Od decyzji urzędu od razu odwołamy się do sądu administracyjnego

DANE OSOBOWE | O zmianie nazwy z generalnego inspektora ochrony danych osobowych na prezesa Urzędu Ochrony Danych Osobowych, zakładanych zasadach prowadzenia postępowania, zniesieniu dwuinstancyjności oraz o tym że od decyzji urzędu będzie się można odwołać do sądu administracyjnego – mówi Maciej Gawroński, partner zarządzający kancelarii Gawroński & Partners w rozmowie z Michałem Kołtuniakiem.

Publikacja: 21.06.2017 06:30

Od decyzji urzędu od razu odwołamy się do sądu administracyjnego

Foto: Fotolia.com

Rz: Czy zaproponowana przez ministerstwo cyfryzacji zmiana nazwy organu z generalnego inspektora ochrony danych osobowych (GIODO) na prezesa urzędu ochrony danych osobowych (PUODO) jest wyłącznie symboliczna, czy kryje się za nią głębsze uzasadnienie?

Maciej Gawroński: Zmiana nazwy organu nadzorczego nie jest zmianą czysto techniczną. Będzie ona miała istotne konsekwencje, gdyż oznacza to formalnie zastąpienie obecnego centralnego organu państwa nowopowołanym. Wydaje się, że taka zmiana odpowiada potrzebie reformy. Motyw (117) Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych (tzw. RODO) mówi wprost o utworzeniu w państwach członkowskich organów nadzorczych. Dotychczas każde państwo członkowskie miało oczywiście swojego GIODO (lub więcej organów nadzorczych). Skoro RODO w tej sytuacji nawołuje do utworzenia organów nadzorczych, wydaje się, że ustawodawca unijny dostrzega potrzebę nowego otwarcia.

Może się wydawać, że wielu przedsiębiorcom, którzy są jednocześnie administratorami danych, taka zmiana nic nie mówi. Mogą ją odbierać jako sztuczną, może nawet niepotrzebną.

Na pewno dla przedsiębiorców najważniejsze są zadania, kompetencje i sposób działania nowego organu, a nie jego nazwa. Nowa instytucja powinna być oparta o kompetencje i kadry GIODO, jednak jej zadania i kompetencje, narzucone rozporządzeniem, wymagają nowego podejścia. Nowy organ powinien działać w sposób dużo bardziej proaktywny, nie bojąc się komunikować z rynkiem, obywatelami i instytucjami obowiązanymi do stosowania zasad ochrony danych, ułatwiając im rozumienie i stosowanie tych zasad. Równocześnie przyszły prezes powinien działać bardziej inkwizycyjnie – RODO nie od parady przewiduje drakońskie kary za naruszenie nowych zasad ochrony danych. PUODO będzie miał także za zadanie wytworzyć wiarygodny system certyfikacyjno-audytorski w zakresie ochrony danych. Takie nowe podejście wymaga kreatywności i odwagi w stosowaniu prawa – zmiany urzędowego paradygmatu. Trudno obecnie znaleźć urząd, przed którym stałyby podobne wyzwania. Przyszła prezes lub przyszły prezes powinni więc stać się przysłowiowymi i matką i ojcem a do tego jeszcze będzie musiał z pewnością toczyć spory z instytucjami „pokaranymi" jego uwagą.

Obecnie zasoby inspektoratu GIODO nie pozwalają temu urzędowi na bardzo aktywne działanie na krajowym czy międzynarodowym polu (co zresztą chwalili sobie przedsiębiorcy). Chcąc odpowiedzieć na potrzeby nowej reformy, potrzebna jest nie tylko nowa koncepcja – nowy organ, ale i zasoby nowego organu muszą zapewne wielokrotnie wzrosnąć względem dotychczasowych kadr GIODO.

W zamian za większe ryzyko kontroli i potężne kary za naruszenie przepisów przedsiębiorcy będą mogli liczyć na dobre praktyki. Co to takiego?

Prezes przyszłego urzędu uzyska kompetencję do wydawania niewiążących dobrych praktyk zabezpieczeń danych. Zastosowano termin „dobre praktyki" a nie „rekomendacje", „zalecenia" czy „wytyczne", aby podkreślić ich niewiążący charakter. W praktyce jednak te „dobre praktyki" zapewne wyznaczą standardy ochrony danych. Nie będzie natomiast można na nich ślepo polegać, gdyż każdy administrator danych będzie miał obowiązek przeprowadzić analizę adekwatności środków ochrony danych we własnym zakresie.

W innych krajach członkowskich UE takie praktyki oraz rekomendacje w zakresie wdrażania RODO są już teraz wydawane. GIODO również wydaje swoje zalecenia, jak choćby ostatnio opinię o potrzebie szyfrowania poczty elektronicznej. Na razie nie wydaje się, aby rynek szczególnie się tymi rekomendacjami przejmował. Trudno wyobrazić sobie, aby tak miało pozostać po dacie rozpoczęcia stosowania RODO.

A jaki będzie tryb postępowanie w sprawie naruszenia danych?

Projekt ustawy wprowadza szczególne zasady postępowania. Można powiedzieć, że dokonano uszczegółowienia reguł postępowania w sprawie naruszenia ochrony danych, względem zasad Kodeksu postępowania administracyjnego, wzorując się zapewne na przepisach dotyczących postępowania przed Urzędem Ochrony Konkurencji i Konsumentów oraz postępowania w sprawach o udzielenie zamówienia publicznego.

Istotnym novum, z punktu widzenia wszystkich administratorów, jest propozycja wprowadzenia uprawnienia PUODO do ograniczenia przetwarzania danych, jeśli w trakcie postępowania zostanie uprawdopodobnione, że narusza ono przepisy a skutki tego mogą być poważne i trudne do usunięcia. Takie uprawnienie może stanowić bardzo silny instrument nacisku na administratorów danych, jest ono porównywalne z blokadą dostępności usług teleinformatycznych przewidzianą ustawą o działaniach antyterrorystycznych. Na pewno trzeba będzie stosować je z rozwagą. Projekt przewiduje odpowiedzialność cywilną PUODO w przypadku niezgodnego z prawem zastosowania tego środka, trudno jednak dziś ocenić, czy bardziej odstraszy to przyszłego prezesa od działania, czy zostanie uznane za listek figowy wobec znanych problemów ze sprawnością działania sądów.

Projekt ustawy przewiduje rezygnację z ponownego rozpatrzenia sprawy. Czy słusznie zrezygnowano z dwuinstancyjności postępowania przed urzędem, która wiązała się z prawem wnioskowania o ponowne rozpatrzenie sprawy?

Moim zdaniem to słuszne rozwiązanie. Wspomniana dwuinstancyjność była tak naprawdę pewną atrapą dwuinstancyjności. Natomiast negatywnie oceniam pozostawienie w przepisach właściwości sądów administracyjnych jako tych, do których administrator danych może się odwołać składając skargę na decyzję PUODO. W mojej ocenie idealnym rozwiązaniem byłoby powołanie specjalistycznego sądu. Pozwoliłoby to na wypracowanie spójnej linii interpretacyjnej przepisów, a zatem służyłoby pewności prawa, oraz ograniczyłoby to pole do uprawianego czasem przez sądy administracyjne „ping ponga" w postaci kilkukrotnego przechodzenia sprawy między wojewódzkim sądem administracyjnym a Naczelnym Sądem Administracyjnym. Wiadomo jednak, że Ministerstwo Sprawiedliwości od dziesiątek lat na ogół niechętne jest powoływaniu sądów specjalistycznych.

Proponowane przepisy wzmacniają uprawnienia kontrolne nowego urzędu. Czyli wciąż coraz więcej i więcej kontroli. Czy to naprawdę potrzebne?

Rzeczywiście wzmocniono uprawnienia kontrolne PUODO w porównaniu do obecnych kompetencji GIODO w tym zakresie. O ile nadmierna inkwizycyjność państwa nie służy gospodarce, o tyle wzmocnienie uprawnień kontrolnych przyszłego prezesa wydaje się słuszne, jeśli zgodność z zasadami ochrony danych osobowych ma stać się powszechna.

Projekt przewiduje także dość szeroki katalog środków, które prezes będzie mógł narzucić podmiotowi naruszającemu zasady ochrony danych. Środki te wydają się logiczne, choć zastanawia, dlaczego dostosowanie operacji przetwarzania danych ma nastąpić do przepisów rozporządzenia 2016/679 (czyli RODO) a nie „do zgodności z prawem", co intuicyjnie byśmy w tym miejscu widzieli.

Ciekawe jest także ograniczenie kar dla administracji. Projekt łagodniej traktuje organy państwowe i instytucje publiczne, przewidując limit kar w wysokości 100 tys. zł. Jest to dopuszczalne na tle przepisów RODO. Jednak różnie ocenia się tę propozycję. Niektórzy zarzucają, że to atrapa odpowiedzialności, szczególnie przy karach grożących sektorowi prywatnemu. Inni zaś wskazują, że instytucje publiczne zazwyczaj nie posiadają „budżetu na niezgodność z prawem", stąd kary dla nich będą i tak dotkliwe.

Czy projekt przewiduje coś dla osób fizycznych, które zostaną poszkodowane przez firmy lub inne podmioty wykorzystujące ich dane?

Zdecydowanie tak. Można powiedzieć, że wzmocniono pozycję osób indywidualnych, których dane będą przetwarzane niezgodnie z prawem. Przewidziano nowe roszczenie cywilne o usunięcie skutków naruszenia. Wydaje się, że roszczenie to może zostać zakwalifikowane jako nadające się do postępowania grupowego (w postępowaniu grupowym niedopuszczalne jest dochodzenie ochrony dóbr osobistych). Może to wzmocnić pozycję podmiotów indywidualnych, gdyż obecnie dochodzić swoich praw dotyczących ochrony danych osobowych się zwyczajnie nie opłaca.

Ponadto projekt przewiduje również możliwość wszczynania postępowań i udziału w nich przez organizacje społeczne. Rozwiązanie to wynika z motywu (142) RODO. Wzbudziło to obawę przed powtórzeniem się patologii dotyczącej rejestru klauzul niedozwolonych. Możliwe, że tym razem ten problem nie wystąpi. Instytucja udziału organizacji społecznej ma swoją długoletnią historię i tradycję. Zdarzały się jej wynaturzenia (organizacje pseudoekologiczne, stowarzyszenia pseudokonsumenckie), jednak w sytuacji, gdy postępowania będzie prowadzić jeden organ (PUODO), można mieć nadzieję, że zadba on o to, aby eliminować takie przypadki.

Projekt ustawy odnosi się także do akredytacji i certyfikacji. Czy może pan przybliżyć te pojęcia?

Projekt zawiera postanowienia dotyczące dokonywania akredytacji podmiotów certyfikujących zgodność z ochroną danych. System certyfikacji powinien powstać zgodnie z przepisami RODO. Wydaje się, że proponowane przepisy proceduralne odpowiadają standardowi.

Natomiast przepisy o certyfikacji wymagają uzupełnienia. Aby uniknąć późniejszych sporów czy dywagacji na temat drogi sądowej lub innej, wskazane jest co najmniej przewidzenie minimalnego zakresu zasad, jakie powinny zostać określone w systemach certyfikacyjnych, jak na przykład zasady utrzymania certyfikatu, utraty, odwołań, jak też i przesądzenie, czy i jaka może być droga sporu między podmiotem certyfikującym a instytucją podlegającą certyfikacji. Tego na razie w projekcie nie ma.

Na koniec proszę szczerze powiedzieć, jak czyta się projekt ustawy. Czy przeciętny przedsiębiorca może samodzielnie przebrnąć przez jej przepisy?

Obecna redakcja projektu pozostawia sporo do życzenia. Dobrze byłoby, gdyby odwołania w treści ustawy nie miały wyłącznie charakteru technicznego (jak w ustawach podatkowych), lecz zawierały także element opisowy. Dzięki temu łatwiej będzie czytać i rozumieć ustawę niespecjalistom, a specjalistom też. Ponadto rynek oczekuje teraz na kolejne propozycje Ministerstwa Cyfryzacji, tym bardziej że ważą się losy przepisów karnych związanych znaruszeniem zasad ochrony danych osobowych.

Rz: Czy zaproponowana przez ministerstwo cyfryzacji zmiana nazwy organu z generalnego inspektora ochrony danych osobowych (GIODO) na prezesa urzędu ochrony danych osobowych (PUODO) jest wyłącznie symboliczna, czy kryje się za nią głębsze uzasadnienie?

Maciej Gawroński: Zmiana nazwy organu nadzorczego nie jest zmianą czysto techniczną. Będzie ona miała istotne konsekwencje, gdyż oznacza to formalnie zastąpienie obecnego centralnego organu państwa nowopowołanym. Wydaje się, że taka zmiana odpowiada potrzebie reformy. Motyw (117) Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych (tzw. RODO) mówi wprost o utworzeniu w państwach członkowskich organów nadzorczych. Dotychczas każde państwo członkowskie miało oczywiście swojego GIODO (lub więcej organów nadzorczych). Skoro RODO w tej sytuacji nawołuje do utworzenia organów nadzorczych, wydaje się, że ustawodawca unijny dostrzega potrzebę nowego otwarcia.

Pozostało 91% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe