Organ władzy publicznej jako administrator.
Organ władzy publicznej jako administrator … zapraszamy naszych czytelników na kolejny odcinek autorstwa dr Jakuba Rzymowskiego z Eurokancelarii prof. Marii Królikowskiej-Olczak, w cyklu pt.: “Rzymowski uważa, że …” Nasz ekspert Zespołu Proste to RODO, dzieli się z nami swoją wiedzą, komentując wybrane zagadnienia.
Źródłem ewentualnego problemu interpretacyjnego jest brzmienie dwóch przepisów, pierwszy to art. 4 pkt 7 RODO, który w zakresie istotnym dla wywodu stanowi, że administrator to podmiot, który: „samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (…)”. Drugi przepis to przepis Konstytucji RP, który stanowi, że: „Organy władzy publicznej działają na podstawie i w granicach prawa.”[1]. Jak widać, przynajmniej na pierwszy rzut oka, przepisy te mogą rodzić wątpliwości co do tego kto jest administratorem danych w administracji i czy takowi w ogóle w administracji występują.
Zestawmy poniżej:
- administrator danych ustala cele i sposoby przetwarzania danych osobowych (RODO) i jednocześnie
- organ władzy publicznej działa na podstawie i w granicach prawa (Konstytucja RP).
Pytanie brzemi ...
Ze względu na treść art. 4 pkt 7 RODO i art. 7 Konstytucji RP, należy postawić pytanie wskazane poniżej.
Pytanie to pojawia się wskutek analizy wskazanych przepisów, skoro bowiem organ działa na podstawie prawa, to być może nie może być on administratorem danych, skoro administrator decyduje o celach i sposobach przetwarzania danych. Organ nie decyduje, organ działa na podstawie prawa, w związku z tym może, (nad czym zastanawiam się niżej) organ, żaden organ, administratorem nie jest.
Nie chcę wdawać się tu w rozważania nad ewentualną różnicą między organem władzy a organem administracji. Nie wdaję się w nie tym bardziej, że art. 6 KPA stanowi, że „Organy administracji publicznej działają na podstawie przepisów prawa.”[2]. Wywodzenie dla prowadzonych tu rozważań, wniosków z różnicy miedzy organem władzy publicznej a organem administracji uważam za niecelowe, więc wywodu takiego nie prowadzę.
Nadal nieodpowiedziane pozostaje zatem pytanie wskazane poniżej.
- Czy organ władzy publicznej (organ administracji) może być administratorem danych?
Czy administratorem podmiot, nie osoba nim kierująca ...
Jeżeli przyjmie się, że administratorem jest podmiot, nie osoby nim kierujące, to można próbować udzielić odpowiedzi na powracające tu pytanie. Można wywodzić, że skoro administratorem jest podmiot, nie zaś organ, to problem „kto jest administratorem danych osobowych w przypadku organów władzy publicznej” nie istnieje. Nie istnieje, ponieważ Konstytucja RP dotyczy organu, a skoro administratorem jest podmiot, którego organ jest organem, to problemu nie ma. Wywód ten prowadzę, ponieważ jest możliwy, może nawet czasem wywód taki sprawę wyjaśnia, uważam go jednak za bałamutny. Uważam tak ponieważ, na przykład w ministerstwie (jakimkolwiek) administratorem danych jest minister (tak przynajmniej jest sygnalizowane na stronach ministerstw w Polsce i z tym się zgadzam). W ministerstwie nie ma podmiotu, którego minister byłby organem i który to podmiot byłby administratorem danych, ale już na przykład w gminie podmiot taki jest, jest nim (oczywiście) gmina.
Nadal nieodpowiedziane pozostaje zatem pytanie wskazane poniżej.
- Czy organ władzy publicznej (organ administracji) może być administratorem danych?
Publikacja A.Sobczyka.
Warto w kwestii będącej tu przedmiotem rozważań, skorzystać z publikacji A. Sobczyka. Z poglądów A. Sobczyka wynika (takie odnoszę wrażenie), że autor ten uważa, że w sytuacji, w której na podmiocie publicznym (takiego określenia używa A. Sobczyk) spoczywają obowiązki nałożone przepisami prawa, podmiot taki nie jest administratorem danych. Wnioskuję o tym z następujących słów A. Sobczyka: „Zanim przejdziemy do RODO, zatrzymajmy się nad kolejnym poziomem regulacji prawnej dotyczącej ochrony danych osobowych bez zastosowania rozporządzenia unijnego. Tym razem chodzi o relacje z podmiotami publicznymi w wąskim tego słowa znaczeniu, czyli ze strukturami państwa.”[3]. Dalej niestety A. Sobczyk pisze, że „(…) władze publiczne nie mogą gromadzić danych przesłanych przez obywatela bez wezwania (np. nieproszone podanie o zatrudnienie)”. Jak widać, A. Sobczyk używa tu jako przykładu „nieproszonego podania o zatrudnienie”, retorycznym pozostanie pytanie dlaczego A. Sobczyk ograniczył przykład do „nieproszonego podania o zatrudnienie”, skoro przecież każde podanie jest „nieproszone”. Jak pogląd A. Sobczyka ma się do KPA czy do przepisów kancelaryjnych, które nakazują gromadzenie korespondencji – trudno powiedzieć. Dalej jeszcze, A. Sobczyk pisze: „Istnieje całe spektrum sytuacji, w których RODO nie ma zastosowania, choć dane osobowe są oczywiście chronione. Dotyczy to przede wszystkim danych, które podmiot danych ujawnia samodzielnie na podstawie przysługującej mu autonomii informacyjnej lub poprzez wspólną decyzję uprawnionego lub odbiorcy. Co więcej, każdy element zachowania przez podmiot autonomii lub współautonomii, czy to do celów, czy sposobów przetwarzania, ma ten skutek że RODO nie ma zastosowania.” [4]. Jak widać, A. Sobczyk robi tu kolejny krok w kierunku wyłączenia stosowania RODO w pewnych sytuacjach. Już nie tylko obowiązki w zakresie przetwarzania danych, wynikające z innych podstaw niż z RODO, wyłączają stosowanie RODO, ale stosowanie RODO wyłącza już samo to, że osoba, której dane dotyczą, z własnej woli, dostarcza dane administratorowi. Można więc zrekonstruować tu pogląd A. Sobczyka, że skoro osoba, której dane dotyczą, dostarcza dane podmiotowi, to ta osoba, nie zaś podmiot, do którego dane są dostarczane decyduje o celach przetwarzania danych.
Uważam, że poglądy A. Sobczyka, które po części zasygnalizowałem powyżej, zawierają pewien podstawowy błąd u założenia. Otóż można uogólnić, że A. Sobczyk uważa, że jeżeli podmiot nie w pełni decyduje o celach i sposobach przetwarzania danych osobowych, to podmiot taki nie jest administratorem danych osobowych. Podmiot nie decyduje o celach przetwarzania danych osobowych
- jeżeli jest podmiotem publicznym, na który prawo nakłada obowiązki,
- jeżeli jest podmiotem prywatnym, na który prawo nakłada obowiązki,
- jeżeli osoby, których dane dotyczą, z własnej woli dostarczają podmiotowi dane, których dostarczenie podmiot akceptuje,
- jeżeli osoby, których dane dotyczą, z własnej woli dostarczają podmiotowi dane, których dostarczenia podmiot nie akceptuje.
Podmiot nie byłby w takim razie administratorem danych, ponieważ nie realizuje przepisu, zgodnie z którym administrator „(…) ustala cele (…) przetwarzania danych osobowych (…)”. W tym miejscu należy zadać sobie podstawowe pytanie. Pytanie o to czy możliwe jest, by prawodawca,
- który tworzył art. 4 pkt 7 RODO i
- który tworzył art. 2 RODO i
- który tworzył art. 6 ust. 1 RODO,
- przy tworzeniu art. 4 pkt 7 RODO, zapomniał jednocześnie o treści art. 6 ust. 1 RODO albo przy tworzeniu art.6 ust 1 RODO, zapomniał jednocześnie o treści art. 4 pkt 7 RODO.
Tezy są dwie ...
Można w związku z tym postawić dwie tezy. Zaznaczam, że zgadzam się tylko z jedną z nich, dokładnie – z drugą z wymienionych, jednak tezy stawiam dwie, ponieważ postawienie ich jest możliwe, z uczciwości naukowej nie chcę zatem udawać, że widzę możliwość postawienia tylko jednej z nich.
- Pierwsza teza jest taka, że prawodawca przy pisaniu jednego przepisu zapomniał o drugim.
- Druga teza jest taka, że prawodawca przy pisaniu jednego przepisu nie zapomniał o drugim.
Pierwsza z tez wydaje się nie do zaakceptowania. Nie do zaakceptowania ponieważ kłóci się z zasadą racjonalnego prawodawcy. Wydaje się, że niestety tezie tej hołduje A. Sobczyk. Mogę nawet zaryzykować twierdzenie, że cała książka jego, z której cytaty tu zamieszczam, jest przeciągłym i (czego absolutnie wskazanemu autorowi nie odmawiam) niezwykle kompetentnym poszukiwaniem i wskazywaniem innych niż RODO przepisów, które chronią osoby fizyczne, w kontekście przetwarzania danych osobowych, które ich dotyczą. Mam nawet wrażenie, że A. Sobczyk dostrzega potrzebę ochrony danych osobowych i z niezwykłą biegłością i znawstwem wskazuje cały szereg przepisów, które chronią prawa osób, których dane dotyczą i które jednocześnie stosowane są, zdaniem cytowanego autora, zamiast przepisów RODO. podczas gdy ja uważam, że przepisy te stosowane są obok RODO, nie zaś zamiast.
Rozkładając rozumowanie na fragmenty: prawodawca, który tworzył definicję administratora, pamiętał przy tym o warunkach zgodności z prawem przetwarzania danych osobowych, które to warunki zapisane są w art. 6 ust. 1 RODO.
Organ władzy publicznej jako administator.
Prawodawca wiedział zatem, że normalne jest, że w zakresie przetwarzania danych osobowych normalne jest, że zachodzą czasem zjawiska wymienione przeze mnie poniżej.
- Że osoba, której dane dotyczą wyraża czasem zgodę na przetwarzanie tych danych (art. 6 ust. 1 lit. a RODO);
- Że podmioty zawierają umowy i że w związku z tym przetwarzanie danych osobowych bywa do wykonania tych umów niezbędne.
- Że na administratorach ciążą czasem obowiązki prawne, do wykonania których niezbędne jest przetwarzanie danych osobowych.
- Że przetwarzanie danych osobowych bywa czasem niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
- Że przetwarzanie danych osobowych bywa czasem niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
- Że przetwarzanie danych osobowych bywa czasem niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.
Innymi słowy ...
Innymi słowy prawodawca, który stworzył definicję administratora wiedział, przy okazji tworzenia tej definicji, że w dziedzinie przetwarzania danych osobowych zachodzą pewne zjawiska, kategorie zdarzeń. Wiedział o tym i dlatego ujął te kategorie zdarzeń w ramy art. 6 ust. 1 RODO. Jednocześnie ten sam prawodawca, który ujął pewne kategorie zdarzeń w ramy art. 6 ust. 1 RODO znał treść definicji administratora danych. Te pozornie banalne wnioski wysnuwam z domniemania racjonalności prawodawcy. Lech Morawski wskazuje, że domniemanie to stanowi „niezbędne założenie każdej interpretacji przepisów prawnych (…)”[5]. Analogiczny pogląd odnajdujemy w dużo wcześniejszej publikacji J. Wróblewskiego. Jerzy Wróblewski pisze o normodawcy racjonalnym, „którego skonstruowane „przeżycia psychiczne” mają stanowić „właściwe” znaczenie normy prawnej. [6] W ten sposób z jednej strony unika się nieokreśloności związanych z badaniem realnych przeżyć jakiegoś normodawcy, z drugiej zaś strony od ścisłości reguł, według których konstrukcja fikcyjnego normodawcy przebiega, zależy stałość otrzymywanego w ten sposób znaczenia norm prawnych.” [7]. Jak widać z zacytowanego poglądu, „racjonalny prawodawca” to pewna koncepcja, koncepcja, która umożliwia ustalanie znaczenia przepisów.
Skoro prawodawca jest racjonalny, to przepisy przezeń tworzone również (zapewne) takowe są. Wszystko wskazuje zatem na to, że definicję administratora danych należy interpretować przez pryzmat art. 6 ust. 1 RODO. Jest to sensowne nie tylko z uwagi na racjonalność prawodawcy, ale również, po prostu ze względu na treść definicji administratora danych i z uwagi na treść art. 6 ust. 1 RODO. Część wprowadzająca tego przepisu stanowi, że: „Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:”. I tu właśnie kryje się klucz do ustalenia zależności między definicją administratora danych a art. 6 ust. 1 RODO. Otóż z art. 6 ust. 1 RODO wynika kiedy przetwarzanie jest zgodne z prawem. Przetwarzanie jest zatem zgodne z prawem w warunkach wskazanych w art. 6 ust. 1 RODO. Zwracam jednak uwagę na jeszcze jeden element, art. 6 ust. 1 RODO, wskazuje kiedy przetwarzanie danych osobowych jest zgodne z prawem, jednak istotne jest również kto owe dane przetwarza. Odpowiedzialność za przestrzeganie przepisów RODO spoczywa na administratorze danych, co wynika z art. 5 ust. 2 RODO. Administrator danych to podmiot wskazany w art. 4 pkt 7 RODO. Administrator to podmiot wskazany w art. 4 ust. 7 RODO, ale z poszanowaniem dla treści art. 6 RODO. Innymi słowy, nic nie stoi na przeszkodzie, by administratorem danych był podmiot, którego możliwość podejmowania decyzji w przedmiocie celów przetwarzania jest ograniczona przez okoliczności, do których odnosi się art. 6 ust. 1 RODO, w tym, pośrednio przez art. 7 Konstytucji RP.
Pytania i odpowiedzi ...
Dla porządku odpowiadam poniżej na pytanie zadane na początku podrozdziału. Pytanie to brzmi jak poniżej.
Odpowiedź na nie brzmi: „Organ władzy publicznej może być administratorem danych”.
Odpowiedź na nie brzmi: „Fakt, że organ władzy publicznej działa na podstawie prawa nie stanowi przeszkody by taki organ był administratorem danych.”.
Działanie na podstawie prawa uniemożliwia pełne decydowanie o celach przetwarzania danych osobowych, jednak do ograniczeń w swobodzie podejmowania decyzji odsyła art. 6 ust. 1 RODO i jednocześnie:
- artykuł 6 ust. 1 RODO określa warunki zgodnego z prawem przetwarzania danych osobowych i jednocześnie
- art. 5 ust. 2 RODO nakłada obowiązki z zakresu RODO na administratora danych i jednocześnie
- administrator danych jest zdefiniowany w art. 4 ust. 7 RODO i jednocześnie
- warunki z art. 6 ust. 1 RODO mają charakter wyjściowy, warunki te poprzez art. 5 ust. 2 RODO odnoszą się do definicji administratora danych, która tym samym nie stoi na przeszkodzie by podmiot w niej zdefiniowany był administratorem, przy jednoczesnym poszanowaniu warunków z art. 6 ust. 1 RODO.
Autor: dr Jakub Rzymowski
[1] Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. uchwalona przez Zgromadzenie Narodowe w dniu 2 kwietnia 1997 r., przyjęta przez Naród w referendum konstytucyjnym w dniu 25 maja 1997 r., podpisana przez Prezydenta Rzeczypospolitej Polskiej w dniu 16 lipca 1997 r. Dz.U. 1997 nr 78 poz. 483 ze zm. Art. 7.
[2] Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego. Dz.U. 1960 nr 30 poz. 168 ze zm. t.j. Dz. U.2020 poz. 256 ze zm. Art. 6.
[3] A. Sobczyk. RODO. Rozproszona władza publiczna. Kraków 2019. s. 54.
[4] A. Sobczyk. RODO. Rozproszona władza publiczna. Kraków 2019. s. 54.
[5] L. Morawski. Zasady wykładni prawa. Toruń 2006 s. 1=69.
[6]Przypis J. Wróblewskiego umieszczony w odpowiednim miejscu tekstu cytowanego w wywodzie głównym: „A. Hagerstrom pisze, że wykładnia jest zgodna z intencją prawodawcy wówczas, gdy znaczenie interpretowanej normy odpowiada intuicyjnemu jej ujęciu i jednocześnie pozostaje w ramach tekstu, oraz podkreśla, że zazwyczaj ten prawodawca jest konstruowany jako rozsądny (reasonable) prawodawca (A. Hagerstrom: Inquiries into the Nature, s. 354, 204, 241).”. J. Wróblewski. Zagadnienia teorii wykładni prawa ludowego. Warszawa 1959. s. 162.
[7] J. Wróblewski. Zagadnienia teorii wykładni prawa ludowego. Warszawa 1959. s. 162-163.