – wprost przewidziano odpowiedzialność cywilną, z odpowiedzialnością odszkodowawczą włącznie. To nowość, ponieważ poprzednio obowiązująca ustawa o ochronie danych osobowych w ogóle nie odnosiła się do kwestii roszczeń cywilnoprawnych. W przypadku odpowiedzialności o charakterze administracyjnym nowością jest możliwość zastosowania przez organ nadzorczy – w Polsce przez Prezesa Urzędu Ochrony Danych Osobowych – administracyjnej kary pieniężnej, której wysokość może sięgnąć nawet 20 000 000 euro, zaś w sektorze publicznym 100 000 zł, ponieważ polska ustawa o ochronie danych osobowych w taki sposób sektorowo zmitygowała górną granicę odpowiedzialności. Niezależnie od odpowiedzialności cywilnej i sankcji administracyjnej za naruszenia przepisów o ochronie danych osobowych można ponieść odpowiedzialność karną, która nie wynika z samego RODO, ale z prawa polskiego, w tym z ustawy o ochronie danych osobowych. Naruszenie RODO może mieć swoje konsekwencje w postaci odpowiedzialności prawnopracowniczej, co także nie wynika z rozporządzenia, ale zważywszy na charakter obowiązków z zakresu ochrony danych i konsekwencje mogące wystąpić w przypadku ich naruszenia, oczywiste wydaje się przyjmować, że i naruszenia mogą skutkować odpowiedzialnością pracownika przewidzianą w prawie pracy.