Lada dzień rozpocznie prace komisja śledcza d/s stosowania oprogramowania szpiegowskiego Pegasus, to chyba dobry moment na poszukanie pytania: czy parlamentarna komisja śledcza zajmująca się działalnością służb specjalnych podlega pod RODO — czy jednak sfera ta jest wyłączona spod uregulowań unijnych, a więc przepisy RODO zastosowania nie mają?
wyrok Trybunału Sprawiedliwości z 16 stycznia 2024 r. w/s Österreichische Datenschutzbehörde / Präsident des Nationalrates (C-33/22)
1) Nie można uznać, że dana działalność sytuuje się poza zakresem stosowania prawa Unii, a zatem nie ma do niej zastosowania RODO, z tego tylko powodu, że działalność ta jest wykonywana przez komisję śledczą powołaną przez parlament państwa członkowskiego w ramach wykonywania jego uprawnień z zakresu kontroli władzy wykonawczej.
2) Działalności komisji śledczej powołanej przez parlament państwa członkowskiego w ramach wykonywania jego uprawnień z zakresu kontroli władzy wykonawczej, której przedmiotem jest przeprowadzenie dochodzenia w sprawie działań policyjnego organu ochrony państwa ze względu na podejrzenie wywierania nacisków politycznych na ten organ, nie można jako takiej uznać za działalność dotyczącą bezpieczeństwa narodowego, która sytuuje się poza zakresem stosowania prawa Unii w rozumieniu [Art. 2 ust. 2 lit. a) RODO rozpatrywanego w świetle motywu 16].
3) W przypadku gdy państwo członkowskie zdecydowało się, na podstawie art. 51 ust. 1 RODO, ustanowić jeden organ nadzorczy, nie przyznając mu jednak kompetencji do nadzorowania stosowania tego rozporządzenia przez komisję śledczą powołaną przez parlament tego państwa członkowskiego w ramach wykonywania jego uprawnień z zakresu kontroli władzy wykonawczej [art. 77 ust. 1 i art. 55 ust. 1 RODO] bezpośrednio przyznają temu organowi właściwość do rozpoznawania skarg dotyczących przetwarzania danych osobowych przez wspomnianą komisję śledczą.
Sprawa zaczęła się od powołania przez austriacki parlament komisji śledczej w celu zbadania wywierania politycznych nacisków na Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Federalny Urząd Ochrony Konstytucji i Kontrterroryzmu, BVT), a także nadużyć służb specjalnych, w tym stosowania nielegalnego podsłuchu.
W ramach swych prac komisja śledcza przesłuchała jako świadka pewnego funkcjonariusza (pracującego jako tajny agent w drogówce), wbrew praktyce i wnioskowi zainteresowanego o zanonimizowanie danych ujawniając jego dane osobowe w opublikowanym protokole.
Zdaniem zainteresowanego ujawnienie tożsamości tajnego funkcjonariusza stanowiło naruszenie zasad ochrony danych osobowych, zatem wniósł skargę do Österreichische Datenschutzbehörde. Organ nadzorczy uznał jednak, że ocena przetwarzania danych przez legislatywę nie leży w jego gestii, albowiem doszłoby w ten sposób do naruszenia zasady trójpodziału władzy i skargę oddalił (zapewne: odmówił wszczęcia postępowania lub je oddalił).
art. 16 ust. 2 Traktatu o Funkcjonowaniu UE
Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów.
art. 2 ust. 2 lit. a) rozporządzenia 679/2016 o ochronie danych osobowych
Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:
a) w ramach działalności nieobjętej zakresem prawa Unii;
Spór trafił do federalnego sądu administracyjnego, który zwrócił uwagę, iż istnieją wątpliwości, czy parlamentarna komisja śledcza podlega pod RODO, bo przecież zasady kontroli politycznej nie wchodzą w zakres prawa Unii, do którego explicite zalicza się kwestie bezpieczeństwa narodowego (motyw 16 RODO) — zaś tak czy inaczej ingerencja organu nadzorczego w prace parlamentu naruszałaby konstytucyjną regułę trójpodziału władzy.
W wydanym wczoraj wyroku Trybunał Sprawiedliwości UE uznał, iż:
- wyjątki od materialnego zakresu stosowania RODO należy rozpatrywać ściśle, toteż do zastosowania przepisu wyłączającego możliwość zastosowania RODO ze względu na prowadzenie działalności mającej na celu ochronę bezpieczeństwa narodowego nie jest wystarczający fakt, iż rodzaj działalności jest właściwy państwu lub organowi publicznemu;
- wynika to choćby z faktu, że na materialny zakres stosowania RODO nie ma wpływu charakter podmiotu przetwarzającego, zaś administratorem danych może być także organ publiczny (por. „Organ będący wydawcą dziennika urzędowego, w którym publikuje się dane osobowe, jest administratorem”);
- dlatego też powołana przez władzę prawodawczą parlamentarna komisja śledcza nie może być per se wyłączona spod zakresu stosowania RODO;
okoliczność, że przetwarzanie danych osobowych jest dokonywane przez komisję śledczą powołaną przez parlament państwa członkowskiego w ramach wykonywania przez niego uprawnień z zakresu kontroli władzy wykonawczej, nie pozwala na ustalenie, że przetwarzanie to jest dokonywane w ramach działalności nieobjętej zakresem prawa Unii w rozumieniu art. 2 ust. 2 lit. a) RODO
- co więcej prace parlamentarnej komisji śledczej, prowadzone w ramach kontroli władzy wykonawczej, nie stanowią działalności dotyczącej bezpieczeństwa narodowego tylko przez to, że odnoszą się do funkcjonowania służb specjalnych;
- ten wyjątek dotyczyłby bowiem samego BVT — ale nie odnosi się do kontroli służb specjalnych przez legislatywę; każde państwo ma prawo samodzielnie określać swe podstawowe interesy i środki zmierzające do zagwarantowania bezpieczeństwa wewnętrznego i zewnętrznego, ale nie oznacza to automatycznego zwolnienia władz publicznych z obowiązku przestrzegania unijnego prawa;
- nie da się bowiem nie zauważyć, iż przepisy przewidują możliwość ograniczenia zakresu praw i obowiązków m.in. w sprawach związanych z bezpieczeństwem narodowym, obroną i bezpieczeństwem publicznym (art. 23 ust. 1 RODO) — przeto nie sposób powiedzieć, iż RODO generalnie nie ma zastosowania do takiej materii;
- skargi na naruszenie RODO przez powołaną przez legislatywę komisję śledczą rozpatrywać powinien „zwykły” organ nadzorczy — o ile prawo krajowe nie powołało specjalnego urzędu, do którego trafiałyby skargi na naruszenie danych osobowych przez władzę prawodawczą;
- wszakże przepisy przydają każdemu, czyje prawa zostały naruszone, uprawnienie do wniesienia skargi na naruszenie danych osobowych — uprawnienia tego nie można ograniczać tylko z tego względu, że komuś się wydaje, iż konstytucyjne uwarunkowania funkcjonowania władzy wykonawczej jest na tyle specyficzne, że wymagałoby powołania odrębnego organu nadzorczego;
- sęk bowiem w tym, że zgodnie z art. 51 ust. 1 RODO w każdym państwie należy powołać „co najmniej jeden” niezależny organ tego rodzaju (ale można więcej, motyw 117 RODO) — aczkolwiek jeśli państwo zdecyduje się na utworzenie jednego organu nadzorczego, musi on posiadać całość kompetencji określonych przepisami RODO;
Jeżeli w ramach przysługujących mu uprawnień dyskrecjonalnych państwo członkowskie zdecydowało się na ustanowienie jednego organu nadzorczego, nie może ono powoływać się na przepisy prawa krajowego, nawet rangi konstytucyjnej, w celu wyłączenia przetwarzania danych osobowych objętego zakresem stosowania RODO spod nadzoru tego organu.
- gdyby bowiem prawodawca unijny zamierzał ograniczyć kompetencje „zwykłego” organu nad przetwarzaniem danych przez władze publiczne, to postąpiłby identycznie jak w przypadku przetwarzania danych osobowych przez wymiar sprawiedliwości, tj. literalnie wyłączył jego kompetencje (por. „Czy skargę na naruszenie RODO przez sąd powszechny można wnieść do WSA?”).