RODO w Polsce: dyskusje na temat wątpliwości dotyczących rozporządzenia

Liczba wypowiedzi na temat RODO jest ogromna. Od pół roku staram się je śledzić oraz słuchać licznych komentarzy ekspertów i narasta we mnie przekonanie, że coś jest z tym RODO w Polsce nie tak. Jeśli przyjąć za trafne dominujące wypowiedzi w przestrzeni publicznej, to RODO jest po prostu „niestosowalne". Zaryzykuję twierdzenie, że w sektorze prywatnym w podgrupie mikro i małych przedsiębiorców 95 proc. podmiotów nigdy nie spełni wymagań rozporządzenia, jeśli propagowana w Polsce wykładnia jest trafna. Jest to bowiem nieracjonalne i niewykonalne. Zaryzykuję nawet twierdzenie oparte o własne doświadczenia i obserwację, że nasi specjaliści nauczający nas RODO w większości nie stosują się do niego w takim zakresie, w jakim nas tego nauczają.

Czytaj także: RODO: 20 rzeczy, które musisz wiedzieć o RODO

Z powodu zdrowego rozsądku przedsiębiorcy wykazują wobec RODO narastający opór. Istnieją więc trzy możliwości. Pierwsza, że nasi przedsiębiorcy się mylą, a ich zdrowy rozsądek jest niczym innym jak oznaką niechęci do ponoszenia dodatkowych wydatków i wysiłku. Druga, że RODO jest bezsensowne. Bo jeśli jest prawdą, że muszę przetwarzać dane, które ktoś sam mi przysyła (adres mailowy, adres na który mam dojechać, aby wykonać usługę, numer telefonu, który ktoś zostawił z prośbą o informację, gdy samochód będzie naprawiony), że muszę wykonywać obowiązek informacyjny w stosunku do osoby, która sama wnioskuje o wystawienie faktury lub w stosunku do pracownika, którego dane przetwarzane są zgodnie z detalicznym rozporządzeniem, które nie powala pracodawcy na żadne odstępstwo, to RODO jest rzeczywiście bez sensu.

Administrator źle zdefiniowany

Jest i trzecia możliwość, że prawnicy interpretujący RODO coś pominęli w trakcie jego interpretacji. Wydaje się, że zanim sparaliżujemy codzienność wymaganiami RODO, prawnicy polscy muszą przeprowadzić jednak nieco głębszą dyskusję niż ta, sprowadzająca się często do straszenia karami. Niniejszy głos jest właśnie próbą jej rozpoczęcia. A teza, jaką stawiam do publicznej dyskusji, jest taka, że błędnie definiujemy kluczowe dla RODO pojęcie, jakim jest administrator danych osobowych.

Nie będzie uproszczeniem stwierdzenie, że w interpretacji RODO w Polsce obowiązuje aksjomat, który brzmi: „jeśli przetwarzasz dane w obrocie komercyjnym, to jesteś administratorem i stosujesz RODO". Posłużmy się prostym przykładem: skoro wystawiasz fakturę – to jesteś administratorem danych klienta. Skoro otrzymałeś maila od pracownika kontrahenta, to jest administratorem danych jego pracownika. Skoro dostałeś zapytanie o ofertę wykonania usługi, to jesteś administratorem danych pytającego. Innymi słowy, jesteś administratorem danych pomimo tego, że zmusza cię do tego państwo (faktura) albo dlatego, że ktoś nie pytając cię o zdanie wysyła ci swoje dane.

Błędna wykładnia

Powyższa wykładnia wydaje się jednak błędna. Aby to zrozumieć, trzeba dokonać odpowiedzi na kluczowe pytanie, czym jest RODO. Istnieją w moim przekonaniu bardzo silne argumenty za twierdzeniem, że RODO stosuje się co do zasady tylko do tych przypadków, w których podmiot trzeci dokonuje indywidualnej ingerencji w cudzą wolność do dysponowania swoimi danymi osobowymi, czyli nieznacznie tylko upraszczając – ingerencji w wolność. Ingerencja ta musi być samodzielna. Czasem tylko wymaga zgody, jednak jest to zgoda, która odnosi się do celów już ustalonych. W takim przypadku wybór podmiotu danych jest tylko między „tak" a „nie". Podobna jest rola osoby przekazującej dane w procesie zawierania umów, co jednak z uwagi na ograniczenia objętościowe tego tekstu nie będzie dalej rozwijane. Specjalistom zajmującym się RODO wspomnę jedynie, że art. 6 ust.1 lit. b rozporządzenia jest źle przetłumaczony w miejscu, w którym dotyczy rzekomego „żądania".

Wyjątkowo RODO stosuje się do ingerencji w wolność jednostki dokonanej przez prawo. Innymi słowy chodzi o sytuacje, w których np. ustawa nakazuje podmiotowi trzeciemu zebrać konkretne dane o osobie fizycznej. Tyle tylko, że w moim przekonaniu RODO ma w takich przypadkach zastosowanie tylko wtedy, gdy prawo jednoznacznie czyni podmiot przetwarzający administratorem.

Powyższe założenia wynikają wprost z definicji administratora, a przypomnijmy, że gdy nie ma administratora, to nie ma i RODO. Zgodnie z rozporządzeniem administratorem jest tylko ten, kto samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania. Przechodząc na język prawa publicznego (a tym jest RODO), administrator to podmiot, który podejmuje czynność prawną, jaką jest akt ingerencji w cudze prawa podmiotowe. Z tego zresztą powodu podmiot, który przetwarza dane osobowe w zakresie narzuconym przez ustawę nie jest co do zasady administratorem, albowiem niczego nie ustala, lecz jedynie wykonuje akt ingerencji dokonany wcześniej przez ustawodawcę.

Musi wynikać z ustawy

Jak było już wspomniane, RODO dopuszcza, aby prawo krajowe czyniło administratorem także i takie podmioty, które jedynie wykonują nakazy ustawowe. W takim przypadku dany podmiot musi być jednak wskazany wprost w ustawie albo zostać ustanowiony na podstawie konkretnych kryteriów. To ostatnie oznacza, że musi zostać wydany administracyjny akt „ustanowienia" administratora. Innymi słowy w moim przekonaniu nie można domniemywać – co jest powszechne w wypowiedziach polskich prawników – że ktoś jest administratorem, jeśli jedynie przetwarza dane osobowe w wykonaniu obowiązku prawnego.

Z powyższych założeń wynikają konkretne wnioski. Po pierwsze RODO nie ma zastosowania, jeśli ktoś otrzymuje dane, o które nie prosił. Podany przykład zapytania o ofertę wykonania usługi lub nadesłanej oferty osoby poszukującej pracy pomimo nieprowadzonej rekrutacji są przykładami, w których o celach i sposobach przetwarzania decyduje osoba uprawniona. Jak wyżej wspomniałem, RODO nie zajmuje się przypadkami, w których sami decydujemy o swoich danych. Skoro korzystamy z naszej wolności, to ponosimy co najmniej część ryzyka za skutki naszych wyborów.

RODO nie może być więc interpretowane w ten sposób, że swoim własnym działaniem mogę uczynić kogoś administratorem moich danych, czyli de facto narzucić na kogoś ogromne uciążliwości publiczne i ryzyka prawne. Dlatego w moim przekonaniu odbiorca danych o które nie prosi nie jest administratorem i RODO nie ma do niego zastosowania. Czy podmiot taki przetwarza dane? Tak, tyle tylko, że dopóki czyni to w celach wyznaczonych przez podmiot, który dane przysłał (korespondencja, rozpatrzenie oferty, wskazanie miejsca wykonania usługi), dopóty dane chronione są w oparciu o kodeks cywilny. Sytuacja wygląda oczywiście inaczej, gdy usługodawca lub sprzedawca sam ustala dane, jakie uważa za niezbędne do wykonania umowy, uzależniając zarazem od tego zawarcie umowy. Typowym przykładem są tu transakcje dokonywane za pośrednictwem formularzy internetowych.

Cel ustala przekaziciel

Nie rozwijając tej analizy – takie samo rozumowanie należy przyjąć w przypadku danych wysyłanych do przedsiębiorców w ramach bieżącej współpracy (np. adresy e-mail pracowników, numery telefonów, wizytówki). W takiej sytuacji to podmiot przekazujący dane ustala – najczęściej w sposób dorozumiany – cele przetwarzania przez odbiorcę.

Sytuacja ma się analogicznie do przypadku, w których dane osobowe są przetwarzane w wykonaniu obowiązku prawnego, który precyzuje cel i sposób przetwarzania danych. Powszechnym przykładem będzie wystawianie faktur. Przedsiębiorca ma obowiązek wystawić fakturę na wniosek osoby fizycznej. Jest to oczywiście obowiązek prawny. Ustawa określa cel, zakres danych i sposób ich przetwarzania (dokumentacja finansowa spółki). Przedsiębiorca nie jest więc administratorem danych osobowych w rozumieniu RODO, skoro niczego sam nie ustala – chyba że ustawa go nim uczyni. Szczęśliwie nie uczynił. Z tych samych powodów nie jest administratorem danych osobowych w rozumieniu RODO pracodawca, w zakresie danych zebranych w aktach osobowych.

Obawa o bezpieczeństwo

Powyższe rozumowanie może wywołać obawę o bezpieczeństwo danych, a precyzyjnie, o ochronę praw osób, których dane dotyczą. To obawy nieuzasadnione. Przedsiębiorca musi bowiem zapewnić poufność tych danych, choć nie jest ich administratorem w rozumieniu RODO. Powyższe wynika z art. 23i 24 k.c. w związku z art. 355 k.c. W innym miejscu będę dowodził, że obowiązki przedsiębiorców w zakresie dbałości o dane w tych przypadkach, w których nie są administratorami, wcale nie są błahe i prawa człowieka są także chronione. Jednak między porządnym zabezpieczeniem danych a stosowaniem RODO istnieje jednak ogromna różnica.

Krótkie ramy tego tekstu nie pozwalają na dalej idące uzasadnienie powyższych tez. Jest on jednak wystarczający do rozpoczęcia pogłębionej dyskusji na temat RODO. Wydaje się bowiem, że jest to bardzo sensowny akt, tyle że – w kontekście sektora komercyjnego – dotyczący przede wszystkim marketingu oraz sformatowanych zakupów internetowych. W pewnym zakresie – ale w moim przekonaniu nieznacznym – RODO obejmuje także sprawy pracownicze. Dlatego bardzo znaczna liczba, a może nawet większość małych przedsiębiorstw nie ma w moim przekonaniu żadnej styczności z RODO, albo ma styczność nieznaczną. Tyle tylko, że nikt się w Polsce z zaprezentowaną wyżej wykładnią nie zgadza. Inna sprawa, że nikt takiej interpretacji jeszcze nie przedstawił.

Niniejszy tekst jest więc okazją, aby zwolennicy dominujących poglądów przedstawili swój punkt widzenia oraz przemawiające za nim argumenty. Ze swojej strony mogę jedynie powiedzieć, że jestem na nie otwarty. Pozostaję jednak w nadziei, że polemiści będą mieli na względzie, że RODO to przepis prawa publicznego, a w moim przekonaniu prawa administracyjnego. Dlatego argumentacja musi być ścisła, a nie intuicyjna. A jeśli ktoś powoła się na interpretacje grupy roboczej, to będzie to robił precyzyjnie. Wreszcie, w naszej dyskusji będziemy mieli w pamięci, że konstytucyjna zasada proporcjonalności dotyczy nie tylko ochrony danych osobowych, ale także granic nakładania obowiązków i ryzyk na przedsiębiorców.