Należy zacząć od zadania pytania – czy powyższe zagadnienie w ogóle regulują przepisy RODO? W opinii autora jak najbardziej tak.

Są przy tym dwa podstawowe zagadnienia w tym względzie. Po pierwsze, przetwarzanie danych osobowych Ukraińców, którzy przyjechali do Polski. Po drugie, dane osobowe Polaków transferowane do Ukrainy.

Dodatkowo należy zwrócić szczególną uwagę na fakt, że w tym wypadku dane osobowe Polaków będą transferowane do państwa trzeciego, czyli poza obszar EOG. Jest to również istotne w kontekście działań takich jak zbiórki pieniędzy czy organizowanie pracy wolontariuszy. Chodzi o to, żeby podobne akcje nie były jednak przeprowadzane za pośrednictwem firm niemających serwerów na terenie EOG (np. Google). Autor ma tutaj na myśli orzeczenie Schrems II.

Jak wspomniano, autor stoi na stanowisku, że nie zachodzi żadna z przesłanek RODO, która pozwalałaby stwierdzić, że w opisanej sytuacji RODO nie należy stosować. Zgodnie z art. 2 ust. 2 RODO nie ma zastosowania:

  • w ramach działalności nieobjętej zakresem prawa Unii;
  • przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE;
  • przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
  • przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Przede wszystkim należy wskazać, że obywatelki i obywatele Ukrainy przyjeżdżający do Polski przekraczają granicę na podstawie następujących dokumentów:

  • paszportu w ramach ruchu bezwizowego,
  • wizy krajowej lub wizy Schengen wydanej przez polski organ,
  • wizy lub dokumentu pobytowego wydanych przez inne państwo Schengen,
  • posiadanego zezwolenia na pobyt,
  • na podstawie wniosku o udzielenie ochrony międzynarodowej złożonego na polskim przejściu granicznym lub zgody komendanta Straży Granicznej.

Ostatni przypadek został uregulowany w art. 32. ust. 1 CudzUst, w którym z kolei znajduje się odesłanie do art. 6 ust. 5 lit. c kodeksu granicznego Schengen. Zgodnie z tymi przepisami obywatele państw trzecich, którzy nie spełniają jednego lub większej liczby warunków wjazdu obywateli państw trzecich (w tym wypadku Ukrainki i Ukraińcy), mogą uzyskać zezwolenie państwa członkowskiego na wjazd na jego terytorium ze względów humanitarnych. W Polsce zezwolenia na taki wjazd udziela komendant placówki Straży Granicznej, po uzyskaniu zgody Komendanta Głównego Straży Granicznej.

Wiele osób, które przybyły do Polski z terenów objętych działaniami wojennymi, już złożyło lub w najbliższym czasie złoży wnioski o udzielenie ochrony międzynarodowej, czyli np. o nadanie statusu uchodźcy. To zagadnienie jest uregulowane m.in. w Dyrektywie 2011/95/UE.

Przykładów można wskazać więcej: ustawa z 13.6.2003 r. o udzielaniu cudzoziemcom ochrony na terytorium Rzeczypospolitej Polskiej dokonuje (w zakresie swojej regulacji) wdrożenia następujących dyrektyw Wspólnot Europejskich:

  • dyrektywy 2001/55/WE z 20.7.2001 r. w sprawie minimalnych standardów przyznawania tymczasowej ochrony na wypadek masowego napływu wysiedleńców oraz środków wspierających równowagę wysiłków między państwami członkowskimi związanych z przyjęciem takich osób wraz z jego następstwami (Dz. Urz. WE L 212 z 7.8.2001);
  • dyrektywy 2003/9/WE z 27.1.2003 r. ustanawiającej minimalne normy dotyczące przyjmowania osób ubiegających się o azyl (Dz. Urz. WE L 31 z 3.2.2003).

Również i w takich aktach dla Unii, jak: Karta Praw Podstawowych UE zawarto przepisy dotyczące uchodźców. Tak więc stosowanie do art. 18 prawo do azylu gwarantuje, prawo do azylu z poszanowaniem zasad Konwencji genewskiej z 28.7.1951 r. i Protokołu z 31.1.1967 r. dotyczących statusu uchodźców oraz zgodnie z Traktatem o Unii Europejskiej i Traktatem o funkcjonowaniu Unii Europejskiej (zwanych dalej „Traktatami”).

Dalej w art. 19 przewidziano ochronę w przypadku usunięcia z terytorium państwa, wydalenia lub ekstradycji. Tak więc w ust. 1 mowa jest, że wydalenia zbiorowe są zakazane. Ustęp 2 natomiast wskazuje, że nikt nie może być usunięty z terytorium państwa, wydalony lub wydany w drodze ekstradycji do państwa, w którym istnieje poważne ryzyko, iż może być poddany karze śmierci, torturom lub innemu nieludzkiemu lub poniżającemu traktowaniu albo karaniu.

Nie broni się zatem argument, jakoby wspomniana sytuacja mogła zostać uznana za działalność nieobjętą zakresem prawa Unii Europejskiej.

W związku z powyższym podmioty, które w Polsce będą przetwarzać dane osobowe Ukrainek i Ukraińców, będą administratorami w rozumieniu RODO.

Pytanie jakie może się nasunąć to, czy informacja, że ktoś reprezentuje mniejszość ukraińską lub rosyjską – należy uznać to za szczególne kategorie danych w rozumieniu art. 9 ust. 1 RODO (Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne). W ustawie o mniejszościach narodowych i etnicznych oraz o języku regionalnym. Odpowiedź znajduje się w art. 2 ust. 2 MniejNarodU, gdzie wskazano, że Za mniejszości narodowe uznaje się następujące mniejszości: 1) białoruską; 2) czeską; 3) litewską; 4) niemiecką; 5) ormiańską, 6) rosyjską; 7) słowacką; 8) ukraińską; 9) żydowską. Jak widać ustawa wyraźnie to wskazuje.

Jednakże w tym zakresie sprawa jest bardziej skomplikowana. Autor spotkał się z sytuacją, gdy do ośrodka przyjadą obywatele Ukrainy będący przedstawicielami mniejszości romskiej. Wspomniana wyżej ustawa wskazuje, że art. 2 ust. 3 mniejszość romska stanowi mniejszość etniczną a więc odpowiadać to będzie definicji z art. 9 ust. 1 RODO. Oznacza to, że zbierając takie dane trzeba będzie spełnić przesłanki z art. 9 ust. 2 RODO.

Autor widzi tutaj kolejne argumenty natury funkcjonalnej. W literaturze przedmiotu wskazuje się, że prawo do ochrony danych zostało opracowano ze względu na ograniczoną skuteczność prawa do prywatności oraz problemy w jego dochodzeniu w prawie cywilnych oraz karnym. Autor też nie widzi uzasadnienia, aby skoro OPS miał pozyskać dane kilkudziesięciu lub kilkuset osób i mógł je nie chronić, nie odpowiadać za ich ochronę, udostępniać bez podstawy prawnej, czy upubliczniać. Tzn. ochrona byłaby, ale jako prawo do prywatności.

Warto zadać pytanie o podstawę prawną, na której będą oni opierać wykonywanie operacji na danych. W pierwszym momencie warto przemyśleć art. 6 ust. 1 lit. d) RODO, czyli przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Jednakże nie jest do końca jasne, jak należy rozumieć sformułowanie żywotne interesy osoby. Pojawia się pytanie, czy chodzi tu o ujęcie wąskie, obejmujące interesy związane z ochroną życia, czy też należy to pojęcie rozumieć szerzej, jako interesy ważne z punktu widzenia osoby, której dane dotyczą. Trzeba zaznaczyć, że decyzja, czy w danym przypadku zainteresowany nie jest w stanie sam tych interesów w inny sposób chronić, musi być podjęta przez administratora. Ma to jednak zawsze charakter oceny. Ponadto warto uwzględnić motyw 112 RODO, który wskazuje, że Przekazywanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne w celu ochrony interesu, który ma istotne znaczenie dla żywotnych interesów osoby, której dane dotyczą, lub innej osoby, w tym integralności fizycznej lub życia, a osoba, której dane dotyczą, nie jest w stanie wyrazić zgody. W razie braku stwierdzenia odpowiedniego stopnia ochrony prawo Unii lub prawo państwa członkowskiego może z uwagi na ważne względy interesu publicznego wyraźnie nakładać ograniczenia na przekazywanie konkretnych kategorii danych do państwa trzeciego lub organizacji międzynarodowej. O takich przepisach państwa członkowskie powinny powiadomić Komisję. Każde przekazanie danych osobowych osoby, której dane dotyczą, będącej fizycznie lub prawnie niezdolną do wyrażenia zgody, do międzynarodowej organizacji humanitarnej, aby mogła wykonać zadanie nałożone na nią konwencjami genewskimi lub by mogła spełnić wymogi międzynarodowego prawa humanitarnego mającego zastosowanie w konfliktach zbrojnych, można uznać za niezbędne z uwagi na ważny wzgląd interesu publicznego lub za leżące w żywotnym interesie osoby, której dane dotyczą. Zgoda zawsze wiąże się ze znaczną ilością problemów praktycznych w codziennej pracy inspektora.

W związku z tym autor stoi na stanowisku, że w omawianym przypadku zdecydowanie lepiej jest wskazać inną podstawę przetwarzania danych.

Chodzi o art. 6 ust. 1 lit. e) RODO czyli, przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. W zakresie tego pojęcia mieści się bowiem aktywność wszelkich organów władz publicznych, czyli organów administracji państwowej oraz samorządowej, którym przepisy prawa powierzają realizację spraw publicznych w formach władczych. W opisywanym kontekście interes publiczny należy rozumieć jako ochronę wartości, które są wspólne i ważne dla społeczeństw demokratycznego świata. Chodzi o poszanowanie wolności i sprawiedliwości, zachowanie przyrodzonej godności człowieka, poszanowanie życia, nienaruszalności cielesnej itd.

Jak zatem wskazano, podmioty takie jak urzędy gminy, szkoły, OSP, Powiatowe Urzędy Pracy itd. będą zobligowane do wypełniania wszystkich obowiązków nałożonych na administratora przez RODO. Jednym z nich będzie obowiązek informacyjny, który został uregulowany – w zależności od sytuacji – w art. 13 i 14 RODO.

Administratorzy powinni pamiętać, że przekazanie informacji ma służyć nie tyle wypełnieniu obowiązku nałożonego przepisami prawami, tylko mają stanowić realny sposób udzielenia osobie, której dane są przetwarzane, podstawowych informacji związanych z przetwarzaniem jej danych. Sformułowanie informacji w taki sposób, aby wyjaśnić odbiorcom które dane, na jakiej podstawie przetwarza administrator i jakie prawa w odniesieniu do danych przysługują danej osobie, leży w interesie administratorów również dlatego, aby w oczach klientów i kontrahentów być postrzeganym jako rzetelna firma, która dba o przetwarzane dane osobowe. W tym kontekście warto przemyśleć spełnienie obowiązku informacyjnego w języku ukraińskim lub rosyjskim. Z doświadczenia autora wynika, że każdy Ukrainiec mówi, a w każdym razie rozumie po rosyjsku.

W sytuacji jakieś pomocy, czy współpracy z kolei dane osobowe obywateli ukraińskich będą przekazywane do Ukrainy na podstawie art. 49 ust. 1 lit d) RODO. Stosownie do niego przekazanie jest niezbędne ze względu na ważne względy interesu publicznego. W literaturze wskazuje się, że: Przekazanie danych osobowych do państwa trzeciego jest dopuszczalne, jeżeli jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody. Przez pojęcie żywotnych interesów osoby, której dane dotyczą, należy rozumieć interesy związane z ochroną życia, zdrowia i bezpieczeństwa osobistego podmiotu danych (…) Do przekazania danych nie jest przy tym wymagane istnienie żadnej umowy transferowej, która gwarantowałaby odpowiedni poziom ochrony danych osobowych. Analogicznie do przypadku działania dla dobra publicznego, przekazanie danych osobowych dla ochrony żywotnych interesów podmiotu danych powinno być niezbędne do realizacji tego celu i może nastąpić wyłącznie w niezbędnym zakresie. (Sakowska Baryła, Komentarz 2018, do art. 49).