Niebezpieczny wyrok NSA w sprawie tablic rejestracyjnych

Naczelny Sąd Administracyjny, rozpatrując skargę warszawskiego ratusza, uznał, że tablice rejestracyjne nie stanowią danych osobowych. Głęboko nie zgadzamy się z tym wyrokiem i uważamy go za niebezpieczny precedens. Przypominamy, czym są dane osobowe i dlaczego lepiej rozumieć to pojęcie szerzej, niż zrobił to sąd.

Jak nie identyfikuje, skoro identyfikuje?

Dane osobowe to informacje o „zidentyfikowanej lub możliwej do zidentyfikowania osobie”. Jak precyzuje RODO, chodzi m.in. o osobę, którą można rozpoznać na podstawie takich informacji, jak imię i nazwisko, ale też lokalizacja, identyfikator internetowy bądź kilka szczególnych czynników określających jej cechy fizyczne czy psychiczne.

Określenie, czy informacja identyfikuje konkretną osobę, nie jest łatwe, bo zależy od możliwości osoby dysponującej informacją. Dla przykładu: pieszy widzący tablice rejestracyjne nie wie, do kogo auto należy (niektórzy są w stanie jedynie określić, w jakim mieście, a czasami dzielnicy zarejestrowano samochód). Co innego podmioty posiadające dostęp do Centralnej Ewidencji Pojazdów i Kierowców: w ewidencji do każdej tablicy przypisanych jest wiele danych, m.in. imię i nazwisko właściciela.

Dla uznania informacji za dane osobowe wystarczy faktyczna możliwość ustalenia na jej podstawie tożsamości osoby fizycznej, która w wypadku podmiotu mającego dostęp do CEPiK niewątpliwie istnieje.

Motyw 26 RODO wskazuje, że przy ocenie, czy osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane w identyfikacji osoby fizycznej. Oznacza to zatem „subiektywną przesłankę identyfikowalności” i relatywizację pojęcia danych osobowych. Relatywizacja nie polega jednak na przyjęciu kryterium „woli” czy „intencji” zbierającego dane za istotne. Relatywizm polega jedynie na uzależnieniu uznania informacji za dane osobowe od możliwości administratora danych. Takim tokiem rozumowania poszedł Trybunał Sprawiedliwości, który uznał np. numery IP za dane osobowe.

Oczywiście wśród zaparkowanych na ulicy samochodów trafiają się takie, które należą do firm (np. leasingowych) lub są zarejestrowane za granicą – wtedy CEPiK nie pomoże. Jednak jedna „nieosobowa” tablica rejestracyjna nie odbiera pozostałym charakteru danych osobowych. Podobnie jest z adresami mailowymi: z faktu, że mail „buziaczek87…” nie wiąże się dla czytelnika z konkretną osobą, nie wynika, że charakter danych osobowych traci adres mailowy składający się z imienia i nazwiska. Od lat przyjmuje się bowiem domniemanie, że jeśli spośród informacji danego typu choćby część da się powiązać z konkretnymi osobami, całość także należy traktować w ten sposób.

Niebezpieczne, bo…

Podczas internetowych dyskusji o wyroku Naczelnego Sądu Administracyjnego powracało pytanie, dlaczego ten wyrok jest tak ważny i cóż niebezpiecznego z niego wynika. Po pierwsze – okazało się, że miasta mogą zbierać informacje na temat obywateli, nie mając ku temu podstawy prawnej i w sytuacji, w której nie jest to konieczne. Naszym zdaniem jest to niezgodne nie tylko z zasadami ochrony danych osobowych, ale także z art. 51 Konstytucji RP, co doskonale wyjaśnił Wojewódzki Sąd Administracyjny w Warszawie w uchylonym przez NSA wyroku. Chodzi co prawda tylko o numery tablic rejestracyjnych, a nie o dane podlegające szczególnej ochronie (np. o stanie zdrowia czy poglądach politycznych), niemniej informacje o tym, gdzie zaparkowaliśmy, dołączają do – i tak już imponującej – listy informacji, jakie na nasz temat mają władze. I z którymi część z nich (np. służby specjalne) może robić, na co tylko ma ochotę.

Drugi problem ma charakter systemowy. NSA postawił dwie tezy: do uznania informacji za dane osobowe potrzebna jest intencja podmiotu przetwarzającego, żeby połączyć je z konkretną osobą, a jednocześnie „zaśmiecenie” zbioru przez informacje niewątpliwie „nieosobowe” oznacza, że całość nie ma takiego charakteru. Obawiamy się, że takimi argumentami zaczną się zasłaniać nie tylko podmioty publiczne, ale także prywatne firmy, których model biznesowy oparty jest na wykorzystywaniu danych osobowych. Taka argumentacja jest naszym zdaniem trudna (o ile w ogóle to możliwe) do obrony w świetle RODO i orzecznictwa Trybunału Sprawiedliwości, jednak wyrok NSA otwiera furtkę do długoletnich sporów prawnych, w których firmy będą się powoływać na to orzeczenie. Ostatecznie poszkodowani będą zwykli ludzie, których dane nie będą należycie chronione.

Argumentacja wskazana przez NSA może być wykorzystywana przez firmy, których model biznesowy opiera się na przetwarzaniu danych osobowych.

W tej sytuacji kluczową rolę ma do odegrania Prezes Urzędu Ochrony Danych Osobowych. Aby przeciąć możliwość powoływania się przez miasta czy firmy na kontrowersyjny wyrok NSA, wydaje się, że powinien on powtórzyć – już raz wyrażone w formie decyzji administracyjnej – swoje stanowisko i potwierdzić, że tablice rejestracyjne stanowią dane osobowe. Taka decyzja podlegać będzie zapewne kontroli sądu administracyjnego, który – wobec istotnych wątpliwości – powinien zapytać o zdanie Trybunał Sprawiedliwości. Niestety, to wszystko potrwa.

Wojciech Klicki

Zobacz, co udało nam się osiągnąć przez 10 lat i wesprzyj nasze działania!