RODO – prawa i wyjątki

Ogólne rozporządzenie o ochronie danych rozbudowuje katalog praw przysługujących osobie, której dane dotyczą (rozdział III, art. 15–23 rodo). Niektóre z nich zostały wręcz uznane jako jedne z najważniejszych zmian wynikających z unijnej reformy przepisów o ochronie danych osobowych. O jakich prawach mowa? Jakie wprowadzono zmiany?

Prawo do bycia zapomnianym, prawa dostępu do danych, prawo do otrzymania kopii danych, prawo do przenoszenia danych, profilowanie jako przejaw zautomatyzowanego podejmowania decyzji czy wreszcie prawa osób, których dane dotyczą, znane już pod rządami ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (takie jak prawo do wniesienia sprzeciwu czy też prawo do sprostowania danych) zmieniły w pewnym zakresie kształt. Wszystkie te działania mają urzeczywistnić prawo osoby fizycznej do ochrony danych osobowych.

> POWSZECHNE PRAWA DO OCHRONY DANYCH

Ogólne rozporządzenie o ochronie danych to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, co podkreśla pierwszorzędne znaczenie ochrony praw osób, których dane dotyczą. Także art. 1 ust. 2 rodo stanowi, że rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, a motyw 1 rodo podkreśla, że: „Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej Kartą praw podstawowych) oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących”.

Warto zwrócić uwagę, że art. 83 rodo zawierający katalog naruszeń skutkujących możliwością nałożenia administracyjnych kar pieniężnych (do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego) przewiduje wyższe sankcje za naruszenie praw osób, których dane dotyczą, niż za naruszenie obowiązków administratora (do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego). Wszystko to podkreśla rangę, jaką przepisy rodo nadają prawom osób.

Niemniej wdrażając rodo, warto przeanalizować także wyjątki od praw osób, których dane dotyczą. Tak się bowiem składa, że w zasadzie każdy z przepisów rozdziału III w części poświęconej prawom osób (art. 15–22 rodo) ustanawia określone prawo osoby fizycznej jako zasadę, od której następnie formułuje wyjątek. Poza zakresem niniejszych rozważań pozostaną te ograniczenia praw, które zostały przekazane do kompetencji państwom członkowskim Unii Europejskiej (art. 23 rodo). Natomiast szczególnej analizie zostaną poddane wyrażone wprost wyjątki od prawa dostępu do danych (art. 15 ust. 1), prawa do otrzymania kopii danych (art. 15 ust. 3 rodo), prawa do usunięcia danych (art. 17 ust. 4 rodo), a także rozwiązania pozwalające na zwolnienie z obowiązku realizacji prawa do przenoszenia danych (art. 20 rodo).

> ANALIZA WYJĄTKÓW

Na wstępie należy zauważyć, że analizy przepisów rodo w kontekście poszukiwania wyjątków od praw osoby, której dane dotyczą, oraz zwolnień z obowiązku realizacji takich praw oparte będą na dwóch regułach wnioskowań prawniczych. Pierwsza z nich sprowadza się do reguły, że wyjątków nie należy interpretować rozszerzająco. Natomiast druga polega na wnioskowaniu z przeciwieństwa (a contrario), zgodnie z którym jeśli przepis wiąże konsekwencje prawne ze stanami faktycznymi określonymi w przepisie, to nie wiąże ich ze stanami faktycznymi w tym przepisie niewskazanymi.

Art. 15 rodo jest często przedstawiany jako przepis, który określa prawo dostępu do danych jako przysługujące osobie, której dane dotyczą. W ust. 1 łączy ono dwa uprawnienia: prawo do uzyskania potwierdzenia, czy przetwarzane są dane osobowe dotyczące osoby korzystającej z prawa, oraz jeżeli ma to miejsce, do uzyskania dostępu do nich oraz informacji o przetwarzanych danych osobowych. Z kolei art. 15 ust. 3 przyznaje osobie, której dane dotyczą, prawo do uzyskania kopii danych.

W przypadku uprawnień wskazanych w art. 15 ust. 1 rodo przepis nie zawiera żadnych ograniczeń. Oczywistym jest, że w przypadku, gdy administrator nie przetwarza danych osoby żądającej potwierdzenia, realizacja uprawnienia do uzyskania dostępu do nich oraz określonych informacji na temat przetwarzania będzie niemożliwa. Natomiast w pewnych szczególnych okolicznościach istnieje możliwość skorzystania przez administratora z uprawnień de facto ograniczających prawo osoby, której dane dotyczą. Wskazać tu należy choćby art. 12 ust. 5 i 6 rodo.

Pierwszy z nich wskazuje między innymi, że komunikacja i działania podejmowane na mocy art. 15–22 i 34 są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

a) pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań, albo
b) odmówić podjęcia działań w związku z żądaniem.

W takim przypadku obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze. Co istotne, mimo pierwszego wrażenia, że przepis dotyczy jedynie kwestii odpłatności za realizację praw, uważna lektura tego przepisu prowadzi do wniosku, że nieuzasadniony lub nadmierny charakter żądania osoby, której dane dotyczą, może spowodować odmowę podjęcia działań w związku z żądaniem przez administratora. Warto także zauważyć, że przywołany w przepisie ustawiczny charakter żądania jest jedynie przykładem sytuacji, w której administrator może pobrać rozsądną opłatę lub odmówić podjęcia działań. Przepis art. 12 ust. 5 rodo zawiera w tym przypadku katalog otwarty, pozostawiając administratorowi ocenę, czy żądanie osoby, której dane dotyczą, ma charakter ewidentnie nieuzasadniony lub nadmierny. Administratora obciąża więc w takim przypadku ciężar udowodnienia takiego charakteru żądań osoby, której dane dotyczą.

Tomasz Cygan – Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC