Ochrona danych osobowych – dlaczego nie działa?

W Irlandii postępowanie dotyczące Facebooka przed organem ochrony danych i sądem trwało rok. W Polsce na rozstrzygnięcie mniej ważnych spraw średnio czeka się trzy lata – pisze Paweł Litwiński.

Publikacja: 26.01.2017 08:31

Ochrona danych osobowych – dlaczego nie działa?

Foto: 123RF

Każdego roku, począwszy od 2006 r., 28 stycznia obchodzony jest Dzień Ochrony Danych Osobowych. Ustanowiony został przez Komitet Ministrów Rady Europy w rocznicę sporządzenia Konwencji 108 Rady Europy z 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Jest to dobry moment, by zadać sobie fundamentalne pytanie: po co nam ochrona danych osobowych w obecnym wydaniu? I dlaczego działa ona w Polsce tak, a nie inaczej?

Ochrona danych osobowych w modelu europejskim pomyślana została jako ochrona publicznoprawna, czyli taka, w której prawo publiczne (a nie prywatne, cywilne) gwarantuje nam wszystkim ochronę naszych danych osobowych. Fundamentem tego modelu ochrony jest organ władzy publicznej, który ma naszym danym zapewnić ochronę. W Polsce jest nim generalny inspektor ochrony danych osobowych. Gdy nasze dane przetwarzane są bezprawnie, GIODO może w drodze decyzji administracyjnych nakazywać przywrócenie stanu zgodnego z prawem. Od jego decyzji przysługuje skarga do sądu administracyjnego. W pewnym uproszczeniu, GIODO chroni nas przed tymi, którzy naruszają prawo ochrony danych osobowych. W czasie 20 lat jego obowiązywania GIODO wydał tysiące decyzji (np. w 2015 r. – 992 ), a sądy administracyjne rozpatrzyły setki skarg na nie (np. w 2015 r. NSA wydał 67 wyroków w takich sprawach). Problemem, jaki w świadomości społecznej – głównie przedsiębiorców – kojarzy się najczęściej z postępowaniami przed GIODO, jest zbyt długi czas ich trwania. Czy można sprawdzić, jaki jest w rzeczywistości, i ustalić, czy przewlekłość dotyczy postępowania przed GIODO, czy sądowoadministracyjnego?

Tysiąc dni oczekiwania

Wydawałoby się, że źródłem wiedzy powinny być coroczne sprawozdania GIODO. Na kilkuset stronach szczegółowo opisują aktywność GIODO w danym roku. Dokumenty te niestety nie zawierają danych o czasie trwania postępowań. Pozostaje więc analiza uzasadnień orzeczeń sądowych – NSA i WSA, rozpatrujących skargi na decyzje GIODO.

W 2015 r. zapadło 67 wyroków NSA w sprawach dotyczących ochrony danych osobowych. Spośród nich cztery, czyli 6 proc., to wyroki w sprawach skarg na bezczynność samego GIODO. Z pozostałych uzasadnień wynika, że średni czas trwania postępowania administracyjnego przed GIODO, do wydania decyzji, dla spraw rozpatrywanych przez NSA wyniósł 295 dni w 2015 r. Od decyzji GIODO przysługuje wniosek o ponowne rozpatrzenie sprawy, rozpatrywany znów przez GIODO – dla spraw rozpatrywanych przez NSA w 2015 r., czas oczekiwania na taką decyzje wynosił średnio 142 dni. W sumie 438 dni, czyli ponad rok. A nie można zapominać, że jeżeli w trakcie postępowania dane osobowe przetwarzane z naruszeniem prawa zostaną usunięte, takie postępowanie, jako bezprzedmiotowe, trzeba umorzyć. I to wszystko w sytuacji, gdy zgodnie z kodeksem postępowania administracyjnego załatwienie sprawy wymagającej postępowania wyjaśniającego powinno nastąpić nie później niż w ciągu miesiąca, a sprawy szczególnie skomplikowanej – nie później niż w ciągu dwóch miesięcy od dnia wszczęcia postępowania, zaś w postępowaniu odwoławczym – w ciągu miesiąca od dnia otrzymania odwołania. Mówimy więc o przekroczeniu tego czasu średnio – 10-krotnie w postępowaniu przed GIODO (jeżeli wszystkie sprawy byłyby sprawami szczególnie zawiłymi, to termin przekroczono by średnio 5-krotnie), a średnio 4-krotnie w postępowaniu odwoławczym. Rekordowa sprawa, która została rozpatrzona przez NSA w 2015 r., zajęła GIODO 1400 dni do wydania pierwszej decyzji, czyli cztery lata oczekiwania na decyzję.

Ale jeszcze bardziej interesujące są dane dotyczące postępowania sądowoadministracyjnego. Otóż średni czas oczekiwania na wyrok WSA dla spraw rozpoznanych przez NSA w 2015 r. wyniósł 276 dni, a średni czas oczekiwania na wyrok NSA dla spraw rozpoznanych w tym samym czasie to 600 dni. Prawie dwa lata. I to w sytuacji, gdy – zdaniem samego NSA – przewlekłe postępowanie to takie, które trwa ponad rok (postanowienie NSA z 7 grudnia 2016 r., I OPP 99/16). Średnio licząc, wszystkie wyroki NSA z 2015 r. dotyczące ochrony danych zapadły w postępowaniach prowadzonych przewlekle.

W sumie, średni czas postępowania od złożenia skargi do GIODO do wydania wyroku NSA dla spraw zakończonych przez NSA w 2015 r. wyniósł 1067 dni. Prawie dokładnie trzy lata, z czego 1/3 przypada na GIODO, a 2/3 na sądy administracyjne.

W ogonie Europy

Dla porównania, postępowanie ze skargi M. Schremsa, które doprowadziło do wydania chyba najważniejszego wyroku sądowego w sprawach ochrony danych osobowych w ostatnich latach, trwało w Irlandii (przed organem ochrony danych osobowych i sądem) 387 dni. A łącznie z Trybunałem Sprawiedliwości Unii Europejskiej 833 dni. I to w sprawie szczególnie skomplikowanej, o kalibrze, jakiego – śmiem twierdzić – nigdy w Polsce nie mieliśmy. W Polsce, jak już wspomniałem, to średnio 1067 dni, bez angażowania TS UE.

Sprawy w Europie to reakcja na niedostatki ochrony danych osobowych wyłącznie na podstawie przepisów prawa prywatnego, w postępowaniu cywilnym (np. o ochronę dóbr osobistych). Żeby taka ochrona była efektywna, musi być zapewniana w sposób sprawny – na etapie postępowania przed organem ochrony danych osobowych oraz na etapie odwołania od decyzji. Trafnie ujmuje to motyw 85. preambuły do ogólnego rozporządzenia o ochronie danych (RODO), które w maju 2018 r. zastąpi polską ustawę o ochronie danych osobowych: przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Żeby zapewnić taką szybką reakcję, RODO nakazuje zgłaszać każdy przypadek naruszenia ochrony danych osobowych nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Co nam jednak po szybkim zgłaszaniu naruszeń, jeżeli następnie postępowanie przed organem ochrony danych i sądami trwa latami? Zresztą samo RODO i określone w nim terminy mogą wprowadzić niezgorsze zamieszanie w praktyce ochrony danych osobowych w Polsce. Na przykład w procedurze współpracy między europejskimi organami ochrony danych osobowych terminy dla poszczególnych czynności w postępowaniu będą wynosiły: cztery lub dwa tygodnie; cztery tygodnie (28 dni) na uzasadniony sprzeciw wobec projektu decyzji i dwa tygodnie (14 dni) na zmianę projektu decyzji. W 2015 r. średni czas oczekiwania na decyzję w Polsce wyniósł 295 dni.

Czas na zmiany

Mamy więc oto twarde dane pokazujące, jak nieefektywnie funkcjonuje w Polsce publicznoprawna ochrona danych osobowych: od decyzji GIODO począwszy, na wyroku NSA skończywszy. I mamy okazję, by ten stan rzeczy zmienić – oto 25 maja 2018 r. rozpoczyna się stosowanie RODO. Jednocześnie trwają w Polsce, tak jak w każdym innym kraju Unii Europejskiej, prace nad nowymi krajowymi przepisami dotyczącymi organów ochrony danych osobowych, postępowania przed nimi i postępowania odwoławczego. Jest to więc ta chwila, gdy trzeba się zastanowić, w jaki sposób zapewnić praktyczną realizację zasady szybkości postępowania także w sprawach z zakresu ochrony danych osobowych. Jak przyspieszyć rozpoznawanie spraw przez GIODO? Czy zasadnym jest utrzymywanie dwuinstancyjnego postępowania, które i tak w dużej mierze jest czystą formalnością, jako że brak jest organu wyższego stopnia w stosunku do GIODO? W jaki sposób przyspieszyć postępowanie sądowe ze skarg na decyzje organu ochrony danych osobowych?

Na te i inne pytania powinniśmy znaleźć odpowiedź szybko, bo stan obecny, w którym oczekiwanie na prawomocne rozstrzygnięcie sprawy zajmuje trzy lata, jest absolutnie nie do zaakceptowania.

dr Paweł Litwiński, adwokat, Instytut Allerhanda, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.

Każdego roku, począwszy od 2006 r., 28 stycznia obchodzony jest Dzień Ochrony Danych Osobowych. Ustanowiony został przez Komitet Ministrów Rady Europy w rocznicę sporządzenia Konwencji 108 Rady Europy z 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Jest to dobry moment, by zadać sobie fundamentalne pytanie: po co nam ochrona danych osobowych w obecnym wydaniu? I dlaczego działa ona w Polsce tak, a nie inaczej?

Ochrona danych osobowych w modelu europejskim pomyślana została jako ochrona publicznoprawna, czyli taka, w której prawo publiczne (a nie prywatne, cywilne) gwarantuje nam wszystkim ochronę naszych danych osobowych. Fundamentem tego modelu ochrony jest organ władzy publicznej, który ma naszym danym zapewnić ochronę. W Polsce jest nim generalny inspektor ochrony danych osobowych. Gdy nasze dane przetwarzane są bezprawnie, GIODO może w drodze decyzji administracyjnych nakazywać przywrócenie stanu zgodnego z prawem. Od jego decyzji przysługuje skarga do sądu administracyjnego. W pewnym uproszczeniu, GIODO chroni nas przed tymi, którzy naruszają prawo ochrony danych osobowych. W czasie 20 lat jego obowiązywania GIODO wydał tysiące decyzji (np. w 2015 r. – 992 ), a sądy administracyjne rozpatrzyły setki skarg na nie (np. w 2015 r. NSA wydał 67 wyroków w takich sprawach). Problemem, jaki w świadomości społecznej – głównie przedsiębiorców – kojarzy się najczęściej z postępowaniami przed GIODO, jest zbyt długi czas ich trwania. Czy można sprawdzić, jaki jest w rzeczywistości, i ustalić, czy przewlekłość dotyczy postępowania przed GIODO, czy sądowoadministracyjnego?

Pozostało 80% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Opinie Prawne
Robert Gwiazdowski: Przywracanie, ale czego – praworządności czy władzy PO?
Opinie Prawne
Ewa Szadkowska: Bieg z przeszkodami fundacji rodzinnych
Opinie Prawne
Isański: O co sąd administracyjny pytał Trybunał Konstytucyjny?
Opinie Prawne
Tomasz Pietryga: Adam Glapiński przed Trybunałem Stanu. Jakie jest drugie dno
Opinie Prawne
Paulina Szewioła: Podwójna waloryzacja? Wiem, że nic nie wiem