Igor Kowalewski
Sprawozdanie z Wiosennej Konferencji Europejskich Komisarzy Ochrony Danych Osobowych. 10 - 11 maja 2001 r., Ateny
SESJA 5 - POJĘCIE "ZGODY" JAKO PODSTAWY PRAWNEJ PRZETWARZANIA DANYCH OSOBOWYCH - (Notion of "consent" as a legal basis for data protection)
[Spis treści]
Jako pierwszy, głos zabrał pan Peter Hustinx, przewodniczący holenderskiego organu ochrony danych osobowych. Prelegent przedstawił rozwój prawodawstwa europejskiego dotyczącego ochrony danych osobowych na przestrzeni ostatnich 25 lat. Do źródeł o fundamentalnym znaczeniu należą bez wątpienia:
1. Europejska Konwencja Praw Człowieka [European Convention on Human Rights -ECHR]
2. Konwencja Nr 108 Rady Europy
3. Decyzja Niemieckiego Trybunału Konstytucyjnego z 1983 (Census case)
4. Dyrektywa 95/46/EC
5. Karta Podstawowych Praw Unii Europejskiej [EU Charter of Fundamental Rights]
ad.1. Europejska Konwencja Praw Człowieka z 1950 r. jest bez wątpienia jednym z największych osiągnięć legislacyjnych Rady Europy. Art. 8 Konwencji stanowi, że każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. Jednakże zakres prawa do prywatności, wyrażonego w powyższym przepisie nie jest zupełnie jasny. Bez wątpienia, można jednak stwierdzić, że obejmuje on na pewno dane szczególnie chronione. W myśl Art.8 § 2 ingerencja władzy publicznej w korzystanie z prawa do prywatności jest niedopuszczalna, z wyjątkiem przypadków przewidzianych przez ustawę. W orzecznictwie Europejskiego Trybunału Praw Człowieka wykształcił się pogląd, iż oprócz negatywnego obowiązku nienaruszania prywatności przez władze publiczne, zobowiązane są one do zapewnienia odpowiedniej ochrony prawnej zapobiegającej naruszeniom prywatności przez jednostki. W związku z powyższym powstaje pytanie, czy można mówić o ingerencji w prawo do prywatności w przypadku nie zapewnienia odpowiedniej ochrony przez władze publiczne. Pojęcie zgody ma w tych przypadkach marginalne znaczenie, jednakże Europejski Trybunał Praw Człowieka wydał kilka orzeczeń stwierdzających naruszenie prawa do prywatności (np.:Leander case, Malone case). Pod koniec lat 70-tych Rada Europy stwierdziła, że Art. 8 ECHR nie stanowi wystarczającej ochrony danych osobowych w obliczu rozwoju nowych technologii i rozpoczęła prace legislacyjne nad przygotowaniem konwencji, która miała zapewnić odpowiedni poziom ochrony.
ad.2. Konwencja Nr 108 Rady Europy była pierwszym prawnie wiążącym aktem prawnym dotyczącym ochrony danych osobowych . W chwili obecnej Konwencję podpisało i ratyfikowało 20 państw europejskich (w tym 15 Państw Członkowskich Unii Europejskiej). Konwencja zawiera podstawowe zasady przetwarzania danych osobowych, stanowiące punkt wyjścia przy tworzeniu odpowiednich regulacji krajowych Pojęcie zgody nie jest wyrażone wprost, jednakże stanowi jedną z przesłanek legalności przetwarzania oraz dodatkową gwarancję przetwarzania danych wrażliwych.
ad.3. Decyzja Niemieckiego Trybunału Konstytucyjnego z 1983 w sprawie Census odegrała kluczową rolę w dyskusji nad charakterem prawa do ochrony danych osobowych. Trybunał stwierdził, że z Art. 1 i 2 niemieckiej Konstytucji wynika prawo do tzw. "informacyjnego samostanowienia" [information self-determination], czyli prawo jednostki do decydowania o ujawnianiu i wykorzystywaniu danych dotyczących jej osoby. Trybunał uznał to prawo, za podstawowy element procesu budowania relacji pomiędzy jednostkami oraz jednostkami i instytucjami w społeczeństwie, które staje się coraz bardziej zależne od wykorzystywania nowoczesnych technologii informacyjnych. Powyższy pogląd spotkał się również ze sceptycznymi opiniami. Prawo do "informacyjnego samostanowienia" zostało uznane za zbyt szerokie i mogące znacznie ograniczać prawo wolności informacji.
ad.4. Na początku lat 90-tych rozpoczęto prace legislacyjne nad dyrektywą mającą na celu ujednolicenie krajowych przepisów dotyczących ochrony danych osobowych. Działanie te zostały sfinalizowane przyjęciem w 1995 r. Dyrektywy 95/46/EC w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Dyrektywa nawiązuje wyraźnie do Konwencji Nr 108 Rady Europy oraz dookreśla i uszczegóławia pewne pojęcia i zasady w niej zawarte. W przyjętym dokumencie podkreślono wyraźnie dwa zasadnicze cele regulacji. Z jednej strony Państwa Członkowskie zobowiązały się chronić fundamentalne prawa i wolności osób fizycznych, a w szczególności prawo do prywatności w odniesieniu do przetwarzania danych osobowych. Z drugiej strony silnie zaznaczono, że Państwa Członkowskie nie będą ograniczać ani zakazywać swobodnego przepływu danych osobowych pomiędzy Państwami Członkowskimi. Nowym elementem regulacji było wyraźne wskazanie kryteriów legalności przetwarzania danych, wśród których wyróżniono wyraźną zgodę podmiotu danych.
ad.5. Karta Podstawowych Praw Unii Europejskiej przyjęta w 2000 r. również zawiera postanowienia dotyczące prawa do prywatności i prawa ochrony danych osobowych (Art. 7 i 8). Treść, zakres i ograniczenia powyższych praw odpowiadają tym, wymienionym w Europejskiej Konwencji Praw Człowieka. Karta Nicejska stanowi również, że prawo do ochrony danych osobowych powinno być wykonywane zgodnie z postanowieniami Dyrektywy 95/46/EC. Należy podkreślić, że Karta nie jest aktem prawnie wiążącym.
Na podstawie powyższego zestawienia, można stwierdzić, że prawo do ochrony danych osobowych, chociaż silnie związane z prawem do prywatności jest obecnie odrębnym, samodzielnym prawem podstawowym przysługującym jednostce. Jego struktura jest dość skomplikowana. Prawo do ochrony danych osobowych składa się z szeregu reguł, warunków, uprawnień i zakazów obejmujących szeroki zakres działalności w różnych obszarach społecznych oraz postanowienia dotyczące zasad proceduralnych (np.: zasada nadzoru przetwarzania danych osobowych przez niezależny organ). Związki prawa do prywatności i prawa ochrony danych osobowych są szczególnie wyraźne w sytuacjach, gdy powyższe uprawnienia pokrywają się ze sobą wzajemnie (np.: w przypadku przetwarzania wrażliwych danych osobowych).
W odniesieniu do pojęcia "informacyjnego samostanowienia" należy stwierdzić, że pojęcie to nie zostało wyrażone expressis verbis, w którymkolwiek aktów prawa europejskiego. Jednakże pewne przepisy wyraźnie przewidują możliwość decydowania o udostępnieniu danych osobowych przez podmiot, którego dane dotyczą.
Podsumowując, prelegent przedstawił trzy koncepcje dotyczące zgody, stanowiącej prawną podstawę przetwarzania danych osobowych, usiłując jednocześnie odpowiedzieć na pytanie czy stanowi ona wystarczającą gwarancję ochrony danych osobowych i prywatności:
- W myśl pierwszej koncepcji, możliwość udzielenia zgody na przetwarzanie danych osobowych wypływa z prawa wolnego wyboru przypisanego jednostce. Jednakże należy podkreślić, że w obecnej chwili wyrażenie zgody nie jest podyktowane wyłącznie wolnym wyborem, ale często jest powiązane z uzyskaniem określonych korzyści majątkowych (zgoda staje się więc "towarem"). Powyższy stan rzeczy może rodzić poważne zagrożenia dla prywatności i ochrony danych osobowych.
- Według drugiej koncepcji "zgoda" stanowi prawdziwą gwarancję ochrony wyżej wymienionych praw. Art.2 litera (h) Dyrektywy 95/46/EC stanowi, że zgoda podmiotu danych oznacza konkretne i świadome oświadczenie podmiotu danych, iż z własnej woli wyraża przyzwolenie na przetwarzanie dotyczących go danych osobowych.
- Zwolennicy ostatniej koncepcji twierdzą, że nawet wyraźnie udzielona zgoda podmiotu danych jest niewystarczającą podstawą legalności przetwarzania danych osobowych. Wyrazem tej koncepcji jest Art. 8 ust.2 litera (a), w myśl którego przetwarzanie danych szczególnie chronionych jest dopuszczalne jeżeli podmiot danych udzielił wyraźnej zgody, chyba że prawo Państwa Członkowskiego przewiduje, że zakaz, o którym mowa w ustępie 1 (zakaz przetwarzania danych wrażliwych) nie może być uchylony przez udzielenie zgody przez podmiot danych.
Następnie głos zabrał pan Michel Gentot, przewodniczący francuskiego organu ochrony danych osobowych. Prelegent poinformował, że we Francji zgoda będąca prawną przesłanką legalności przetwarzania danych osobowych dotyczy jedynie danych szczególnie chronionych (danych wrażliwych). Ustawodawca francuski uzasadnił powyższy rozwiązanie faktem, że dane osobowe były przetwarzane jeszcze zanim powstały przepisy chroniące tego rodzaju informacje.
Kolejna kwestia podniesiona przez prelegenta dotyczyła formy udzielenia zgody. Pan Gentot postawił pytanie, czy możliwe jest zaakceptowanie udzielenia zgody przez Internet. W tym przypadku powstają wątpliwości odnośnie sposobu potwierdzenia otrzymania zgody przez dostawcę usług internetowych lub operatora sieci telekomunikacyjnej. Tego rodzaju zgoda powinna być dla celów dowodowych wyrażona w formie pisemnej.
W kolejnym wystąpieniu prof. Nikos Alivizatos podniósł kwestię dotyczące wzajemnego stosunku zasady adekwatności i udzielania zgody na przetwarzanie danych osobowych. Prelegent posłużył się ciekawym przykładem dotyczącym problemu gromadzenia danych o wyznaniu, które umieszczane były w greckich dowodach osobistych. Powyższy stan rzeczy spowodowany był silną pozycją greckiego kościoła. Bez wątpienia gromadzenie danych wrażliwych (danych o wyznaniu) stanowiło wyraz dyskryminacji w stosunku do osób o innych przekonaniach religijnych (m. in. Muzułmanów, stanowiących liczną grupę wyznaniową w Grecji). Władze kościelne zaproponowały, aby dane o wyznaniu były zgłaszane dobrowolnie. Stwierdzono jednak, że tego rodzaju rozwiązanie nie zapewnia odpowiedniej ochrony danych osobowych i prywatności określonych mniejszości religijnych. Dane o wyznaniu zostały w końcu usunięte z greckich dowodów osobistych.
Następnie głos zabrał dr Pelopidas Donos, członek greckiego organu ochrony danych osobowych. Prelegent nawiązał do wystąpienia pana Hustinxa, poruszając kwestię dotyczącą "informacyjnego samostanowienia" we współczesnym ustawodawstwie. Pan Donos stwierdził, że powyższe pojęcie nie jest jedynie przedmiotem rozważań teoretycznych, ale również wywiera istotny wpływ na stosowanie prawa ochrony danych osobowych i politykę legislacyjną w tym obszarze.
Odnosząc się do słynnej decyzji niemieckiego Trybunału Konstytucyjnego z 1983 r. w sprawie Census, prawo do informacyjnego samostanowienia oznacza, że każdy obywatel może decydować o przetwarzaniu danych dotyczących jego osoby, z wyjątkiem danych przetwarzanych w interesie publicznym. Powyższe uprawnienie można rozpatrywać z dwojakiego punktu widzenia. Z jednej strony można mówić o "defensywnej" naturze tego prawa, jako prawa chroniącego dane osobowe, a tym samym prywatność. Z drugiej strony natomiast, prawo do informacyjnego samostanowienia pozwala podmiotowi, któremu przysługuje niezależnie decydować w kwestii dotyczącej jego profilu osobowościowego, czyli danych, które mogą być ewentualnie udostępnione zgodnie z wolą podmiotu danych (strona "ofensywna"). Innymi słowy chodzi o podkreślenie możliwości swobodnej komunikacji w demokratycznym społeczeństwie informacyjnym i decydowaniu o ujawnieniu swoich danych osobowych. Nie ma wątpliwości, że obecnie obydwie strony prawa do informacyjnego samostanowienia są chronione zarówno przez dyrektywy europejskie, jak i prawo krajowe.
Jednak powyższy pogląd nie znajduje odzwierciedlenia w klauzulach konstytucyjnych państw europejskich, które zbyt silnie eksponują stronę defensywną prawa do informacyjnego samostanowienia. Ochrona danych osobowych jest w nich utożsamiana z ochroną prywatności. Jedynie konstytucje niektórych landów niemieckich odnoszą się do ofensywnej strony wspomnianego prawa, stanowiąc, że każdy ma prawo do decydowania o przetwarzaniu danych osobowych, które go dotyczą. Zdaniem prelegenta, podczas prac legislacyjnych należy brać pod uwagę obydwie strony prawa do informacyjnego samostanowienia. W przeciwnym razie prawo ochrony danych zostanie znacznie osłabione, zwłaszcza w sektorach, w których silna pozycja administratora danych jest oczywista (np.: ochrona danych osobowych w sektorze zatrudnienia). Legislator tworząc lub zmieniając przepisy w tych sektorach powinien zawsze mieć na uwadze nie tylko zapewnienie prawa do ochrony danych, ale również możliwości samodzielnego działania na tym obszarze.
