Luka prawna w art. 13 rodo

Art. 13 (zbieranie danych od osoby) i 14 rodo (zbieranie z innych źródeł) mają zapewnić przejrzystość i dać podmiotowi danych informacje nt. wykorzystywania jego danych osobowych. Jednak to prawo do informacji, jak niemal każde prawo, nie może być absolutne i są sytuacje, kiedy administrator jest zwolniony ze spełnienia OI.

Art. 13 rodo przewiduje tylko jeden powód zwolnienia określony w ust. 4:

4. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

Dalsze zwolnienia z OI

Art. 14 ust. 5 rodo oprócz tej przyczyny przewiduje jeszcze 4 kolejne wymienione w ust. 5 lit. b – d:

  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych (lit. b)
  • obowiązek informacyjny może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania (lit. b)
  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator (lit. c)
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej (lit. d)

Zwykle jest tak, że jeśli OI miałby uniemożliwić realizację celów przetwarzania (lit. b), to takie przetwarzanie jest uregulowane prawem (lit. c)  i często też objęte tajemnicą zawodową (lit. d), ale nie zawsze.

Brak kompatybilnego wyłączenia

Kategoria odbiorców a konkretny odbiorca

Problem jednak leży gdzie indziej. Art. 13 nie przewiduje kompatybilnego wyłączenia. Jedynie przepis, który mówi o odbiorcach, częściowo ale niewystarczająco współgra z wyłączeniami z art. 14 ust. 5 rodo. Art. 13 ust. 1 lit. e każe informować o odbiorcach lub kategoriach odbiorców. Rodo nie obliguje do wskazania konkretnego odbiorcy, stąd przykładowo przedsiębiorca A nie musi wskazywać konkretnego radcy czy adwokata, który go obsługuje,  w momencie zbierania danych, ale kiedy wyniknie potrzeba dyskretnego skonsultowania sprawy i konieczność ujawnienia danych, motyw 61 każe poinformować o odbiorcy (zaktualizować w tym zakresie OI) w momencie pierwszego ujawnienia. Można przyjąć celowościowo, że motyw 61 uzupełnia art. 13 ust. 1 lit. e i nie należy go wykładać w ten sposób, że tu już trzeba podawać konkretnego odbiorcą, nadal może to być kategoria, o ile są powody, żeby konkretnego nie ujawniać. Ale już samo ujawnienie, że dane zostały przekazane w takim celu zniweczy cel dyskretnego skorzystania z pomocy prawnej. Można też przyjąć, że motyw 61 dotyczy sytuacji kiedy przy zbieraniu nie podano nawet kategorii odbiorców, więc jeśli kategoria była podana, to nie trzeba już aktualizować obowiązku, zwłaszcza że jeśli nie działają wyłączenia z art. 14 ust. 5, to osoba dowie się o ujawnieniu właśnie od odbiorcy, który spełni swój OI ze wskazaniem źródła danych.

Kiedy nie podano nawet kategorii odbiorców

Problem powstaje wtedy, kiedy podczas zbierania, nie podano nawet kategorii odbiorców. Dochodzi do paradoksalnej sytuacji, że radca/adwokat powoła się na art. 14 ust. 5 rodo, i o ile nie wnosi pozwu czy w inny sposób nie kontaktuje się z podmiotem danych, to w ogóle nie musi ujawniać, że udostępniono mu dane, ale ten kto udostępnia musi o tym poinformować osobę, także cele regulacji art. 14 ust. 5 zostałyby zniweczone.

Wnioskowanie z celu na środki

Z tego względu, że wykładnia funkcjonalna każe przyjąć, że brak kompatybilnego przepisu w art. 13 jest nieumyślnym uchybieniem prawodawcy, które narusza cel art. 14 ust. 5 rodo, to trzeba w drodze wnioskowania z celu na środki zdekodować normę kompatybilną z art. 14 ust. 5, która stanowi, że aktualny ado jest zwolniony z OI w zakresie w jakim naruszyłoby to art. 14 ust. 5 rodo.

Dostęp do danych

Bez sięgania do wnioskowania z norm o normach można natomiast uzasadnić odmowę podania konkretnego odbiorcy na gruncie żądania z art. 15 ust. 1 lit. c rodo. O ile na gruncie art. 13 i 14 administrator może niejako domyślnie podawać wyłącznie kategorię odbiorców (np. dostawcy usług IT, pomoc prawna), o tyle jeśli osoba zwróci się z żądaniem dostępu do danych, informacje powinny być jak najbardziej szczegółowe. Szczegółowość ta wynika z celu przepisu, który ma za zadanie umożliwić osobie wykonywanie dalszych uprawnień. Jednak jeśli udzielenie informacji naruszyłoby inne przepisy czy dobra chronione prawem, lub zniweczyłoby skutek, który ma zagwarantować inna regulacja, np. art. 14 ust. 5 rodo – można powołać się na art. 12 ust. 5 rodo, który stanowi że administrator może odmówić spełnienia żądania jeśli jest ono ewidentnie nieuzasadnione (analogiczna regulacja jak art. 15 ust. 4 dotyczący kopii danych). Podobnie co do przepisu art. 12 ust. 5 rodo wypowiedział się TSUE w sprawie C‑154/21.