Wpisując RODO w wyszukiwarce GOOGLE otrzymujemy niezliczoną liczbę rezultatów. Strony promujące specjalistów oraz „specjalistów”, artykuły prawne, prawnicze oraz popularystyczne. Setki informacji, tysiące pytań, odpowiedzi niepomiernie mniej. Szaleństwo.
I. W zamyśle niniejszego bloga, jego autor, aktywnie zaznamiający się z tematyką ochrony danych osobowych, podejmie próbę praktycznych studiów nad Rozporządzeniem, w minimalnym zakresie cytując przepisy czy przepisując poglądy Grupy art. 29. Należy bowiem stwierdzić, iż w teorii, o RODO powiedziano już wszystko, zaś praktyka pisze własne scenariusze, i, o ile prawnicy są w stanie się z nimi uporać, o tyle osoby nie mające na co dzień styczności z prawem już niekoniecznie.
Próba nazwania serii „RODO też może być fajne” albo „Praktyczny wymiar RODO” spaliła na panewce, chociażby z obawy przed wprowadzeniem czytelników w błąd co do rozumienia Rozporządzenia oraz stosunku autora do przepisów RODO.
Celem ułatwienia lektury artykułów z serii, zostaną ono podzielone na jednostki, z których pierwsza stanowić będzie teoretyczny wstęp, zaś kolejna praktyczny wymiar przepisów.
II. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Nazwa unijnego aktu prawnego dopóty nie wzbudza lęku, dopóki autorzy kolejnych opracowań nie opatrzą rozbudowanej nazwy akronimem który przyjął się, bez cienia wątpliwości, świetnie.
RODO, bo o nim mowa, wywołał nieznane dotychczas poruszenie w społeczeństwie polskim, europejskim, ogólnoświatowym.
RODO, jako akt prawny ma w swej istocie kompleksowo regulować kwestię ochrony danych osobowych poprzez ujednolicenie standardów przetwarzania danych w całej Unii Europejskiej. Z drugiej Strony należy zważyć, że dopiero przy okazji i po wejściu w życie, dnia 25 maja 2018 roku, RODO, ludzkość dostrzegła, iż w obrocie istnieje taka wartość dodatnia jak „dana osoba”, która wymaga ochrony prawnej, wszak, na przykładzie Polski, nie sposób zauważyć, by dotychczasowa Ustawa z 1997 roku wypełniała należycie wymienione funkcje. Na ocenę regulacji unijnych jest zdecydowanie za wcześniej, jednakże autor opracowania podejmie próbę pewnego usystematyzowania wiedzy o RODO oraz o zmianach, które za sobą przyniosło oraz jak unijne rozporządzenie może wpłynąć na praktykę nie tyle prawniczą, o ile praktykę życia codziennego.
III. Dane osobowe, dobro najwyższego rzędu podlegające ochronie RODO, należy rozumieć jako:
informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej a możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizyczne[1].
Adam Kowalski.
Hania spod trójki.
93062101111
Czy dane te stanowią dane osobowe zależy od kontekstu, który umożliwi odbiorcom zidentyfikowanie konkretnej osoby, połączenie faktów, które umożliwią jej rozpoznanie. Czym innym będzie zatem akademicki przykład z Adamem Kowalskim (który mógłby istnieć, ale niekoniecznie) a czym innym będzie stwierdzenie przez kolegów Adama Kowalskiego (z Katowic), że ten ukradł monitor z Media Markt. Kwestia czy konkretne dane stanowią dane osobowe wydaje się być płynna, niemniej niezmiennie prosta.
Należy mieć na względzie, że dane osobowe same w sobie stanowią przedmiot ochrony osób, których dotyczą, niemniej naruszenia te muszą wiązać się z bezprawnym przetwarzaniem tych danych. Dalej, unijny ustawodawca statuuje w art. 4 czym jest przetwarzanie, wskazując otwarty katalog jakichkolwiek operacji wykonywanych na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, a zwłaszcza te wykonywane w systemach informatycznych.
W artykule 5, RODO czyni zasadnym przetwarzanie danych osobowych zgodnie z prawem, rzetelne i przejrzyście, zbierane muszą być w konkretnych, wyraźnych i uzasadnionych celach (ograniczone), adekwatne stosownie do celu (administrator może zbierać wyłączenie te dane, które są potrzebne do wypełnienia celu przetwarzania), prawidłowe (zgodne z rzeczywistością), przechowywane przez określony czas (wyjątkiem przechowywanie w celach archiwalnych do celów publicznych, naukowych lub historycznych) a także przetwarzane w sposób bezpieczny za pomocą stosownych środków technicznych lub organizacyjnych.
I wreszcie art. 6 wskazuje, na to, kiedy przetwarzanie jest zgodne z prawem (tzw. przesłanki legalizujące). W ust. 1 lit. a unijny ustawodawca wskazuje na zgodę osoby, której dane dotyczą. Dalej, dopuszczalne jest przetwarzanie przez Administratora danych osobowych celem wykonania umowy, której stroną jest ta osoba. W kolejnych literach znalazły się przesłanki obowiązku prawnego Administratora, ochrony żywotnych interesów osób których dane dotyczą, niezbędność dla zadań realizowanych w interesie publicznym i na koniec crem de la creme prawnie uzasadniony interes Administratora Danych Osobowych (ADO).
Sumarycznie, dla przetwarzania (art. 4 pkt. 2 RODO) danych osobowych (art. 4 pkt. 1 RODO) konieczne jest ich przetwarzanie przez Administratora (art. 4 pkt. 7) zgodnie z zasadami (art. 5 RODO) oraz, przede wszystkim, zgodnie z prawem (art. 6 RODO).
W tym miejscu zaczyna się „zabawa”.
2 czerwca 2018 roku doszło do wypadku na „zakopiance”, w wyniku, którego ucierpiało kilkanaście dzieci, celem udzielenia im pomocy, przetransportowanych bezzwłocznie do pobliskich szpitali[2]. Rodzice dzieci dowiedziawszy się o wypadku czym prędzej rozpoczęli ich poszukiwania dzwoniąc po placówkach z zapytaniem, czy ktoś wie gdzie jest ich dziecko, w jakim jest stanie oraz gdzie mogą przyjechać (z Warszawy) zobaczyć się z nim. Na drodze do uzyskania odpowiedzi na szereg pytań stanęło RODO. Wszak dane dotyczące pobytu dziecka w szpitalu bez cienia wątpliwości są jego danymi osobowymi, którymi w tamtej chwili administrował szpital, udostępnianie to przetwarzanie tych danych, na które, w ocenie pracowników placówek medycznych, małoletni pacjent winien był udzielić zgodę.
Drugą sytuacją, opisywaną głośno w przekazie medialnym, była historia, w której wystraszony przed odpowiedzialnością, którą niesie za sobą RODO, zarządca jednego z cmentarzy, uznał, iż na czas pochówku kolejnych osób nań, zobowiązany jest do zamknięcia cmentarza, by przypadkiem czyjeś dane, bynajmniej nie osób już „trwale pochowanych”, nie zostały naruszone. Wszak, jakby nie patrzeć, na nagrobkach płyt znajduje się szereg danych.
Przytoczone sytuacje wydają się być kuriozalne z wielu względów.
W pierwszym przypadku prawo przedstawiciela ustawowego do uzyskania informacji o stanie zdrowia pacjenta i dostęp do jego dokumentacji medycznej wynikają wprost z przepisów prawa, tj. z ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta[3] oraz stosownych norm Kodeksu rodzinnego i opiekuńczego. Pozostawiając problem udostępnienia dokumentacji medycznej poza dyskusją, należy podnieść, w odniesieniu do przytoczonego stanu faktycznego, że umocowanie rodzica do uzyskania informacji o pacjencie – dziecku, wynika wprost z przepisów prawa, zatem w żadnym wypadku nie sposób twierdzić, by wymagana była oddzielna zgoda, zwłaszcza, że kilkoro spośród dzieci podróżujących autobusem trafiło do szpitala w stanie ciężkim (uniemożliwiającym wyrażenie takowej zgody). W mojej ocenie zatem zastosowanie znaleźć powinien tu art. 6 ust. 1lit. c lub kolejne lit. RODO, w żadnym wypadku zaś art. 6 ust. 1 lit. a RODO i to nawet przyjmując, że lit. c stanowi o obowiązku prawnym administratora (szpitala) zaś art. 9 ustawy o prawach pacjenta statuuje uprawnienie do uzyskania informacji o stanie zdrowia.
Wszak nie zapominajmy ponadto o podejściu ludzkim.
W drugim przypadku prawo do kultywowania czci po najbliższych, zostało kolizyjnie wyparte przez RODO (zarządców cmentarza) poprzez błędne rozumienie przepisów prawa. Sytuacja jest nadzwyczaj prosta, bowiem przypomnieć należy, iż Rozporządzenie stosuje się tylko do danych osobowych osób fizycznych. Zgodnie z powszechnie obowiązującą wykładnią przepisów kodeksu cywilnego, osobą fizyczną jest człowiek uczestniczący w stosunkach prawnych. Zdolność prawna człowieka, a tym samym zdolność do bycia podmiotem praw i obowiązków ustaje z chwilą jego śmierci. Osoba zmarła nie może być podmiotem praw i obowiązków w stosunkach prawnych i nie może być uznana za osobę fizyczną. Z pełnym przekonaniem należy zatem stwierdzić, iż cmentarz nie powinien być w żadnym przypadku zamykany, na pewno nie zaś z obawy przed naruszeniem danych osobowych.
Dla celów akademickich przyjmijmy zatem inną sytuację. Szereg cmentarzów oferuje wykup miejsca na cmentarzu jeszcze za życia osoby przekonanej o swojej skwapliwej śmierci. Czy w tym przypadku zasadne byłoby zamknięcie cmentarza przez dozorcę ? Cóż, należy podnieść, iż ewidencja miejsc wykupionych za życia powinna być prowadzona np. papierowo bądź elektronicznie, nie powinno się zaś oznaczać miejsc w miejscu przyszłego pochówku w sposób „tutaj spocznie XYZ”. Jeżeli dochodzi do skrajnych sytuacji opisanych powyżej, zalecałbym jak najszybsze odstąpienie od tego typu praktyk na rzecz „papirologii”, bowiem, istotnie, dane takiej osoby są danymi osobowymi.
Dalsza analiza przepisów RODO pod kątem praktycznym będzie miała miejsce periodycznie, co tydzień.
[1] Art. 4 ust. 1 RODO.
[2] https://www.rodzice.pl/rodo-nie-dowiesz-sie-w-ktorym-szpitalu-jest-dziecko/.
[3] art. 9 ust. 2 i art. 26 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.