Każdego roku, począwszy od 2006 r., 28 stycznia obchodzony jest Dzień Ochrony Danych Osobowych. Ustanowiony został przez Komitet Ministrów Rady Europy w rocznicę sporządzenia Konwencji 108 Rady Europy z 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Jest to dobry moment, by zadać sobie fundamentalne pytanie: po co nam ochrona danych osobowych w obecnym wydaniu? I dlaczego działa ona w Polsce tak, a nie inaczej?
Ochrona danych osobowych w modelu europejskim pomyślana została jako ochrona publicznoprawna, czyli taka, w której prawo publiczne (a nie prywatne, cywilne) gwarantuje nam wszystkim ochronę naszych danych osobowych. Fundamentem tego modelu ochrony jest organ władzy publicznej, który ma naszym danym zapewnić ochronę. W Polsce jest nim generalny inspektor ochrony danych osobowych. Gdy nasze dane przetwarzane są bezprawnie, GIODO może w drodze decyzji administracyjnych nakazywać przywrócenie stanu zgodnego z prawem. Od jego decyzji przysługuje skarga do sądu administracyjnego. W pewnym uproszczeniu, GIODO chroni nas przed tymi, którzy naruszają prawo ochrony danych osobowych. W czasie 20 lat jego obowiązywania GIODO wydał tysiące decyzji (np. w 2015 r. – 992 ), a sądy administracyjne rozpatrzyły setki skarg na nie (np. w 2015 r. NSA wydał 67 wyroków w takich sprawach). Problemem, jaki w świadomości społecznej – głównie przedsiębiorców – kojarzy się najczęściej z postępowaniami przed GIODO, jest zbyt długi czas ich trwania. Czy można sprawdzić, jaki jest w rzeczywistości, i ustalić, czy przewlekłość dotyczy postępowania przed GIODO, czy sądowoadministracyjnego?
Tysiąc dni oczekiwania
Wydawałoby się, że źródłem wiedzy powinny być coroczne sprawozdania GIODO. Na kilkuset stronach szczegółowo opisują aktywność GIODO w danym roku. Dokumenty te niestety nie zawierają danych o czasie trwania postępowań. Pozostaje więc analiza uzasadnień orzeczeń sądowych – NSA i WSA, rozpatrujących skargi na decyzje GIODO.
W 2015 r. zapadło 67 wyroków NSA w sprawach dotyczących ochrony danych osobowych. Spośród nich cztery, czyli 6 proc., to wyroki w sprawach skarg na bezczynność samego GIODO. Z pozostałych uzasadnień wynika, że średni czas trwania postępowania administracyjnego przed GIODO, do wydania decyzji, dla spraw rozpatrywanych przez NSA wyniósł 295 dni w 2015 r. Od decyzji GIODO przysługuje wniosek o ponowne rozpatrzenie sprawy, rozpatrywany znów przez GIODO – dla spraw rozpatrywanych przez NSA w 2015 r., czas oczekiwania na taką decyzje wynosił średnio 142 dni. W sumie 438 dni, czyli ponad rok. A nie można zapominać, że jeżeli w trakcie postępowania dane osobowe przetwarzane z naruszeniem prawa zostaną usunięte, takie postępowanie, jako bezprzedmiotowe, trzeba umorzyć. I to wszystko w sytuacji, gdy zgodnie z kodeksem postępowania administracyjnego załatwienie sprawy wymagającej postępowania wyjaśniającego powinno nastąpić nie później niż w ciągu miesiąca, a sprawy szczególnie skomplikowanej – nie później niż w ciągu dwóch miesięcy od dnia wszczęcia postępowania, zaś w postępowaniu odwoławczym – w ciągu miesiąca od dnia otrzymania odwołania. Mówimy więc o przekroczeniu tego czasu średnio – 10-krotnie w postępowaniu przed GIODO (jeżeli wszystkie sprawy byłyby sprawami szczególnie zawiłymi, to termin przekroczono by średnio 5-krotnie), a średnio 4-krotnie w postępowaniu odwoławczym. Rekordowa sprawa, która została rozpatrzona przez NSA w 2015 r., zajęła GIODO 1400 dni do wydania pierwszej decyzji, czyli cztery lata oczekiwania na decyzję.
Ale jeszcze bardziej interesujące są dane dotyczące postępowania sądowoadministracyjnego. Otóż średni czas oczekiwania na wyrok WSA dla spraw rozpoznanych przez NSA w 2015 r. wyniósł 276 dni, a średni czas oczekiwania na wyrok NSA dla spraw rozpoznanych w tym samym czasie to 600 dni. Prawie dwa lata. I to w sytuacji, gdy – zdaniem samego NSA – przewlekłe postępowanie to takie, które trwa ponad rok (postanowienie NSA z 7 grudnia 2016 r., I OPP 99/16). Średnio licząc, wszystkie wyroki NSA z 2015 r. dotyczące ochrony danych zapadły w postępowaniach prowadzonych przewlekle.