Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Opinie

Ochrona danych osobowych – dlaczego nie działa?

123RF
W Irlandii postępowanie dotyczšce Facebooka przed organem ochrony danych i sšdem trwało rok. W Polsce na rozstrzygnięcie mniej ważnych spraw œrednio czeka się trzy lata – pisze Paweł Litwiński.

Każdego roku, poczšwszy od 2006 r., 28 stycznia obchodzony jest Dzień Ochrony Danych Osobowych. Ustanowiony został przez Komitet Ministrów Rady Europy w rocznicę sporzšdzenia Konwencji 108 Rady Europy z 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Jest to dobry moment, by zadać sobie fundamentalne pytanie: po co nam ochrona danych osobowych w obecnym wydaniu? I dlaczego działa ona w Polsce tak, a nie inaczej?

Ochrona danych osobowych w modelu europejskim pomyœlana została jako ochrona publicznoprawna, czyli taka, w której prawo publiczne (a nie prywatne, cywilne) gwarantuje nam wszystkim ochronę naszych danych osobowych. Fundamentem tego modelu ochrony jest organ władzy publicznej, który ma naszym danym zapewnić ochronę. W Polsce jest nim generalny inspektor ochrony danych osobowych. Gdy nasze dane przetwarzane sš bezprawnie, GIODO może w drodze decyzji administracyjnych nakazywać przywrócenie stanu zgodnego z prawem. Od jego decyzji przysługuje skarga do sšdu administracyjnego. W pewnym uproszczeniu, GIODO chroni nas przed tymi, którzy naruszajš prawo ochrony danych osobowych. W czasie 20 lat jego obowišzywania GIODO wydał tysišce decyzji (np. w 2015 r. – 992 ), a sšdy administracyjne rozpatrzyły setki skarg na nie (np. w 2015 r. NSA wydał 67 wyroków w takich sprawach). Problemem, jaki w œwiadomoœci społecznej – głównie przedsiębiorców – kojarzy się najczęœciej z postępowaniami przed GIODO, jest zbyt długi czas ich trwania. Czy można sprawdzić, jaki jest w rzeczywistoœci, i ustalić, czy przewlekłoœć dotyczy postępowania przed GIODO, czy sšdowoadministracyjnego?

Tysišc dni oczekiwania

Wydawałoby się, że Ÿródłem wiedzy powinny być coroczne sprawozdania GIODO. Na kilkuset stronach szczegółowo opisujš aktywnoœć GIODO w danym roku. Dokumenty te niestety nie zawierajš danych o czasie trwania postępowań. Pozostaje więc analiza uzasadnień orzeczeń sšdowych – NSA i WSA, rozpatrujšcych skargi na decyzje GIODO.

W 2015 r. zapadło 67 wyroków NSA w sprawach dotyczšcych ochrony danych osobowych. Spoœród nich cztery, czyli 6 proc., to wyroki w sprawach skarg na bezczynnoœć samego GIODO. Z pozostałych uzasadnień wynika, że œredni czas trwania postępowania administracyjnego przed GIODO, do wydania decyzji, dla spraw rozpatrywanych przez NSA wyniósł 295 dni w 2015 r. Od decyzji GIODO przysługuje wniosek o ponowne rozpatrzenie sprawy, rozpatrywany znów przez GIODO – dla spraw rozpatrywanych przez NSA w 2015 r., czas oczekiwania na takš decyzje wynosił œrednio 142 dni. W sumie 438 dni, czyli ponad rok. A nie można zapominać, że jeżeli w trakcie postępowania dane osobowe przetwarzane z naruszeniem prawa zostanš usunięte, takie postępowanie, jako bezprzedmiotowe, trzeba umorzyć. I to wszystko w sytuacji, gdy zgodnie z kodeksem postępowania administracyjnego załatwienie sprawy wymagajšcej postępowania wyjaœniajšcego powinno nastšpić nie póŸniej niż w cišgu miesišca, a sprawy szczególnie skomplikowanej – nie póŸniej niż w cišgu dwóch miesięcy od dnia wszczęcia postępowania, zaœ w postępowaniu odwoławczym – w cišgu miesišca od dnia otrzymania odwołania. Mówimy więc o przekroczeniu tego czasu œrednio – 10-krotnie w postępowaniu przed GIODO (jeżeli wszystkie sprawy byłyby sprawami szczególnie zawiłymi, to termin przekroczono by œrednio 5-krotnie), a œrednio 4-krotnie w postępowaniu odwoławczym. Rekordowa sprawa, która została rozpatrzona przez NSA w 2015 r., zajęła GIODO 1400 dni do wydania pierwszej decyzji, czyli cztery lata oczekiwania na decyzję.

Ale jeszcze bardziej interesujšce sš dane dotyczšce postępowania sšdowoadministracyjnego. Otóż œredni czas oczekiwania na wyrok WSA dla spraw rozpoznanych przez NSA w 2015 r. wyniósł 276 dni, a œredni czas oczekiwania na wyrok NSA dla spraw rozpoznanych w tym samym czasie to 600 dni. Prawie dwa lata. I to w sytuacji, gdy – zdaniem samego NSA – przewlekłe postępowanie to takie, które trwa ponad rok (postanowienie NSA z 7 grudnia 2016 r., I OPP 99/16). Œrednio liczšc, wszystkie wyroki NSA z 2015 r. dotyczšce ochrony danych zapadły w postępowaniach prowadzonych przewlekle.

W sumie, œredni czas postępowania od złożenia skargi do GIODO do wydania wyroku NSA dla spraw zakończonych przez NSA w 2015 r. wyniósł 1067 dni. Prawie dokładnie trzy lata, z czego 1/3 przypada na GIODO, a 2/3 na sšdy administracyjne.

W ogonie Europy

Dla porównania, postępowanie ze skargi M. Schremsa, które doprowadziło do wydania chyba najważniejszego wyroku sšdowego w sprawach ochrony danych osobowych w ostatnich latach, trwało w Irlandii (przed organem ochrony danych osobowych i sšdem) 387 dni. A łšcznie z Trybunałem Sprawiedliwoœci Unii Europejskiej 833 dni. I to w sprawie szczególnie skomplikowanej, o kalibrze, jakiego – œmiem twierdzić – nigdy w Polsce nie mieliœmy. W Polsce, jak już wspomniałem, to œrednio 1067 dni, bez angażowania TS UE.

Sprawy w Europie to reakcja na niedostatki ochrony danych osobowych wyłšcznie na podstawie przepisów prawa prywatnego, w postępowaniu cywilnym (np. o ochronę dóbr osobistych). Żeby taka ochrona była efektywna, musi być zapewniana w sposób sprawny – na etapie postępowania przed organem ochrony danych osobowych oraz na etapie odwołania od decyzji. Trafnie ujmuje to motyw 85. preambuły do ogólnego rozporzšdzenia o ochronie danych (RODO), które w maju 2018 r. zastšpi polskš ustawę o ochronie danych osobowych: przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majštkowych lub niemajštkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamoœci, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufnoœci danych osobowych chronionych tajemnicš zawodowš lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Żeby zapewnić takš szybkš reakcję, RODO nakazuje zgłaszać każdy przypadek naruszenia ochrony danych osobowych nie póŸniej niż w cišgu 72 godzin od stwierdzenia naruszenia. Co nam jednak po szybkim zgłaszaniu naruszeń, jeżeli następnie postępowanie przed organem ochrony danych i sšdami trwa latami? Zresztš samo RODO i okreœlone w nim terminy mogš wprowadzić niezgorsze zamieszanie w praktyce ochrony danych osobowych w Polsce. Na przykład w procedurze współpracy między europejskimi organami ochrony danych osobowych terminy dla poszczególnych czynnoœci w postępowaniu będš wynosiły: cztery lub dwa tygodnie; cztery tygodnie (28 dni) na uzasadniony sprzeciw wobec projektu decyzji i dwa tygodnie (14 dni) na zmianę projektu decyzji. W 2015 r. œredni czas oczekiwania na decyzję w Polsce wyniósł 295 dni.

Czas na zmiany

Mamy więc oto twarde dane pokazujšce, jak nieefektywnie funkcjonuje w Polsce publicznoprawna ochrona danych osobowych: od decyzji GIODO poczšwszy, na wyroku NSA skończywszy. I mamy okazję, by ten stan rzeczy zmienić – oto 25 maja 2018 r. rozpoczyna się stosowanie RODO. Jednoczeœnie trwajš w Polsce, tak jak w każdym innym kraju Unii Europejskiej, prace nad nowymi krajowymi przepisami dotyczšcymi organów ochrony danych osobowych, postępowania przed nimi i postępowania odwoławczego. Jest to więc ta chwila, gdy trzeba się zastanowić, w jaki sposób zapewnić praktycznš realizację zasady szybkoœci postępowania także w sprawach z zakresu ochrony danych osobowych. Jak przyspieszyć rozpoznawanie spraw przez GIODO? Czy zasadnym jest utrzymywanie dwuinstancyjnego postępowania, które i tak w dużej mierze jest czystš formalnoœciš, jako że brak jest organu wyższego stopnia w stosunku do GIODO? W jaki sposób przyspieszyć postępowanie sšdowe ze skarg na decyzje organu ochrony danych osobowych?

Na te i inne pytania powinniœmy znaleŸć odpowiedŸ szybko, bo stan obecny, w którym oczekiwanie na prawomocne rozstrzygnięcie sprawy zajmuje trzy lata, jest absolutnie nie do zaakceptowania.

dr Paweł Litwiński, adwokat, Instytut Allerhanda, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL