5 minute read
PRAWO
from OSOZ Polska
by OSOZ Polska
Przetwarzanie danych w czasie kryzysu. Czy RODO nadal nas obowiązuje?
Czy dobro wyższe, jakim jest walka z koronawirusem, uzasadnia omijanie zasad ochrony danych osobowych? Czy można powołać się na RODO hamując inicjatywy służące zdrowiu jednostki i społeczeństwa? W czasie pandemii COVID-19 balansowanie pomiędzy „dobrem publicznym” a prywatnością wymaga szerszego spojrzenia na prawo uchwalone w zupełnie innych warunkach niż te, z którymi mamy obecnie do czynienia.
Advertisement
Stare przepisy, nowa rzeczywistość Gromadzenie danych wiąże się z dużą odpowiedzialnością. W wyniku szybkiego rozwoju technologicznego, ludzie zaczęli tracić kontrolę nad tym kto, gdzie i w jakim celu wykorzystuje prywatne informacje. Dane zbierają inteligentne urządzenia, telefony komórkowe, aplikacje mobilne, dostawcy usług internetowych. Firmy prywatne wiedzą o nas coraz więcej i na tej podstawie są w stanie tworzyć profile preferencji zakupowych, poglądów politycznych, sposobów spędzania wolnego czasu. Nic dziwnego, że z czasem pojawiła się konieczność wzmocnienia ochrony danych. Efektem jest m.in. pan-europejskie ogólne rozporządzenie o ochronie danych RODO, wprowadzające od maja 2018 roku nowe wymagania w stosunku do pomiotów przetwarzających dane, a jednocześnie dające większe uprawnienia tym, których dane są poddawane zbieraniu i obróbce. Nie da się ukryć, że w kryzysie, jakim jest pandemia COVID-19, wiele narzędzi powstaje w sposób mogący budzić wiele wątpliwości w świetle RODO. Instytucje rządowe zasłaniają się przy tym potrzebami wyższego rzędu, jakim jest zdrowie, oraz zasadą dobra społecznego, stojącą wyżej w stosunku do praw jednostki. I tak w wielu krajach na szybko wprowadzono przymusowe pomiary temperatury w miejscach publicznych, aplikacje kontrolujące przepisowe odbywanie kwarantanny domowej albo zbierające dane o stanie zdrowia i lokalizacji celem określenia ryzyka zarażenia koronawirusem. Wiele z nich wzbudza oba
wy przed nadużyciami, ograniczeniem praw dotyczących prywatności i może znaleźć finał w sądzie.
Przetwarzanie danych w zgodzie z dobrem społecznym Czy cel, czyli zdrowie, uświęca środki interpretowane jako inicjatywy podejmowanie w celu zwalczania pandemii COVID-19? I tak i nie. W oświadczeniu Europejskiego Inspektora Ochrony Danych (EIOD) Wojciecha Wiewiórkowskiego, wydanym w związku z COVID19, znalazło się kilka wytycznych działania w obecnym kryzysie. Faktem jest, że wiele organizacji musi dziś podejmować szybkie decyzje i nie ma czasu na trwające miesiącami analizy prawne czy doszlifowywanie rozwiązań pod kątem zagwarantowania prywatności. Już na wstępie oświadczenia czytamy, że wprawdzie przetwarzanie danych wiąże się z dużą odpowiedzialnością, to istnieje także odpowiedzialność za niewykorzystywanie narzędzi, które mogłyby pomóc w walce z pandemią. Mówiąc prościej – ochrona danych osobowych nie powinna być argumentem blokującym wdrażanie rozwiązań, które w krytycznej sytuacji mogą ratować ludzkie życie. RODO wyraźnie stwierdza, że przetwarzanie danych osobowych powinno być zaprojektowane tak, „by służyło ludzkości” oraz że „prawo do ochrony danych osobowych nie jest prawem absolutnym” i należy go „rozpatrywać w odniesieniu do jego funkcji w społeczeństwie, tym samym musi być zrównoważone z innymi podstawowymi prawami, zgodnie z zasadą proporcjonalności.” Przetwarzania danych osobowych – nawet danych szczególnie chronionych, dotyczących zdrowia – jest legalne także wtedy, gdy jest konieczne ze względu na „istotny interes publiczny”, na podstawie prawa Unii lub prawa państwa członkowskiego, proporcjonalnie do zamierzonego celu. Europejski Inspektor Ochrony Danych zaznacza, że nie jest to kreatywna interpretacja prawa, czy jego naginanie, ale cytowanie tekstu RODO. RODO zezwala również na przetwarzanie danych wrażliwych, gdy jest to konieczne ze względu na interes publiczny w zakresie zdrowia publicznego. Przykładem jest ochrona przed poważnymi transgranicznymi zagrożeniami zdrowia, w którą wpisuje się pandemia koronawirusa. Pojawiają się też wezwania do zawieszenia ustawy o ochronie danych lub jej zmiany w świetle obecnego kryzysu. Jednak RODO nie jest tak naprawdę ani przeszkodą do działania, ani sposobem usprawiedliwienia („nie jesteśmy skuteczni, ponieważ prawo nas ogranicza”). „Nawet jeśli uznamy, że nietypowy sposób przetwarzania danych zakłóciłby prawo do prywatności i ochrony danych, może być nadal konieczny w wyjątkowych okolicznościach, w których wszyscy żyjemy przez ostatnie kilka tygodni” – podkreśla Wojciech Wiewiórkowski. Zaznacza on, że celem Europejskiego Inspektora Ochrony Danych będzie czuwanie, aby wszelkie środki podejmowane na poziomie europejskim i krajowym, a dotyczące ponadstandardowych rozwiązań w zakresie wykorzystania danych w czasie pandemii COVID-19, miały charakter tymczasowy (do likwidacji po tym, jak minie zagrożenie), ograniczony (dokładne sprecyzowanie celu i osób mających dostęp do danych), celowy (określenie wykorzystania zbieranych i przetwarzanych danych, ale także ich utylizacji po powrocie do normalności).
Wątpliwe technologie śledzenia ludności EIOD wspomina również, że RODO nie stanowi przeszkody w przetwarzaniu danych osobowych, gdy organy służb zdrowia uważają to za konieczne w celu zwalczania pandemii. W oświadczeniu pojawia się też temat aplikacji monitorujących przemieszczanie się użytkowników smartfomów, dzięki czemu możliwe jest wykrycie kontaktu z osobą, u której potwierdzono zarażenie koronowirueem i tym samym wysłanie ostrzeżenia. Według EIOD, wykorzystanie tymczasowych identyfikatorów transmisji i technologii Bluetooth do śledzenia kontak-
tów wydaje się formą pozwalającą na zachowanie prywatności i ochrony danych osobowych. Twórcy pracujący nad narzędziami technologicznymi do walki z pandemią powinni projektować je jednak zgodnie z zasadą prywatności w fazie projektowania (privacy by design).
Równowaga środków i celów Mimo tych wskazówek, stosowanie argumentów o „interesie publicznym” może potencjalnie doprowadzić do zaskarżania rozwiązań lub decyzji stojących na pierwszy rzut oka w sprzeczności z RODO. Dlatego generalną zasadą powinno być kierowanie się równowagą środków i celów. W tym miejscu warto zacytować słowa prezesa Trybunału Sprawiedliwości – sędziego Koena Lenaertsa, który stwierdził, że prawo „ogranicza władze w wykonywaniu ich uprawnień, wymagając zachowania równowagi między zastosowanymi środkami a zamierzonymi celami (lub osiągniętymi wynikami)”. W 2016 r. Europejskie organy ochrony danych opracowały listę wymogów dotyczących mechanizmów nadzoru, które kolidują z prawem dotyczącym prywatności i ochrony danych. Późniejsze wyroki Trybunału Sprawiedliwości Unii Europejskiej potwierdziły tok rozumowania zastosowany przez organy ochrony danych i w efekcie zidentyfikowano cztery istotne filary akceptowanych działań. Składają się na nie: − wymóg, aby przetwarzanie opierało się na jasnych, precyzyjnych i dostępnych zasadach; − wykazanie konieczności i proporcjonalności w odniesieniu do realizowanych uzasadnionych celów; − istnienie niezależnego mechanizmu nadzoru; − dostępność skutecznych środków ochrony dla osób fizycznych. Dane osobowe mogą być przetwarzane wyłącznie w określonych, uzasadnionych celach. Wytyczne opublikowane przez Europejskiego Inspektora Ochrony Danych jasno dają do zrozumienia, że pandemia COVID-19 nie może prowadzić do omijania obecnie obowiązującego prawa, ale jednocześnie obowiązujące prawo nie powinno być hamulcem inicjatyw ważnych z punktu widzenia interesu społecznego, w tym przypadku – zdrowia. Prawo do ochrony danych osobowych nie jest prawem absolutnym, a przetwarzanie danych osobowych musi służyć ludziom. Najważniejsza jest równowaga pomiędzy środkami a celem, a także transparentność całego procesu.
