Zwolnienie z obowiązków RODO?

W styczniu Ministerstwo Cyfryzacji proponowało ograniczenie wymogów wynikających z RODO. Pomimo wycofania się z części propozycji, aktualne pozostaje pytanie: czy przedsiębiorcy, którzy skorzystają z tych wyjątków, będą przetwarzać dane osobowe w sposób zgodny z prawem?

Ministerstwo Cyfryzacji zaproponowało, aby część przedsiębiorców zwolniona była z niektórych wymogów wynikających z rozporządzenia o ochronie danych (RODO). Początkowo wyłączenia miały dotyczyć całego art. 13 RODO, a więc większości obowiązków informacyjnych, które administrator powinien spełnić wobec osoby, której dane dotyczą. Po fali krytyki ze strony m.in. środowisk prawniczych, Ministerstwo Cyfryzacji wycofało się z tak daleko idących wyłączeń.

Ministerstwo zaproponowało, aby przedsiębiorcy zatrudniający do 250 pracowników, i którzy nie przetwarzają danych wrażliwych i nie udostępniają ich innym podmiotom, nie byli zobligowani do realizacji obowiązków informacyjnych, o których mowa wyłącznie w art. 13 ust. 2 RODO.

Czy przedsiębiorcy, korzystający z tych zwolnień, będą przetwarzać dane osobowe zgodnie z prawem?

Pamiętajmy, że skuteczne wypełnienie niektórych obowiązków informacyjnych, jest warunkiem uznania, że zgoda na przetwarzanie danych osobowych jest ważna. Aby odpowiedzieć na postawione wyżej pytanie, należy pochylić się m.in. nad relacją prawa unijnego do prawa krajowego.

Pierwszeństwo prawa unijnego

Jedną z nadrzędnych zasad prawa unijnego jest zasada pierwszeństwa prawa unijnego. Zgodnie z jej treścią prawo unijne ma pierwszeństwo przed prawem krajowym państwa członkowskiego. W razie sprzeczności prawa unijnego z prawem krajowym, pierwszeństwo mają przepisy prawa unijnego. Natomiast krajom członkowskim nie wolno jest wprowadzać przepisów prawa krajowego, które byłyby sprzeczne z prawem unijnym.

Zasada ta wynika z bogatego orzecznictwa Trybunał Sprawiedliwości Unii Europejskiej. Ponadto stanowi jeden z fundamentów skuteczności prawa stanowionego na poziomie unijnym. Dotyczy ona zarówno tzw. prawa pierwotnego (trakty ustanawiające Unię Europejską), jak i tzw. prawa wtórnego (m.in. rozporządzenia i dyrektywy).

W praktyce, w sytuacji, gdy prawo krajowe jest sprzeczne z prawem unijnym, stosuje się prawo unijne bez względu na treść przepisów prawa krajowego i bez względu, czy wynikają one z ustawy czy z aktów niższego rzędu (np. rozporządzenie wydawane na podstawie ustawy).

RODO, a nowa ustawa o ochronie danych osobowych

Ogólne rozporządzenie o ochronie danych wprowadza szereg obowiązków informacyjnych. Ministerstwo Cyfryzacji zaproponowało natomiast, aby przedsiębiorcy zatrudniający do 250 pracowników. Pod uwagę jest brany również fakt nieprzetwarzania danych wrażliwych oraz nieudostępniania danych osobowych innym podmiotom. Takie przedsiębiorstwa byłyby wyłączone spod niektórych obowiązków informacyjnych przewidzianych w RODO.

Podstawą do ograniczenia obowiązywania przepisów RODO przez polskiego prawodawcę jest art. 23 RODO. Ograniczenie takie nie może jednak naruszać istoty podstawowych praw i wolności. Ponadto musi być uzasadnione ze względu na wskazane w RODO przyczyny - m. in. ze względu na ważny interes gospodarczy (Ministerstwo Cyfryzacji w ten właśnie sposób uzasadnia projektowane ograniczenia). Kluczowe dla oceny zgodności polskiej ustawy z RODO będzie zatem określenie, czy ograniczenia w stosowaniu RODO wprowadzone przez polskiego prawodawcę nie naruszają istoty podstawowych praw i wolności oraz czy są w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym ważnemu interesowi gospodarczemu.

Wyłączenie obowiązków informacyjnych w kontekście profilowania

Jednym z obowiązków informacyjnych, który ma podlegać wyłączeniu zgodnie z polską ustawą o ochronie danych osobowych jest obowiązek określony w art. 13 ust. 2 lit. f). Mówi on, że podczas pozyskiwania danych osobowych administrator podaje m.in. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Zgodnie z propozycjami Ministerstwa Cyfryzacji, niektórzy przedsiębiorcy nie musieliby informować o takim sposobie przetwarzania danych.

Profilowanie jest z kolei definiowane przez ustawodawcę unijnego jako forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu ich do oceny niektórych czynników osobowych. W szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Stanowi zatem szereg połączonych ze sobą czynności analitycznych, dzięki którym administrator może wysnuć wnioski na temat istotnych kwestii dotyczących osoby, której dane dotyczą.

Profilowanie zawsze wiązać się będzie z daleko idącym ryzykiem, do którego można zaliczyć m.in. naruszenie prawa do prywatności (brak wiedzy osoby, której dane dotyczą o tym, że administrator analizuje jej dane osobowe w celu uzyskania dalszych informacji o osobie). Ponadto są to błędy popełniane w procesie analizowania danych prowadzące do błędnych wniosków o osobie, co z kolei może prowadzić do dyskryminacji (np. zwiększenie składki ubezpieczeniowej na skutek błędnego wniosku, że ryzyko ubezpieczeniowe jest w przypadku danej osoby wyższe).

Uzasadniony wydaje się zatem wniosek, że wprowadzenie przez polskiego ustawodawcę całkowitego wyłączenia obowiązku informowania o profilowaniu, może naruszać istotę podstawowych praw i wolności jednostki (m.in. prawa do prywatności, wolności od dyskryminacji). W konsekwencji wyłączenie takie może być uznane za nieskuteczne. W takim wypadku to RODO – jako rozporządzenie unijne, zgodnie z zasadą pierwszeństwa prawa unijnego, będzie źródłem obowiązków przedsiębiorcy w tym zakresie. Co za tym idzie, ograniczenia obowiązków przewidziane w polskiej ustawie nie znajdą zastosowania.

Wnioski

W konsekwencji może dojść do sytuacji, w której stosowanie się do polskiej ustawy o ochronie danych osobowych, może zostać uznane za działanie niezgodne z RODO, jako że prawo unijne stosowane jest bezpośrednio, przed prawem krajowym. Ograniczenia zaproponowane przez Ministerstwo Cyfryzacji, dotyczące zakresu obowiązków informacyjnych mogą zatem odnieść skutek odwrotny od zamierzonego.

Ministerstwo kieruje się potrzebą wprowadzenia ułatwień dla mikro i małych firm. Jednak konsekwencją może być wyższy poziom skomplikowania systemu ochrony danych osobowych. Nagminna może być także niejednolita praktyka przedsiębiorców w zakresie informowania osób, których dane dotyczą o ich prawach. W konsekwencji to właśnie osoby, których dane dotyczą mogą najbardziej odczuć negatywne skutki planowanych przez Ministerstwo Cyfryzacji zmian.

Grzegorz Wanio - Partner Zarządzający w kancelarii EVERBERG

Szymon Tyniec - Aplikant adwokacki w kancelarii EVERBERG