Czytaj: Sprzeczne wytyczne dla pracodawców w sprawie RODO>>
Niewątpliwe z uwagi na charakter przepisów RODO wymagają one zabiegów interpretacyjnych w celu prawidłowego ich zastosowania zarówno w sektorze publicznym, jak i prywatnym. Pamiętać jednak należy, że RODO jest aktem prawa europejskiego, rozporządzeniem bezpośrednio stosowanym we wszystkich państwach członkowskich w oparciu o art. 288 drugi akapit TFUE.
Czytaj też: UODO: Ja objaśniam RODO, nie minister cyfryzacji! >>
Nie każdy może interpretować unijne prawo
Spójność w zakresie wykładni takich aktów prawnych gwarantują mechanizmy prawa europejskiego nakładające na państwa członkowskie ograniczenia dotyczące wydawania wiążących interpretacji. Znalazło to wymiar między innymi w wyroku Trybunału Sprawiedliwości w sprawie 94/77 Zerbone, w którym stwierdzono, że nawet jeżeli administracja państw członkowskich - w przypadku trudności interpretacyjnych - może czuć się zmuszona do podejmowania działań na rzecz wykonania unijnego rozporządzenia i przy tej okazji do wyjaśniania wątpliwości, to może czynić to jedynie przy poszanowaniu postanowień UE. W szczególności urzędy państw członkowskich nie mogą ustalać wiążących reguł interpretacji. To rozstrzygnięcie znalazło kontynuację w wyroku Trybunału w sprawie C-113/02, a następnie w sprawie C-539/10 Stichting Al‑Aqsa. To ostatnie orzeczenie odnosi się wprost do mocy wiążącej rozporządzeń unijnych i podkreślano w nim, że państwa członkowskie nie mogą zakłócać bezpośredniego zastosowania rozporządzeń i innych przepisów prawa unijnego, ponieważ ścisłe przestrzeganie tego obowiązku jest koniecznym warunkiem wstępnym dla równoczesnego i jednakowego stosowania rozporządzeń unijnych w całej Unii (pkt 87). W konsekwencji w swym orzecznictwie Trybunał wiąże wynikający z art. 288 TFUE obowiązek bezpośredniego stosowania z koniecznością jednolitej wykładni rozporządzeń we wszystkich państwach członkowskich.
Pole zajęte przez UE
Warto również pamiętać, że materia regulacyjna objęta RODO należy do dziedzin, w stosunku do których Unia dzieli kompetencje z państwami członkowskimi zgodnie art. 2 ust. 2 i art. 4 TFUE. W tym jednak kontekście, zgodnie z doktryną „zajętego pola”, podjęcie działań legislacyjnych i uregulowanie danej materii przez Unię, wyklucza równoległe działanie prawodawcze państw członkowskich. W przeciwnym razie godziłoby to nie tylko w zasadę bezpośredniego stosowania rozporządzeń (art. 288 akapit 2 TFUE), ale byłoby sprzeczne z art. 2 ust. 2 zd. 2 TFUE stanowiącym, że państwa członkowskie wykonują swoją kompetencję w zakresie, w jakim Unia nie wykonała swojej kompetencji.
Tym samym państwa członkowskie w zakresie ochrony danych osobowych są upoważnione do przyjmowania środków prawa krajowego jedynie w zakresie wprost wskazanym w ogólnym rozporządzeniu o ochronie danych, tj. w przypadkach, do których rozporządzenie nie znajduje zastosowania (art. 2 ust. 2) oraz w przypadkach określonych w klauzulach kompetencyjnych np. art. 88. Przepisy wydawane w ramach tych klauzul muszą mieścić się w ich ramach i nie mogą pozostawać w sprzeczności z zasadami wynikającymi z rozporządzenia ogólnego.
Powyższe uwagi mają istotne znaczenie dla możliwości i zakresu zastosowania art. 33 ustawy Prawo przedsiębiorców.
Minister może interpretować krajowe przepisy
Na mocy powołanego przepisu właściwi ministrowie oraz organy upoważnione do opracowywania i przedkładania Radzie Ministrów projektów aktów prawnych, dążąc do zapewnienia jednolitego stosowania przepisów prawa z zakresu działalności gospodarczej, mogą wydawać w zakresie swojej właściwości, objaśnienia prawa dotyczące przepisów regulujących podejmowanie, wykonywanie lub zakończenie działalności gospodarczej, w zakresie praktycznego ich stosowania.
Warunkiem zastosowania tego przepisu, a zatem możliwości wydania objaśnień prawa, jest kompetencja danego organu w zakresie inicjatywy ustawodawczej obejmującej materię objętą objaśnieniami. Z tego płyną następujące konsekwencje: objaśnienia mogą obejmować wyłącznie przepisy prawa krajowego, a ponadto rzeczywiście mieszczące się w kompetencjach danego organu do opracowywania i przedkładania Radzie Ministrów projektów aktów prawnych dotyczących danej materii.
Rządowe objaśnienia zakłócają stosowanie prawa UE
Objaśnienia prawa nie mogą zatem, moim zdaniem, dotyczyć przepisów rozporządzenia unijnego, w analizowanym wypadku ogólnego rozporządzenia o ochronie danych, po pierwsze dlatego że zgodnie z doktryną „zajętego pola” wprost wyrażoną w art. 2 ust. 2 zd. 2 TFUE, od momentu, w którym dana dziedzina została objęta regulacją unijną, państwa członkowskie straciły kompetencję legislacyjną, a zatem i organy, o których mowa w art. 33 prawa przedsiębiorców nie mogą zainicjować procesu legislacyjnego tracąc stosowne po temu upoważnienie. Po drugie dlatego, że wydawanie wiążących objaśnień prawa naruszałoby, w mojej opinii, zasadę bezpośredniego stosowania rozporządzeń wyrażoną w art. 288 akapit 2 TFUE.
Mogą one natomiast dotyczyć przepisów krajowych wydanych w zakresie o jakim mowa np. w rozdziale IX RODO, tj. również w zakresie przetwarzania danych w kontekście zatrudnienia (art. 88 RODO). Jednakże objaśnienia te winny się ograniczyć wyłącznie do tychże aktów prawnych i to wyłącznie w zakresie, w jakim nie wpływałyby one na stosowanie i interpretację samego rozporządzenia, bowiem jak wspomniałem powyżej, w tym zakresie zgodnie z art. 33 Prawa przedsiębiorców brak jest, moim zdaniem, wymienionym w nim organom kompetencji.
UODO ma dbać o jednolitość wykładni
Na koniec warto również zaznaczyć, że w samym rozporządzeniu wprowadzono mechanizmy zapewnienia jednolitości jego wykładnie w UE. W zamyśle prawodawcy europejskiego założenie to ma realizować mechanizm spójności uregulowany w RODO w art. 63 oraz przyznane Europejskiej Radzie Ochrony Danych kompetencje wydawania wytycznych (art. 70), a także kompetencje przyznane krajowym organom nadzorczym (art. 58), którym w Polsce jest PUODO. Organy te czuwać mają nadto nad prawidłowością stosowania rozporządzenia ogólnego.