Art. 10 RODO

Na podkreślenie zasługuje fakt, że RODO, odwołując się w art. 10 do kategorii informacji „dotyczących wyroków skazujących i naruszeń prawa” oraz innych informacji o adekwatnej wartości (np. orzeczeń o umorzeniu postępowania, zawieszeniu wykonania kary, ułaskawieniu itd.) dopuszcza przetwarzanie tych dość specyficznych informacji (poja-wiających się jako efekt końcowy działalności m.in. sądownictwa) w in-nych okolicznościach, niż wskazuje to dyrektywa 2016/680. Należy podkreślić, że co do zasady nie chodzi tu jo wszelkie dane zebrane w trakcie postępowań, a jedynie o informacje obejmujące ich końcowy efekt. Nie można jednak wykluczyć, że przynajmniej część z rozstrzygnięć zapadających w trakcie postępowania (np. postanowienie o tymczasowym aresztowaniu) również powinno być postrzegane jako mieszczące się w granicach art. 10 RODO64. W odróżnieniu od s.u.o.d.o. (w formie, jaką

62 Zob. A. Nerka, M. Sakowska-Baryła, op. cit., s. 166-168.

63 Zob. P. Barta, Prawnie uzasadniony interes w działalności marketingowej, „ABI Expert” 2018, nr 3, s. 15 i n.

przyjęto po nowelizacji z 25 sierpnia 2001 r.)65 RODO, uznając je za specyficzny rodzaj danych, nie przynależących jednak do kategorii danych szczególnych, wskazuje jako właściwe przesłanki legalizujące proces ich przetwarzania te ujęte w art. 6. a nie w art. 9 RODO.

Na relatywnie szerokie możliwości przetwarzania tej grupy infor-macji wskazuje choćby treść motywu 97 RODO66. Odnosząc się bezpo-średnio do potrzeby powołania inspektora danych, prawodawca dał w nim wyraźnie do zrozumienia, że może istnieć bliżej nieokreślona grupa podmiotów publicznych (choć teoretycznie dotyczy to również sektora prywatnego), których główna działalność polegać będzie na przetwarza-niu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Bez wątpienia w przypadku organów i podmiotów publicznych swoboda ich

interpretować zbieżnie ze „środkami karnymi” w rozumieniu art. 30 k.k. ‒ P. Litwiński (red.),

op. cit., s. 346-347.

65 Dz. U. Nr. 100, poz. 1087 – ustawodawca dokonał wówczas włączenia tej kategorii informacji do art. 27, który regulował przetwarzanie danych szczególnie wrażliwych obję-tych generalnym zakazem przetwarzania. Pomimo tego zabiegu prawidłowa wykładnia zmuszała do sięgania po dyrektywę 95/46/WE i traktowania ich jako szczególnej grupy informacji, przetwarzanych wyłącznie w oparciu o przepisy wskazujące taką możliwość.

66 Motyw 97) RODO: Jeżeli przetwarzania dokonuje organ publiczny z wyjątkiem sądów lub niezależnych organów wymiaru sprawiedliwości w ramach sprawowania wymiaru sprawiedliwości lub jeżeli w sektorze prywatnym przetwarzania dokonuje administrator, którego główna działalność polega na operacjach przetwarzania wymagających regularne-go i systematyczneregularne-go monitorowania osób, których dane dotyczą, na dużą skalę lub jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczą-cych wyroków skazujądotyczą-cych i naruszeń prawa, to w monitorowaniu wewnętrznego przestrze-gania niniejszego rozporządzenia administrator lub podmiot przetwarzający powinni być wspomagani przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzi-nie ochrony danych. W sektorze prywatnym przetwarzadziedzi-nie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający. Tacy inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny.

przetwarzania nie będzie jednak pełna, w szczególności gdy podmioty te uznamy za synonimiczne określenie władz publicznych67, które, jak wielokrotnie podkreślano, co do zasady działają na podstawie i w grani-cach prawa.

Co ciekawe, pojawia się tu swoisty paradoks, gdyż biorąc pod uwa-gę wymogi, jakie stawia się w art. 10 RODO, skupiające się na tym, by przetwarzania dokonywać wyłącznie pod nadzorem władz publicznych lub podejmować je w sytuacji, gdy jest ono dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabez-pieczenia praw i wolności osób, których dane dotyczą, można by założyć, że w przypadku podmiotów zaliczanych do władz publicznych oba te warunki spełnione będą jednocześnie. Nie można jednak uznać takiego stwierdzenia za w pełni właściwą interpretację, trudno bowiem automa-tycznie utożsamić przetwarzanie dokonywane przez podmioty publiczne – realizowane dla własnych potrzeb, niezwiązanych bezpośrednio z reali-zacją zadań władzy (np. w sferze zatrudnienia, gdzie ustawowo wskazany wymóg niekaralności jest dość często spotykany w sektorze publicznym) – z działaniami dokonywanymi pod nadzorem władz publicznych. Warto wspomnieć, że wymóg działania podejmowanego pod nadzorem władz zdaje się obligatoryjnie dotyczyć jedynie tych przypadków, w których budowane są rozbudowane czy, jak wskazuje prawodawca, kompletne rejestry68 przeznaczone do gromadzenia tego typy informacji.

W przypadku podmiotów i organów publicznych dość bezpiecznym założeniem będzie przyjęcie, że spośród pełnego katalogu przesłanek legalizujących przetwarzanie danych w oparciu o art. 6 ust. 1 RODO będą się one mogły posługiwać się ujętą na trzecim miejscu zasadą wskazującą, że przetwarzanie jest niezbędne do wypełnienia obowiązku

67 O dużych problemach i wątpliwościach interpretacyjnych, związanych z tą kategorią administratorów i podmiotów przetwarzających, pisze np. M. Jabłoński, [w:] M. Jabłoński, D. Kornobis-Romanowska, K. Wygoda, op. cit., s. 76-82.

usta-prawnego ciążącego na administratorze. Z natury swej zdaje się to dobrze korespondować z regułą podejmowania działań w granicach i na podsta-wie prawa – choć w tym wypadku dotyczyć to będzie nie tylko realizacji kompetencji organów władzy. Dobrą egzemplifikacją takiego działania będą, wskazywane już wcześniej, sytuacje przetwarzania danych przez pracodawców należących do sfery publicznej, dotyczące karalności osób będących np. pracownikami samorządowymi. W odróżnieniu od dość prostego do interpretacji stanu, w którym przetwarza się jakieś wybrane kategorie danych, objętych art. 10 RODO bezpośrednio w oparciu o prze-pis prawa, wątpliwości zdaje się budzić sytuacja przetwarzania tych danych w oparciu o zgodę osoby, której one dotyczą. Typowym tego przykładem jest przekazanie ich pomiędzy innymi informacjami w dokumentach składanych do podmiotu publicznego np. przez kandydatów do pracy (gdy konkretne stanowisko nie wymaga niekaralności) lub inne osoby, które z faktu osadzenia w więzieniu czy konieczności zapłaty grzywny wywo-dzą swoje wnioski – uzasadniając tym choćby niedotrzymanie jakiegoś terminu czy brak realizacji płatności. Wobec szeregu obowiązków ciążą-cych na organach publicznych, zwłaszcza tych związanych z realizacją zadań w aspekcie proceduralnym, nie jest możliwe niszczenie zawierają-cych te informacje dokumentów lub ich selektywne usuwanie nawet wówczas, gdy dane takie w najmniejszym nawet stopniu nie przyczynia-ją się do załatwienia konkretnej sprawy69.

69 Warto w tym wypadku odesłać do poradnika przygotowanego przez Ministerstwo Cyfryzacji, który wprawdzie dotyczy ADO ze sfery prywatnej ale wskazane w nim poglądy zdają się być aktualne również w sferze publicznej. W odniesieniu do ADO, który otrzymu-je informacotrzymu-je bez własnej woli, wskazano, że nie ma on „obowiązku usunięcia danych (w tym danych wrażliwych wykraczających poza dane, które miał zamiar zebrać), jeżeli z przyczyn technicznych nie jest możliwe ich usunięcie bez jednoczesnego usunięcia danych, które administrator ma prawo przetwarzać (np. kiedy dane wrażliwe znajdują się w jednym piśmie z żądaniem klienta lub jego danymi kontaktowymi). W takim wypadku wystarczające dla ochrony danych osobowych jest, jeżeli administrator:

• nie ma możliwości i nie będzie podejmował próby użycia tych danych osobowych w stosunku do osoby, której dane dotyczą ani też