Proste to RODO ochrona danych w medycynie

Organ władzy publicznej jako administrator

Organ władzy publicznej jako administrator.

Organ władzy publicznej jako administrator … zapraszamy naszych czytelników na kolejny odcinek autorstwa dr Jakuba Rzymowskiego z Eurokancelarii prof. Marii Królikowskiej-Olczak, w cyklu pt.: “Rzymowski uważa, że …” Nasz ekspert Zespołu Proste to RODO, dzieli się z nami swoją wiedzą, komentując wybrane zagadnienia.

Źródłem ewentualnego problemu interpretacyjnego jest brzmie­nie dwóch przepisów, pierwszy to art. 4 pkt 7 RODO, który w zakresie istotnym dla wywodu stanowi, że administrator to podmiot, który: „sa­modzielnie lub wspólnie z innymi ustala cele i sposoby przetwa­rzania danych osobowych (…)”. Drugi przepis to przepis Konstytucji RP, który stanowi, że: „Organy władzy publicznej działają na podstawie i w granicach prawa.”[1]. Jak widać, przy­najmniej na pierwszy rzut oka, przepisy te mogą rodzić wątpliwości co do tego kto jest administratorem danych w administracji i czy takowi w ogóle w administracji występują.

Zestawmy poniżej:

  • administrator danych ustala cele i sposoby przetwarzania danych osobowych (RODO) i jednocześnie
  • organ władzy publicznej działa na podstawie i w granicach prawa (Konstytucja RP).

Pytanie brzemi ...

Ze względu na treść art. 4 pkt 7 RODO i art. 7 Konstytucji RP, należy postawić pytanie wskazane poniżej.

Pytanie to pojawia się wskutek analizy wskazanych przepisów, skoro bowiem organ działa na podstawie prawa, to być może nie może być on administratorem danych, skoro administrator decyduje o celach i sposobach przetwarzania danych. Organ nie decyduje, organ działa na podstawie prawa, w związku z tym może, (nad czym zastanawiam się niżej) organ, żaden organ, administratorem nie jest.

Nie chcę wdawać się tu w rozważania nad ewentualną różnicą między organem władzy a organem administracji. Nie wdaję się w nie tym bardziej, że art. 6 KPA stanowi, że „Organy administracji publicznej działają na podstawie przepisów prawa.”[2]. Wywodzenie dla prowadzonych tu rozważań, wniosków z różnicy miedzy organem władzy publicznej a organem administracji uważam za niecelowe, więc wywodu takiego nie prowadzę.

Nadal nieodpowiedziane pozostaje zatem pytanie wskazane poniżej.

  • Czy organ władzy publicznej (organ administracji) może być administratorem danych?

Czy administratorem podmiot, nie osoba nim kierująca ...

Jeżeli przyjmie się, że administratorem jest podmiot, nie osoby nim kierujące, to można próbować udzielić odpowiedzi na powra­ca­jące tu pytanie. Można wywodzić, że skoro administratorem jest pod­miot, nie zaś organ, to problem „kto jest administratorem danych oso­bowych w przypadku organów władzy publicznej” nie ist­nieje. Nie istnieje, ponieważ Konstytucja RP dotyczy organu, a skoro admini­stratorem jest podmiot, którego organ jest organem, to pro­blemu nie ma. Wywód ten prowadzę, ponieważ jest możliwy, może nawet cza­sem wywód taki sprawę wyjaśnia, uważam go jednak za bałamutny. Uważam tak ponieważ, na przykład w ministerstwie (jakim­kolwiek) administratorem danych jest minister (tak przy­najmniej jest sygna­lizowane na stronach ministerstw w Polsce i z tym się zgadzam). W mi­nisterstwie nie ma podmiotu, którego minister byłby organem i który to podmiot byłby administratorem danych, ale już na przykład w gminie podmiot taki jest, jest nim (oczywiście) gmina.

Nadal nieodpowiedziane pozostaje zatem pytanie wskazane poniżej.

  • Czy organ władzy publicznej (organ administracji) może być administratorem danych?

Publikacja A.Sobczyka.

Warto w kwestii będącej tu przedmiotem rozważań, skorzystać z publikacji A. Sobczyka. Z poglądów A. Sobczyka wynika (takie odnoszę wrażenie), że autor ten uważa, że w sytuacji, w której na podmiocie publicznym (takiego określenia używa A. Sobczyk) spoczywają obowiązki nałożone przepisami prawa, podmiot taki nie jest administratorem danych. Wnioskuję o tym z następujących słów A. Sobczyka: „Zanim przejdziemy do RODO, zatrzymajmy się nad kolejnym poziomem regulacji prawnej dotyczącej ochrony danych osobowych bez zasto­so­wania rozporządzenia unijnego. Tym  razem chodzi o relacje z pod­mio­tami publicznymi w wąskim tego słowa  znaczeniu,  czyli ze stru­k­turami państwa.”[3]. Dalej niestety A. Sobczyk pisze, że „(…) władze publiczne nie mogą gromadzić danych przesłanych przez obywatela bez wezwania (np. nieproszone podanie o zatrudnienie)”. Jak widać, A. Sobczyk używa tu jako przykładu „nieproszonego podania o zatrudnienie”, retorycznym pozostanie pytanie dlaczego A. Sobczyk ograniczył przykład do „nieproszonego podania o za­trud­nienie”, skoro przecież każde podanie jest „nieproszone”. Jak pogląd A. Sobczyka ma się do KPA czy do przepisów kancelaryjnych, które nakazują gromadzenie korespondencji – trudno powiedzieć. Dalej jeszcze, A. Sobczyk pisze: „Istnieje całe spektrum sytuacji, w których RODO nie ma zastosowania, choć dane osobowe są oczywiście chro­nione. Dotyczy to przede wszystkim danych, które podmiot danych ujaw­nia samodzielnie na podstawie przysługującej mu autonomii in­for­macyjnej lub poprzez wspólną decyzję uprawnionego lub odbiorcy. Co więcej, każdy element zachowania przez podmiot autonomii lub współautonomii, czy to do celów, czy sposobów przetwarzania, ma ten skutek że RODO nie ma zastosowania.” [4]. Jak widać, A. Sobczyk robi tu kolejny krok w kierunku wyłączenia stosowania RODO w pew­nych sytuacjach. Już nie tylko obowiązki w zakresie prze­twarzania danych, wynikające z innych podstaw niż z RODO, wyłą­czają stosowanie RODO, ale stosowanie RODO wyłącza już samo to, że osoba, której dane dotyczą, z własnej woli, dostarcza dane ad­mi­nistratorowi. Można więc zrekonstruować tu pogląd A. Sobczyka, że skoro osoba, której dane dotyczą, dostarcza dane podmiotowi, to ta osoba, nie zaś podmiot, do którego dane są dostarczane decyduje o celach przetwarzania danych.

Uważam, że poglądy A. Sobczyka, które po części zasygna­lizowałem powyżej, zawierają pewien podstawowy błąd u założenia. Otóż można uogólnić, że A. Sobczyk uważa, że jeżeli podmiot nie w pełni decyduje o celach i sposobach przetwarzania danych oso­bowych, to podmiot taki nie jest administratorem danych osobowych. Podmiot nie decyduje o celach przetwarzania danych osobowych

  • jeżeli jest podmiotem publicznym, na który prawo nakłada obowiązki,
  • jeżeli jest podmiotem prywatnym, na który prawo nakłada obowiązki,
  • jeżeli osoby, których dane dotyczą, z własnej woli dostarczają podmiotowi dane, których dostarczenie podmiot akceptuje,
  • jeżeli osoby, których dane dotyczą, z własnej woli dostarczają podmiotowi dane, których dostarczenia podmiot nie akceptuje.

Podmiot nie byłby w takim razie administratorem danych, ponieważ nie realizuje przepisu, zgodnie z którym administrator „(…) ustala cele (…) przetwarzania danych osobowych (…)”. W tym miejscu należy zadać sobie podstawowe pytanie. Pytanie o to czy możliwe jest, by prawodawca,

  • który tworzył art. 4 pkt 7 RODO i
  • który tworzył art. 2 RODO i
  • który tworzył art. 6 ust. 1 RODO,
  • przy tworzeniu art. 4 pkt 7 RODO, zapomniał jednocześnie o treści art. 6 ust. 1 RODO albo przy tworzeniu art.6 ust  1 RODO, zapomniał jednocześnie o treści art. 4 pkt 7 RODO.

Tezy są dwie ...

Można w związku z tym postawić dwie tezy. Zaznaczam, że zgadzam się tylko z jedną z nich, dokładnie – z drugą z wymienionych, jednak tezy stawiam dwie, ponieważ postawienie ich jest możliwe, z uczciwości naukowej nie chcę zatem udawać, że widzę możliwość postawienia tylko jednej z nich.

  • Pierwsza teza jest taka, że prawodawca przy pisaniu jednego przepisu zapomniał o drugim.
  • Druga teza jest taka, że prawodawca przy pisaniu jednego przepisu nie zapomniał o drugim.

Pierwsza z tez wydaje się nie do zaakceptowania. Nie do zaakceptowania ponieważ kłóci się z zasadą racjonalnego prawodawcy. Wydaje się, że niestety tezie tej hołduje A. Sobczyk. Mogę nawet zaryzykować twierdzenie, że cała książka jego, z której cytaty tu zamieszczam, jest przeciągłym i (czego absolutnie wskazanemu autorowi nie odmawiam) niezwykle kompetentnym poszukiwaniem i wskazywaniem innych niż RODO przepisów, które chronią osoby fizyczne, w kontekście przetwarzania danych osobowych, które ich dotyczą. Mam nawet wrażenie, że A. Sobczyk dostrzega potrzebę ochrony danych osobowych i z niezwykłą biegłością i znawstwem wskazuje cały szereg przepisów, które chronią prawa osób, których dane dotyczą i które jednocześnie stosowane są, zdaniem cytowanego autora, zamiast przepisów RODO. podczas gdy ja uważam, że przepisy te stosowane są obok RODO, nie zaś zamiast.

Rozkładając rozumowanie na fragmenty: prawodawca, który tworzył definicję administratora, pamiętał przy tym o warunkach zgodności z prawem przetwarzania danych osobowych, które to warunki zapisane są w art. 6 ust. 1 RODO.

Organ władzy publicznej jako administator.

Prawodawca wiedział zatem, że normalne jest, że w zakresie przetwarzania danych osobowych normalne jest, że zachodzą czasem zjawiska wymienione przeze mnie poniżej.

  • Że osoba, której dane dotyczą wyraża czasem zgodę na prze­twa­rzanie tych danych (art. 6 ust. 1 lit. a RODO);
  • Że podmioty zawierają umowy i że w związku z tym przetwarzanie da­nych osobowych bywa do wykonania tych umów niezbędne.
  • Że na administratorach ciążą czasem obowiązki prawne, do wyko­nania których niezbędne jest przetwarzanie danych osobowych.
  • Że przetwarzanie danych osobowych bywa czasem niezbędne do och­ro­ny żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
  • Że przetwarzanie danych osobowych bywa czasem niezbędne do wy­konania zadania realizowanego w interesie publicznym lub w ra­mach sprawowania władzy publicznej powierzonej administratorowi.
  • Że przetwarzanie danych osobowych bywa czasem niezbędne do celów wynikających z prawnie uzasadnionych interesów reali­zo­wa­nych przez administratora lub przez stronę trzecią, z wyjątkiem sytu­acji, w których nadrzędny charakter wobec tych interesów mają inte­resy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Innymi słowy ...

Innymi słowy prawodawca, który stworzył definicję admi­nistratora wiedział, przy okazji tworzenia tej definicji, że w dziedzinie przetwarzania danych osobowych zachodzą pewne zjawiska, kategorie zdarzeń. Wiedział o tym i dlatego ujął te kategorie zdarzeń w ramy art. 6 ust. 1 RODO. Jednocześnie ten sam prawodawca, który ujął pew­ne kategorie zdarzeń w ramy art. 6 ust. 1 RODO znał treść defi­nicji administratora danych. Te pozornie banalne wnioski wysnuwam z domniemania racjonalności prawodawcy. Lech Morawski wskazuje, że domniemanie to stanowi „niezbędne założenie każdej interpretacji przepisów prawnych (…)”[5]. Analogiczny pogląd odnajdujemy w dużo wcześniejszej publikacji J. Wróblewskiego. Jerzy Wróblewski pisze o normodawcy racjonalnym, „któ­rego skonstruowane „przeżycia psychiczne” mają stanowić „wła­ściwe” znaczenie normy prawnej. [6] W ten sposób z jednej strony unika się nieokreśloności związanych z badaniem realnych przeżyć jakiegoś normodawcy, z drugiej zaś strony od ścisłości reguł, we­dług których konstrukcja fikcyjnego normodawcy przebiega, za­leży stałość otrzymywanego w ten sposób znaczenia norm praw­nych.” [7]. Jak widać z zacytowanego poglądu, „racjonalny prawodawca” to pewna koncepcja, koncepcja, która umożliwia ustalanie znaczenia przepisów.

Skoro prawodawca jest racjonalny, to przepisy przezeń two­rzo­ne również (zapewne) takowe są. Wszystko wskazuje zatem na to, że definicję administratora danych należy interpretować przez pryzmat art. 6 ust. 1 RODO. Jest to sensowne nie tylko z uwagi na racjo­nal­ność prawodawcy, ale również, po prostu ze względu na treść definicji administratora danych i z uwagi na treść art. 6 ust. 1 RODO. Część wprowadzająca tego przepisu stanowi, że: „Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w ja­kim – spełniony jest co najmniej jeden z poniższych warunków:”. I tu właśnie kryje się klucz do ustalenia zależności między definicją admi­nistratora danych a art. 6 ust. 1 RODO. Otóż z art. 6 ust. 1 RODO wynika kiedy przetwarzanie jest zgodne z prawem. Przetwarzanie jest za­tem zgodne z prawem w warunkach wskazanych w art. 6 ust. 1 RODO. Zwra­cam jednak uwagę na jeszcze jeden element, art. 6 ust. 1 RODO, wskazuje kiedy przetwarzanie danych osobowych jest zgod­ne z prawem, jednak istotne jest również kto owe dane prze­twa­rza. Odpowiedzialność za przestrzeganie przepisów RODO spoczywa na administratorze danych, co wynika z art. 5 ust. 2 RODO. Admi­ni­strator danych to podmiot wskazany w art. 4 pkt 7 RODO. Admini­strator to podmiot wskazany w art. 4 ust. 7 RODO, ale z posza­nowa­niem dla treści art. 6 RODO. Innymi słowy, nic nie stoi na przeszko­dzie, by administratorem danych był podmiot, którego możliwość po­dej­mowania decyzji w przedmiocie celów przetwarzania jest ogra­niczona przez okoliczności, do których odnosi się art. 6 ust. 1 RODO, w tym, pośrednio przez art. 7 Konstytucji RP.

Pytania i odpowiedzi ...

Dla porządku odpowiadam poniżej na pytanie zadane na początku podrozdziału. Pytanie to brzmi jak poniżej.

Działanie na podstawie prawa uniemożliwia pełne decydowanie o celach przetwarzania danych osobowych, jednak do ograniczeń w swobodzie podejmowania decyzji odsyła art. 6 ust. 1 RODO i jednocześnie:

    • artykuł 6 ust. 1 RODO określa warunki zgodnego z prawem przetwarzania danych osobowych i jednocześnie
    • art. 5 ust. 2 RODO nakłada obowiązki z zakresu RODO na administratora danych i jednocześnie
    • administrator danych jest zdefiniowany w art. 4 ust. 7 RODO i jednocześnie
    • warunki z art. 6 ust. 1 RODO mają charakter wyjściowy, warunki te poprzez art. 5 ust. 2 RODO odnoszą się do definicji administratora danych, która tym samym nie stoi na przeszkodzie by podmiot w niej zdefiniowany był administratorem, przy jednoczesnym poszanowaniu warunków z art. 6 ust. 1 RODO.

[1] Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. uchwalona przez Zgromadzenie Narodowe w dniu 2 kwietnia 1997 r., przyjęta przez Naród w referendum konstytucyjnym w dniu 25 maja 1997 r., podpisana przez Prezydenta Rzeczypospolitej Polskiej w dniu 16 lipca 1997 r. Dz.U. 1997 nr 78 poz. 483 ze zm. Art. 7.
[2] Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego. Dz.U. 1960 nr 30 poz. 168 ze zm. t.j. Dz. U.2020 poz. 256 ze zm. Art. 6.
[3] A. Sobczyk. RODO. Rozproszona władza publiczna. Kraków 2019. s. 54.
[4] A. Sobczyk. RODO. Rozproszona władza publiczna. Kraków 2019. s. 54.
[5] L. Morawski. Zasady wykładni prawa. Toruń 2006 s. 1=69.
[6]Przypis J. Wróblewskiego umieszczony w odpowiednim miejscu tekstu cytowanego w wywodzie głównym: „A. Hagerstrom pisze, że wykładnia jest zgodna z intencją prawodawcy wówczas, gdy znaczenie interpretowanej normy odpowiada intuicyjnemu jej ujęciu i jednocześnie pozostaje w ramach tekstu, oraz podkreśla, że zazwyczaj ten prawo­dawca jest konstruowany jako rozsądny (reasonable) prawodawca (A. Hager­strom: Inquiries into the Nature, s. 354, 204, 241).”. J. Wróblewski. Zagadnienia teorii wykładni prawa ludowego. Warszawa 1959. s. 162.
[7] J. Wróblewski. Zagadnienia teorii wykładni prawa ludowego. Warszawa 1959. s. 162-163.

Polecane pozycje dr Jakub Rzymowski

Wybierz interesujący tematycznie dział Sklepu RODO

IT w medycynie

Wsparcie IT dla podmiotów medycznych

Wsparcie IT

Sklep