Wyzwania dla ochrony danych osobowych w świetle orzecznictwa sądów
Zwiększenie zrozumienia znaczenia ochrony danych osobowych we współczesnym, szybko rozwijającym się świecie było jednym z celów konferencji pt. „Wyzwania dla ochrony danych osobowych w świetle orzecznictwa sądów”.
W ten sposób Prezes Urzędu Ochrony Danych Osobowych zapoczątkował szerszą dyskusję na temat wyzwań dla ochrony danych osobowych obywateli w świetle orzecznictwa sądów. Jej zadaniem było zwrócenie uwagi na konieczność wzmocnienia ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych.
Konferencja, która odbyła się 31 marca 2023 r., została zorganizowana przez Urząd Ochrony Danych Osobowych we współpracy z Akademią Ekonomiczno-Humanistyczną w Warszawie.
Stanowcze „nie” wobec kwestionowania roli i dorobku organu nadzorczego
Konferencja rozpoczęła się wystąpieniem Jakuba Groszkowskiego, Zastępcy Prezesa UODO, który odczytał list Prezesa, podkreślając, że Urząd Ochrony Danych Osobowych zawsze będzie stał po stronie praw człowieka.
W liście skierowanym do uczestników spotkania Jan Nowak, Prezes UODO, podzielił się refleksjami, które skłoniły Urząd do podjęcia tak ważnego tematu, jakim są wyzwania dla ochrony danych osobowych w świetle orzecznictwa sądów.
– Organem właściwym w sprawie ochrony danych osobowych, który monitoruje stosowanie tych gwarancji, jest Prezes Urzędu Ochrony Danych Osobowych, który jest organem nadzorczym w rozumieniu RODO – przypomniał Jan Nowak.
Jak podkreślił – decyzje Prezesa UODO wydawane są na podstawie przepisów prawa o ochronie danych osobowych, wytycznych Europejskiej Rady Ochrony Danych i orzecznictwa międzynarodowego, w tym Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Decyzje te powinny być bardzo istotne dla polskiego wymiaru sprawiedliwości, wzmacniając w ten sposób pozycję i rolę jedynego w Polsce niezależnego organu, który jest właściwy w sprawie ochrony danych osobowych.
Jednocześnie Jan Nowak stwierdził, że zauważalna jest praktyka sądów administracyjnych, które w stosunku do podmiotów, na które nałożono niższe kary, rzędu kilku lub kilkunastu tysięcy złotych, podtrzymują decyzje Prezesa UODO. Natomiast w odniesieniu do podmiotów, na które organ nałożył wysokie kary – sądy wskazują na różne błędy proceduralne, które mogą zadecydować o uchyleniu decyzji Prezesa UODO.
Jako przykład takiego postępowania wobec decyzji organu nadzorczego Jan Nowak przytoczył orzeczenie NSA ws. uchylenia decyzji nakładającej na spółkę Morele.net karę 2 mln 830 tys. zł w związku ze stwierdzonym wyciekiem danych ponad 2 milionów osób fizycznych.
– NSA na posiedzeniu niejawnym uchylił nałożoną na Morele.net karę, dając tym samym przyzwolenie na brak potrzeby stosowania przez administratorów odpowiednich środków należycie chroniących dane osobowe obywateli. W wyniku tego rozstrzygnięcia administrator nie poniósł żadnej odpowiedzialności za wyciek danych ponad 2 mln osób – stwierdził Jan Nowak.
Uszanowanie niezależności i kompetencji organu nadzorczego oraz dostrzeżenie jego dorobku instytucjonalnego, przestrzeganie powszechnie obowiązującego prawa oraz wytężona praca na rzecz ochrony praw jednostki, dodatkowo dalsza edukacja społeczeństwa w zakresie ochrony danych i prywatności, to aktualne wyzwania dla ochrony danych osobowych w świetle orzecznictwa sądów.
Powyższym zagadnieniom postanowili przyjrzeć się także partnerzy, którzy objęli patronat nad wydarzeniem:
- dr hab. Konrad Janowski, rektor prof. Akademii Ekonomiczno-Humanistycznej w Warszawie
- Jacek Oko, Prezes Urzędu Komunikacji Elektronicznej
- Adam Łącki, Prezes Zarządu Krajowego Rejestru Długów Biura Informacji Gospodarczej S.A.
Z kolei w wystąpieniu inauguracyjnym Jakub Groszkowski, Zastępca Prezesa UODO odniósł się do zauważalnej tendencji, że pojęcia zdefiniowane w ogólnym rozporządzeniu o ochronie danych, jak np. dane osobowe, są w różny sposób interpretowane, co stanowi kolejne wyzwanie dla ochrony danych osobowych w świetle orzecznictwa sądów. Konsekwencje rozbieżności orzecznictwa są niezwykle dotkliwe dla obywateli – gdy sąd uzna, że informacja nie jest daną osobową, Urząd traci możliwość ochrony osób fizycznych we wskazanym zakresie, co godzi w ich prawa.
Odnosząc się do orzeczenia NSA ws. Morele.net, Zastępca Prezesa UODO przypomniał, że pomimo, że kara musi być dotkliwa, nie może paraliżować działalności ukaranego podmiotu – jednak w każdym przypadku powinna być adekwatna do przewinienia.
Wpływ rozbieżności orzecznictwa na zapewnienie ochrony danych osobowych
Kwestię różnic interpretacyjnych rozwinięto w dwóch panelach tematycznych. W panelu pt. „W trosce o prawa jednostki. Rozbieżność orzecznictwa zagrożeniem dla ochrony danych osobowych” dokonano przeglądu stanowisk UODO i orzecznictwa krajowego w zakresie pojęcia danych osobowych. Ponadto wyjaśniono rolę EROD i jej wytyczne dotyczące pojęcia danych osobowych. Uczestnicy konferencji poznali także opinie EROD i EIOD dotyczące aktów pakietu usług cyfrowych i strategii w zakresie danych.
W drugiej części spotkania, podczas panelu pt. „Ochrona danych osobowych gwarancją poszanowania prawa do prywatności” wykazano brak spójności przepisów krajowych z RODO na przykładzie prawa do prywatności w odniesieniu do realizacji prawa dostępu do informacji publicznej. Podkreślono, że niewłaściwym jest podważanie oraz ograniczanie kompetencji Prezesa UODO do rozstrzygania w tym zakresie. Ponadto omówiono wpływ orzecznictwa sądów administracyjnych dotyczącego administracyjnych kar pieniężnych na skuteczność ochrony danych osobowych w Polsce. Zestawienie wydanych przez Urząd decyzji o karach z rozstrzygnięciami sądów na tej płaszczyźnie pozwoliło na głębszą analizę tematu.
W trosce o obywatela
Prelegenci konferencji przedstawili również najnowsze cyberzagrożenia dla ochrony danych osobowych i prywatności. Uczestników wyczulono na kwestię kradzieży tożsamości i jej możliwych następstw, np. zaciągnięcia kredytu na daną osobę. Wskazano również, że osoba nieuprawniona może wykorzystać dane osobowe do próby wyłudzenia ubezpieczenia czy zawarcia na szkodę osoby dotkniętej naruszeniem umów cywilnoprawnych, np. najmu nieruchomości. Ponadto konsekwencją wykorzystania danych osobowych mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu. Rozmawiano o tym, jak ważne są informacje o stanie zdrowia. Konsekwencją uzyskania tak danych na nasz temat może być podjęcie próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskanie wglądu do danych o stanie zdrowia osoby dotkniętej naruszeniem. Poruszono powszechny problem nękania obywateli niechcianymi telefonami, za co grożą sankcje karne. Zaprezentowano także wyniki badań nt. wiedzy Polaków o ochronie danych.
O ochronie danych osobowych w pracach regulatorów
Punktem kulminacyjnym konferencji była debata pod hasłem „System ochrony danych osobowych w pracach regulatorów na rzecz obywatela”. Dyskutowano m.in. o znaczeniu ochrony danych osobowych w codziennej działalności regulatorów. Podczas wymiany myśli wyjaśniono jak niespójność orzecznictwa, a także brak czytelnej interpretacji pewnych przepisów oraz definicji wpływa na codzienność Polaków. Eksperci wskazali jak ważna jest współpraca pozostałych organów nadzorczych krajów Unii Europejskiej na kształtowanie praw obywateli w zakresie ochrony danych osobowych oraz to, by polskie orzecznictwo wzięło pod uwagę ich stanowiska – w przeciwnym razie trudno będzie chronić praw obywateli. Różnice w rozstrzygnięciach sądów i organów nadzorczych sprawiają, że osoby, których dane dotyczą tracą zaufanie do całego aparatu ochrony danych osobowych, który ma stać na straży poszanowania ich przywilejów. Motyw drugi RODO mówi, że rozporządzenie ma przyczyniać się do stworzenia przestrzeni wolności bezpieczeństwa, do sprawiedliwości oraz pomyślności ludzi, jednak bez poszanowania kompetencji Urzędu przez sądy jest to niemożliwe.
Wyspecjalizowane sądy rozwiązaniem?
Obecni na debacie przedstawiciele organów nadzorczych wskazali również na konieczność edukacji sędziów, zarówno na aplikacjach sędziowskich, jak i podczas szkoleń dostępnych na rynku, które za mało uwagi poświęcają praktycznemu podejściu do przepisów. Ciekawym fragmentem rozmowy była dysputa na temat powstania wyspecjalizowanego sądu, działającego na płaszczyźnie ochrony danych osobowych. Pojawienie się takiego sądu ograniczyłoby liczbę sędziów, którzy rozstrzygają w zakresie danych osobowych, co zwiększyłoby ich kompetencje oraz przyczyniłoby się do wzmocnienia przejrzystości dla funkcjonujących przepisów.
Zwiększenie przejrzystości przepisów prawa oraz zapewnienie, aby przepisy faktycznie gwarantowały ochronę danych osobowych, a także współpraca między organami i ich sprawne działanie oraz edukacja, w tym sędziów, konsumentów i dzieci, to główne rekomendacje wynikające z przeprowadzonej na zakończenie konferencji debaty.