IX Forum Administratorów Danych Osobowych/Administratorów Bezpieczeństwa Informacji - Nowelizacja 2010 Ustawy o ochronie danych osobowych (3)

Z lekkim poślizgiem - sporo pracy, sam na froncie w pracy...

Wystąpienie jako nowy rodzaj kompetencji Generalnego Inspektora Ochrony Danych Osobowych - dr Grzegorz Sibiga (INP PAN)

Na wstępie wystąpienia autor odniósł się do wypowiedzi przedmówców. W kontekście prelekcji adw. Xawerego Konarskiego wskazał, iż w jego mniemaniu, po zmianach UoODO, ocena wniosku o udostępnienie (fakultatywne) danych osobowych wymaga zobiektywizowania. Uznał, iż przesłanka prawnie usprawiedliwionego celu (art. 23 ust. 1 pkt 2 UoODO) nie obliguje jednoznacznie ADO/ABI do udostępnienia danych wnioskodawcy. Odnosząc się do referatu dr. Jana Byrskiego - zwrócił uwagę, iż odwołanie zgody na przetwarzanie danych osobowych dotyczy celu, w jakim zgoda została pierwotnie udzielona, a nie np. sytuacji usunięcia danych - ponieważ na podstawie przepisów prawa lub wykonania umowy (udowodnienia, iż była zawarta) mogą być przetwarzane nadal do zidentyfikowania użytkownika, w celu pozostawienia w bazie danych śladu po tym, że dany użytkownik kiedyś daną zgodę wyraził, po czym ją odwołał. Zatem przetwarzanie dalsze - pomimo wycofania zgody - w takiej sytuacji wydaje się być zasadnym.

Przytaczając kompetencje GIODO (wystąpienie na mocy art. 19a ust. 1 UoODO, wystąpienie do podmiotu posiadającego inicjatywę ustawodawczą na mocy art. 19a ust. 2 UoODO), dokonał podziału ich na dwie grupy. Pierwsza - kompetencje przysługujące GIODO w dotychczasowej ustawie - czyli:

1. wydawanie decyzji administracyjnych - nakazów przywrócenia stanu zgodnego z prawem
2. zawiadomienie organów ścigania o popełnieniu przestępstwa przeciwko ochronie danych osobowych
3. żądanie wszczęcia wobec pracownika postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania w przypadku dopuszczenia do uchybień w ochronie danych osobowych

Ustawa w brzmieniu znowelizowanym przyznaje GIODO dalsze kompetencje, także w sferze egzekucji (grzywna w celu przymuszenia):

1. egzekucja obowiązków określonych w nakazach
2. wystąpienie

Istotnym jest stwierdzenie, że wszystkie powyżej wymienione - poza ostatnią - kompetencje odnoszą się de facto do działania już w sytuacji dokonania naruszenia prawa. Zmiana wydaje się słuszna - GIODO, poza interwencjami w takich sytuacjach, będzie poza kontrolą mógł działać także celowościowo. Instytucja uregulowana bowiem w nowym art. 19a UoODO to instytucja nowa i inna od dotychczasowych wystąpień GIODO, który dotychczas mógł występować jedynie w przypadkach naruszenia prawa, zaś po wejściu w życie nowelizacji - będzie mógł występować także z postulatami udoskonalania prawnych regulacji z zakresu ochrony danych osobowych. Przepis art. 19a ust. 1 UoODO nawiązuje wprost do art. 12 pkt 6 tejże ustawy - wskazującego wprost nową, opisaną wyżej rolę GIODO - inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.  

Co to zmienia z praktycznego punktu widzenia? W jeszcze obowiązującym stanie prawnym, wystąpienia GIODO w ramach jego obecnych kompetencji miały charakter czysto indywidualny, odnosiły się do konkretnych sytuacji. Wprowadzało to swego rodzaju stan niepewności - podmiot otrzymywał wytyczne, które jednocześnie nie miały mocy sprawczej: nie była to decyzja. 

Zmiana, rozszerzenie kompetencji GIODO, jest pójściem w stronę uprawnień, jakie posiada Rzecznik Praw Obywatelskich (analogicznie u Rzecznika Praw Dziecka czy Rzecznika Praw Ubezpieczonych), który poza możliwością podejmowania działań w danej sprawie, może także dokonywać wystąpień generalnych - niezwiązanych z konkretną sprawą, sytuacją, ale z zaobserwowanym lub zasygnalizowanym mu problemem w skali regionu lub kraju. Jako przykład wskazał prelegent wystąpienie RPO o zestawienie zgonów dzieci podczas zajęć wychowania fizycznego w szkołach - nie sugerując zaniedbań czy uchybień, ale zauważając problem, zagadnienie o charakterze ogólnym. Zwiększa to możliwość działania GIODO - z roli kontrolującego w konkretnych wypadkach nadużyć, do rozpatrywania także problemów w skali makro. Jednocześnie - wystąpienie, rodząc po stronie odbiorcy obowiązek zajęcia stanowiska, ustosunkowania się, nie rodzi po jego stronie obowiązku konkretnego działania. 

Prelegent wskazał także, iż wystąpienie w sprawie zapewnienia skutecznej ochrony danych osobowych:

• nie stanowi środka kontroli, a formę pokontrolnego sprawdzenia praktyki kontrolowanego po kontroli
• nie jest środkiem przywracania stanu zgodnego z prawem - do tego służy nakaz administracyjny GIODO
• nie może podlegać egzekucji - podlegają jej tylko obowiązki wynikające z decyzji GIODO

Wskazał także na główne cechy charakteryzujące wystąpienie GIODO po nowelizacji:

• uniwersalny środek zapewniania ochrony danych osobowych - duża rola  dobrych praktyk i wskazywania ich w wystąpieniu jako formy rozwiązania
• wystąpienie jest zindywidualizowane, ale dotyczyć może także kwestii generalnej
• niezależność wystąpienia od samej kontroli - może (nie musi) wystąpić przed, ale i po niej, jako forma zwrócenia uwagi, stwierdzenia wniosków po szeregu kontroli
• odbiorcą, adresatem kontroli może być każdy podmiot - nie tylko przetwarzający bezpośrednio dane, ale także mający na takie przetwarzanie wpływ

Prelegent zasugerował, iż nowy rodzaj wystąpień może być bardzo efektywnym środkiem współpracy pomiędzy GIODO a podmiotami - w sytuacji, gdy dochodzi do wystąpienia GIODO, zaś podmiot przedstawia GIODO swoją odpowiedź na wystąpienie wraz z wnioskami. 

Kończąc swoje wystąpienie - zwrócił także uwagę na problematyczną kwestię interpretacji art. 19a znowelizowanej UoODO, zarówno ze strony podmiotów, jak i GIODO - odnośnie tego, w jakich sprawach i do czego wystąpienia mogą być stosowane. Chodziło o sytuacje, gdy w podobnym stanie faktycznym odnośnie dwóch podmiotów jeden z nich otrzymuje wystąpienie GIODO, drugi zaś - decyzję - w braku precyzyjnego określenia, do jakiego momentu GIODO może kierować jedynie wystąpienia (sugestie), a w którym momencie musi sięgać po, wiążącą przecież odbiorcę, decyzję. 

Kompetencje egzekucyjne GIODO oraz postępowanie egzekucyjne prowadzone przez organy ochrony danych osobowych - dr Piotr Przybysz (WPiA UW)

Na początku prelegent zwrócił uwagę, iż w dotychczasowym stanie prawnym, GIODO wydawał decyzję administracyjną, nakładającą na podmiot pewien obowiązek - zatem powinna istnieć możliwość egzekwowania jej wykonania w braku podporządkowania się jej treści przez podmiot. Niestety, GIODO w postępowaniu egzekucyjnym w administracji nie mógł występować w żadnym charakterze. Wynikało to z dotychczasowego brzmienia art. 2 par. 1 ustawy o postępowaniu egzekucyjnym w administracji (dalej - UoPEwA), ponieważ GIODO nie został wymieniony w punkcie 10 tego przepisu. Powodowało to sytuację, w której obowiązki, nałożone decyzjami administracyjnymi GIODO nie podlegały de facto egzekucji administracyjnej. Z uwagi na to, GIODO nie wszczynał nawet postępowań egzekucyjnych, zaś Biuro GIODO stało na stanowisku, iż GIODO nie jest do tego upoważniony. Zmieniła to nowelizacja, dodając punkt 12, wprost wskazujący na GIODO. 

Dotychczasowa interpretacja art. 20 par. 2 UoPEwA wskazywała, iż jest to przepis stosowany w sytuacjach nadzwyczajnych (np. strażak, dowodzący akcją ratowniczą podczas pożaru, wydaje decyzję odnośnie usunięcia samochodu tarasującego drogę pożarową) - stąd trudno zrozumieć, czemu akurat w tym miejscu wpisany został GIODO, a nie w par. 1 tego przepisu (wskazującego na podmioty posiadające kompetencje egzekucyjne w zwykłych sytuacjach), gdzie umieszczenie go byłoby o wiele bardziej celowe. Przepis art. 20 par. 2 UoPEwA odsyła także do innych, poza tą ustawą przepisów. 

Prelegent wskazał także, jakie składniki konieczne winna zawierać decyzja GIODO w przedmiocie nakazania przywrócenia stanu zgodnego z prawem - mianowicie: co powinno się zrobić, a od czego się powstrzymać - jasno, precyzyjnie, bez niepewności odnośnie sposobu i rodzaju powinnego zachowania. 

Zwrócił także uwagę na orzeczenie WSA w Warszawie z 03.06.2004, wydane w sprawie II SA/Wa 225/04 (niepubl.) - uznając, iż GIODO posiada kompetencje do wystawienia tytułu wykonawczego i skierowania go do egzekucji. Przy tej okazji zwrócił uwagę na swego rodzaju dwojaką rolę GIODO - który w postępowaniu egzekucyjnym w administracji jest jednocześnie:

1. wierzycielem - jako organ administracji
2. organem egzekucyjnym - od momentu doręczenia z urzędu dłużnikowi odpisu tytułu wykonawczego z pouczeniem o możliwości złożenia zarzutów

Istotne jest sprecyzowanie, jakie - w takiej sytuacji - na GIODO ciążą obowiązki względem wierzyciela w toku postępowania egzekucyjnego w administracji:

1. upomnienie
2. wystawienie tytułu wykonawczego - obowiązkowe wskazanie adresatowi, że ciąży na nim obowiązek, który ma wykonać w terminie 7 dni; tytuł wykonawczy - żadna decyzja z pieczątką klauzuli; wyraźnie wskazana treść obowiązku literalnie tak, jak w decyzji (bez zmian czy uszczegółowień)
3. skierowanie wystawionego tytułu egzekucyjnego do egzekucji.

Zgodnie z art. 117 UoPEwA, przy egzekucji tytułów wykonawczych GIODO można stosować tylko środki dopuszczalne przy egzekucji świadczeń niepieniężnych. Możliwe jest sformułowanie obowiązku w stosunku do dłużnika jedynie ustnie, bez doręczania czegokolwiek na piśmie - co z punktu widzenia dłużnika jest niekorzystne, a wręcz można powiedzieć, że naruszające Konstytucję RP (obowiązek może być bardzo złożony i skomplikowany - zatem na jakiej podstawie pozbawić adresata możliwości zapoznania się z nim na piśmie, na spokojnie?), jako że KPA dopuszcza wydawanie decyzji ustnych, ale jedynie w sprawach prostych.

Interesująco przedstawia się kwestia środków egzekucyjnych, jakimi dysponuje GIODO - bowiem przy egzekucji jego decyzji odpada możliwość stosowania grzywny w celu przymuszenia oraz odebrania (...) - bo i czego, i w jaki sposób? Nie pasuje jakby także grzywna w celu przymuszenia - zgodnie z art. 20 par. 2 UoPEwA - jednak jest dopuszczalna. Nakładana jest ona w drodze decyzji administracyjnej, i to nie tylko na podmiot, ale także na tego, kto jest zobowiązany do czuwania nad wykonaniem obowiązków, których decyzja dotyczy. Osobną kwestią pozostaje sprawa adekwatności stawek grzywny - wskazanych w art. 120 UoPEwA - szczególnie w wypadku karania podmiotów prowadzących działalność na szeroką skalę, wielkich spółek. Może się bowiem okazać, że kwoty będą zbyt niskie i groźba konieczności ich uregulowania nie będzie stanowiła żadnej dolegliwości dla takiego podmiotu, co przecież jest głównym celem, który ma zmobilizować do zmiany postępowania. 

Dalszym środkiem egzekucyjnym jest wykonanie zastępcze czyli możliwość zlecenia innej osobie wykonania zobowiązania podmiotu, na koszt podmiotu. Możliwe jest zobowiązanie podmiotu z góry do wpłacenia zaliczki na poczet kosztów wykonania zastępczego, a także do dostarczenia posiadanej przez podmiot dokumentacji. I wreszcie ostatni środek - przymus bezpośredni, stosowany jako ostateczność, gdy pozostałe środki egzekucyjne zawodzą. Ważne jest sformułowanie określone w przepisie, mówiące o bezpośrednio skutecznych środkach - co jest ważne z punktu widzenia efektu końcowego.