Czy oświadczenie o niekaralności stanowi dane o których mowa w art. 10 rodo?

W sierpniowym numerze newslettera UODO, organ zajął stanowisko w przedmiocie postępowań ofertowych, do których nie stosuje się ustawy Prawo zamówień publicznych (dalej: p.z.p.). Chodziło o ocenę sytuacji, gdy zamawiający, poza reżimem p.z.p., żąda od oferentów, których zaprasza do składania ofert, oświadczenia o niekaralności, pod rygorem niedopuszczenia do postępowania ofertowego. Zdaniem PUODO oświadczenie o niekaralności, zawiera dane osobowe o których mowa w art. 10 rodo, tj. dane osobowe dotyczące wyroków skazujących i czynów zabronionych. W związku z powyższym bez szczególnej podstawy ustawowej, jaka się znajduje np. w p.z.p., ich przetwarzanie jest niedopuszczalne, konkretnie w tym wypadku pozyskiwanie takich oświadczeń odbywa się bez podstawy prawnej. Organ nie wyjaśnia jednak, dlaczego dane te kwalifikuje do kategorii z art. 10 rodo.

Stanowisko to może budzić wątpliwości co do swojej trafności. W mojej ocenie, jakkolwiek ostatecznie może być prawidłowe co do stwierdzenia, że pozyskiwanie oświadczeń o niekaralności w przedstawionym stanie faktycznym jest niedopuszczalne, to oparte jest na błędnej ocenie, że dane z oświadczenia o niekaralności, to dane o których mowa w art. 10 rodo.

Sama informacja, która brzmi „X nie był karany”, nie stanowi danych o których mowa w art. 10 rodo. Już literalnie patrząc na przepis art. 10 rodo widać, że w tym przepisie mowa jest o karze i czynie zabronionym, a nie o braku kary i braku czynu zabronionego.

Artykuł 10

Przetwarzanie danych osobowych dotyczących wyroków skazujących i czynów zabronionych

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.


Dodatkowo, argumentacja funkcjonalna, przemawia za tym, że do osobnej zaostrzonej regulacji, zostały wydzielone, dane wymagające szczególnej ochrony, ze względu na to, że są dla osoby której dotyczą, subiektywnie lub obiektywnie niekorzystne w kontekście ich wykorzystania, stąd ich przetwarzanie musi być obłożone dodatkowymi warunkami w stosunku do danych zwykłych (nie wszystkie przesłanki legalizacyjne z art. 6 rodo mogą stanowić podstawę wykorzystanie tych danych, a tylko norma prawna lub nadzór władz publicznych). Informacja o braku karania i braku popełnienia czynu zabronionego, stanowi przeciwieństwo tej dla której została przyjęta regulacja art. 10 rodo.

Dlaczego więc stanowisko organu może być ostatecznie trafne, chociaż oparte na błędnym wniosku, co do charakteru danych?

Żeby to wyjaśnić trzeba sięgnąć do pojęć takich jak „proces” i „przetwarzanie”.

Przetwarzanie definiuje art. 4 pkt 2 rodo:

2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Sam zwrot „przetwarzanie”, węzłowy dla prawa ochrony danych, nie jest do końca fortunny, ponieważ kojarzy się ze zmianą, z przejściem z jednego stanu do drugiego, tymczasem analiza całej regulacji, a nawet samej definicji, prowadzi do wniosku, że te operacje na danych o których mowa, są postacią wykorzystania danych, a nie zmiany danych. Rodo nadaje wiec temu pojęciu swoiste znaczenie, które definiuje w słowniczku, w języku potocznym odpowiednikiem „przetwarzania” jest „wykorzystanie” danych.

Z kolei „proces” nie jest zdefiniowany w rodo, jednak doktryna i praktyka, definiują to pojęcie zbieżnie z teorią zarządzania, jako zespół działań prowadzących do pożądanego celu. Na gruncie rodo synonimem procesu, jest „czynność przetwarzania”, stąd w czasie inwentaryzacji administrator musi określić czynności przetwarzania (procesy), aby je ewidencjonować w rejestrze czynności przetwarzania (art. 30 rodo). Proces jest więc pojęciem szerszym, zdeterminowanym głównie przez cel, i składa się zwykle z więcej niż jednej operacji przetwarzania, takich jak zbieranie, utrwalanie itd.

W interesującym nas stanie faktycznym, procesem jest postępowanie ofertowe, zaś zbieranie oświadczeń o niekaralności jest jedną z operacji przetwarzania, składających się na ten proces. W momencie zbierania oświadczeń o niekaralności, dochodzi do przetwarzania danych zwykłych, ale żeby to się stało, administrator na wcześniejszym etapie, kiedy ogłosił, że przy ofertach oczekuje oświadczeń o niekaralności, wykorzystał (przetworzył) dane dotyczące wyroków skazujących i czynów zabronionych, o których mowa w art. 10 rodo. Wezwaniem do załączenia oświadczeń o niekaralności, administrator dokonał selekcji na podstawie danych z art. 10 rodo, tzn. wykorzystał dane o karalności i w ten sposób osoby karane wykluczył z postępowania. Oczywiste jest, że na tym etapie dane o karalności były w użyciu, chociaż administrator fizycznie nic z nimi nie robił, ale rodo za przetwarzanie każe uznać każdą postać wykorzystania danych, a nie tylko te które przykładowo wylicza w art. 4 pkt 2 rodo. Chociaż wezwał do składania oświadczeń o niekaralności, to wezwanie znaczyło tyle samo co wypowiedź: „osoby karane, niech nie składają ofert”. Można więc powiedzieć, że przetwarzanie danych z art. 10 jest tu ukryte, a wyeksponowane jest zbieranie (też postać przetwarzania) danych zwykłych w dokumencie oświadczenia o niekaralności. W efekcie cały proces będzie wadliwy, jeśli administrator nie znajdzie podstawy prawnej, takiej jaka jest w art. 24 p.z.p., dla wykorzystania danych z art. 10 rodo.

W tym miejscu trzeba jeszcze pochylić się nad kwestią operacji polegającej na wykorzystaniu danych o karalności w celu selekcji kontrahentów – czy podpada pod zakres zastosowania rodo. Czy jest to przetwarzanie w sposób całkowicie lub częściowo zautomatyzowany, ewentualnie czy dane stanowią lub mają stanowić zbiór. Jeśli postępowanie ofertowe odbywa się przy użyciu narzędzi informatycznych, to jest to proces zautomatyzowany, przesłanka istnienia zbioru nie jest więc konieczna aby stosować rodo. Z drugiej strony samego zbioru, nie należy kojarzyć z segregatorem, którym fizycznie dysponuje administrator. Zbiór jest pojęciem abstrakcyjnym, które wskazuje na to, że administrator wykorzystuje dane na podstawie określonego kryterium, przy czym dane w tym zbiorze mogą być rozproszone funkcjonalnie i geograficznie. Dodatkowo znaczenie zbioru na gruncie rodo zeszło na dalszy plan, ponieważ prawodawca unijny stworzył system ochrony prywatności w oparciu o ewidencjonowanie procesów przetwarzania danych, nie zaś zbiorów. Pojęcie zbioru powinno być więc celowościowo interpretowane tak aby nie dopuścić do powstania luki w systemie ochrony prywatności.

Pozostaje więc pytanie, czy administrator jest w stanie wskazać podstawę prawną, która dawałaby uprawnienie do selekcji na podstawie kryterium karalności osób, z którymi zostanie zawarta umowa. Art. 24 p.z.p. wręcz nakazuje wykluczyć osoby skazane z postępowania, stanowi więc obowiązek dokonania selekcji. Wydaje się, że poza prawem zamówień publicznych, taką podstawę dozwalającą można znaleźć w zasadzie swobody umów (art. 353(1) k.c.). Swoboda umów polega nie tylko na tym, że w zakresie nieuregulowanym normami bezwzględnie wiążącymi strony mogą dowolnie ukształtować stosunek prawny, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego, ale również na swobodzie wyboru strony umowy. Zasada ta, co do wyboru kontrahenta, jest ograniczona jedynie przez ustawy szczegółowe, np. prawo telekomunikacyjne, energetyczne (tzw. przymus kontraktowania). Skoro tak to osoba fizyczna czy prawna, o ile nie wpada w reżim szczegółowej ustawy, może wybrać, czy chce mieć za kontrahenta osobę karaną czy nie, a żeby się tego dowiedzieć, musi przetwarzać dane, o których mowa w art. 10 rodo.

Ostatecznie więc problem rozstrzyga się przez interpretację zwrotu z art. 10 rodo „dozwolone prawem”. Jeśli przyjąć interpretację zawężającą, należałoby twierdzić, że tylko wyraźny przepis, który co najmniej dozwala (albo nakazuje jak w przypadku art. 24 p.z.p.) przetwarzać dane o karalności, może stanowić podstawę. Jeśli przyjąć interpretację stwierdzającą, czyli obejmującą również wnioskowanie z norm o normach (z celu na środki), należałoby przyjąć, że skoro istnieje norma umożliwiająca wybór kontrahenta, to istnieje też norma która tę pierwszą pozwala urzeczywistnić, czyli dozwalająca przetwarzanie danych o karalności na jego temat. Jaką interpretację wybrać podpowiada wskazówka, że wyjątków nie należy interpretować rozszerzająco. Wyjątek od zasady, że dane zwykłe (dane z art. 10 rodo nie zostały zaliczone do danych wrażliwych) można przetwarzać na wszystkich podstawach z art. 6 ust. 1 rodo, stanowi art. 10, czyli jego hipotezy (zakresu zastosowania) nie należy rozszerzać, a takie rozszerzenie nastąpiłoby przez zawężającą interpretację zwrotu „dozwolone prawem”. Uznać więc należy, że dozwolone prawem jest nie tylko przetwarzanie, o którym przepis wyraźnie mówi, ale również przetwarzanie w celu, który przepis wyraźnie dopuszcza, w tym wypadku w celu swobodnego wyboru kontrahenta.

Jeżeli podmiot prawa cywilnego, może żądać od kontrahenta dowodów na jego dobrą kondycję finansową, co świadczy o możliwości wykonania umowy, to nie widać powodów dla których nie mógłby żądać informacji o jego karalności, świadczącej o kondycji moralnej, co również uprawdopodabnia wykonanie umowy. Jak wiadomo na gruncie prawa europejskiego a tym samym polskiego, obowiązuje zakaz dyskryminacji, normy w tym zakresie można wywieść z samej Konstytucji, obowiązuje także ustawa antydyskryminacyjna. Jednak o dyskryminacji można mówić, jeśli nierówne traktowanie, ma miejsce ze względu na cechy, które nie zależą od woli osoby dyskryminowanej, a nie ze względu na fakty, będące konsekwencją podjęcia decyzji, w tym wypadku decyzji o popełnieniu przestępstwa. Naturalnie sam fakt, że dane o karalności nie stanowią tzw. przyczyn dyskryminacyjnych (którymi niewątpliwie są np. płeć, rasa, pochodzenia – katalog tych przyczyn może się różnie kształtować w zależności od aktu prawnego, w kodeksie pracy jest dość szeroki), nie oznacza jeszcze, że można na tej podstawie dokonywać selekcji kontrahentów zupełnie dowolnie. Potrzebne jest jednak ważenie wartości w imię zasady proporcjonalności – na pewno urągałoby zasadzie proporcjonalności, twierdzenie, że istnieje potrzeba selekcji kontrahentów na podstawie kryterium karalności, w drobnych bieżących sprawach życia codziennego, przy czynnościach prawnych odręcznych, gdzie nie występuje odroczony termin płatności. Zasadę proporcjonalności musiał mieć na względzie już sam ustawodawca, kiedy konstruował katalog danych możliwych do przetwarzania na potrzeby rekrutacji, nie ma tam danych o karalności, oczywiste jest bowiem, że osoba karana nie powinna mieć utrudnionego powrotu do społeczeństwa. Nie byłoby więc dopuszczalne żądanie przez potencjalnego pracodawcę oświadczenia o niekaralności (ani zaświadczenia z KRK) kandydata do pracy. Ustawy szczególne dla niektórych zawodów poszerzają jednak ten katalog o dane o karalności.

Prawo ochrony danych osobowych, co do zasady, podąża za innymi gałęziami prawa w tym sensie, że jeśli jakieś zachowanie jest dopuszczalne na gruncie np. prawa cywilnego, to na gruncie prawa ochrony danych jest dopuszczalne przetwarzanie na potrzeby tego zachowania. Stąd aby orzec o legalności (dopuszczalności) przetwarzania danych w określonym celu, należy badać prawo cywilne, administracyjne, karne, wykroczeń itd.

Na koniec warto odnotować, że wszystkie powyższe rozważania maja rację bytu, przy założeniu, że do danych osobowych wykorzystywanych na potrzeby prowadzenia działalności gospodarczej w formie osoby prawnej (korporacji) rodo ma zastosowanie. Na potrzeby artykułu przyjmuję takie założenie, chociaż są argumenty za stanowiskiem przeciwnym. Po pierwsze motyw 14 wyraźnie wyłącza stosowanie rodo do danych osobowych dotyczących osób prawnych. Po drugie, co jeszcze ważniejsze, a dotyczy również danych osobowych przedsiębiorców prowadzących działalności w formie jednoosobowych działalności gospodarczych, rodo ma na celu ochronę życia prywatnego, a nie życia gospodarczego osób fizycznych. Nie ma też żadnych argumentów funkcjonalnych, żeby różnicować ochronę, ze względu na formę prowadzenia działalności gospodarczej (jednoosobowo czy w ramach organizacji), natomiast oczywiście osoba fizyczna, która prowadzi sprawy organizacji lub ją reprezentuje, wykorzystuje swoje dane osobowe dla działalności gospodarczej w większym zakresie i bardziej intensywnie niż inwestor pasywny. Decydujący dla stosowania rodo powinien być więc cel przetwarzania danych osobowych, jeśli są wykorzystywane dla celu prowadzenia działalności gospodarczej przez osobę, rodo nie powinno mieć zastosowania. Trzeba jednak przyznać, patrząc historycznie, że w tym przedmiocie były zajmowane różne stanowiska zarówno przez organy nadzorcze, doktrynę jak i judykaturę.

(14)        Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.