Odanych osobowych a ACTA – Wywiad z Bartoszem Mendykiem

Bartosz Mendyk 3W razie ratyfikowania umowy ACTA, umowa ta znajdzie się w hierarchii źródeł prawa wyżej niż ustawa o ochronie danych osobowych. Czy wymusi to zmianę ustawy, a jeśli tak, to w jakim zakresie? 
W mojej opinii ratyfikacja ACTA nie nakłada obowiązku nowelizacji ustawy o ochronie danych osobowych i taka nowelizacja nie jest konieczna.  Pomimo braku konieczności nowelizacji ustaw, w razie ratyfikowania ACTA, prawo i tak ulegnie zmianie. Pragnę jednak zwrócić uwagę, że w opinii części prawników, w tym tak znamiennych jak dr. Wiewiórowskiego, ponieważ ACTA będzie musiała zostać ratyfikowana [w formie ustawy], to zgodnie z zasadą lex superior derogat inferiori należy będzie sięgać do postanowień ACTA. Równolegle należy zauważyć, że Komisja Europejska zapewniała, że nie wyda dyrektywy nakazującej implementację ACTA do porządku krajowego. Ataki hakerskie na serwery Komisji pokazały jednak, że projekt takiej dyrektywy powstał. W związku z tym trudno oceniać intencje i dalsze działania Komisji Europejskiej.Czy podmioty prywatne – np. przedsiębiorcy z branży telekomunikacyjnej lub pośrednicy w dostępie do usług internetowych – mogą wprost wywodzić z umowy ACTA uprawnienia do ujawniania danych osobowych swojego użytkownika, którego konto zostało użyte do naruszeń praw własności intelektualnej?

Moim zdaniem umowa ACTA nie przyznaje takich uprawnień podmiotom prywatnym. Tym niemniej podobnie jak GIODO uważam, że podmioty prywatne będą próbowały wymusić przyznanie im takich uprawnień. ACTA nie są wystarczającą postawą prawna do przetwarzania przez te podmioty danych osobowych. Taką podstawą powinna być ustawa. ACTA przecież nie precyzuje mechanizmów nadzoru lub pociągania do odpowiedzialności na tyle, aby można było stwierdzić konkretne środki zaradcze lub sankcje wobec administratorów danych w przypadku bezpodstawnego przetwarzania danych lub innych tego rodzaju zdarzeń, zagadnienie to dotyczy zwłaszcza administratorów w państwach trzecich.

Tym niemniej, podmioty zainteresowane będą wywodziły takie prawa, będą powoływać się prawdopodobnie na art. 27 Konwencji wiedeńskiej o prawie traktatu, wg którego

Strona nie może powoływać się na postanowienia swojego prawa wewnętrznego dla usprawiedliwienia niewykonywania przez nią traktatu.


Czy umowa ACTA nakazuje przekazanie danych osobowych do państw trzecich, nawet jeśli nie mają one właściwego systemu zabezpieczeń?

Na wątpliwości w tym zakresie zwrócił uwagę GIODO, Europejski Inspektor Ochrony Danych oraz Rzecznik Praw Obywatelskich. Jest to istotny problem, jednak nie dotyczy on wszystkich państw nienależących do UE. Niektóre z nich, np. Szwajcaria, zapewniają odpowiednie standardy ochrony danych osobowych, czego nie można z kolei powiedzieć o Meksyku, który nie spełnia wymogów należytej ochrony, warunkowo spełniają USA oraz Kanada.

W razie wątpliwości decyzję w takiej sprawie może wydać sąd, po zwróceniu się z pytaniem prawnym do ambasady danego państwa o przybliżenie praktyki prawnej ochrony danych osobowych w danym państwie, ewentualnie posłużyć się opinią biegłego na temat prawa i praktyki ochrony danych osobowych w danym państwie. Sąd podejmuje decyzję czy i w jakim zakresie należy przekazać dane osobowe. Ewentualnie mutatis mutandi można zastosować art. 1143 § 1 k.p.c., gdzie zdanie drugie wskazuje, że Sąd może zwrócić się do Ministra Sprawiedliwości o udzielenie tekstu tego prawa oraz o wyjaśnienie obcej praktyki sądowej. Ponadto de lege lata w § 3

Celem ustalenia treści prawa obcego lub obcej praktyki sądowej albo istnienia wzajemności sąd może zastosować także inne środki, w tym zasięgnąć opinii biegłych.

Ponadto, art. 51 Konstytucji mógłby stanowić ewentualną podstawę do nie przekazywania danych osobowych do państwa, które nie spełnia standardów ich ochrony i sprzeciwia się Konstytucji RP.

Moim zdaniem, podobnie jak to ma miejsce w przypadku WTO lub Rady Europy sygnatariusze powinni powołać „komisję” do przeprowadzania cyklicznych kontroli przestrzegania procedur przetwarzania danych osobowych. Raporty takiej komisji byłyby podstawą do stworzenia listy państw, którym przekazywanie danych byłoby bezpieczne w ramach funkcjonowania systemu ACTA.

 

Czy klauzula ochronna zawarta w art. 4 ust. 1 dotyczy jedynie państwa czy należy domniemywać jej rozciągnięcie na podmioty prywatne?

 

Zgodnie z zasadami prawa międzynarodowego publicznego, stroną umowy jest państwo, więc klauzula ochronna jest postanowieniem skierowanym do państwa. Wydaje mi się, że klauzuli ochronnej nie można rozciągnąć na podmioty prywatne.

Z drugiej strony, trafnie uważa się, że umowa ACTA stanowi pewną kontynuację porozumienia TRIPS (Porozumienie w sprawie Handlowych Aspektów Praw Własności Intelektualnej). Jak pokazała praktyka stosowania tego porozumienia, część sądów państw-stron wywiodło z porozumienia postanowienia autowykonalne. Podobna sytuacja może wystąpić w przypadku ratyfikacji ACTA.

Z całą pewnością podmioty zainteresowane, jak organizacje zbiorowego zarządzania prawami autorskimi, będą wywodzić takie prawa.

Jaka jest Pana ocena postanowień ACTA dotyczących ochrony danych osobowych i prawa do prywatności?

Nie chcę oceniać tej umowy jednoznacznie źle, ponieważ zawiera istotne postanowienia dotyczące handlu towarami podrobionymi, tworząc minimalne standardy ochrony. Jednak postanowienia umowy w zakresie ochrony danych osobowych i prawa do prywatności trzeba ocenić negatywnie.

Zgodnie z Konwencją wiedeńską o prawie traktatów, przepisy umów międzynarodowych powinny być formułowane precyzyjnie. Ogólny charakter postanowień ACTA wynika z zamiarów ratyfikacji jej przez jak największą liczbę państw. Z całą pewnością praktyka sądowa wykaże jak ACTA będzie wyglądać w praktyce. To precedensowe orzeczenia sądów i trybunałów będą precyzować znaczenie poszczególnych postanowień.


Wywiad przeprowadziła Marta Krzemińska.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO