Maciej Kawecki
Prawo ochrony danych osobowych jako nowa dziedzina prawa
Artykuł pochodzi z miesięcznika Europejski Przegląd Sądowy 2017/5>>
W literaturze przedmiotu wskazuje się, że przyjęcie przez Parlament Europejski oraz Radę ogól-nego rozporządzenia unijnego o ochronie danych rewolucjonizuje cały sektor ochrony danych osobowych. Bez wątpienia z chwilą rozpoczęcia stosowania ogólnego rozporządzenia (25.05.2018 r.), dane osobowe w Unii Europejskiej będą podlegać zupełnie nowym, zunifikowanym instrumentom prawnym ich ochrony. Charakterystyka tych instrumentów była i jest już jednak przedmiotem co-raz to nowszych opracowań, w tym wydawanych na łamach „Europejskiego Przeglądu Sądowego”, i nie będzie – z nielicznymi wyjątkami – przedmiotem niniejszego opracowania. Przeprowadzana na poziomie unijnym, a w konsekwencji również krajowym, reforma ochrony danych osobowych, jest natomiast okazją do próby udzielenia odpowiedzi na pytanie, czy ochrona danych osobowych nie stanowi już dzisiaj nowej, odrębnej dziedziny prawa. Pozwoli to wyjaśnić, czy ochrona danych osobowych z uwagi na jej interdyscyplinarny – w obszarze prawa, transgraniczny oraz nieroze-rwalnie związany z rozwojem nowych technologii charakter nie powinna doczekać się już odrębnego traktowania. Celem przedstawionego artykułu jest rozpoczęcie dyskusji nad problemem – jest to bowiem, jak się wydaje, pierwszy w polskiej literaturze przedmiotu głos w dyskusji nad wyodręb-nieniem się odrębnej gałęzi prawa ochrony danych osobowych.
1. Uwagi wstępne
W pierwszej kolejności należy zwrócić uwagę na trudności związane z wykorzystywaną w niniejszym artykule terminolo-gią. Brakuje bowiem legalnej definicji przywoływanych w tekście terminów takich jak gałąź, dziedziny bądź dyscypliny pra-wa. W literaturze przedmiotu wykorzystywane są więc one zastępczo i nadawanie im w niniejszym opracowaniu odrębnego znaczenia nie wydaje się uzasadnione. Uwzględniając powyższe, pojęcia „dziedziny prawa”, „gałęzi prawa” oraz „dyscypliny prawa” będą wykorzystywane w artykule zamiennie.
2. Ochron danych osobowych a administracyjne prawo materialne
W literaturze przedmiotu – dokonując podziału norm prawa administracyjnego na podstawie kryterium przedmiotowego – wskazuje się, że ochrona danych osobowych należy do administracyjnego prawa materialnego. Jak zaznacza M. Miemiec, „prawo administracyjne materialne obejmuje wyodrębnione rzeczowo dziedziny aktywności administracji (...). Można jako przykłady wskazać takie wybrane dziedziny administracyjnej regulacji materialnoprawnej, jak: ochrona baz danych, ochrona danych osobowych” . Konsekwencją powyższego jest chociażby przesądzenie w art. 21 ustawy z 27.08.1997 r. o ochronie danych osobowych , że na decyzję Generalnego Inspektora Ochrony Danych Osobowych (dalej GIODO) w przedmiocie wniosku o ponowne rozpatrzenie sprawy stronie przysługuje skarga do sądu administracyjnego. W praktyce regulacje dotyczące ochrony danych osobowych coraz częściej wykraczają jednak poza reżim prawa administracyjnego. Przykładem najdalej idącym w tym zakresie może być wskazanie w rozporządzeniu ogólnym jako jednej z przesłanek nakładania administracyjnych kar pieniężnych „umyślnego lub nieumyślnego charakteru naruszenia” (art. 83 ust. 2 lit. b). Uwzględniając, że rozporządzenie ogólne nakłada na państwa członkowskie UE obowiązek przyznania każdemu prawa do skutecznego środka ochrony prawnej przed sądem od decyzji wydawanych przez organ, oraz wskazaną przynależność ochrony danych osobowych do prawa administracyjnego, kontrola działalności organu powinna należeć do sądów administracyjnych. Sądy administracyjne nie mają jednak prawnych instrumentów umożliwiających im podejmowanie merytorycznej kontroli działań organu administracji publicznej. Ocenianie przez nie poprawności dokonanej przez organ oceny umyślności bądź nieumyślności naruszenia jest znacznie utrudnione. Powyższe wymyka się więc spod reżimu prawa administracyjnego.@page_break@
3. Ochrona danych osobowych a prawo dóbr materialnych i prawo nowych technologii
Przykładem kolejnej dziedziny, z którą nierzadko utożsamiana jest ochrona danych osobowych, jest prawo dóbr niemate-rialnych. Dzieje się tak głównie za sprawą związku pomiędzy ochroną danych osobowych a prawem do prywatności, będącym jednym z dóbr osobistych . Nie sposób jednak nie zgodzić się z A. Mednisem, że jednym z determinantów objęcia ochrony danych osobowych szczególnymi regulacjami była nieefektywność klasycznych cywilnoprawnych instrumentów ochrony dóbr osobistych, które nie wywierały skutku prewencyjnego, a miały zastosowanie dopiero w chwili samego zagrożenia . Obecnie środki prawne ochrony danych osobowych wykraczają więc poza rygor prawa cywilnego. Nie sposób również nie wskazać, że nie każde naruszenie prywatności musi się wiązać z naruszeniem zasad ochrony danych osobowych. Warto wreszcie podkreślić, że ochrona danych osobowych zaliczana jest coraz częściej do nowej gałęzi prawa, jaką zwykło się nazywać prawem nowych technologii. Jak wskazuje się w literaturze przedmiotu, przez pojęcie to należy rozumieć „nowe prawo, które wywodzi się z prawa telekomunikacyjnego i jest do niego zbliżone” . Za rozwiązaniem takim opowiedział się też polski ustawodawca, uznając, że „kształtowanie polityki państwa w zakresie ochrony danych osobowych” wchodzi w skład działu informatyzacja i w konsekwencji podlega właściwości ministra ds. informatyzacji . W mojej ocenie jednak, prawo nowych technologii opisuje jedynie wpływ nowych technologii na zmianę formy komunikacji pomiędzy podmiotami. Jego związek z ochroną danych osobowych dostrzegalny jest natomiast poprzez konieczność podążania takiej ochrony, za stałym rozwojem nowych technologii. Związek taki wydaje się jednak wyłącznie pozorny. Po pierwsze bowiem, technologiczny aspekt ochrony danych osobowych nie jest czymś nowym, stanowił kryterium tworzenia norm prawnych już na kanwie dyrektywy 95/46/WE , a więc u progu tworzenia unijnego prawa ochrony danych. Przykładowo, zgodnie z motywem 4 powyższej dyrektywy, „coraz częściej we Wspólnocie korzysta się z przetwarzania danych osobowych w różnych sferach życia gospodarczego i społecznego; postęp w dziedzinie technologii informatycznych sprawia, że przetwarzanie i wymiana takich danych stają się coraz łatwiejsze”. Zgodnie z kolei z motywem 5 rodo „szybki rozwój technologiczny i globalizacja przyniosły nowe wyzwania w zakresie ochrony danych osobowych”. Rozwój nowych technologii był więc głównym uzasadnieniem przyjęcia ram prawnych zawartych nie tylko w rozporządzeniu ogólnym, lecz także w poprzedzającej je dyrektywie 95/46/WE. Po drugie, powyższe nie oznacza, że sama ochrona danych osobowych zawiera regulacje, które w swojej treści normatywnej dotyczą „technologii”. Należy się bowiem zgodzić z S. Szmakiem, że dyrektywa jest technologicznie neutralna – jej postanowienia mają bowiem zastosowanie bez względu na zastosowane do przetwarzania danych środki technologiczne . Z kolei Komisja Europejska (dalej Komisja) zaznaczyła, że przyjęte przez nią rozwiązania prawne muszą zostać skonstruowane „przy jednoczesnym zachowaniu technologicznej neutralności ram prawnych” . Jak się wydaje, powyższe należy interpretować w taki sposób, że rozwiązania prawne przewidziane zarówno w dyrektywie, jak i rozporządzeniu ogólnym muszą pozostawać jednakowo skuteczne wobec wszystkich nowych rozwiązań technologicznych. Uwzględniając powyższe, dyskusyjne może być również zaliczenie ochrony danych osobowych wprost do prawa nowych technologii, skoro samo prawo ochrony danych jest względem takich technologii obojętne. Powyższe rozważania w sposób oczywisty wydają się przesądzać o trudności z zakwalifikowaniem ochrony danych osobowych do jakiejkolwiek dziedziny prawa, co tym samym czyni zasadnym pytanie o jej samodzielność. Jak wskazuje Z. Duniewska, „tak jak prawo publiczne współistnieje z prawem prywatnym, tak poszczególne inne zbiory przepisów prawa nie funkcjonują w izolacji od siebie. Nieustannie zachodzi tu zjawisko dyferencji i interferencji przepisów” .@page_break@
4. Wyodrębnianie się nowej dziedziny prawa
Nie ulega bowiem wątpliwości, że w ostatnich latach następuje zacieśnianie się granic między gałęziami prawa i przenikanie się ich nawzajem, a także coraz większa specjalizacja, co skutkuje coraz częstszym wyodrębnieniem się nowych dziedzin . Źródeł takiego stanu rzeczy upatruje się chociażby w coraz większym wpływie prawa unijnego na krajowe porządki prawne, które to prawo bardzo często nie mieści się w utrwalonych w państwach członkowskich konstrukcjach prawnych oraz modelach postępowania. Przyczyną takiego stanu rzeczy jest też stały rozwój nowych technologii i związana z nim chęć wprowadzenia do porządku prawnego nowych, skuteczniejszych i nieznanych dotąd instrumentów prawnych. Przykładem powyższego jest chociażby postulowane w literaturze przedmiotu kształtowanie się wskazanego już prawa nowych technologii bądź prawa obrotu elektronicznego zmierzającego do wprowadzenia dokumentu elektronicznego do prywatnego lub publicznego obrotu prawnego . Potrzeba tworzenia nowych dziedzin prawa wydaje się procesem naturalnym, będącym wyrazem ewolucji współczesnego systemu prawnego. Nie można się jednak zgodzić z twierdzeniem zaprezentowanym przez J. Zimmermanna, że „podział prawa na gałęzie służy pewnemu uporządkowaniu systemu prawa celom dydaktycznym, lecz z teoretycznego punktu widzenia nie jest on niezbędny. Nie ma on również większego znaczenia dla legislatora, który przecież nie musi pilnować, aby normy przez niego zredagowane mieściły się w takiej lub inne dziedzinie prawa” . Należy bowiem wyraźnie stwierdzić, że uznanie danego zbioru norm prawnych za odrębną dziedzinę prawa może mieć ogromne znaczenie i skutki takiego rozwiązania należy rozpatrywać w dwóch płaszczyznach. Pierwszą z nich są działania techniczno-legislacyjne. Jako przykład takiego działania – odnosząc go również do sektora ochrony danych osobowych – można wskazać nadawanie nazw ustawom. Zgodnie z § 9 załącznika do rozporządzenia Prezesa Rady Ministrów z 20.06.2002 r. w sprawie „Zasad techniki prawodawczej” w „ustawie należy się posługiwać określeniami, które zostały użyte w ustawie podstawowej dla danej dziedziny spraw, w szczególności w ustawie określanej jako «kodeks» lub «prawo»” . W świetle powyższego, słowa „kodeks” oraz „prawo” powinny być wykorzystane do nadawania nazw tym ustawom, które regulują wyodrębnioną dziedzinę prawa. Ustawodawca, nadając nazwę nowemu aktowi prawnemu zapewniającemu skuteczne stosowanie rozporządzenia ogólnego, musi więc bez wątpienia uwzględnić powyższą zasadę. Zagadnienie jest o tyle doniosłe, że technika legislacyjna powinna również ograniczać możliwość nadawania dwóm różnym aktom takiej samej nazwy. Co najmniej wątpliwa jest więc możliwość nazwania polskiej ustawy zapewniającej pełne stosowanie rozporządzenia ogólnego „ustawą o ochronie danych osobowych” na wzór przyjętej w 1997 r. Alternatywą w tym zakresie mogłoby być więc posłużenie się określeniem „prawa ochrony danych osobowych”. Powyższe wymaga jednak – w świetle powołanego przepisu – uznania przez ustawodawcę, że ochrona danych osobowych jest już zupełnie odrębną dziedziną prawa. Drugą z płaszczyzn jest uzasadnienie odrębnością danej dziedziny prawa wprowadzenia do niej instytucji prawnych obcych innym dyscyplinom. Wyodrębnienie nowej dziedziny prawa powinno się bowiem wiązać z uznaniem wykształconych i charakterystycznych dla niej zasad ogólnych oraz terminologii odmiennych względem innych dziedzin. W odniesieniu do ochrony danych osobowych może się to wiązać z akceptacją w ramach tego sektora odmiennych schematów postępowania, nieprzystających do polskiej rzeczywistości prawnej. Schematów, których wprowadzenie do polskiej ustawy powinno być wynikiem wdrażania prawa unijnego. Zgodnie z art. 79 rodo każda osoba, której dane dotyczą, niezależnie od skargi składanej do organu ochrony danych, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna, że prawa przysługujące jej na mocy rozporządzenia ogólnego zostały naruszone. Jednocześnie nie wydaje się w tym zakresie możliwe uznanie, że kryteria przewidziane w powołanym przepisie spełnia art. 24 k.c. będący podstawą do kierowania roszczeń wyłącznie z tytułu naruszenia dóbr osobistych. Jak zostało to już bowiem wskazane w artykule, nie każde naruszenie ochrony danych osobowych musi się wiązać z naruszeniem dobra osobistego. Powyższe może pociągać z kolei za sobą konieczność uznania, że przywołany przepis jest podstawą do ukształtowania się nowego, nieznanego dotąd prawa podmiotowego – czemu sprzyja właśnie uznanie ochrony danych osobowych za odrębną dziedzinę prawa. W literaturze przedmiotu wskazuje się, że jest oczywiste, iż „prawa podmiotowe nie są domeną wyłącznie prawa cywilnego, lecz – przeciwnie – można o nich mówić na gruncie każdej gałęzi prawa, w tym zarówno prywatnego, jak i publicznego” .Jak wskazuje się w literaturze przedmiotu, wyodrębnienie nowej dziedziny prawa nie jest z reguły następstwem celowej, racjonalnej działalności logiczno-porządkującej ani tym bardziej efektem działań legislacyjnych . Nie chodzi tu jednak głównie o względy teoretyczne, lecz o motywy bardziej praktyczne, np. badawcze, orzecznicze czy dydaktyczne . Jak wskazywał J. Jeżewski już w 1974 r., doświadczenia zmuszają do uznania „relatywizmu dzisiejszych dążeń systematyza-cyjnych: celem ich jest pojęciowe wyodrębnienie poszczególnych działów prawa dla określonych potrzeb badawczych” . Jak wskazuje z kolei A. Chełmoński, „wyznaczenie granic między działami, gałęziami i wreszcie dyscyplinami prawa służy róż-nym celom, a w ślad za tym – że granice wyznaczone dla jednego celu nie muszą bynajmniej pokrywać się z granicami wyto-czonymi dla celów innych” . Dopiero więc uznanie, że wyodrębnienie danej dziedziny z uwagi na wszystkie bądź znaczną liczbę celów jest w pełni uzasadnienie, pozwala na uznanie danego podziału za uniwersalny. Nie bez znaczenia pozostaje zatem fakt, że ochrona danych osobowych dla bardzo różnych celów właśnie w praktyce coraz częściej zaczyna być traktowana jako odrębna dziedzina prawa. Uczelnie wyższe ze względów systematycznych oraz badawczych coraz częściej oferują swoim studentom kursy właśnie z „prawa ochrony danych osobowych”. Krajowa oraz zagraniczna literatura przedmiotu coraz częściej traktuje ochronę danych osobowych jako „prawo” odrębne od innych dziedzin . Rada Europy, Europejski Trybunał Praw Człowieka i Agencja Praw Podstawowych przygotowując swój przewodnik po będącym przedmiotem niniejszego tekstu obszarze, nazwały go również wprost „Przewodnikiem po europejskim prawie ochrony danych osobowych” . Nie bez znaczenia jest też fakt, że w Polsce oraz Europie wykształciła się już grupa sędziów, praktyków oraz teoretyków prawa specjalizujących się wyłącznie bądź prawie wyłącznie w zagadnieniach związanych z ochroną danych osobowych.@page_break@
5. Bariery w wyodrębnieniu nowej dziedziny prawa
Należy się zgodzić z K. Celarek, że „barierę dla przeprowadzanego rozróżnienia gałęzi (działów) prawa stwarzają również ich sfery pogranicza, w których przepisy dwóch, a nawet więcej gałęzi czy działów prawa wzajemnie się przeplatają” . Jako przykład pogranicza w zakresie materialnych instytucji prawnych ochrony danych osobowych można wskazać zgodę, jako jedną z przesłanek legalizujących ich przetwarzanie . Jednocześnie jednak zgoda stanowi przesłankę legalizującą korzystanie z tzw. plików cookies , przesyłanie informacji handlowych drogą elektroniczną bądź wykorzystywanie wizerunku . W niemal każdym z takich przypadków podejmowanie czynności związanych z korzystaniem z plików cookies, przesyłaniem informacji handlowych bądź wykorzystywaniem wizerunku wiąże się jednak z przetwarzaniem danych osobowych. Zasady ich odbierania reguluje jednak odpowiednio prawo telekomunikacyjne, regulacje określające zasady świadczenia usług drogą elektroniczną oraz prawo autorskie. Jak wskazał Sąd Najwyższy (dalej SN) w jednej z wydanych przez siebie uchwał, „z uwagi na znaczenie prawa do prywatności oraz uciążliwość tego rodzaju form komunikacji marketingowej dla użytkowników telefonii komórkowej (należy przyjąć), że zakaz z art. 172 ust. 1 pr. tel. służy realizacji celów dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z 12.07.2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej )” . Ten sam cel, jakim jest ochrona autonomii informacyjnej jednostek, realizowany jest więc normami pochodzącymi z różnych dziedzin prawa, co rodzi zawsze pytanie o ich wzajemną relację. Wyrazem poszukiwania instrumentów pozwalających na rozwiązanie powyższych wątpliwości jest często budowanie „hierarchicznej” relacji norm prawnych względem siebie. W świetle powyższego, GIODO postuluje – przykładowo – dokonanie zmian w ustawie o świadczeniu usług drogą elektroniczną właśnie w zakresie, w jakim jest to konieczne do wskazania ich relacji z przepisami o ochronie danych osobowych . Należy się jednak zgodzić z K. Celarek, że „problem rozgraniczenia gałęzi (działów) prawa nie odgrywa aż tak znaczącej roli, jeżeli zważymy, że wszystkie one tworzą razem jeden system prawa” . Już we wcześniejszej literaturze przedmiotu wskazywano, że w nowym podejściu systematyzacyjnym nie usuwa się zjawiska interferencji, a tylko można zmienić jego zakres zgodnie z zamierzeniem badawczym, włączając w zakres badań „niezdecydowane: z klasyfikacyjnego punktu widzenia elementy normatywne. (Słowem) nie idzie o to by dzielić, lecz aby wyodrębniać” . Należy zatem ocenić, że częsta trudność w jasnym zbudowaniu granicy pomiędzy prawem ochrony danych osobowych a innymi działami prawa – dotycząca przecież wyłącznie obszarów granicznych, nie wyłącza więc możliwości przesądzenia, iż w swojej istocie prawo to spełnia przesłanki odrębnej dziedziny (gałęzi) prawa.
6. Kryteria wyodrębnienia nowej dziedziny prawa
Trudne, a nawet niewykonalne jest wskazanie kryteriów, które jednoznacznie decydują o wyodrębnieniu nowej dziedziny prawa. Należy się jednak zgodzić z poglądami wyrażonymi w literaturze przedmiotu, że wyodrębnienie nowej gałęzi lub dzie-dziny prawa dokonuje się na podstawie metody kompleksowej regulacji prawnej, obejmującej skoncentrowane przepisy danego rodzaju stosunków społecznych bądź metodę łącznej regulacji prawnej . Nie wydaje się jednak możliwe uznanie, że przyporządkowanie danego rodzaju norm prawnych, do jednej z metod regulacyjnych, wystarcza do uznania, iż mówimy o odrębnej dziedzinie prawa. Jak wskazuje się w literaturze przedmiotu, wyznacznikiem danego prawa jako odrębnej gałęzi powinno być również kryterium przedmiotowe , kryterium podmiotowe oraz chociażby wyznaczniki takie, jak właściwość organów, środki ochrony prawnej i wreszcie wskazane już wytworzenie się pojęć i instytucji typowych tylko dla tego prawa, niewystępujących w innych obszarach . Uwzględniając ramy niniejszej publikacji, w dalszej jej części można się odnieść wyłącznie do wybranych, wskazanych powyżej kryteriów. Takie fragmentaryczne ujęcie tematu bez wątpienia nie przesądzi jednoznacznie o możliwości uznania prawa ochrony danych za odrębną dziedzinę prawa. Bez wątpienia wskaże jednak kierunek możliwych do podejmowania w tym zakresie rozważań, przesądzając co najmniej o możliwości (bądź nie) rozważania samodzielności prawa ochrony danych osobowych.
Odnosząc się do kryterium przedmiotowego, konieczne jest odkodowanie przedmiotu „prawa ochrony danych osobowych”, a w dalszej kolejności wykazanie różnic pomiędzy nim a przedmiotem innych dziedzin prawa. Dyrektywa 95/46/WE w art. 2 lit. a wskazuje wprost, że „dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Identyczną definicję wprowadza rozporządzenie ogólne, wskazując, że „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Naczelny Sąd Administracyjny (dalej NSA) w jednym ze swoich wyroków wskazał, „że ochrona danych osobowych, czyli informacji zarówno identyfikujących, jak i osobopoznawczych, dotyczących osoby fizycznej, zidentyfikowanej lub możliwej do zidentyfikowania, odnosi się zgodnie z art. 2 ustawy jedynie do praw osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Uważa się bowiem, że prawo do ochrony danych osobowych jest emanacją praw osobistych człowieka (prawa osobowości, prawa do informacyjnego samookreślenia), których głównym celem jest zapewnienie poszanowania prywatności, godności czy osobowości człowieka” . W innym wyroku WSA w Warszawie wskazał, że „definicja danych osobowych odzwierciedla zamiar ustawodawcy wprowadzenia szerokiego rozumienia tego pojęcia, tak aby objąć nią wszystkie informacje, które mogą dotyczyć danej osoby” . Powyższe szerokie rozumienie danych osobowych zostało odzwierciedlone również w wyroku Trybunału Sprawiedliwości (dalej TS) w sprawie Bodil Lind-
qvist, w którym TS wskazał, że „termin «dane osobowe» użyty w art. 3 ust. 1 dyrektywy 95/46 obejmuje, zgodnie z definicją zawartą w art. 2 lit. a tej dyrektywy, «wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej». Pojęcie to odnosi się bez wątpienia do nazwiska osoby w połączeniu z jej numerem telefonu lub informa-cjami dotyczącymi jej warunków pracy czy sposobów spędzania przez nią wolnego czasu” . Uwzględniając powyższe, przedmiotem „prawa ochrony danych osobowych” jest informacja, która z uwagi na jej treść daje co najmniej możliwość identyfikacji osoby fizycznej. Zdanie to samo w sobie przesądza o istocie ochrony danych osobowych, które to prawo nie chroni więzi pomiędzy informacją a osobą, której dotyczy. W mojej ocenie – co może się wydać bardziej kontrowersyjne – nie chroni również osoby jako takiej. Ochrona danych osobowych chroni wyłącznie informację, której treść może doprowadzić nas do konkretnej osoby fizycznej i właśnie ze względu na to objęto ją szczególnym rygorem prawnym – innym niż inne informacje. Informacja przestaje mieć taki szczególny walor z chwilą śmierci osoby, której dotyczy, i tym samym przestaje podlegać ochronie. Dlatego też zgodnie z motywem 27 rodo rozporządzenie nie ma zastosowania do danych osobowych osób zmarłych. Powyższe uwidacznia więc różnicę pomiędzy danymi osobowymi a dobrami osobistymi, które same w sobie chronią nienaruszalną więź pomiędzy osobą fizyczną a jej dobrem. Pozwala to więc na wskazanie, że brakuje jakiejkolwiek innej dyscypliny prawa, mającej za swój przedmiot ochronę informacji, która z uwagi na swoją treść identyfikuje żyjącą osobę fizyczną. Problem pojawia się jednak, gdy uznamy, że samoistność przedmiotu ochrony danego zespołu norm prawnych nie przesądza jeszcze wprost o uznaniu, iż tworzą one odrębną dyscyplinę prawa. Szczególny problem dostrzegalny jest w tym zakresie w obszarze niezwykle szerokiej dziedziny prawa, jaką jest prawo administracyjne. Jak wskazuje J. Zimmermann, „katalogowanie przedmiotów prawa administracyjnego nie jest celowe i jest mało przydatne nawet dla celów dydaktycznych. Powstaje więc zasadnicze pytanie, czy przedmiot prawa administracyjnego stanowi element dla niego konstytutywny, czy jest właśnie jego aksjomatem i czy za pomocą kryterium przedmiotu można wyróżnić tę dyscyplinę prawniczą. Nasuwa się odpowiedź negatywna. Posługiwanie się przedmiotem prawa administracyjnego, oparte na wzorach pozytywistycznych, nie może być w pełni użyteczne. Prawem administracyjnym byłaby wtedy na pewno tylko część norm, które «z samej swojej istoty» są administracyjne (...). Prowadzi to do wniosku, że odwoływanie się przy zabiegach definicyjnych do kategorii przedmiotu prawa administracyjnego nie jest konstruktywne i nie może prowadzić do pozytywnych wniosków” . Warto więc przy dokonaniu oceny odrębności ochrony danych osobowych od dyscypliny, jaką jest prawo administracyjne, skupić się też na innych kryteriach. Przy uwzględnieniu kryterium cechy prawa administracyjnego wskazującego, że prawem administracyjnym są wszelkie normy regulujące jakikolwiek stosunek, którego jedną ze stron jest podmiot administrujący – również ono nie przystaje do obszaru norm z zakresu ochrony danych osobowych. Prawo to reguluje bowiem zasady ochrony informacji, a stronami takich regulacji są zawsze: osoba, której informacje podlegają ochronie, i podmiot przetwarzający takie informacje. Jest to zasadniczy stosunek relacji zachodzących w obszarze prawa ochrony danych osobowych. Powyższe nie wyklucza jednak uznania, że w jakimś zakresie ochrona danych osobowych wejdzie w obszar prawa administracyjnego. Stanie się tak głównie w tych przypadkach, gdy administracja publiczna upoważniona jest do wydania autorytatywnego aktu wobec naruszającego zasady ochrony danych osobowych – a więc tam, gdzie powstaje stosunek administracyjnoprawny. Sytuacja taka następuje jednak wyłącznie w przypadku, gdy dochodzi co najmniej do podejrzenia naruszenia zasad ochrony danych osobowych. Stosunek taki nie jest więc istotą ochrony danych osobowych i nie zachodzi w każdym z przypadków, związanych z wykonywaniem przepisów o ochronie danych osobowych. Bez wątpienia można więc powiedzieć, że prawo administracyjne jest obecne w ramach zespołu norm regulujących ochronę danych osobowych. Trudność we wskazaniu wyraźnej bariery nie może przesądzić jednak, że w obszarze ochrony danych osobowych nie mówimy o wykształceniu się odrębnej dziedziny prawa. Jak wskazuje Z. Duniewska, w odniesieniu do szczegółowych działów prawa, do których można zaliczyć m.in. prawo pracy, prawo finansowe, prawo rolne i prawo ubezpieczeniowe, rozgraniczenia można dokonać wyłącznie na podstawie analizy poszczególnych norm prawnych, a prawo administracyjne obecne jest w każdym z nich . Analogiczne uwagi można odnieść, w mojej ocenie, także do ochrony danych osobowych.
Odnosząc się do powołanego już kryterium metody regulacji prawnej, ochrona danych osobowych bez wątpienia podlega kompleksowej regulacji zarówno na poziomie unijnym, jak i na poziomie krajowym. Ogólne zasady ochrony danych osobo-wych nie są bowiem rozproszone, ale zostały skoncentrowane w obowiązującej obecnie dyrektywie 95/46/WE oraz imple-mentujących ją ustawach państw członkowskich, a w przyszłości odpowiednio w rozporządzeniu ogólnym oraz ustawach je „wdrażających”. Powyższe nie oznacza, że również na poziomie unijnym ochrona danych osobowych nie podlega regulacji zawartej w innych aktach ustawodawczych. Tylko, przykładowo, można tu powołać rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z 23.07.2014 r. bądź dyrektywę Parlamentu Europejskiego i Rady 2002/58/WE z 12.07.2002 r. Każdy z przywołanych aktów prawnych zawiera jednak postanowienia, w świetle których nie naruszają one przepisów dyrektywy 95/46/WE, nie ograniczają oraz nie wyłączają jej zastosowania. Skoncentrowanie ogólnych zasad ochrony danych osobowych w jednym akcie prawnym bez wątpienia przemawia też za kompleksowym ujęciem całego zespołu norm prawnych regulujących ochronę danych osobowych jako odrębnej dyscypliny prawnej.
7. Terminologia
Na szczególną uwagę w obszarze ochrony danych osobowych zasługuje wykorzystywana w nim terminologia . Tylko, przykładowo, określenia takie, jak administrator danych osobowych, zbiór danych osobowych bądź chociażby przetwarzanie danych osobowych nie występują w takim znaczeniu w żadnych innych dziedzinach prawa. Prawdą jest, że w wielu przypadkach ustawy posługują się podobnymi terminami, mającymi jednak zupełnie inną treść normatywną – co prowadzi często do mylnego utożsamiania ich ze sobą. Przykładowo, zgodnie z art. 2 ust. 1 pkt 1 ustawy o ochronie baz danych, baza danych oznacza zbiór danych lub jakichkolwiek innych materiałów i elementów zgromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób . Jednocześnie brakuje w powołanej ustawie definicji „zbioru danych”. Definicja taka znajduje się z kolei w powołanej już ustawie o ochronie danych osobowych, w świetle której zbiorem danych osobowych jest posiadający strukturę zestaw danych o charakterze osobowym dostępnych według określonych kryteriów. Nie jest jednak możliwe uznanie, że oba terminy mają taką samą treść normatywną. Ustawa o bazach danych jest bowiem obojętna co do treści takiego zbioru. O przyznaniu mu ochrony wynikającej z tej ustawy nie decyduje więc osobowa albo nieosobowa treść zbioru danych, lecz jego układ. Jak wskazuje się w literaturze przedmiotu, art. 1 (ustawy o bazach danych) „rozumieć należy w ten sposób, iż z ochrony sui generis nie korzystają nie tyle wszystkie bazy, w których można stwierdzić twórczy sposób uporządkowania bądź doboru zawartości, lecz tylko te elementy baz danych, które są chronione w prawie autorskim, a zatem sposób doboru i uporządkowania zawartości” . Powyższe należałoby również rozszerzyć na osobową warstwę baz danych. Nabycie bazy danej w zgodzie z ustawą o bazach danych oraz prawem autorskim w żadnym zakresie nie przesądza o zgodności takich działań z ustawą o ochronie danych osobowych. Należy się zgodzić ze stanowiskiem P. Barty oraz P. Litwińskiego, w którym zaprezentowali oni, że „nie każdy zbiór danych osobowych może zostać jednak uznany za bazę danych, jako że chociażby jednym z warunków powstania tzw. sui generis prawa do bazy danych jest poniesienie istotnego nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji bazy danych” . Trzeba również wskazać, że samo pojęcie „danych osobowych” jest terminem występującym wyłącznie w regulacjach prawnych dotyczących ochrony danych osobowych (dyrektywie 95/46/WE oraz w ustawie o ochronie danych osobowych). Powyższe nie oznacza, że ustawodawca nie posługuje się tym terminem też w innych aktach prawnych. W każdej z nich jego znaczenie determinowane jest jednak treścią wyżej wymienionej ustawy (a w konsekwencji z dyrektywą 95/46/WE) i wykraczanie poza powyższy model należy uznać za naruszające nie tylko krajowe, lecz także unijne zasady ochrony danych osobowych. Na wprowadzenie swojej własnej definicji ochrony danych osobowych ustawodawca polski zdecydował się, przykładowo, w art. 2 pkt 33 ustawy o funduszach inwestycyjnych , zgodnie z którym, danymi osobowymi są wyłącznie imiona i nazwisko, data i miejsce urodzenia, adres zamieszkania, a w przypadku obywateli Rzeczypospolitej Polskiej także numer PESEL. W tym zakresie należy się jednak zgodzić ze stanowiskiem wyrażonym w literaturze przedmiotu, że dochodzi w tym przypadku „do konfliktu poziomego w systemie prawa – definicja danych osobowych zawarta w przepisach ustawy o funduszach inwestycyjnych jest sprzeczna z definicją zawartą w ustawie o ochronie danych osobowych” .@page_break@
8. Uwagi końcowe
Podsumowując: bez wątpienia możliwe jest co najmniej wskazanie, że dyskusja nad traktowaniem ochrony danych osobowych jako odrębnej dyscypliny prawa nie jest pozbawiona sensu. Podjęcie rozważań dotyczących wyodrębnienia takiej dziedziny wydaje się w pełni uzasadnione względami legislacyjnymi, a wzmacnia je dodatkowo mnogość przemawiających za takim rozwiązaniem argumentów. Za uznaniem odrębności prawa ochrony danych osobowych przemawia chociażby brak jakiejkolwiek innej dyscypliny prawa mającej za swój przedmiot ochronę informacji, która z uwagi na swoją treść identyfikuje żyjącą osobę fizyczną. Ochrona danych osobowych podlega również, na wzór innych dziedzin prawa, kompleksowej regulacji prawnej zarówno na poziomie unijnym, jak i na poziomie krajowym. Ochrona danych dla bardzo różnych celów, w tym też edukacyjnych oraz naukowych, właśnie w praktyce zaczyna być również obecnie traktowana jako odrębna dziedzina prawa. Nie bez znaczenia pozostaje też trudność z jednoznacznym przyporządkowaniem ochrony danych osobowych do którejkolwiek z wyodrębnionych dzisiaj dziedzin prawa. Powyższe nie wyłącza jednak pojawiających się także w omawianym zakresie wątpliwości. Należy do nich chociażby trudność w zbudowaniu granicy pomiędzy prawem ochrony danych osobowych a innymi działami prawa. Problem ten dotyczy jednak wyłącznie obszarów granicznych, nie wyłącza więc, w mojej ocenie, możliwości przesądzenia, że w swej istocie prawo to spełnia przesłanki odrębnej dziedziny prawa. Nie przesądza o tym również uznanie, że w jakimś zakresie ochrona danych osobowych wejdzie w obszar prawa administracyjnego. Stanie się tak głównie w tych przypadkach, w których powstaje stosunek administracyjnoprawny. Jak zostało już jednak wskazane, wyznaczenie granic między działami prawa służy najczęściej realizacji różnych celów i dopiero uzasadnienie takiego wyodrębnienia nimi wszystkimi – bądź większością z nich, w mojej ocenie, uprawniałoby postawienie tezy o możliwości uznania danego zespołu norm za odrębną dziedzinę prawa. Dokonanie takiej analizy wyczerpuje jednak ograniczone ramy niniejszego opracowania, które uzasadnia jednak – jak zostało to wskazane – zasadność i konieczność podjęcia dalszego pogłębionego wywodu naukowego w tym zakresie.
Summary
Personal data protection law as a new area of law
The European Union’s and, in consequence, also the na-tional reform of the protection of personal data introduces a number of new legal institutions, intended to make the protection of said data more effective. A significant part of these legal institutions are characteristic of the personal data protection sector and do not exist in other areas of law. In the author’s opinion, the above is an opportunity to answer the question whether the protection of personal data does not already constitute a new, separate area of law. Should not the protection of personal data be already given a separate treatment due to its interdisciplinary – in the field of law – cross-border nature that is inseparably connected with the development of new technologies? Therefore, the aim of the present text is to initiate a discussion about the aforementioned problem.
dr Maciej Kawecki
Autor jest doradcą w gabinecie Ministra Cyfryzacji.
Artykuł pochodzi z miesięcznika Europejski Przegląd Sądowy 2017/5>>