Sprawa kary dla szkoły która, w celu usprawnienia procesu weryfikacji czy został opłacony posiłek na stołówce, zbierała odciski palców dzieci, doczekała się finału przed NSA. O sprawie pisałem po decyzji UODO i wyroku WSA.
NSA zgodnie z przewidywaniami oddalił skargę kasacyjną UODO. To nie powoduje zaskoczenia, ale warto zwrócić uwagę na argumentację Sądu odnośnie podstawy legalizacyjnej jaką jest zgoda osoby. NSA prezentuje świeże spojrzenie na zagadnienie zwracając uwagę, że zgoda z rodo jest tak naprawdę swoistym uzgodnieniem między stronami procesu (czyli wykazuje cechy czynności dwustronnej), i organ nadzorczy nie ma kompetencji żeby to uzgodnienie podważać. Zgoda ma ścisły związek z zasadą minimalizacji i wręcz wypełnia treścią zasadę minimalizacji. NSA dokonał wykładni zasady minimalizacji odwołując się do motywu 39 rodo. Zauważył że rodo wymaga aby administrator zastanowił się czy cel który chce osiągnąć można by osiągnąć bez przetwarzania danych jednocześnie bez ponoszenia nieproporcjonalnych dodatkowych kosztów.
Zwrócono uwagę na specyficzną konstrukcję przesłanki zgody, która różni się od pozostałych tym że nie określa celu w samym akcie prawnym jakim jest rodo, ale pozostawia określeniu celu samym stronom przetwarzania (ado i osoba).
Pada sformułowanie daleko idące, że jeśli tylko zgoda spełnia wymogi rodo to nawet jeśli osoba zgodziłaby się na przetwarzanie naruszające obiektywnie zasadę minimalizacji, miarodajna dla oceny legalności jest ocena subiektywna stron procesu. Czyli Sąd opowiada się za prymatem autonomii woli osoby, której dane dotyczą, nawet jeśli jej wola była by dla niej niekorzystna lub naruszałaby obiektywne wymogi wynikające z norm rodo, czyli przykładowo osoba może skutecznie i niepodważalnie zgodzić się na przetwarzanie przez czas dłuższy niż jest to administratorowi obiektywnie potrzebne zgodnie z zasadami wyrażonymi w art. 5 rodo.
Poniżej najciekawsze fragmenty uzasadnienia:
Po drugie, rozstrzyga o dopuszczalności przetwarzania danych osobowych wyłącznie w takich układach, w których nie da się podać innych rozsądnych sposobów osiągnięcia celu tego przetwarzania. Prawodawca unijny nie dookreślił, co należy rozumieć przez inną niż przetwarzanie danych osobowych rozsądną alternatywę osiągnięcia celu przetwarzania. W ocenie Naczelnego Sądu Administracyjnego chodzi tu o wskazanie takich działań, które bez konieczności przetwarzania danych osobowych pozwolą osiągnąć określony cel, a jednocześnie nie generują zasadniczo wyższych „kosztów” materiałowych, finansowych, czasowych i osobowych od tych, jakie należałoby ponieść, gdyby do realizacji tego celu doszło poprzez przetwarzanie danych osobowych. W istocie chodzi więc o skonfrontowanie wielkości szeroko ujętych kosztów dwóch trybów osiągnięcia tego samego celu: trybu uwzględniającego przetwarzanie danych osobowych i trybu, który takiego przetwarzania nie uwzględnia. W tej perspektywie zasada minimalizacji danych zobowiązuje zatem do tego, aby nie dochodziło do przetwarzania danych osobowych w tych skonfigurowaniach, w których cel, dla którego to przetwarzanie miało być prowadzone, z wykorzystaniem porównywalnych zasobów, można osiągnąć bez przetwarzania danych osobowych.
Po trzecie, zasadę minimalizacji danych należy rozumieć również w ten sposób, że jeżeli nie można osiągnąć założonego celu bez przetwarzania danych osobowych, to dane, które podlegają przetwarzaniu muszą być do tego celu adekwatne, stosowne i ograniczone. W tym ujęciu zasada minimalizacji danych wprowadza swego rodzaju rygor proporcjonalności przetwarzania danych. Chodzi więc o to:
1) aby administrator pozyskał wyłącznie taki rodzaj danych osobowych, których przetworzenie jest niezbędne do osiągnięcia celu przetwarzania;
2) aby administrator pozyskał dane osobowe w minimalnej wystarczającej ilości dla osiągnięcia celu przetwarzania;
3) aby administrator przetwarzał je wyłącznie w taki sposób, który jest niezbędny do osiągnięcia celu przetwarzania;
4) aby administrator przetwarzał dane osobowe wyłącznie przez czas niezbędny do osiągnięcia celu przetwarzania.
Uwzględnienie przyjętych założeń uzasadnia wniosek, że zasada minimalizacji danych dopuszcza przetwarzanie danych osobowych wyłącznie wtedy, gdy jest to niezbędne do osiągnięcia celu przetwarzania i wyłącznie w zakresie, w ilości, w sposób i przez czas, jakie są niezbędne do osiągnięcia celu przetwarzania. Powyższy wniosek znajduje bezpośrednie potwierdzenie w treści art. 17 ust. 1 lit a RODO, który uprawnia do żądania usunięcia swoich danych osobowych, gdy „nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane”. Niezbędność danych osobowych do celu przetwarzania wyraża więc istotę regulacyjnej funkcji zasady minimalizacji danych. (…)
W przekonaniu Naczelnego Sądu Administracyjnego należy zwrócić uwagę na specyficzną konstrukcję warunków dopuszczalności przetwarzania danych osobowych. Otóż w art. 6 ust. 1 lit. b-f RODO określono cele przetwarzania danych osobowych rozstrzygając, iż są to: wykonanie umowy (lit. b), wypełnienie obowiązku prawnego ciążącego na administratorze (lit. c), ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (lit. d), wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (lit. e), osiągnięcie celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (lit. f).
Pierwszy warunek legitymizujący przetwarzanie danych osobowych, określony w art. 6 ust. 1 lit. a RODO, został skonstruowany inaczej. Dopuszcza on przetwarzanie danych osobowych, gdy osoba, której dane dotyczą wyraziła zgodę na to przetwarzanie w jednym lub większej liczbie określonych celów. Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit a RODO wymaga więc określenia celu przetwarzania, jednakże samo RODO tego celu nie identyfikuje. Pozwala na określenie celu (lub celów) przetwarzania albo administratorowi danych, albo osobie, której dane dotyczą. W jednym i drugim układzie działaniem koniecznym dla stwierdzenia, że przetwarzanie jest zgodne z prawem konieczna jest zgoda podmiotu, którego dotyczą dane osobowe. (…)
W ocenie Naczelnego Sądu Administracyjnego istnieje silne skorelowanie normatywne pomiędzy zasadą ograniczoności celu (art. 5 ust. 1 lit. b RODO) a konstrukcją zgody na przetwarzanie danych osobowych. Nadanie zgodzie na przetwarzanie danych osobowych cech wymaganych przepisami RODO – dobrowolności, konkretności, świadomości i jednoznaczności (art. 4 pkt 11) – jest bowiem równoznaczne w skutkach z ustalaniem celu tego przetwarzania w sposób konkretny, wyraźny i prawnie uzasadniony (art. 5 ust. 1 lit. b). Jeżeli administrator danych osobowych, realizując ciążący na nim obowiązek informacyjny – art. 13 ust. 1 RODO – najpóźniej w momencie zbierania danych osobowych poinformuje osobę, której te dane dotyczą, o celu przetwarzania danych, zakresie przetwarzanych danych, sposobie przetwarzania danych, okresie przetwarzania danych i osoba ta w warunkach dobrowolności wyrazi zgodę na to przetwarzanie, należy przyjąć, że zasada ograniczenia celu przetwarzania została zrealizowana.
Przedstawione uwarunkowania realizacji zasady ograniczenia celu przetwarzania danych oraz cech, jakie powinna posiadać zgoda na przetwarzanie danych mają zasadnicze znaczenie na wyznaczenie granic stosowania i normowania zasady minimalizacji danych. W ocenie Naczelnego Sądu Administracyjnego wyrażenie zgody na przetwarzanie danych osobowych z zachowaniem rygorów przewidzianych w postanowieniach RODO wyznacza ramy dopuszczalnego działania administratora danych osobowych, które z założenia nie mogą naruszać zasady minimalizacji danych. Wyrażając zgodę na przetwarzanie danych, najpóźniej w momencie rozpoczęcia zbierania danych przez administratora, osoba której te dane dotyczą:
- akceptuje cel przetwarzania danych,
- akceptuje rodzaj (zakres) przetwarzanych danych,
- akceptuje ilość przetwarzanych danych,
- akceptuje sposób przetwarzania danych,
- akceptuje okres przetwarzania danych.
Wyrażenie zgody na przetwarzanie danych osobowych jest więc swego rodzaju uzgodnieniem pomiędzy administratorem danych a osobą, której dotyczą przetwarzane dane, treścią którego jest wspólna ocena, że dla realizacji zaakceptowanego przez te podmioty celu, najlepszym rozwiązaniem będzie przetwarzanie, w przyjęty sposób, określonych zakresowo i ilościowo danych osobowych, przez niezbędny czas. Podmioty procesu przetwarzania danych (administrator i osoba, której dotyczą dane) wspólnie formułują subiektywną ocenę, że będzie on zgodny – między innymi – z zasadą minimalizacji danych.
Przyjęte założenie w kontekście podniesionego w skardze kasacyjnej zarzutu naruszenia art. 5 ust. 1 lit. c RODO ma kardynalne znaczenie. Wyłącza bowiem możliwości podważenia treści zgody na przetwarzanie danych osobowych przez organ nadzoru (PUODO). Naczelny Sąd Administracyjny nie podziela stanowiska organu, że posiada on kompetencję do podważenia prawidłowo wyrażonej zgody na przetwarzanie danych osobowych, poprzez wykazanie, że dla osiągnięcia wskazanego przez administratora danych osobowych celu przetwarzania, wystarczające jest podjęcie innych działań, ingerujących w dane osobowe w niższym stopniu lub w ogóle. Jeżeli podstawą przetwarzania danych osobowych jest zgoda osoby, której te dane dotyczą i jest to zgoda wyrażona w sposób zgodny z rygorami RODO, organ nadzoru nie może kwestionować przyjętego przez strony celu przetwarzania, zakresu i ilości przetwarzanych danych, sposobu ich przetwarzania oraz okresu ich przetwarzania. Wymienione parametry przetwarzania wiążąco dookreślają strony procesu przetwarzania danych osobowych. Jedyny wyjątek od tej reguły został przewidziany w art. 9 ust. 2 lit a RODO, który wyłącza możliwość wyrażenia zgody na przetwarzanie tzw. wrażliwych danych osobowych, jeżeli prawo Unii lub prawo państwa członkowskiego przewidują, że nie można wyłączyć zakazu ich przetwarzania. Skarżący kasacyjnie organ nie wykazał przepisów prawa, które in concreto wyłączałyby możliwość wyrażenia zgody na przetwarzanie przez szkołę danych biometrycznych dzieci.
Naczelny Sąd Administracyjny nie podziela stanowiska organu, że zaaprobowanie ocen prawnych Sądu pierwszej instancji może prowadzić do gromadzenia wszelkich danych osobowych niezależnie od celu przetwarzania. Raz jeszcze należy podkreślić, że przy przetwarzaniu danych osobowych na podstawie prawidłowo wyrażonej zgody osoby, której dane dotyczą to strony procesu przetwarzania danych uzgadniają, jakie dane uznają za niezbędne do osiągnięcia przyjętego celu przetwarzania. Jeżeli organ nadzoru nie wykaże wadliwości samej zgody lub przepisów wyłączających zniesienie zakazu przetwarzania danych wrażliwych (art. 9 ust. 2 lit a in fine), nie ma możliwości formułowania zarzutu naruszenia zasady minimalizacji danych wywodząc brak adekwatności procesu przetwarzania danych do założonego celu przetwarzania. (…)
Raz jeszcze należy podkreślić, że jeżeli osoba, której dotyczą dane, na mocy przyznanej jej treścią art. 6 ust. 1 lit. a bądź art. 9 ust. 2 lit a RODO autonomii, świadomie, dobrowolnie, konkretnie, jednoznacznie, a w odniesieniu do danych wrażliwych również wyraźnie zgodzi się na przetwarzanie jej danych osobowych, wyznaczając „parametry” tego przetwarzania w sposób, który w przekonaniu tej osoby realizuje zadekretowaną w art. 5 ust. 1 lit b RODO zasadę minimalizacji danych, to nie ma podstaw do formułowania odmiennych ocen w tym zakresie. W takim wypadku treść zasady minimalizacji danych „wypełnia” zgoda osoby, której dane osobowe będą przetwarzane. Wszystkie podnoszone przez skarżący kasacyjnie organ zastrzeżenia dotyczące proporcjonalności przetwarzanych danych mogą w takim układzie zostać zweryfikowane w ramach oceny, czy wyrażona na przetwarzanie danych zgoda posiada wymagane postanowieniami RODO przymioty, a więc czy była świadoma, dobrowolna, konkretna, jednoznaczna, a w odniesieniu do danych wrażliwych również wyraźna. Jeżeli osoba wyrażająca zgodę na przetwarzanie swoich danych osobowych podjęła ją w sposób wolny, bez nacisków, szeroko rozumianego przymusu, ze świadomością celu, sposobu i czasu przetwarzania oraz zakresu i ilości udostępnianych danych, nie można zarzucać, że doszło do naruszenia zasady minimalizacji danych, albowiem posiada ona jakieś „obiektywne” i „rozsądne” kryteria realizacji, których przedmiotowa zgoda nie spełnia. Argumentację wspierającą przyjęte stanowisko można zbudować również o treść art. 9 ust. 2 lit e RODO, który znosi zakaz przetwarzania wrażliwych danych osobowych, jeżeli zostały w sposób oczywisty upublicznione przez osobę, której dotyczą. Prawodawca unijny przesądza zatem, że autonomia osoby udostępniającej swoje dane ma najwyższą moc legitymizującą proces ich przetwarzania. Oczywiste upublicznienie swoich wrażliwych danych osobowych jest formą wyrażenia zgody na ich przetwarzanie. W takim układzie trudno wymagać, aby osoba, której dane dotyczą miała świadomość celu, w jakim podmioty, które uzyskają te dane będą je przetwarzać. Nie sposób również weryfikować, czy upublicznione dane osobowe będą adekwatne do celu ich przetwarzania, albowiem na moment ich upublicznienia nie da się ustalić, czy w ogóle będę przetwarzane, a jeżeli tak, to w jakim celu.
Wyłożone względy pozwalają wnioskować, że prawodawca unijny zakłada, iż wola i autonomia osoby, której dotyczą dane osobowe ma zasadniczy wpływ na rozumienie zakresu normowania i stosowania zasady minimalizacji danych (art. 5 ust. 1 lit c RODO), gdy podstawą ich przetwarzania jest zgoda tej osoby.