Czym jest prawo do danych osobowych?
Poszukując inspiracji dla docelowego ukształtowania statusu prawnego danych, warto przyjrzeć się bliżej temu, jak ukształtowane zostało prawo do danych osobowych. W szczególności należy się zastanowić, czy mamy w tym przypadku do czynienia z prawem majątkowym oraz czy aktualne uregulowanie prawa do danych osobowych odpowiada realiom oraz potrzebom.
O tym, że można podjąć próbę zdefiniowania bezwzględnego prawa do danych osobowych, decyduje przede wszystkim treść art. 1 ust. 2 RODO, który wskazuje, że jednym z celów rozporządzenia jest ochrona prawa do ochrony danych osobowych (w wersji angielskiej: right to the protection of personal data). Prawo do ochrony danych osobowych osoby, której dane dotyczą, statuują także Karta Praw Podstawowych Unii Europejskiej (2007/C 303/01) oraz Traktat o funkcjonowaniu Unii Europejskiej.
Źródło tego prawa znajduje się w aktach prawa europejskiego. Z tego powodu próba ustalenia treści prawa do ochrony danych jest utrudniona, nie można bowiem prosto i bezpośrednio odwołać się do konstrukcji znanych z poszczególnych porządków prawnych państw członkowskich.
Na istotę prawa do ochrony danych zdaje się wskazywać Punkt 7 Preambuły RODO, który stanowi, że osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi. Prawo do ochrony danych osobowych ma więc służyć przede wszystkim zapewnieniu podmiotom danych kontroli nad ich danymi. Szczegółową treść tego prawa definiują instrumenty ochronne przewidziane przez RODO. Instrumenty te polegają m.in. na zagwarantowanym prawie do informacji o przetwarzanych danych, prawie kontroli, ale również prawie do sprzeciwu względem przetwarzania danych. Wiele z tych uprawnień jest zbliżonych do wiązki praw występujących również w klasycznych konstrukcjach prawa własności. Istnieją jednak również istotne różnice.
Przede wszystkim elementem uprawnień wynikających z RODO nie jest uprawnienie do wyłącznego posiadania danych osobowych (ius possidendi). RODO odnosi się jedynie do prawa do „ochrony” danych, gwarantując podmiotowi danych możliwość kontroli nad danymi, jednak nie regulując kwestii ich własności. Te same dane mogą być jednocześnie przetwarzane przez różne podmioty. Mało tego, w wielu przypadkach podmioty te będą mogły przetwarzać dane bez zgody podmiotu danych, a niekiedy również bez jego wiedzy. Prawo do ochrony danych nie przewiduje również typowego dla prawa własności uprawnienia do wyłącznego pobierania pożytków z przedmiotu własności (ius utendi et fruendi). Dane mogą być wykorzystywane zarobkowo przez inne niż podmiot danych podmioty, bez konieczności zapewnienia podmiotowi danych korzyści z wykorzystywania jego danych. Istotnemu ograniczeniu podlega również klasyczne uprawnienie do dysponowania rzeczą (ius disponendi). Jakkolwiek poszczególne dane osobowe mogą być przekazywane przez podmiot danych do innych podmiotów, to nie ma możliwości zbycia całości prawa do ochrony danych osobowych.
Zarówno z teoretycznego, jak i praktycznego punktu widzenia istotne jest ustalenie, czy wiązka uprawnień do ochrony danych przewidziana przez RODO ma charakter prawa majątkowego czy też prawa niemajątkowego. Wydaje się, że brakuje w RODO mechanizmów, które gwarantowałyby podmiotowi danych swoiste władztwo i kontrolę nad korzyściami ekonomicznymi płynącymi z danych osobowych. To nie interes ekonomiczny podmiotu danych jest podstawowym przedmiotem zainteresowania i ochrony RODO. Z tego punktu widzenia przewidziane przez RODO prawo do ochrony danych jest zbliżone raczej do praw niemajątkowych niż praw o charakterze majątkowym. Wydaje się to potwierdzać także motyw 4 preambuły RODO, zgodnie z którym prawo do ochrony danych należy postrzegać w kontekście jego funkcji społecznej.
Praktyczne znaczenie tego rozróżnienia wynika w kontekście prawa polskiego przede wszystkim z art. 44 Kodeksu cywilnego, zgodnie z którym mieniem jest własność i inne prawa majątkowe. Prawa niemajątkowe nie będą składnikiem mienia i zgodnie z powszechnym w doktrynie zapatrywaniem nie mogą być również dziedziczone oraz zbywalne. Przyjęcie, że prawo do ochrony danych nie ma charakteru majątkowego, musiałoby konsekwentnie oznaczać, że prawo to nie jest składnikiem mienia, nie podlega dziedziczeniu oraz nie może być zbyte.
Wydaje się, że takie właśnie podejście zaczyna być również obecne w polskiej doktrynie. Dobrym tego przykładem jest interpretacja podatkowa z 21 lutego 2020 r., w której Dyrektor Krajowej Informacji Skarbowej (sygn. 0113-KDIPT2-3.4011.717.2019.1.PR) odmówił zakwalifikowania przychodów z czasowego udostępnienia danych osobowych jako przychodów z praw majątkowych. Przedstawił stanowisko, zgodnie z którym dane osobowe stanowią prawa niemajątkowe i ewentualne przychody z rozporządzania danymi osobowymi należy traktować jako przychody „z innych źródeł”. W ramach tego podejścia dane osobowe są kwalifikowane jako dobro osobiste, a ewentualne prawa odnoszące się do tych danych są niemajątkowymi prawami osobistymi. Prawa osobiste to prawa przysługujące osobie fizycznej lub prawnej w celu ochrony jej dóbr osobistych. W tym przypadku chronionym dobrem osobistym jest sfera prywatności człowieka, której immanentnym elementem pozostają dane osobowe podmiotu danych.
Przy takiej interpretacji przewidziane przez RODO prawo do ochrony danych będzie szczególnym rodzajem bezwzględnego prawa podmiotowego o charakterze niemajątkowym. Jakkolwiek taki charakter praw do danych niewątpliwie przyczynia się do ochrony dobra osobistego, jakim są dane osobowe, to może okazać się niewystarczający dla urzeczywistnienia postulatów dotyczących nowych modeli gospodarki opartej na danych. Przede wszystkim dzisiejszy model prawa do danych nie tworzy odpowiednich ram prawnych dla „komercjalizacji” danych, która jest podstawą dla koncepcji zakładających np. generowanie pasywnego przychodu z tytułu wykorzystywania danych osobowych (więcej na ten temat w tekście „O co chodzi w ruchu MyData?”). Tak rozumiana komercjalizacja danych może wymagać wyraźniejszego prawnego zdefiniowania majątkowych praw do danych osobowych. Dualizm praw w odniesieniu do dóbr niematerialnych nie byłby przy tym niczym nowym. Prawa własności intelektualnej również przewidują równoległe istnienie praw o charakterze majątkowym oraz niemajątkowym.
Przyjęcie, że prawo do danych osobowych ogranicza się wyłącznie do wymiaru niemajątkowego, istotnie komplikuje również możliwość dziedziczenia danych osobowych. W rezultacie spadkobiercy podmiotów danych mogą być pozbawieni możliwości czerpania ekonomicznych korzyści z aktywów, jakimi coraz częściej są dane osobowe wygenerowane w trakcie życia podmiotu danych. Jednocześnie śmierć podmiotu danych nie pozbawia innych podmiotów (w szczególności dostawców usług cyfrowych, którzy są w posiadaniu tych danych) możliwości czerpania korzyści z przetwarzania tych danych. Na ten moment RODO wydaje się potwierdzać tego rodzaju wąskie rozumienie prawa do ochrony danych osobowych, wskazując w preambule wprost, że nie ma ono zastosowania do danych osobowych osób zmarłych. Jednocześnie preambuła wskazuje, że państwa członkowskie mogą przyjąć przepisy o przetwarzaniu danych osobowych osób zmarłych, jednak w Polsce takie przepisy nie zostały wprowadzone. W kontekście osób zmarłych można wyobrazić sobie, że spadkobiercy będą powoływać się na prawo do ochrony ich dobra osobistego, jakim jest kult pamięci osoby zmarłej, co jednak w żaden sposób nie przybliża nas do komercyjnego czerpania korzyści z danych osobowych zmarłego.
Zbyt wąskie rozumienie prawa do danych osobowych oraz ograniczanie go wyłącznie do wymiaru niemajątkowego może być niewystarczające dla realizacji niektórych modeli „data economy”. Konieczne może okazać się stworzenie jakiegoś rodzaju prawa do danych osobowych o charakterze majątkowym lub dalszy rozwój doktryny prawa ochrony danych osobowych w kierunku identyfikowania w ramach istniejących regulacji danych osobowych uprawnień o charakterze majątkowym. W tym ostatnim kontekście ciekawe wydają się np. próby interpretacji uprawnień do usunięcia danych (art. 17 RODO) oraz przenoszenia danych (art. 20 RODO) jako swego rodzaju uprawnień o charakterze majątkowym. W wytycznych Grupy Roboczej Art. 29 dotyczących prawa do przenoszenia danych wskazano, że prawo to ma na celu wzmocnienie pozycji osób, których dane dotyczą w stosunku do ich własnych danych osobowych (…). Poprzez potwierdzenie praw osobistych osób fizycznych i sprawowanie kontroli nad danymi osobowymi ich dotyczącymi, przenoszenie danych stanowi również szansę na „przywrócenie równowagi” w stosunkach między osobami, których dane dotyczą, i administratorami danych. Wydaje się więc, że powoli zaczyna być dostrzegana potrzeba wyposażenia podmiotów danych w narzędzia pozwalające także im czerpać korzyści majątkowe z danych osobowych ich dotyczących.
Krzysztof Wojdyło, adwokat, praktyka prawa nowych technologii kancelarii Wardyński i Wspólnicy
Katarzyna Żukowska, adwokat, Karolina Romanowska, adwokat, praktyka ochrony danych osobowych kancelarii Wardyński i Wspólnicy