Dane osobowe i prawo do ochrony danych osobowych na tle prawa Unii

Przenosząc rozważania na grunt prawa Unii Europejskiej, analizie pod kątem regulacji dotyczących danych osobowych należy poddać zarówno prawo pierwotne, jak

73

Tak również M. Sakowska-Baryła, Prawo do ochrony danych osobowych, Wrocław 2015, s. 55.

37

i prawo wtórne UE. Trzeba zdawać sobie sprawę z wpływu, jaki na kształt przedmiotowych regulacji, w szczególności prawa wtórnego, wywierały postanowienia Konwencji 108. Na podstawie analizy poglądów przedstawicieli nauki prawa można interpretować, że system prawny Rady Europy był asumptem do zainteresowania Unii Europejskiej problematyką danych osobowych. Podnosi się, że początkowo w systemie prawnym Unii Europejskiej nie dostrzegano problemu ochrony danych, Komisja Europejska zalecała państwom członkowskim ratyfikację Konwencji 108, zaś w prawie Unii Europejskiej regulacje pojawiły się dopiero w latach dziewięćdziesiątych. Mając na uwadze fakt, że Konwencję ratyfikowały wszystkie państwa członkowskie Unii Europejskiej, a ona sama również stała się stroną tej umowy, prawo Unii Europejskiej nie mogło być sprzeczne z postanowieniami Konwencji 10875. Dlatego też, w związku z unijną reformą prawa w zakresie ochrony danych osobowych, która nastąpiła w 2018 roku wraz z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)76, treść Konwencji 108 jest aktualnie modernizowana. Celem zmian jej przepisów jest z jednej strony dostosowanie ich treści do wyzwań technologicznych XXI wieku, a z drugiej strony

zapewnienie spójności dwóch systemów prawa ochrony danych osobowych w Europie77

. Z powyższych uwag wywnioskować można wzajemne przenikanie się systemu Rady Europy i systemu Unii Europejskiej w obszarze ochrony danych osobowych, jak również dbałość o wzajemną zgodność i aktualność regulacji obu europejskich systemów prawnych.

W odniesieniu do prawa Unii Europejskiej przede wszystkim należy wskazać że kwestia danych osobowych ujęta została w treści art. 16 Traktatu o Funkcjonowaniu Unii Europejskiej⁷⁸, który stanowi, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Ponadto zgodnie z treścią tego przepisu prawodawca zobowiązał Parlament Europejski i Radę do określenia w drodze zwykłej procedury prawodawczej stosownych zasad dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie

75 Ibidem, s. 19.

76 Dz. Urz. UE.L 2016 Nr 119, str. 1 ze zm., dalej powoływane będzie jako RODO.

77 http://www.giodo.gov.pl/pl/1520286/9964.

78

Traktat o Funkcjonowaniu Unii Europejskiej z 26 października 2012 roku, Dz. Urz. UE C nr 326, s. 47 (TFUE)

38

w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Z literalnego brzmienia art. 16 Traktatu wynika przede wszystkim pojawienie się w prawie Unii Europejskiej prawa do ochrony danych osobowych, przysługującego każdej osobie. Regulacja ta ma charakter generalny, prawodawca nie sformułował żadnych gwarancji tego prawa ani jego ograniczeń. Ponadto z treści tej wynika przekazanie ogólnej kompetencji do uregulowania problematyki ochrony danych osobowych Parlamentowi Europejskiemu i Radzie w drodze ustanowienia aktu prawa wtórnego. Prawodawca unijny w treści art. 39 Traktatu o Unii Europejskiej79

nadał generalny kierunek regulacji i zapowiedział dalsze kroki legislacyjne, które powierzył wskazanym organom Unii Europejskiej⁸⁰.

W 2009 roku na mocy Traktatu z Lizbony, do prawa pierwotnego została włączona Karta Praw Podstawowych Unii Europejskiej⁸¹, co oznaczało, że waga tego aktu została zrównana z wagą traktatów. W treści art. 8 Karty zapisano, że każdy ma prawo do ochrony danych osobowych, które go dotyczą. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania. Przestrzeganie tych zasad podlega kontroli niezależnego organu. Z powyższej regulacji wynika, że w treści Karty Praw Podstawowych sformułowane zostały najistotniejsze regulacje dotyczące ochrony danych osobowych. Mianowicie dane osobowe i ich ochrona zostały zaliczone do kategorii podstawowych praw człowieka. Takim prawem jest też dostęp do zebranych danych i dokonywanie ich sprostowania, przez osobę, której te dane dotyczą. Ponadto sformułowano tu wymogi dotyczące przetwarzania danych osobowych w sposób legalny. Wśród nich wskazać należy rzetelność przetwarzania, przetwarzanie w określonych celach, przetwarzanie danych za zgodą osoby zainteresowanej bądź na innej podstawie, która musi być uzasadniona i przewidziana ustawą.

Analizując prawo do ochrony danych osobowych na gruncie Karty Praw Podstawowych Unii Europejskiej, błędem byłoby niezwrócenie uwagi na fakt,

79

Traktat o Unii Europejskiej, Dz. Urz. UE.C 2012 Nr 326, str. 13 (TUE).

80 Art. 39 TUE: Zgodnie z artykułem 16 Traktatu o funkcjonowaniu Unii Europejskiej i na zasadzie odstępstwa od jego ustępu 2, Rada przyjmuje decyzję określającą zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania niniejszego rozdziału oraz zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów.

39

że gwarantowane na mocy jej przepisów prawa nie mają charakteru absolutnego. Wniosek taki wypływa z treści art. 52 Karty, dotyczącego zakresu i wykładni praw i zasad, a konkretniej z treści ustępu 1, gdzie ujęto kwestię ograniczeń w korzystaniu z praw i wolności uznanych w Karcie. Odnosząc ten przepis do prawa do ochrony danych osobowych, prawodawca unijny dopuszcza możliwość ograniczenia tego prawa, o ile ograniczenie to będzie spełniało określone warunki: przewidziane zostanie ustawą, będzie szanowało istotę tego prawa, może być wprowadzone jedynie w takich sytuacjach, gdy będzie to konieczne oraz uzasadnione celami interesu ogólnego uznawanymi przez Unię lub potrzebami ochrony i wolności innych osób. Przepis art. 52 ust. 1 Karty w zestawieniu z przepisem art. 8 Karty interpretować można w ten sposób, że Karta Praw Podstawowych Unii Europejskiej gwarantuje każdemu prawo do ochrony danych osobowych, co stanowi zasadę, natomiast w wyjątkowych przypadkach dopuszczalne jest ograniczenie tego prawa, przy czym przypadki te są enumeratywnie wymienione w treści Karty (art. 52).

Pojawia się tu potrzeba skonfrontowania sposobu uregulowania prawa do ochrony danych osobowych w Karcie Praw Podstawowych Unii Europejskiej i w Europejskiej Konwencji Praw Człowieka. Wyraźnego podkreślenia wymaga fakt, że Europejska Konwencja weszła w życie w 1953 roku, zaś Karta w 2009 roku, a 56 lat w kontekście danych osobowych stanowi niemałą różnicę. O ile w Konwencji nie odnajdujemy bezpośredniego ukonstytuowania prawa do ochrony danych osobowych, a wywodzimy je z prawa do poszanowania życia prywatnego i rodzinnego (art. 8), to w treści Karty mamy już do czynienia z osobnym prawem, wyodrębnionym z prawa do prywatności (art. 7), uregulowanym w osobnym artykule (art. 8). Z perspektywy powyższych rozważań istotna wydaje się treść art. 52 ust. 3 Karty, który ustanawia wzajemną relację pomiędzy obydwoma omawianymi aktami prawnymi w zakresie regulacji gwarantowanych w nich praw człowieka. Zgodnie z nim, w zakresie, w jakim Karta zawiera prawa, które odpowiadają prawom zagwarantowanym w Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności, ich znaczenie i zakres są takie same jak praw przyznanych przez tę Konwencję. Niniejsze postanowienie nie stanowi przeszkody, aby prawo Unii przyznawało szerszą ochronę. Rodzi się przy tym pytanie o to, czy prawo Unii przyznaje prawu do ochrony danych osobowych takie samo znaczenie i zakres jak Konwencja, czy jednak przyznaje większą ochronę. Bardziej przekonujący okazuje się drugi wariant. Argumentem przemawiającym za takim poglądem jest już sam fakt, że w treści Konwencji nie ma bezpośrednich regulacji dotyczących danych osobowych, zaś

40

prawo do ich ochrony należy wyinterpretować z szerszego zakresowo prawa do prywatności, co czyni przede wszystkim Europejski Trybunał Praw Człowieka na gruncie orzecznictwa⁸². W Karcie Praw Podstawowych Unii Europejskiej zagadnieniu danych osobowych, a dokładnie prawu do ich ochrony, poświęcono osobny artykuł, de facto konstytuując to podstawowe prawo człowieka na gruncie prawodawstwa Unii Europejskiej. Zgodnie z literalnym brzmieniem przepisu, obejmuje ono ochronę danych osobowych, dostęp do zebranych danych i dokonywanie ich sprostowania. Ponadto, ochrona tego prawa została zapewniona poprzez wyraźnie wskazane warunki i zasady, przy spełnieniu których dane mogą być przetwarzane (rzetelność przetwarzania, określenie celu przetwarzania, uzyskanie zgody na przetwarzanie od osoby zainteresowanej, zaistnienie innej uzasadnionej podstawy przewidzianej w przepisach prawa). Po trzecie, o większej ochronie świadczy również przepis przewidujący kontrolę przestrzegania zasad przetwarzania danych sprawowaną przez niezależny organ. W kontekście regulacji zawartych w obu wymienionych aktach prawnych można potwierdzić współdziałanie systemu prawnego Rady Europy i Unii Europejskiej.

Podsumowując, w konstrukcji uregulowania w Karcie Praw Podstawowych Unii Europejskiej prawa do ochrony danych osobowych jako odrębnego prawa, wyróżnić można następujące elementy: normy materialne, prawa osoby fizycznej oraz niezależny nadzór nad przestrzeganiem zasad przetwarzania danych osobowych83. Z ogólnych zasad wykładni określonych w treści Karty wywnioskować należy brak absolutnego charakteru tego prawa (może ono doznawać ograniczeń ze względu na inne wartości) oraz przypadki, w których może ono być ograniczane. Taki kształt regulacji można ocenić jako szeroki i nadający ogólny kierunek, ale jednocześnie wyczerpujący w stosunku do rangi aktu. Dzięki temu prawodawca unijny pozostawia szerokie pole do działania legislacyjnego na poziomie państw członkowskich, orzecznictwu i praktyce (w tym działalności organów państwowych), jak również nauce prawa.

Na gruncie prawa wtórnego Unii Europejskiej kwestię ochrony danych osobowych reguluje szereg dyrektyw. Najważniejsze z nich są wymienione na liście źródeł prawa Unii Europejskiej na stronie internetowej Generalnego Inspektora Danych Osobowych (od 25

82 Np. Wyrok Europejskiego Trybunału Praw Człowieka z dnia 4 grudnia 2008 r. 30562/04, Legalis nr 114022.

41

maja 2018 roku Prezesa Urzędu Ochrony Danych Osobowych)84

. W prowadzonych badaniach koniecznym jest odniesienie się do przepisów, które już nie obowiązują, ale przez wiele lat stanowiły fundament ochrony danych osobowych i bazę dla nowych regulacji prawnych. Przedmiotem prowadzonych analiz będzie więc obowiązująca do dnia 25 maja 2018 roku Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych85

, z uwagi na fakt, że ma ona ogólny i ramowy charakter w porównaniu z pozostałymi dyrektywami, dotyczącymi konkretnych zagadnień, takich jak usługi łączności elektronicznej, ochrona prywatności i komunikacji elektronicznej czy też zapobieganie przestępczości. Przepisy Dyrektywy 95/46/WE były implementowane do polskiego porządku prawnego za pomocą przepisów ustawy o ochronie danych osobowych z 1997 roku. Akt ten zawierał najważniejsze kwestie, jak definicje podstawowych terminów odnoszących się do dziedziny danych osobowych, ustalał zasady przetwarzania danych osobowych, a także warunki zgodności przetwarzania danych osobowych z prawem oraz prawa osób, których dane dotyczą⁸⁶.

Prawodawca unijny zawarł definicję danych osobowych w treści art. 2 lit. a Dyrektywy 95/46/WE. Zgodnie z nią termin dane osobowe oznaczał wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”); osoba możliwa do identyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość. To kluczowe pojęcie z Dyrektywy 95/46/WE zostało odwzorowane na gruncie polskich przepisów prawa w treści art. 6 UODO z 1997 roku87

.

84

http://www.giodo.gov.pl/568/j/pl/, wypunktowano następujące akty: Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady WE, Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady, Dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady WE, Dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady WE, Dyrektywa 2009/136/WE Parlamentu Europejskiego i Rady WE oraz Dyrektywa 2016/680 (UE) Parlamentu Europejskiego i Rady.

85 Dz.Urz.UE.L 1995 Nr 281, str. 31, dalej jako Dyrektywa 95/46/WE.

86 http://www.giodo.gov.pl/568/id_art/603/j/pl/.

87 Dlatego też dla porządku w układzie treści niniejszej dysertacji, rozważania nad definicją danych osobowych będą odnosiły się jednocześnie do obu powołanych aktów prawa, jednakże w pierwszej kolejności do regulacji prawnych powiązanych z zagadnieniem danych osobowych i prawa do ich ochrony, które zostały zawarte w Konstytucji Rzeczpospolitej Polskiej z 2 kwietnia 1997 roku.

42

3.3. Dane osobowe i prawo do ochrony danych osobowych w świetle Konstytucji