Przełom roku to czas podsumowań i stawiania prognoz na przyszłość – a ponad rok stosowania nowej regulacji w zakresie ochrony danych osobowych (RODO i ustawy uzupełniające ochronę danych osobowych w ramach polskiego porządku prawnego) pozwala już na pierwsze podsumowania i prognozy. Poniżej przedstawiam wybór najważniejszych ubiegłorocznych zdarzeń i danych z zakresu prawa ochrony danych osobowych oraz dotyczących nowych regulacji.
Rewolucja, której nie było
Rok 2019 był pierwszym pełnym rokiem stosowania nowej regulacji. Przede wszystkim w tym czasie w zasadzie opadły emocje i zakończył się okres początkowego zamieszania, związanego ze stosowaniem nowych przepisów. Ze względu na wejście w życie istotnych przepisów (zwłaszcza ustaw uzupełniających przepisy krajowe o kwestie niewynikające bezpośrednio z RODO) oraz ukształtowanie się szerszej praktyki stosowania Rozporządzenia, chyba już ostatecznie wyeliminowano z obrotu największe „absurdy RODO” i sprowadzono dyskusję na bardziej racjonalne tory.
Można powiedzieć, że prawo ochrony danych osobowych, które w 2018 r. znalazło się w centrum uwagi nie tylko środowiska prawniczego, ale również opinii publicznej, w ciągu kolejnych miesięcy roku 2019 wróciło stopniowo do swojej niszy. Jednocześnie, rozpoczęcie stosowania Rozporządzenia nie doprowadziło, w mojej ocenie, do zapowiadanej hucznie rewolucji. Zamiast tego mamy bez wątpienia do czynienia z powolną ewolucją i niezbyt spektakularnym, ale ciągłym udoskonalaniem metod prawidłowego obrotu danymi osobowymi oraz ochrony praw osób fizycznych.
Ustawodawca „wdrożył RODO”
Jeśli chodzi o najważniejsze wydarzenia 2019 roku, to przede wszystkim 4 maja 2019 r. weszła w życie ustawa „wdrażająca” RODO do polskiego porządku prawnego, a więc ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. poz. 730). Ustawodawca dokonał niezbędnych zmian w blisko 170 ustawach szczegółowych – od Kodeksu pracy po ustawę z dnia 9 maja 2018 r. o zmianie ustawy – Prawo o ruchu drogowym oraz niektórych innych ustaw. Bez wątpienia była to największa kompleksowa zmiana przepisów, dokonana w celu dostosowania polskich przepisów do nowych regulacji.
Oczywiście wejście w życie „ustawy wdrażającej” miało duże znaczenie dla praktyki obrotu i prowadziło do uregulowania znacznej ilości szczegółowych kwestii, związanych ze stosowaniem Rozporządzenia w poszczególnych branżach. Dzięki nowym przepisom zniknęło bardzo wiele wątpliwości, z którymi musiały borykać się zarówno podmioty przetwarzające dane od 25 maja 2018 r., jak i profesjonaliści świadczący usługi na rzecz tych podmiotów w zakresie dostosowania ich działalności do nowej regulacji.
W tym miejscu trudno powstrzymać się jednak od komentarza, że ustawodawca spóźnił się z „wdrożeniem RODO” o blisko rok (oczywiście jeśli pominiemy okoliczność, że Rozporządzenie weszło w życie już 24 maja 2016 roku) – na szczęście dla ustawodawcy nie groziły mu potencjalnie milionowe kary administracyjne za naruszenia przepisów RODO.
„Kary z RODO” nie takie straszne?
Jeżeli już o karach mowa – oczywiście w roku 2019 zostały wydane przez Prezesa Urzędu Ochrony Danych Osobowych pierwsze decyzje w przedmiocie nałożenia kar pieniężnych na podstawie przepisów Rozporządzenia. Pierwsza z nich, wydana dnia 15 marca 2019 r. w sprawie Bisnode Polska sp. z o.o., ponownie zelektryzowała opinię publiczną tematem Rozporządzenia, a to ze względu na wysokość nałożonej kary pieniężnej – blisko milion złotych (a konkretnie 943.470,00 zł). Wspominana decyzja w zakresie nakładającym karę została jednakże uchylona wyrokiem (nieprawomocnym na moment sporządzania niniejszego wpisu) Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 grudnia 2019 r. (o czym niżej).
Z kolei najwyższa do tej pory kara pieniężna nałożona została na spółkę prowadzącą znany sklep internetowy – Morele.net (decyzja Prezesa UODO z dnia 10 września 2019 r.). Co istotne chyba dla wszystkich podmiotów przetwarzających dane osobowe w przestrzeni cyfrowej, Prezes UODO nałożył karę pieniężną w wysokości 2.830.410,00 zł za brak zapewnienia należytej ochrony danych osobowych ponad dwóch milionów klientów sklepu w związku z wyciekiem danych w wyniku ataku hakerskiego.
Pierwszą karę pieniężną nałożono również na podmiot publiczny – burmistrza Aleksandrowa Kujawskiego. Kara w kwocie 40.000,00 zł nałożona została za szereg wykrytych uchybień m.in. za brak zawarcia niezbędnych umów powierzenia przetwarzania danych osobowych.
Obowiązek informacyjny bardziej dotkliwy niż kara
Spośród polskiego i europejskiego orzecznictwa, dotyczącego nowej regulacji, na szczególną uwagę zasługują, dwa wyroki: wyrok Wojewódzkie Sądu Administracyjnego w Warszawie z dnia 11 grudnia 2019 r., sygn. II SA/WA 1030/19 (sprawa Bisnode) oraz wyrok Trybunału Sprawiedliwości UE z dnia 24 września 2019 r., sygn. C-507/17 (sprawa CNIL-Google).
Pierwsze z powyższych orzeczeń dotyczy sprawy Bisnode – a więc sprawy, w której Prezes UODO nałożył pierwszą karę pieniężną na podstawie przepisów RODO. Wyrok jest jeszcze nieprawomocny, jednakże jest on ważny z kilku względów. Po pierwsze – uchylona została decyzja Prezesa UODO w zakresie nałożenia pierwszej kary pieniężnej, co ma przede wszystkim istotny efekt „wizerunkowy” – nie tylko dla samego organu nadzorczego, ale również w szerszym odbiorze społecznym jako osłabiające mit wysokich „kar z RODO”. Jednak o wiele bardziej istotnym, w mojej ocenie, jest inny aspekt powyższego orzeczenia – utrzymanie przez WSA zaskarżonej decyzji w zakresie nakazującym administratorowi wykonanie obowiązku informacyjnego wobec kilku milionów osób fizycznych – listownie lub telefonicznie. Powyższe jest o tyle problematyczne dla administratora, że wykonanie obowiązku informacyjnego generować będzie po jego stronie bardzo poważne koszty, wielokrotnie przewyższające wysokość uchylonej kary pieniężnej. Co więcej, w powyższym zakresie sąd wyraźnie wskazał w uzasadnieniu omawianego wyroku, że za niewspółmiernie duży wysiłek, będący przesłanką do wyłączenia konieczności spełnienia obowiązku informacyjnego, nie może uznany wysoki koszt, jaki administrator zmuszony będzie ponieść w związku z koniecznością dopełnienia obowiązku, który jest możliwy do realizacji.
Podsumowując – w dłuższej perspektywie (zwłaszcza w przypadku uprawomocnienia się omawianego wyroku) okazać się może, że „kary z RODO” wcale nie są najbardziej dotkliwą sankcją dla podmiotów dokonujących przetwarzania danych osobowych z naruszeniem obowiązujących przepisów.
Prawo do bycia zapomnianym czy prawo do geoblokady?
Z kolei wyrok TSUE z dnia 24 września 2019 r. w sprawie C-507/17 może mieć fundamentalne znaczenie dla rzeczywistego egzekwowania jednego z podstawowych uprawnień osób fizycznych, a więc prawa do usunięcia danych (czyli „prawa do bycia zapomnianym”). Otóż w sprawie zainicjowanej skargą Google LLC na decyzję francuskiego organu ochrony danych osobowych (CNIL), która nakazywała spełnienie żądania usunięcia danych osobowych poprzez usunięcie ich ze wszystkich wersji wyszukiwarki Google (czyli globalne usunięcie danych). Trybunał przyznał w tej sprawie rację Google i stwierdził (już w oparciu o nowe przepisy), że operator wyszukiwarki zobowiązany był do usuwania danych wyłącznie z europejskich wersji wyszukiwarki (co obecnie odbywa się według klucza geolokalizacji), a nie globalnie.
Abstrahując od oceny prawidłowości orzeczenia Trybunału stwierdzić można jedno – utrzymanie w orzecznictwie takiej wykładni przepisów RODO sprawi, że w przypadku międzynarodowych koncernów technologicznych, prawo do usunięcia danych stanie się iluzoryczne – cóż bowiem uprawnionemu z usunięcia linków z europejskich wersji wyszukiwarki, gdy do uzyskania dostępu do „usuniętych” danych wystarcza skorzystanie z bezpłatnych i banalnych w użyciu narzędzi, które zaczynają być standardowo dołączane do przeglądarek internetowych (VPN). Powyższe może prowadzić do znacznego osłabienia ochrony praw osób fizycznych w chyba najważniejszym i najbardziej newralgicznym obszarze – przetwarzania dokonywanego przez największe koncerny technologiczne na ogromną skalę i niejednokrotnie bezpośrednio ingerującego w prywatność osób fizycznych.
Działalność polskiego organu nadzorczego
Ponieważ od rozpoczęcia stosowania RODO minęło już ponad półtora roku, w końcu dostępny jest również bardziej miarodajny zakres danych „ilościowych” z praktyki stosowania nowej regulacji przez Prezesa Urzędu Ochrony Danych Osobowych. Dane chyba najistotniejsze z punktu widzenia bieżącej praktyki obrotu gospodarczego to (przy czym przedstawiam tutaj dane za okres od 25 maja 2018 r.):
- liczba skarg do Prezesa UODO do dnia 14 października 2019 r. – 12.387,
- liczba zgłoszeń naruszeń ochrony danych osobowych do dnia 6 listopada 2019 r. – 7.511
- liczba przeprowadzonych postępowań kontrolnych do dnia 6 listopada 2019 r. – 135,
- liczba nałożonych kar pieniężnych do dnia 6 listopada 2019 r. – 5.
Powyższe dane (uzyskane w trybie udostępnienia informacji publicznej) warto zestawić z ogólną liczbą wszystkich postępowań administracyjnych, wszczętych przez Prezesa UODO w okresie od dnia 25 maja 2018 r. do dnia 14 października 2019 r. – 4.654 oraz liczbą wszystkich decyzji administracyjnych, wydanych w tym okresie – 1.354.
Biorąc pod uwagę powyższe liczby i zestawiając je z ogromnymi ilościami danych osobowych, które przetwarzane są stale w obrocie gospodarczym, trudno jest oprzeć się wrażeniu, że niezbyt trafioną była taktyka „straszenia” społeczeństwa (a zwłaszcza przedsiębiorców, w tym zwłaszcza podmiotów przetwarzających znikome ilości danych osobowych) kontrolami Prezesa UODO oraz ogromnymi karami pieniężnymi za naruszenia nowych przepisów – a to w celu skłonienia ich do jak najszybszego „wdrożenia RODO”. Mimo początkowego zamieszania i roztaczanych niemalże apokaliptycznych wizji, trzeba powiedzieć jasno – w pierwszym okresie stosowania nowych przepisów liczba przeprowadzonych kontroli i nałożonych kar była niewielka, a postawa organu nadzorczego – bardzo wstrzemięźliwa (co należy ocenić pozytywnie zwłaszcza w sytuacji, gdy z „wdrożeniem RODO” nie do końca terminowo poradził sobie nawet ustawodawca). Nasuwa się przy tym przykra refleksja, że chęć zarobku na „modnej” nowej regulacji przy wykorzystaniu ogromnego zamieszania i niepewności klientów (zwłaszcza w początkowym okresie stosowania nowych przepisów), w niektórych przypadkach przeważyła nad standardami etycznymi.
W minionym roku doszło również do pierwszej zmiany na stanowisku Prezesa UODO: dobiegła końca kadencja dr Edyty Bielak-Jomaa, którą w kwietniu zastąpił Jan Nowak. Pozytywnym akcentem jest dokonany pod koniec roku wybór dr Wojciecha Wiewiórowskiego na pięcioletnią kadencję na stanowisku Europejskiego Inspektora Ochrony Danych (EIOD).
Ponadto ze względu na znaczną ilość skarg i zgłoszeń, składanych do Prezesa UODO, od 1 grudnia 2019 r. dokonano reorganizacji Urzędu, w ramach której m.in. powstały odrębne wydziały Skarg oraz Kontroli i Naruszeń. Można zatem spodziewać się stopniowego wzrostu aktywności organu nadzorczego.
Podsumowania i prognozy
Mimo hucznych zapowiedzi, rok 2019 pokazał, że nowa regulacja w zakresie ochrony danych osobowych nie przyniosła wielkiej rewolucji. Niemniej, zainicjowane zmiany wpisują się jednak w trend pozytywnej ewolucji i rozwoju europejskiego prawa ochrony danych osobowych. Co istotne, wydaje się, że jedną z niewielu zalet rozgłosu i zamieszania wokół RODO, jest trwałe wejście zarówno do świadomości społecznej, jak i do praktyki podmiotów dokonujących przetwarzania danych osobowych, kwestii związanych z ochroną danych osobowych: zarówno przekonania o istotności tych danych, jak również znajomości podstawowych zasad ich przetwarzania czy obowiązku zapewnienia bezpieczeństwa tego przetwarzania, oraz przysługujących osobom fizycznym podstawowych uprawnień w tym zakresie.
Rok 2019 był bez wątpienia czasem wreszcie systematycznego i naprawdę konstruktywnego wdrażania nowej regulacji – po „opadnięciu kurzu” po początkowym chaosie. Przede wszystkim podmioty dokonujące przetwarzania danych osobowych oraz profesjonaliści je wspierający otrzymali wreszcie solidną bazę ustawową, z wolna kształtowane są również szeroko przyjmowane standardy w praktyce stosowania nowych przepisów, a wreszcie pojawiają się kolejne istotne orzeczenia sądów, wydane na podstawie coraz bogatszej działalności organów nadzorczych (zarówno polskiego, jak i organów unijnych). Kluczowe w tym zakresie okażą się bez wątpienia najbliższe lata, w których dojdzie wreszcie do wykształcenia się praktyki orzeczniczej sądów administracyjnych na gruncie stosowania przepisów Rozporządzenia – nie ulega wątpliwości, że stabilizację i większą pewność obrotu może zapewnić dopiero rozstrzygnięcie najważniejszych wątpliwości wyrokami sądów.
W ciągu pierwszego półtora roku stosowania RODO nie spełniły się katastroficzne wizje masowych kontroli organu nadzorczego i nakładania milionowych kar nawet na niewielkie podmioty – zarówno kontroli, jak i kar było stosunkowo niewiele. W mojej ocenie należy jednak spodziewać się w najbliższym okresie systematycznego wzrostu aktywności Prezesa UODO, a kwestię zgodności przetwarzania danych osobowych z nową regulacją należy traktować jeszcze bardziej poważnie niż dotychczas (co dotyczy zwłaszcza podmiotów przetwarzających większe ilości danych osobowych). Z kolei organizacje, które dotychczas do nowej regulacji się nie dostosowały – powinny zrobić to jak najszybciej. Będzie to o tyle łatwiejsze, że wobec szerszej bazy ustawowej oraz stosunkowo wyraźnie ukształtowanej praktyki – „wdrożenie RODO” jest obecnie łatwiej przeprowadzić, a uzyskane efekty dają większą pewność i bezpieczeństwo (w porównaniu z początkowym okresem stosowania nowych przepisów).
Pewne obawy budzi jednakże fakt, że przy utrzymaniu przez TSUE linii orzeczniczej, zaprezentowanej w wyroku C-507/17, w dłuższej perspektywie regulacja Rozporządzenia może okazać się irrelewantna we współczesnym świecie, zdominowanym przez koncerny technologiczne co prawda międzynarodowe, ale mające swoje centra w Stanach Zjednoczonych lub Chinach.
Ograniczenie stosowania europejskich regulacji w zakresie ochrony danych osobowych wyłącznie do europejskich wersji dostarczanych przez te podmioty produktów i usług może doprowadzić do pozbawienia praktycznego znaczenia regulacji RODO – ich stosowanie będzie sprowadzało się do wprowadzania blokad geograficznych, które w bardzo łatwy sposób można omijać. W takich okolicznościach skutkiem będzie jeszcze większe osłabienie konkurencyjności europejskich przedsiębiorców technologicznych (obciążonych bezpośrednio szeregiem dodatkowych obowiązków, wynikających z Rozporządzenia) w stosunku do konkurentów spoza Unii.
Marcin Ręgorowicz
radca prawny
Associate