Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

O przedmiotowym zakresie stosowania rodo

25-09-2017 Autor: Agnieszka Grzelak

Na temat potrzeby reformy systemu ochrony danych osobowych w UE napisano już wiele słów, zarówno pozytywnych, jak i krytycznych. Wynika to z trudności przystosowania unijnych wymagań do krajowych przepisów i wiążących się z tym niejasności.

 

W jednym z poprzednich numerów „ABI Expert” pani dr Ewa Kulesza wyraziła swoje wątpliwości, konkludując stwierdzeniem, że rodo jest wdzięcznym materiałem do objaśniania, interpretowania, prowadzenia szkoleń i pisania ekspertyz1. Obserwując nieco z boku dyskusje, prace koncepcyjne, legislacyjne, po kilku miesiącach obowiązywania rodo (chociaż jeszcze nie jego stosowania) jestem skłonna przychylić się do tego stanowiska. Trudno bowiem będzie stosować ten akt, jeśli już na etapie przedmiotowego zakresu nie wszystko jest zupełnie jasne.

 

Całościowa regulacja systemu ochrony danych osobowych


Podstawowym problemem, który dla osób zajmujących się prawem UE systemowo może wydawać się nierozwiązany w tekście rodo, jest zakres stosowania rodo. Prawodawca unijny w art. 2 ust. 2 lit. a rodo zaznacza, że nie ma zastosowania do przetwarzania danych osobowych „w ramach działalności nieobjętej zakresem prawa Unii”.

Podobnym sformułowaniem w art. 2 ust. 3 lit. a posługuje się ustawodawca w równoległej dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW2 (dalej: dyrektywa policyjna). Właśnie w kontekście dyrektywy policyjnej przedstawiałam już kilka lat temu wątpliwości, że wyłączenia przewidziane w dyrektywie policyjnej (wówczas projekcie) w połączeniu z brzmieniem art. 16 Traktatu o funkcjonowaniu Unii Europejskiej wcale nie dają podstaw do twierdzenia o całościowej regulacji systemu ochrony danych osobowych. Regulacja dotyczy bowiem tylko tych kwestii, w których właściwe jest prawo UE, a to nie reguluje całości zagadnień działalności organów wymiaru sprawiedliwości czy organów ścigania3.

Na potrzeby tego tekstu pominę jednak to, co leży w zakresie dyrektywy policyjnej, wyłączone naturalnie spod zakresu stosowania rodo. Pominę również rozważania na temat innych wyłączeń, które zostały zapisane w art. 2 ust. 2 lit. b, c i d rodo, a skupię się wyłącznie na „zakresie prawa Unii”.

 

Zakres prawa UE

 

Podstawowe pytanie brzmi zatem następująco: czy rzeczywiście każdy obszar działalności, w ramach którego przetwarza się dane osobowe, jest objęty zakresem prawa UE? Jeżeli uznamy, że istnieją obszary lub dziedziny, które (należąc do zakresu regulacji państw członkowskich, a nie UE) nie podlegają regulacji rodo, ustawodawca krajowy będzie miał możliwość wprowadzenia w tym zakresie własnych regulacji krajowych dotyczących ochrony danych osobowych. Te regulacje niekoniecznie musiałyby być zgodne z rodo. Zgodnie z wolą ustawodawcy krajowego mogą one być harmonizowane z innymi aktami prawa UE albo pozostawać w obszarze autonomii prawotwórczej państwa członkowskiego.

Wśród innych tego typu przykładów wymienia się akta stanu cywilnego czy obszar bezpieczeństwa narodowego. Ten ostatni przykład podaje się zresztą w motywie 16 preambuły do rodo, pozostawiając to bez dalszego wyjaśnienia5. Odpowiedź na postawione pytanie o pojęcie „zakresu prawa UE” rozstrzygnęłaby tę wątpliwość, gdyby była możliwość jednoznacznego jej udzielenia.

 

Rozszerzenie zakresu prawa UE


Wejście w życie Traktatu z Lizbony w grudniu 2009 r., który wprowadził do TFUE art. 16, spowodowało rozszerzenie zakresu prawa UE na cały obszar ochrony danych osobowych. W takim ujęciu wszystko, co dotyczy ochrony danych osobowych, należy do zakresu prawa UE. Mimo że art. 16 TFUE jest dość ogólny w swoim charakterze, to jednak wyraźnie wskazuje na potrzebę ochrony danych osobowych nie tylko w odniesieniu do przetwarzania ich przez instytucje UE, lecz również przez państwa członkowskie.


Wprowadzenie odrębnego przepisu w TFUE, który reguluje całościowo kwestię prawa do ochrony danych osobowych, niewątpliwie podkreśla jego znaczenie i jest, obok przyznania mocy wiążącej Karcie Praw Podstawowych UE, najistotniejszą zmianą aksjologiczną wprowadzoną przez Traktat z Lizbony. W takim ujęciu, odnosząc się do przedstawionego przykładu, fakt przetwarzania danych osobowych przez IPN włącza tę regulację również w zakres prawa UE, a ewentualnych możliwości wprowadzenia odstępstw należałoby szukać już w przepisach rodo.


[...]

Autorka jest adwokatem, profesorem nadzwyczajnym w Kolegium Prawa Akademii Leona Koźmińskiego, Katedra Prawa Międzynarodowego i Prawa UE, zastępcą dyrektora Zespołu Prawa Konstytucyjnego, Międzynarodowego i Europejskiego w Biurze Rzecznika Praw Obywatelskich.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.