Ustawa z 10 maja 2018 r. o ochronie danych osobowych (cz. 4)

W czwartej części komentarza do ustawy o ochronie danych osobowych przedstawione zostaną przepisy regulujące postępowanie administracyjne prowadzone przez prezesa UODO w sprawach naruszenia przepisów normujących tę materię. Komentarz obejmuje art. 60–70 ww. ustawy. Stanowią one w przeważającej części modyfikacje w stosunku do ogólnych zasad postępowania znanych z ustawy z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t.j. Dz.U. z 2017 r. poz. 1257 ze zm.). Dotyczy to przykładowo terminów załatwiania spraw czy też wysokości oraz przesłanek nakładania kar grzywny.

W tej części komentarza omówione zostaną także instytucje powiązane z przepisami krajowymi, a znane z ogólnego rozporządzenia o ochronie danych, takie jak chociażby ograniczenie przetwarzania danych oraz zasady ochrony tajemnic prawnie chronionych. Konieczne będzie również sięgnięcie do instytucji ogólnego postępowania administracyjnego, stanowiących punkt wyjścia do dalszych rozważań. Zaprezentowane zostaną zatem m.in. zasady udziału organizacji społecznych w postępowaniu prowadzonym przez prezesa UOD, zawiadamianie stron w drodze publicznego obwieszczenia oraz ogólne przepisy o porządkowej karze grzywny.

Część piąta komentarza zostanie natomiast poświęcona dalszych przepisom z zakresu postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, europejskiej współpracy administracyjnej w zakresie ochrony danych osobowych, a także ogólnym zasadom kontroli przestrzegania przepisów prawa, która może być prowadzona przez prezesa UODO.©℗

Poprzednie części komentarza ukazały się:

• cz. 1 – 19 czerwca 2018 r. (DGP nr 117)

• cz. 2 – 24 lipca 2018 r. (DGP nr 142)

• cz. 3. – 21 sierpnia 2018 r. (DGP nr 161)

Kolejna część komentarza ukaże się 23 października 2018 r.

TYDZIEŃ Z KOMENTARZAMI – baza publikacji

W tygodniku Firma i Prawo komentowaliśmy ustawy:

• z 2 lipca 2004 r. o swobodzie działalności gospodarczej

• z 5 lipca 2001 r. o cenach

• z 29 sierpnia 1997 r. o ochronie danych osobowych

• z 16 września 1982 r. – Prawo spółdzielcze

• z 3 lutego 1995 r. o ochronie gruntów rolnych i leśnych

• z 8 marca 2013 r. o terminach zapłaty w transakcjach handlowych

• z 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym

• z 12 grudnia 2012 r. o ogólnym bezpieczeństwie produktów

• z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji

• z 14 grudnia 2012 r. o odpadach

• z 30 maja 2014 r. o prawach konsumenta

• z 6 września 2001 r. o transporcie drogowym

• z 15 maja 2015 r. – Prawo restrukturyzacyjne

• z 29 stycznia 2004 r. – Prawo zamówień publicznych

• z 20 lipca 2017 r. – Prawo wodne

• z 23 kwietnia 1964 r. – Kodeks cywilny (wyciąg dotyczący rękojmi i gwarancji)

Przeoczyłeś tygodnik? Znajdziesz go w wydaniach dgp na www.edgp.gazeta prawna.pl

Michał Koralewski

radca prawny

 

Rozdział 7

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

Art. 60. [Organ właściwy]

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej „postępowaniem”, jest prowadzone przez Prezesa Urzędu.

komentarz

• Postępowania prowadzone przez prezesa UODO. W rozdziale 7 ustawy o ochronie danych osobowych (dalej: u.o.d.o.) uregulowane zostało jedno z pięciu postępowań administracyjnych prowadzonych przez prezesa UODO, w praktyce jedno z najważniejszych dla szerokiego kręgu administratorów danych oraz podmiotów przetwarzających. Udzielanie akredytacji, dokonywanie certyfikacji czy też zatwierdzanie kodeksów postępowania – chociaż istotne z punktu widzenia całego systemu ochrony danych osobowych – dotyczy tylko wąskiego grona podmiotów. Natomiast stroną postępowania w sprawie naruszenia przepisów o ochronie danych osobowych – może stać się każda osoba zobowiązana do ich stosowania.
• Lex specialis. W tym miejscu przypomnieć należy, że prezes UODO, będąc organem administracji publicznej, stosuje przepisy proceduralne zawarte w kodeksie postępowania administracyjnego – z tym zastrzeżeniem, że o ile przepisy komentowanej ustawy nie stanowią inaczej. I tak piętnaście kolejnych artykułów rozdziału 7 wprowadza odmienności względem ogólnego postępowania administracyjnego. Regulacje te stanowią zatem tzw. lex specialis względem przepisów kodeksu postępowania administracyjnego, uzyskując nad tymi ostatnimi pierwszeństwo stosowania. Więcej na ten temat zobacz w komentarzu do art. 7 ustawy o ochronie danych osobowych.
• Zadania prezesa UODO. Komentowany artykuł w zasadzie można byłoby uznać za zbędny, bowiem już z treści przywołanego powyżej art. 7 ust. 1 u.o.d.o. wynika, że postępowania administracyjne, o których mowa w rozdziałach 4–7 oraz 11 komentowanej ustawy, toczą się przed prezesem UODO.

Przepisy te przesądzają o właściwości rzeczowej krajowego organu nadzorczego w normowanych w ich treści sprawach. Wspomnieć zatem należy także o właściwości miejscowej. Ta wynika zaś z RODO. I tak zgodnie z art. 55 ust. 1 każdy z organów nadzorczych jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z przywołanym rozporządzeniem na terytorium swojego państwa członkowskiego. Przypadek szczególny dotyczy sytuacji transgranicznego przetwarzania danych osobowych, która to jednakże zostanie omówiona przy okazji komentowania przepisów kolejnego rozdziału ustawy o ochronie danych osobowych. Na marginesie należy również dodać, że organy nadzorcze nie są nigdy właściwe do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości.

Przepisy rozdziału 7 ustawy oraz uzupełniające je w zakresie nieuregulowanym regulacje kodeksu postępowania administracyjnego nie odnoszą się wprost do konkretnych zadań oraz uprawnień prezesa UODO w zakresie nadzorowania przestrzegania przepisów o ochronie danych osobowy – te bowiem wynikają wprost z RODO. Prezes UODO zobowiązany jest zatem do:

– monitorowania i egzekwowania właściwego stosowania tychże przepisów;

– rozpatrywania skarg wniesionych przez osoby, których dane dotyczą, lub przez podmiot, organizację lub zrzeszenie oraz prowadzenia postępowań w przedmiocie tychże skarg;

– prowadzenie postępowań w sprawie stosowania RODO, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego;

– prowadzenia wewnętrznego rejestru naruszeń RODO oraz podjętych działań naprawczych.

• Uprawnienia prezesa UODO. Jeszcze większe znaczenie ma zakres uprawnień organu nadzorczego w toku toczącego się przed nim postępowania. Prezes UODO może zatem:

– nakazać administratorowi danych i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych mu do realizacji swoich zadań;

– prowadzić postępowanie w formie audytów ochrony danych;

– dokonywać przeglądu udzielonych certyfikacji;

– zawiadamiać administratora danych lub podmiotu przetwarzającego o podejrzeniu naruszenia niniejszego rozporządzenia;

– uzyskiwać od administratora danych i podmiotu przetwarzającego dostęp do wszelkich danych osobowych i wszelkich informacji niezbędnych mu do realizacji jego zadań;

– uzyskiwać dostęp do wszystkich pomieszczeń administratora danych i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z ustalonymi procedurami.

• Katalog sankcji. Wbrew powszechnemu mniemaniu po stwierdzeniu przez prezesa UODO, że doszło do naruszenia przepisów o ochronie danych osobowych, nie zawsze dojdzie do nałożenia kary pieniężnej na administratora danych lub podmiot przetwarzający. Przepisy przyznają bowiem organom nadzorczym rozbudowany wachlarz uprawnień względem ww. podmiotów, do którego należą następujące instrumenty:

– wydawanie ostrzeżeń administratorowi danych lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów poprzez planowane przez te podmioty operacje przetwarzania;

– udzielanie upomnień administratorowi danych lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów przez operacje przetwarzania;

– nakazanie administratorowi danych lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy przepisów RODO;

– nakazanie administratorowi danych lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO, a w stosownych przypadkach wskazanie sposobu i terminu;

– nakazanie administratorowi danych zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

– nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;

– cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcie certyfikacji (albo nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane);

– nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

• Wszczęcie postępowania. Na gruncie przepisów proceduralnych postępowanie w sprawie naruszenia ustawy o ochronie danych osobowych wszczynane będzie przez prezesa UODO w oparciu o:

– informacje otrzymane od organów nadzorczych z innych państw członkowskich albo od innych organów publicznych;

– skargi składane przez osoby, których dane osobowe podlegały przetwarzaniu przez dany podmiot;

– informacje uzyskane przez prezesa UODO w trakcie innych prowadzonych przez niego postępowań, np. czynności sprawdzających prowadzonych w celu oceny spełnienia kryteriów certyfikacji (zob. komentarz do art. 24 u.o.d.o.) czy też kontroli przestrzegania przepisów o ochronie danych osobowych (zob. rozdział 9 u.o.d.o.);

– informacje i doniesienia pochodzące z innych źródeł, np. prasy bądź audycji radiowych i telewizyjnych.

Poszczególne odmienności postępowania administracyjnego prowadzonego przez prezesa UODO w ww. zakresie względem ogólnych zasad wynikających z kodeksu postępowania administracyjnego omówione zostaną w komentarzach do kolejnych artykułów rozdziału 7 ustawy o ochronie danych osobowych.

Art. 61. [Występowanie organizacji społecznej w postępowaniu]

Organizacja społeczna, o której mowa w art. 31 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, może również występować w postępowaniu za zgodą osoby, której dane dotyczą, w jej imieniu i na jej rzecz.

komentarz

• Udział organizacji społecznej. Komentowany artykuł odnosi się do jednego z uprawnień przyznanych organizacjom społecznym w zakresie ich udziału w postępowaniach mających za przedmiot naruszenie przepisów o ochronie danych osobowych.

Już z jego brzmienia wynika, że nie zawiera on pełnego katalogu praw tego typu organizacji – o czym świadczy posłużenie się przez ustawodawcę zwrotem „może również”, a także nie zawiera ani definicji pojęcia „organizacja społeczna”, ani też katalogu tychże jednostek organizacyjnych uprawnionych do występowania w ww. postępowaniu. Do pełnego określenia zarówno podmiotowego, jak i przedmiotowego znaczenia art. 61 ustawy konieczne jest sięgnięcie do RODO oraz polskiego kodeksu postępowania administracyjnego.

• Postanowienia RODO. Pierwszy ze wskazanych aktów prawnych – w art. 80 – określa dwie grupy uprawnień „organizacji społecznych”. Pojęcie to nie zostało bowiem wprost użyte na gruncie ogólnego rozporządzenia o ochronie danych osobowych, które to posługuje się określeniem opisowym: „podmioty, organizacje lub zrzeszenia – które nie mają charakteru zarobkowego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych”.

RODO przyznaje wskazanym jednostkom następujące uprawnienia związane z uczestnictwem w postępowaniach toczących się na gruncie przepisów o ochronie danych osobowych:

a) wniesienie w imieniu osoby, której dane są przetwarzane, skargi oraz wykonywanie w jej imieniu praw, o których mowa w: art. 77 (prawo do wniesienia skargi do organu nadzorczego), art. 78 (prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu) i art. 79 (prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu) RODO; oraz żądanie w jej imieniu odszkodowania, o którym mowa w art. 82 RODO (odszkodowanie za szkodę majątkową lub niemajątkową powstałą w wyniku naruszenia rozporządzenia), jeżeli przewiduje to prawo państwa członkowskiego (zob. art. 80 ust. 1 RODO);

b) wniesienie we własnym imieniu skargi do organu nadzorczego oraz samodzielne wykonywanie praw, o których mowa w art. 78 i 79 RODO, jeżeli organizacja taka uzna, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z RODO, o ile takie uprawnienie zostało przewidziane w regulacjach krajowych właściwego państwa członkowskiego (zob. art. 80 ust. 1 RODO).

Innymi słowy uprawnienia wskazane w lit. a) odnoszą się do reprezentowania przez organizację społeczną osoby, której dane dotyczą. W takim przypadku organizacja ta występuje w roli pełnomocnika takiej osoby fizycznej. Natomiast sytuacja opisana w lit. b) obejmuje uprawnienia organizacji non profit do inicjowania oraz uczestnictwa na prawach strony we wskazanych postępowaniach. W tym przypadku organizacja występuje zatem w imieniu własnym, nie zaś jako pełnomocnik osoby, której dane dotyczą.

Co ważne, RODO nie stanowi bezpośredniej podstawy prawnej do podejmowania ww. działań przez przywołane powyżej podmioty. Dana organizacja bądź zrzeszenie może korzystać wyłącznie z uprawnień przyznanych jej na gruncie prawa krajowego państw członkowskich. Omawiany art. 80 RODO pozostawia bowiem państwom członkowskim decyzję w przedmiocie określenia uprawnień podmiotów non profit działających w dziedzinie ochrony praw i wolności osób, których dane dotyczą.

• Regulacje krajowe. Powyższe odnieść należy do treści komentowanego art. 61 ustawy o ochronie danych osobowych. Wynika z niego, że organizacja społeczna „może również występować w postępowaniu za zgodą osoby, której dane dotyczą, w jej imieniu i na jej rzecz”. Przepis ten zatem odwołuje się do uprawienia podmiotów non profit wskazanego powyżej w lit. a) i wynikającego z art. 80 ust. 1 RODO. [wzór]

wzór

Wzór upoważnienia stowarzyszenia do reprezentacji

Warszawa, 2 września 2018 r.

Prezes Urzędu Ochrony Danych Osobowych

ul. Stawki 2

00-193 Warszawa

 

Strona postępowania:

Jan Kowalski

zam. ul. Krakowska 1

Kraków

Administrator danych:

ABCD spółka z o.o.

ul. Poznańska 1

Poznań

 

Organizacja społeczna:

Stowarzyszenie osób poszkodowanych w toku

przetwarzania danych osobowych

ul. Gdańska 1

Gdańsk

Zgoda na występowanie w postępowaniu przed Prezesem Urzędu Ochrony Danych Osobowych

Działając w imieniu własnym, jako osoba, względem której miało miejsce naruszenie jej praw w zakresie ochrony danych osobowych, wyrażam zgodę oraz upoważniam Stowarzyszenie osób poszkodowanych w toku przetwarzania danych osobowych do wszczęcia oraz występowania w moim imieniu oraz na moją rzecz w postępowaniu o naruszenie przepisów o ochronie danych osobowych przez ABCD spółkę z o.o.

Spółka ABCD sp. z o.o., pomimo wystąpienia do niej o usunięcie moich danych osobowych, nie uczyniła tego, co więcej nie podała podstawy prawnej legalnego przetwarzania moich danych osobowych. W mojej ocenie podstawa taka nie istnieje, gdyż spółka ta nie dysponuje moją zgodą, a nadto wniosłem sprzeciw przeciwko przetwarzaniu moich danych osobowych na cele marketingowe. Nie zachodzą również inne przesłanki wskazane w art. 6 ust. 1 RODO.

Stowarzyszenie osób poszkodowanych w toku przetwarzania danych osobowych z siedzibą w Gdańsku zajmuje się natomiast kompleksową pomocą osobom poszkodowanym przez administratorów danych oraz inne osoby uczestniczące w przetwarzaniu danych osobowych. Co daje najlepszą gwarancję reprezentowania moich interesów w postępowaniu ze skargi na ww. administratora danych osobowych.

Jan Kowalski

Należy w tym miejscu wspomnieć o samej definicji organizacji społecznych na gruncie polskiego prawa administracyjnego. Zgodnie z art. 5 par. 2 pkt 5 k.p.a. rozumie się przez to organizacje zawodowe, samorządowe, spółdzielcze i inne organizacje społeczne.

• Przesłanki udziału organizacji społecznej. Użycie w cytowanym artykule zwrotu „może również” świadczy o tym, iż organizacje społeczne posiadają także inne kompetencje w tym zakresie. Tak też jest faktycznie, niemniej jednak kompetencje te uregulowano w art. 31 kodeksu postępowania administracyjnego [k.p.a.]. Stanowi on mianowicie, że organizacja społeczna w sprawie dotyczącej innej osoby może występować z żądaniem wszczęcia postępowania albo dopuszczenia jej do udziału w postępowaniu, jeżeli jest to uzasadnione celami statutowymi tej organizacji i gdy przemawia za tym interes społeczny. Z treści art. 31 par. 1 k.p.a. wynika zatem, iż uwzględnienie opartego na tym przepisie żądania organizacji społecznej uzależnione jest od kumulatywnego spełnienia dwóch przesłanek, które podlega ocenie właściwego organu administracji, przy czym niespełnienie chociażby jednej z nich powoduje, że organ winien odmówić wszczęcia postępowania czy dopuszczenia organizacji do udziału we wszczętym już postępowaniu (zob. wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 28 lipca 2016 r., sygn. akt VII SA/Wa 2199/15). Po pierwsze, musi istnieć merytoryczne powiązanie przedmiotu postępowania administracyjnego z celami i zakresem działania organizacji społecznej. Organ powinien zatem ocenić, czy między celami statutowymi organizacji społecznej a przedmiotem sprawy administracyjnej rozstrzyganej w drodze decyzji administracyjnej istnieje powiązanie merytoryczne w sensie prawnym, a nie tylko faktycznym. Przy czym nawet wtedy, gdy udział organizacji społecznej w postępowaniu jest uzasadniony jej celami statutowymi, organ administracji publicznej może uznać żądanie organizacji społecznej za niezasadne ze względu na interes społeczny (zob. wyrok Wojewódzkiego Sądu Administracyjnego w Krakowie z 30 maja 2018 r., sygn. akt II SA/Kr 533/18). Należy zatem wskazać, że dana organizacja działa w dziedzinie ochrony praw i wolności osób, których dane dotyczą.

Po wtóre konieczne jest dokładne określenie interesu społecznego uzasadniającego udział danej organizacji w postępowaniu. Nie wystarczy bowiem ogólnikowe sformułowanie przez organizację społeczną, że działa w interesie społecznym, powoływanie się na ochronę danej zbiorowości bądź określonych jej uprawnień, gdyż są to cele wskazane bardzo ogólnie i na tej zasadzie każda organizacja musiałaby być dopuszczona do udziału w każdym postępowaniu. Chodzi o to, aby powołując się na interes społeczny, który jest interesem ogólnym, organizacja nie używała ogólnikowych stwierdzeń, lecz wskazywała konkretne okoliczności faktyczne, prawne, które mogą świadczyć o tym, że powinna w tym postępowaniu uczestniczyć. Przy czym nie muszą to być okoliczności rzeczywiste, ale również takie, które mogą zaistnieć (zob. wyrok Naczelnego Sądu Administracyjnego z 25 października 2016 r., sygn. akt II OSK 107/15). W realiach spraw z zakresu ochrony danych osobowych ww. interes organizacji społecznej wystąpiłby zatem w szczególności, gdy naruszenie przepisów normujących tę ochronę niosłoby bądź mogłoby nieść negatywne skutki dla określonej grupy społecznej. Przykładowo, wyciek danych osobowych z ogólnopolskiej bazy klientów dużej firmy.

• Uprawnienia organizacji. Organizacja społeczna, która skorzystała z jednego z ww. uprawnień, uczestniczy w postępowaniu na prawach strony. Oznacza to, że może:

– składać wnioski oraz

– uczestniczyć w czynnościach urzędowych na równi z osobą, której dane dotyczą.

Nadto organizacja społeczna w zakresie jej statutowej działalności w sprawach dotyczących interesów prawnych innych osób jest uprawniona – o ile brała udział w postępowaniu administracyjnym – do wniesienia skargi na decyzję prezesa UODO do wojewódzkiego sądu administracyjnego. Co więcej, k.p.a. wskazuje na dalsze dwa uprawnienia organizacji społecznych, o których nie wspomina RODO:

– organ administracji publicznej – w tym przypadku zatem prezes UODO, wszczynając postępowanie w sprawie dotyczącej innej osoby, może zawiadomić o tym organizację społeczną, jeżeli uzna, że może ona być zainteresowana udziałem w tym postępowaniu ze względu na swoje cele statutowe, i gdy przemawia za tym interes społeczny,

– organizacja społeczna, która nie uczestniczy w postępowaniu na prawach strony, może za zgodą organu administracji publicznej przedstawić temu organowi swój pogląd w sprawie, wyrażony w uchwale lub oświadczeniu jej organu statutowego.

• Brak możliwości występowania przeciwko administratorom. Na zakończenie wrócić należy ponownie do art. 80 RODO. Wymienia on trzy uprawnienia, które mogą zostać przyznane organizacjom non profit. Polski ustawodawca przyznał organizacjom społecznym prawo do inicjowania postępowania w sprawie naruszenia przepisów o ochronie danych osobowych oraz prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu (tj. wniesienia skargi na prezesa UODO do sądu administracyjnego).

Ustawodawca krajowy nie przyznał natomiast organizacjom społecznym działającym w zakresie ochrony danych osobowych uprawnień w zakresie prawa do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu. Organizacje te zatem nie mogą ani wszczynać tego typu postępowań, ani występować w nich w roli pełnomocnika osoby, której dane dotyczą. Co prawda polski kodeks postępowania cywilnego dopuszcza udział organizacji pozarządowych w postępowaniu cywilnym, niemniej ograniczone to zostało do organizacji działających w zakresie określonego w tym kodeksie rodzaju spraw (zob. art. 61 k.p.c.). Wśród nich natomiast nie wymieniono dziedziny ochrony praw i wolności osób, których dane dotyczą. Organizacje społeczne działające na tym polu nie zostały także wskazane w przepisach określających podmioty mogące pełnić rolę pełnomocników procesowych (zob. art. 87 k.p.c.).

Art. 62. [Niezałatwienie sprawy w terminie przez Prezesa UODO]

W przypadku, o którym mowa w art. 36 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, Prezes Urzędu, zawiadamiając strony o niezałatwieniu sprawy w terminie, jest obowiązany również poinformować o stanie sprawy i przeprowadzonych w jej toku czynnościach.

komentarz

• Odmienność od regulacji ogólnych. Artykuł 62 komentowanej ustawy jest kolejnym przejawem odmienności postępowania administracyjnego prowadzonego przez prezesa UODO względem ogólnych zasad zawartych w kodeksie postępowania administracyjnego.

W pierwszej kolejności konieczne jest zatem krótkie omówienie art. 36 k.p.a. Zgodnie z nimi o każdym przypadku niezałatwienia sprawy w terminie organ administracji publicznej jest zobowiązany zawiadomić strony, podając przyczyny zwłoki, wskazując nowy termin załatwienia sprawy oraz pouczając o prawie do wniesienia ponaglenia. Co ważne, ten sam obowiązek ciąży na organie administracji publicznej również w przypadku zwłoki w załatwieniu sprawy z przyczyn niezależnych od tegoż organu.

• Wymóg nałożony na prezesa UODO. W ustawie o ochronie danych osobowych obowiązek przewidziany w cytowanym art. 36 k.p.a. został uzupełniony o nałożenie na prezesa UODO dodatkowego obowiązku. Prócz zatem konieczności powiadomienia strony o tym, że sprawa nie zostanie załatwiona w ustawowym terminie oraz wskazania nowego terminu jej załatwienia, organ nadzorczy jest zobligowany do poinformowania stron o bieżącym stanie danej sprawy oraz o przeprowadzonych dotychczas czynnościach.

Powyższe rozszerzenie obowiązków prezesa UODO nie stanowi samodzielnej inicjatywy ustawodawcy krajowego, a jedynie ma na celu zapewnienie prawidłowego oraz pełnego stosowania przepisów RODO. Te ostatnie bowiem przewidują, że jeżeli organ nadzorczy nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi, skarżący ma prawo wniesienia skargi do sądu. W realiach polskiej procedury sądowo-administracyjnej skarżącemu przysługiwałaby skarga na bezczynność organu do sądu administracyjnego. Instytucja ta została szczegółowo omówiona w komentarzu do art. 30 ustawy o ochronie danych osobowych (zamieszczonym w części II niniejszego komentarza praktycznego).

• Terminy na załatwienie spraw przez prezesa UODO. Kolejną kwestią wymagającą omówienia stanowią ustawowe terminy do załatwiania spraw w postępowaniach administracyjnych prowadzonych przez prezesa UODO. Przypomnijmy, że zgodnie z ogólnymi zasadami postępowania administracyjnego organ administracji publicznej ma obowiązek załatwienia sprawy wymagającej postępowania wyjaśniającego nie później niż w ciągu miesiąca, a sprawy szczególnie skomplikowanej nie później niż w ciągu dwóch miesięcy od dnia wszczęcia postępowania (zob. art. 35 k.p.a.).

Zarówno komentowana ustawa, jak również RODO wprowadza w kilku przypadkach dłuższe terminy do załatwienia sprawy przez krajowe organy nadzorcze. I tak na gruncie ustawy krajowej przewidziano, że:

– prezes UODO albo podmiot certyfikujący rozpatruje wniosek o certyfikację i w terminie nie dłuższym niż trzy miesiące od dnia złożenia wniosku (zob. art. 18 ust. 1 ustawy),

– prezes urzędu rozpatruje wniosek o udzielenie akredytacji do monitorowania przestrzegania zatwierdzonego kodeksu postępowania w terminie nie dłuższym niż trzy miesiące od dnia złożenia wniosku (zob. art. 30 ust. 1 ustawy).

Ogólne rozporządzenie o ochronie danych osobowych przewiduje natomiast następujące terminy załatwiania poszczególnych spraw w nim wskazanych:

– trzy miesiące – na rozpoznanie skargi na naruszenie przepisów o ochronie danych osobowych albo poinformowanie osoby, której dane dotyczą, o postępach lub efektach rozpatrywania jej skargi;

– osiem tygodni – od wpłynięcia wniosku o uprzednie konsultacje na udzielenie przez krajowy organ nadzorczy administratorowi danych, a gdy ma to zastosowanie, także podmiotowi przetwarzającemu pisemnego zalecenia lub skorzystanie z innych uprawnień przez ten organ. Okres ten może zostać wszakże przedłużony o kolejne sześć tygodni ze względu na złożony charakter zamierzonego przetwarzania. Organ nadzorczy informuje w takim wypadku administratora danych (a gdy ma to zastosowanie, także podmiot przetwarzający) o takim przedłużeniu w terminie miesiąca od wpłynięcia wniosku o konsultacje z podaniem przyczyn tego opóźnienia. Co ważne, organ nadzorczy może również zawiesić bieg tych terminów do czasu uzyskania przez siebie wszelkich informacji, których zażądał do celów konsultacji.

• Terminy dla europejskich organów nadzorczych wynikające z RODO. Na marginesie należy dodać, że RODO wprowadza również terminy dla organów nadzorczych uczestniczących w procedurze europejskiej współpracy administracyjnej. Do tychże terminów komentowany artykuł nie znajdzie zastosowania. Niemniej jednak fakt wszczęcia takiego postępowania, a także uchybienie bądź wydłużenie terminu przez inny organ nadzorczy albo Europejską Radę Ochrony Danych będzie mogło stanowić uzasadnioną przyczynę do przedłużenia postępowania krajowego. Tę zaś, w myśl dyspozycji art. 36 k.p.a., należy wskazać w zawiadomieniu strony o niezałatwieniu sprawy w terminie. Co więcej, wskazane powyżej okoliczności mogą uzasadniać powołanie się przez prezesa UODO na art. 36 par. 2 k.p.a., czyli powstanie zwłoki w załatwieniu sprawy z przyczyn niezależnych od tegoż organu.
• Wydłużenie terminu przez administratora. Omawiana regulacja, pozwalająca na faktyczne wydłużenie terminu do załatwienia danej sprawy, nie ma zastosowania do terminów obowiązujących administratora danych oraz podmiot przetwarzający. Przy czym RODO w kilku przypadkach przewiduje bardzo zbliżone instytucje, mające na celu wydłużenie terminów również i dla tych podmiotów. Ma to miejsce w następujących przypadkach:

– co do zasady administrator danych bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania od osoby, której dane dotyczą,udziela tej osobie informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22 RODO (m.in. prawo dostępu do danych osobowych, prawo sprostowania danych, prawo do ograniczenia przetwarzania danych, prawo do przenoszenia danych osobowych). W razie potrzeby administrator danych może wszakże przedłużyć termin ten o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W takim przypadku – w terminie miesiąca od otrzymania żądania – administrator danych ma obowiązek poinformować osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy (zob. art. 12 ust. 3 RODO);

– natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator danych powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki (zob. art. 33 ust. 1 RODO).

Należy pamiętać o tym, że administrator danych chcący skorzystać z przedłużenia czasu na załatwienie konkretnej sprawy w piśmie kierowanym do osoby, której dane dotyczą, bądź też do prezesa UODO, powinien jako podstawę prawną wskazać właściwy przepis ogólnego rozporządzenia o ochronie danych osobowych, nie zaś art. 62 komentowanej ustawy bądź art. 36 k.p.a.

Art. 63. [Żądanie tłumaczenia dokumentacji na język polski]

Prezes Urzędu może żądać od strony przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez stronę. Tłumaczenie dokumentacji strona jest obowiązana wykonać na własny koszt.

komentarz

• Nowe uprawnienie prezesa UODO. Posłużenie się dokumentem sporządzonym w innym języku aniżeli język polski jest co do zasady dozwolone. Sytuacja taka może powstać co najmniej w kilku przypadkach:

– gdy administratorem danych osobowych lub podmiotem przetwarzającym jest osoba bądź jednostka organizacyjna mająca swoją siedzibę oraz miejsce prowadzenia działalności w innym państwie;

– w przypadku gdy strona dysponuje dokumentacją wydaną jej przez organ nadzorczy innego państwa członkowskiego Unii Europejskiej;

– jeżeli skarżący przedkłada dowody mające w jego ocenie świadczyć o naruszeniu jego uprawnień przez podmiot prowadzący działalność w innym państwie;

– gdy podmiot powołuje się na fakt stosowania wiążących reguł korporacyjnych bądź uzyskanie certyfikacji w innym państwie członkowskim Unii Europejskiej;

– do polskiego organu nadzorczego wnosi skargę osoba władająca innym językiem aniżeli polski.

Co ważne, przepis ten nie ogranicza się wyłącznie do kompetencji prezesa UODO względem administratora danych osobowych i podmiotu przetwarzającego, ale dotyczy wszystkich stron postępowania prowadzonego przez ten organ. Obowiązek przedłożenia stosownych tłumaczeń może zostać zatem nałożony również na osobę występującą do prezesa UODO ze skargą.

Geneza komentowanego przepisu wynika natomiast z ustawy z 7 października 1999 r. o języku polskim (t.j. Dz.U. z 2018 r., poz. 931: dalej: u.o.j.p.). W myśl bowiem art. 4 u.o.j.p. język polski jest językiem urzędowym, do którego stosowania zobligowane są m.in. organy administracji publicznej.

• Koszt tłumaczenia. Zgodnie ze zdaniem drugim – tłumaczenie dokumentacji strona jest obowiązana wykonać na własny koszt.
• Charakter uprawnienia. Komentowana regulacja nie nakazuje jednakże każdorazowego zwracania się przez prezesa UODO o przedłożenie takowego tłumaczenia. Artykuł 63 ustawy daje prezesowi UODO jedynie taką kompetencję. Co oznacza, iż może on odstąpić od zobowiązywania strony postępowania do przedłożenia tłumaczenia dokumentacji sporządzonej w języku obcym. Mamy tu zatem do czynienia z luzem decyzyjnym (uznaniem administracyjnym). Przepis ten daje zatem organowi administracji możliwość wyboru, a każdy wybór mieszczący się w ramach upoważnienia ustawowego będzie, co do zasady, zgodny z prawem, który nie może być zakwestionowany przez sąd administracyjny. Kontrolując akty swobodne, sąd administracyjny może więc tylko badać, czy nie zostały przekroczone granice uznania i czy podjęte rozstrzygnięcie nie było dowolne (więcej na ten temat zob. uzasadnienie wyroku Wojewódzkiego Sądu Administracyjnego w Szczecinie z 28 kwietnia 2016 r., sygn. akt I SA/Sz 194/16 i wskazana tam literatura).

Prezes UODO powinien każdorazowo oceniać okoliczności danej sprawy administracyjnej, mając dodatkowo na względzie zdanie drugie komentowanego artykułu. Zgodnie z nim bowiem tłumaczenie dokumentacji strona jest obowiązana wykonać na własny koszt.

Dodatkowo wskazać należy na ogólne zasady postępowania administracyjnego, które mają zastosowanie także względem prezesa UODO będącego przecież organem administracji publicznej. Powinien on zatem posiłkowo kierować się takimi zasadami, jak:

– zasadą pogłębiania zaufania obywateli do państwa, zgodnie z którą organy prowadzą postępowanie w sposób budzący zaufanie jego uczestników do władzy publicznej, kierując się zasadami proporcjonalności, bezstronności i równego traktowania (art. 8 par. 1 k.p.a.) – nałożenie obowiązku przedłożenia tłumaczenia dokumentacji sporządzonej w języku obcym powinno spełniać ww. przesłanki, w szczególności zaś być działaniem proporcjonalnym do celu danego postępowania;

– zasadą stosowania utrwalonej praktyki rozstrzygania spraw, w myśl której organy administracji publicznej bez uzasadnionej przyczyny nie odstępują od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym (art. 8 par. 2 k.p.a.). W kontekście zlecania tłumaczenia dokumentacji prezes UODO powinien zatem kierować się wypracowaną praktyką postępowania. Nie może zatem w analogicznych sprawach postępować odmiennie, o ile nie zachodzą szczególne okoliczności przemawiające za odstąpieniem od dotychczasowej praktyki;

– zasadą przekonywania, która stanowi, że organy administracji publicznej powinny wyjaśniać stronom zasadność przesłanek, którymi kierują się przy załatwieniu sprawy, aby w ten sposób w miarę możności doprowadzić do wykonania przez strony decyzji bez potrzeby stosowania środków przymusu (art. 11 k.p.a.). Zobowiązanie strony do przedłożenia tłumaczenia powinno zatem znajdować obiektywne i racjonalne uzasadnienie;

– zasadą szybkości i prostoty postępowania, zgodnie z którą organy administracji publicznej powinny działać w sprawie wnikliwie i szybko, posługując się możliwie najprostszymi środkami prowadzącymi do jej załatwienia (art. 12 par. 1 k.p.a.). Potwierdza ona, iż zobowiązanie strony do przedłożenia tłumaczenia może zostać nałożone, gdy jest to konieczne w danym postępowaniu.

Reasumując: co prawda komentowany przepis nie zawiera konkretnych wytycznych w zakresie stosowania go przez prezesa UODO, jednakże organ ten powinien kierować się również ogólnymi zasadami postępowania administracyjnego.

• Kontrargumenty strony zobowiązanej. Co ważne: na zasady postępowania administracyjnego powoływać może się również strona postępowania prowadzonego przez prezesa UODO – w celu przekonania go, że zobowiązanie jej do przedłożenia tłumaczenia dokumentacji sporządzonej w języku obcym nie jest w danym przypadku konieczne do załatwienia sprawy.

Dokumentami, które mogą nie wymagać tłumaczenia – w okolicznościach konkretnego postępowania administracyjnego – będą w szczególności te, które stwierdzają fakty wykazane już w sposób niebudzący wątpliwości za pomocą innych dowodów, np. dokumentacji sporządzonej w języku polskim. Czy też takie, które zawierają informacje powszechnie znane bądź znane prezesowi UODO z urzędu. Przykładowo wskazać można na certyfikaty bądź kodeksy postępowania wydane bądź zatwierdzone w innym państwie członkowskim Unii Europejskiej. Krajowe organy nadzorcze prowadzą bowiem rejestry tego typu dokumentacji. Fakt posiadania certyfikatu czy też zatwierdzenia kodeksu postępowania może zostać zweryfikowany w inny sposób aniżeli poprzez przedłożenie dokumentacji z nimi związanej.

• Przesłuchanie w języku obcym. Posługiwanie się językiem obcym w toku postępowania administracyjnego prowadzonego przez prezesa UODO może się wiązać również z innymi konsekwencjami na gruncie administracyjnej procedury krajowej. Przede wszystkim ewentualne przesłuchanie takiej osoby powinno odbywać się przy udziale tłumacza. Natomiast w protokołach przesłuchania osoby składającej zeznanie w języku obcym należy podać w przekładzie na język polski treść złożonego zeznania oraz wskazać osobę i adres tłumacza, który dokonał przekładu. Tłumacz ten powinien także podpisać protokół przesłuchania (art. 69 par. 2 k.p.a.).
• Obowiązki strony obcojęzycznej. Dodatkowo, jeżeli strona postępowania posługująca się językiem obcym nie ma miejsca zamieszkania lub zwykłego pobytu albo siedziby w Polsce lub innym państwie członkowskim Unii Europejskiej i nie ustanowiła pełnomocnika do prowadzenia sprawy zamieszkałego w Polsce, a także nie działa za pośrednictwem konsula Rzeczypospolitej Polskiej, zobowiązana jest do wskazania pełnomocnika do doręczeń na terenie Polski, chyba że doręczenie następuje za pomocą środków komunikacji elektronicznej. O konieczności takiej organy nadzorcze powinny poinformować stronę postępowania w pierwszym kierowanym do niej piśmie. Wykonanie tego obowiązku jest niezwykle ważne, gdyż w razie niewskazania pełnomocnika do doręczeń przeznaczone dla tej strony pisma pozostawia się w aktach sprawy ze skutkiem doręczenia (art. 40 par. 4–5 k.p.a.). Strona taka faktycznie nie otrzymywałaby zatem jakiejkolwiek korespondencji wysyłanej w toku postępowania, w tym nie doręczono by jej decyzji kończącej postępowanie.
• Stosowanie RODO. W tym miejscu wypada przypomnieć, że RODO stosowane jest do wszystkich osób fizycznych, niezależnie od ich obywatelstwa, przetwarzanych przez podmioty zobowiązane do stosowania RODO w zakresie tegoż przetwarzania. A także do przetwarzania przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii Europejskiej danych osobowych osób, których dane dotyczą, przebywających w Unii Europejskiej, jeżeli czynności przetwarzania dokonywane przez ww. podmioty wiążą się z oferowaniem w Unii Europejskiej towarów lub usług osobom, których dane dotyczą – niezależnie od tego, czy wymaga się od tych osób zapłaty, lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii Europejskiej.

Tak szeroki zakres stosowania RODO powoduje, iż prowadzenie postępowania z udziałem podmiotów niewładających językiem polskim, a także niemających w Polsce miejsca zamieszkania lub zwykłego pobytu albo siedziby możliwe jest stosunkowo często. Opisane powyżej zasady postępowania mogą mieć zatem bezpośredni wpływ na postępowanie administracyjne, w którym tego typu podmiot jest stroną, obok osoby mającej miejsce zamieszkania, zwykłego pobytu lub siedziby w Polsce. Uzasadnia to szersze omówienie tychże zasad, gdyż w tego typu postępowaniach ich znajomość może okazać się konieczna, także przez osobę, względem której nie znajdują one bezpośredniego zastosowania.

Art. 64. [Dostęp Prezesa UODO do informacji objętych tajemnicą]

W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej.

komentarz

• Prawo dostępu prezesa UODO do informacji objętych tajemnicą. RODO nie wprowadza wprost ochrony informacji objętych obowiązkiem zachowania tajemnicy prawnie chronionej – chodzi tutaj w szczególności o tajemnicę informacji niejawnych, tajemnicę zawodową (np. dziennikarską, adwokacką itp.), tajemnicę skarbową, tajemnicę bankową, a także inne wprowadzone przepisami szczególnymi. Co więcej, z treści art. 58 ust. 1 lit. e i f RODO mogłoby wręcz wynikać, że organ nadzorczy uprawniony jest również do dostępu do informacji objętych tajemnicą. Przepisy te bowiem stanowią, że każdemu organowi nadzorczemu przysługują m.in. następujące uprawnienia w zakresie prowadzonych postępowań:

– uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań;

– uzyskiwanie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.

Wniosek ten potwierdzałoby również brzmienie art. 90 ust. 1 RODO, w myśl którego poszczególne państwa członkowskie Unii Europejskiej mogą – nie mają zatem takiego obowiązku – przyjąć przepisy szczególne, określające uprawnienia organów nadzorczych ustanowione w art. 58 ust. 1 lit. e i f RODO wobec administratorów lub podmiotów przetwarzających, którzy podlegają – na mocy prawa UE lub prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe – obowiązkowi zachowania tajemnicy zawodowej lub innym równoważnym obowiązkom zachowania tajemnicy, jeżeli jest to niezbędne i proporcjonalne w celu pogodzenia prawa do ochrony danych osobowych z obowiązkiem zachowania tajemnicy.

W celu uniknięcia ewentualnych trudności interpretacyjnych, a także uznając, że ochrona danych osobowych nie ma charakteru absolutnego, polski ustawodawca zdecydował się na wprowadzenie przepisu ograniczającego prawo prezesa UODO do dostępu do informacji objętych tajemnicą prawnie chronioną. Jak stwierdzono bowiem w uzasadnieniu do przesłanego Sejmowi projektu komentowanej ustawy, ochrona danych osobowych nie może odbywać się kosztem narażenia na ujawnienie informacji chronionych szczególnymi reżimami ochronnymi, poza szczególnie uzasadnionymi przypadkami.

Efekt ten został osiągnięty w ten sposób, że prezesowi UODO przyznano prawo dostępu do informacji objętych tajemnicą prawnie chronioną, ale pod warunkiem że przepisy szczególne nie stanowią inaczej (czyli nie wprowadzają ograniczeń w tym zakresie). Jeżeli zatem ustawa szczególna, np. ustawa z 5 sierpnia 2010 r. o ochronie informacji niejawnych (t.j. Dz.U. z 21 r. poz. 412 ze zm.) czy też jakakolwiek ustawa sektorowa wprowadzająca tajemnicę zawodową, przewidują ograniczony dostęp do informacji objętych tajemnicą – prezes UODO musi to uszanować. Ewentualne skorzystanie z tego typu zastrzeżonych informacji może mieć miejsce, o ile prezes UODO uzyska zwolnienie z obowiązku zachowania danej tajemnicy w trybie właściwej ustawy szczególnej.

Komentowany przepis odnosi się do wszystkich środków dowodowych, jeżeli ich przeprowadzenie będzie powodowało ujawnienie informacji objętych tajemnicą prawnie chronioną. W szczególności natomiast będzie odnosiło się do przeprowadzenia dowodów z dokumentów. Co ważne, prezes UODO i jego pracownicy mają obowiązek stosować powyższe zasady we wszystkich postępowaniach prowadzonych przez ten organ, w tym również podczas wykonywania czynności sprawdzających bądź kontroli.

Jeżeli zatem administrator danych osobowych, podmiot przetwarzający albo inny uczestnik postępowania przed organem nadzorczym jest zobowiązany do zachowania określonych informacji w tajemnicy, a informacje te mogą dotyczyć danego postępowania, powinien on zwrócić na ów fakt uwagę prezesa UODO.

Podobnie, jeżeli krajowy organ nadzorczy zwrócił się do określonego podmiotu o przedłożenie wyjaśnień bądź dokumentów, a wykonanie tegoż zobowiązania wiązałoby się z ujawnieniem tajemnicy prawnie chronionej. W takim przypadku adresat tego zobowiązania nie powinien go wykonywać. W odpowiedzi na nie należy powołać się na obowiązek zachowania tajemnicy. Prezes UODO nie może w takim przypadku wyciągać względem zobowiązanego konsekwencji związanych z odmową wykonania zobowiązania. Natomiast jeżeli informacje te byłyby w ocenie prezesa UODO niezbędne do rozstrzygnięcia sprawy, musi on wystąpić o zwolnienie z obowiązku zachowania tajemnicy w trybie ustawy szczególnej wprowadzającej tenże obowiązek.

• Osoby zobowiązane do zachowania tajemnicy. Na marginesie należy wskazać, że prezes UODO, zastępcy prezesa, a także pracownicy Urzędu Ochrony Danych Osobowych są zobowiązani zachować w tajemnicy informacje, o których dowiedzieli się w związku z wykonywaniem czynności służbowych. Obowiązek ten trwa także po zakończeniu kadencji albo zatrudnienia (zob. art. 46 ustawy).

Analogiczny obowiązek spoczywa również na członkach Rady do spraw Ochrony Danych Osobowych (zob. art. 48 ust. 9 u.o.d.o.), a także na osobie przeprowadzającej kontrolę, będącej członkiem lub pracownikiem organu nadzorczego państwa członkowskiego Unii Europejskiej (zob. art. 79 ust. 2 u.o.d.o.).

Szczególne zasady w zakresie ochrony tajemnicy przedsiębiorstwa, a także ograniczenia dostępu do akt sprawy zostały unormowane w art. 65–66 ustawy (omówione będą w komentarzach do tychże jednostek redakcyjnych).

Art. 65. [Zastrzeżenie tajemnicy przedsiębiorstwa]

1. Strona może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, przedstawiane Prezesowi Urzędu. W takim przypadku strona jest obowiązana przedstawić Prezesowi Urzędu również wersję dokumentu niezawierającą informacji objętych zastrzeżeniem.

2. W przypadku nieprzedstawienia wersji dokumentu niezawierającej informacji objętych zastrzeżeniem, zastrzeżenie uważa się za nieskuteczne.

3. Prezes Urzędu może uchylić zastrzeżenie, w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa.

4. W przypadku ustawowego obowiązku przekazania informacji lub dokumentów otrzymanych od przedsiębiorców innym krajowym lub zagranicznym organom lub instytucjom, informacje i dokumenty przekazuje się wraz z zastrzeżeniem i pod warunkiem jego przestrzegania.

komentarz

• Potrzeba wprowadzenia regulacji. Zasady ochrony danych osobowych nie zostały skonstruowane jako prawo bezwzględne, czyli takie, które nie podlega jakimkolwiek ograniczeniom w jego stosowaniu. Przykładem obrazującym tę sytuację są przepisy odnoszące się do ochrony tajemnicy prawnie chronionej. Jednym z jej rodzajów natomiast, oprócz tajemnic wskazanych w komentarzu do art. 64 niniejszej ustawy, jest tajemnica przedsiębiorstwa.

Możliwość przyznania większej wagi innym prawom, aniżeli prawo do ochrony danych osobowych, wynika również z RODO. Ograniczenia stosowania jego przepisów można przy tym rozpatrywać na dwóch płaszczyznach.

Pierwszą z nich – jak czytamy w motywie 63 do unijnego rozporządzenia – jest relacja pomiędzy administratorem danych osobowych oraz osobą, której dane dotyczą. Co prawda, każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem, to jednocześnie ustawodawca unijny zastrzegł, że prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, a w szczególności na prawa autorskie chroniące oprogramowanie. I chociaż zastrzeżono, że ww. względy nie powinny skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji, to jednakże ograniczenia te znajdują konkretne odzwierciedlenie w przepisach RODO regulujących ten rodzaj relacji. Przykładowo, jeżeli dane osobowe zgodnie z obowiązkiem zachowania tajemnicy zawodowej muszą pozostać poufne, to administrator danych osobowych zwolniony jest z obowiązku przekazywania osobie, której dane dotyczą, informacji wymaganych przy pośrednim gromadzeniu danych osobowych (zob. art. 14 ust. 5 lit. d RODO).

• Obowiązek zachowania tajemnicy. Ochrona tajemnic prawnie chronionych ma wszakże jeszcze jeden wymiar. Dotyczy on relacji pomiędzy administratorem danych osobowych (bądź innym podmiotem uczestniczącym w przetwarzaniu danych osobowych) a organem nadzorczym. Do relacji tej odwołuje się właśnie komentowany artykuł. Znajduje on przy tym swoje umocowanie także w przepisach ogólnego rozporządzenia o ochronie danych. W myśl bowiem motywu 164 RODO, w odniesieniu do uprawnień organów nadzorczych do uzyskania od administratora lub podmiotu przetwarzającego dostępu do danych osobowych oraz do pomieszczeń, państwa członkowskie mogą przyjąć regulacje szczegółowe, mające chronić obowiązek zachowania tajemnicy zawodowej lub innej równoważnej tajemnicy, o ile jest to niezbędne, by pogodzić prawo do ochrony danych osobowych z obowiązkiem zachowania tajemnicy zawodowej. Rozwinięciem tegoż motywu jest art. 90 RODO. Przepis ten stanowi podstawę dla rozwiązań legislacyjnych wprowadzonych przez polskiego ustawodawcę w art. 64–66 komentowanej ustawy.
• Definicja tajemnicy przedsiębiorstwa. Pojęcie „tajemnicy przedsiębiorstwa” nie zostało zdefiniowane odrębnie na gruncie ustawy o ochronie danych osobowych. Definicję znajdziemy natomiast w art. 11 ust. 2 ustawy 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz.U. z 2018 r. poz. 419 ze zm.). Zgodnie z tą regulacją przez tajemnicę przedsiębiorstwa rozumie się informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób, o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął – przy zachowaniu należytej staranności – działania w celu utrzymania ich w poufności.

Na marginesie należy dodać, że obecne brzmienie definicji tajemnicy przedsiębiorstwa zostało wprowadzone do ustawy o zwalczaniu nieuczciwej konkurencji nowelizacją z 5 lipca 2018 r. i obowiązuje od 4 września 2018 r. Nowela ta miała za zadanie dostosowanie przepisów krajowych do dyrektywy nr 2016/943 Parlamentu Europejskiego i Rady (UE) z 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem (Dz. Urz. UE z 2016 r. L157 s.1). Celem dyrektywy jest zaś wzmocnienie ochrony tajemnicy przedsiębiorstwa. Konieczne stało się zatem dostosowanie ustawy krajowej do wymogów unijnych. Zmiany zaś – jak wcześniej wspomniano – objęły również samą definicję tajemnicy przedsiębiorstwa, która uległa rozszerzeniu względem dotychczasowego rozumienia tegoż pojęcia. Aby uniknąć trudności interpretacyjnych, konieczne jest wskazanie również, że przed nowelizacją definicja tajemnicy przedsiębiorstwa zamieszczona była w art. 11 ust. 4 ustawy o zwalczaniu nieuczciwej konkurencji. Przy okazji przedmiotowej zmiany ustawodawca przeniósł ją do art. 11 ust. 2 ww. ustawy. Będzie to zatem w szczególności tzw. know-how, a także wszelkie inne informacje należące do ww. kategorii, względem których przedsiębiorca (ich właściciel) poweźmie odpowiednie akty staranności. Takimi działaniami może być np. zobowiązanie osób mających dostęp do tego typu danych do zachowania ich w tajemnicy czy też wprowadzenie do umów ich dotyczących odpowiednich klauzul poufności wskazujących, że przekazywane kontrahentowi informacje uważane są za tajemnicę przedsiębiorstwa.

• Możliwość zastrzeżenia tajemnicy. Jeżeli w toku postępowania prowadzonego przez prezesa UODO po którejkolwiek ze stron powstanie konieczność przedłożenia dokumentacji bądź wyjaśnień zawierających informacje stanowiące tajemnicę jej przedsiębiorstwa, może ona skorzystać z dyspozycji przepisów komentowanego artykułu.

W tym celu strona zobowiązana jest do przedłożenia owych dokumentów, wyjaśnień, czy też innych informacji w dwóch wersjach. Pierwszej – która będzie zawierała te informacje oraz drugiej wersji – bez danych objętych tajemnicą przedsiębiorstwa. Ta pierwsza wersja będzie stanowiła materiał znany jedynie organowi nadzorczemu. Druga zaś (tj. bez informacji stanowiących tajemnice przedsiębiorstwa) udostępniona zostanie innym uczestnikom postępowania.

• Dwie wersje dokumentacji. Przedłożenie dokumentacji w dwóch ww. wersjach jest bardzo ważne dla poczynienia zastrzeżenia. W przypadku bowiem nieprzedstawienia wersji dokumentu niezawierającej informacji objętych zastrzeżeniem zastrzeżenie uważa się za nieskuteczne.

Sankcja ta wydawać się może zbyt rygorystyczna, niemniej jednak należy mieć na względzie, że brak drugiej wersji dokumentacji paraliżowałby postępowanie prowadzone przez prezesa UODO. Organ ten nie jest bowiem uprawniony do samodzielnego wyboru informacji, które uważa za tajemnicę przedsiębiorstwa jednej ze stron postępowania. Odpowiednie zastrzeżenie może zatem poczynić wyłącznie ten podmiot, który powołuje się na przedmiotową okoliczność.

• Decyzja o uchyleniu zastrzeżenia. Prezes UODO może wszakże uchylić zastrzeżenie, w drodze decyzji administracyjnej. Może to uczynić, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa. W tym celu organ nadzorczy ocenia informacje ujęte w zastrzeżeniu przedsiębiorcy pod kątem spełnienia przez nie wymogów, o których mowa w art. 11 ustawy o zwalczaniu nieuczciwej konkurencji.
• Rola wyjaśnień. Strona decydująca się na poczynienie zastrzeżenia tajemnicy przedsiębiorstwa powinna rozważyć, czy wraz z samym zastrzeżeniem nie powinna dostarczyć prezesowi UODO dodatkowych wyjaśnień, które potwierdzają spełnienie przez informacje objęte zastrzeżeniem ww. kryteriów przewidzianych dla tajemnicy przedsiębiorstwa. Wyjaśnienia te mogłyby przede wszystkim dotyczyć przynależności tychże informacji do określonej kategorii (np. informacje techniczne, technologiczne, organizacyjne), a także ograniczonego dostępu do nich przez osoby trzecie, jak również środków powziętych przez przedsiębiorcę w celu ich ochrony przed upublicznieniem i zachowaniem ich w poufności. [wzór]

wzór

Warszawa, 2 września 2018 r.

Prezes Urzędu Ochrony Danych Osobowych

ul. Stawki 2, 00-193 Warszawa

 

Administrator danych:

ABCD spółka z o.o. w Poznaniu

przy ul. Poznańskiej 1,

reprezentowana przez Adama Nowaka

 

Strona postępowania:

Jan Kowalski

zam. Kraków, ul. Krakowska 1

Zastrzeżenie informacji stanowiących tajemnicę przedsiębiorstwa przez ABCD spółka z o.o.

Działając w imieniu administratora danych osobowych – spółki ABCD sp. z o.o. – jako prezes jednoosobowego zarządu tejże spółki zastrzegam niniejszym niżej wskazane informacje stanowiące tajemnicą przedsiębiorstwa:

a) know-how spółki w zakresie prowadzenia internetowej platformy wymiany danych, który opisany jest na stronach 7–18 dokumentacji,

b) listę kontrahentów spółki będących przedsiębiorcami jednoosobowymi, która znajduje się na stronach 21–24 dokumentacji.

Jednocześnie przedkładam dwie wersje przedmiotowej dokumentacji, w tym jedną niezawierającą informacji objętych zastrzeżeniem.

Uzasadnienie

Zgodnie z definicją tajemnicy przedsiębiorstwa są nią objęte w szczególności informacje mające wartość gospodarczą dla danego przedsiębiorstwa. Bez wątpienia know-how spółki oraz lista współpracujących z nią kontrahentów taką wartość przedstawiają. Co więcej, inny podmiot, który uzyskałby dostęp do know-how spółki oraz bazy jej kontrahentów, mógłby w bardzo krótkim czasie powielić jej nowatorski pomysł, a nawet pozbawić ją współpracowników, proponując im inne warunki kooperacji.

Co więcej, informacje te nie są powszechnie znane, a spółka dba o ich poufność, stosując stosowne klauzule poufności w umowach z kontrahentami, a także zobowiązując pracowników do zachowania tychże danych w tajemnicy – również po ustaniu stosunku pracy.

Ze względu zatem na fakt, że spółka – jako administrator danych osobowych – została zobowiązana do przedłożenia wskazanej przez Prezesa UODO dokumentacji, w której to znajdują się ww. elementy. Konieczne stało się zastrzeżenie tychże informacji w trybie art. 65 ust. 1 ustawy o ochronie danych osobowych.

Załączniki:

1. Odpis z KRS spółki,

2. Dokumentacja w wersji pełnej,

3. Odpis dokumentacji niezawierającej informacji objętych zastrzeżeniem.

Adam Nowak

• Skarga do WSA. Jak wspomniano wcześniej, jeżeli organ nadzorczy nie podzieli stanowiska strony we wspomnianym zakresie, to może on wydać decyzję administracyjną uchylającą zastrzeżenie. Od tej decyzji nie przysługuje dalszy środek odwoławczy i jest ona ostateczna na gruncie postępowania administracyjnego. Strona może wnieść wszakże skargę do wojewódzkiego sądu administracyjnego.
• Wniosek o wstrzymanie wykonalności. Składając skargę do sądu administracyjnego, warto zwrócić uwagę na jeszcze jedną bardzo istotną kwestię. Mianowicie, pomimo złożenia owej skargi, decyzja prezesa UODO jako ostateczna będzie podlegać wykonaniu. Dlatego też błędna ocena przez niego informacji – dostarczonych przez stronę i zastrzeżonych jako tajemnica przedsiębiorstwa – mogłaby doprowadzić do ich ujawnienia. Skoro bowiem zastrzeżenie strony zostanie uchylone, to wgląd do tychże informacji uzyskają również inne strony postępowania. Sytuację komplikuje to, że przedmiotowa decyzja ma charakter decyzji ostatecznej.

Co może zrobić w tej sytuacji strona pragnąca, aby podane przez nią dane, które były objęte uchylonym zastrzeżeniem, pozostały niejawne, przynajmniej do czasu rozpatrzenia skargi przez NSA? Otóż może się zwrócić do organu nadzorczego bądź sądu administracyjnego z wnioskiem o wstrzymanie wykonalności ww. decyzji administracyjnej. Za jego uwzględnieniem przemawiać będzie w szczególności istotność informacji objętych zastrzeżeniem. Co istotne, wniosek tego typu możliwy jest, gdy strona wnosi skargę do sądu administracyjnego.

• Możliwość częściowego uchylenia zastrzeżenia. Na marginesie wskazać należy, że chociaż wprost nie zostało to wskazane w komentowanym artykule, to uchylenie zastrzeżenia przez prezesa UODO może objąć całość zastrzeżonych informacji bądź też jedynie tę ich część, która w ocenie prezesa UODO nie spełnia przesłanek dla uznania jej za tajemnicę przedsiębiorstwa. W innym bowiem przypadku przepis ten byłby bądź niewykonalny, bądź też prowadziłby do naruszenia tajemnicy prawnie chronionej. W sytuacji gdyby prezes UODO uznał jedynie fragment zastrzeżonych informacji za tajemnicę przedsiębiorstwa i nie mogąc uchylić zastrzeżenia jedynie w części, musiałby on pozostawić całość zastrzeżenia, a zatem nie mógłby wykonać swojej kompetencji do jego uchylenia bądź też uchylić je w całości, mimo iż co najmniej część informacji stanowiłaby – także w ocenie organu nadzorczego – tajemnicę przedsiębiorstwa.
• Ochrona postępowań z udziałem instytucji unijnych. Ochrona tajemnicy przedsiębiorstwa, aby miała wymiar realny, obejmuje również te postępowania, w których występują inne organy lub instytucje krajowe bądź zagraniczne. Przekazanie bowiem im dokumentacji i informacji przez prezesa UODO następuje wraz z poczynionym przez przedsiębiorcę zastrzeżeniem, a także pod warunkiem jego przestrzegania przez ów inny organ bądź instytucję. Przepis nie wyjaśnia jednakże, czy prezes UODO będzie zobowiązywać podmioty, do których trafią przesłane przez niego informacje czy dokumenty, do przestrzegania zastrzeżenia, czy też wymagać od nich będzie oświadczenia w tym zakresie.

Bez wątpienia, jeżeli doszłoby do naruszenia owego zastrzeżenia oraz ujawnienia informacji zastrzeżonych jako tajemnica przedsiębiorstwa, poszkodowana strona może się domagać odszkodowania za powstałą z tego tytułu szkodę. Na gruncie prawa polskiego odpowiedzialność organów administracji publicznej za wyrządzoną szkodę normują art. 417–4172 kodeksu cywilnego.

Urzeczywistnieniem skuteczności komentowanego artykułu jest również wprowadzenie ograniczeń w dostępie do akt sprawy prowadzonej przez prezesa UODO, w której to przedsiębiorca skorzystał z omawianego zastrzeżenia. Ograniczenia te opisano w komentarzu do kolejnego artykułu niniejszej ustawy.

Art. 66. [Odmowa dostępu do akt postępowania]

Prezes Urzędu wydaje postanowienie, o którym mowa w art. 74 § 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, również w przypadku, gdy udostępnienie informacji i dokumentów, o których mowa w art. 65 ust. 1, grozi ujawnieniem tajemnic prawnie chronionych albo ujawnieniem tajemnicy przedsiębiorstwa, jeżeli o ograniczenie wglądu do akt dla stron postępowania wnosi przedsiębiorca, od którego informacja pochodzi.

komentarz

• Ograniczenie wglądu do akt sprawy. Zastrzeżenie pewnych informacji jako tajemnicy przedsiębiorstwa, czy też powołanie się na konieczność zachowania określonych danych w poufności, nie byłoby skuteczne, gdyby jednocześnie pozostawiono innym stronom nieograniczony dostęp do akt postępowania. Mogłoby to bowiem skutkować otrzymaniem przez nie faktycznego dostępu do informacji zastrzeżonych. W celu wyeliminowania tego typu przypadków wprowadzono przepis komentowanego artykułu.

Do wyjaśnienia pełnego znaczenia przedmiotowej normy prawnej przywołać należy uprzednio art. 73 ar. 1 k.p.a., wskazujący na uprawnienia każdej ze stron postępowania administracyjnego w zakresie dostępu do akt sprawy. Każda strona ma bowiem prawo wglądu w akta sprawy, sporządzania z nich notatek, kopii lub odpisów. Co więcej, prawo to przysługuje również po zakończeniu postępowania. Gdyby zatem ustawodawca nie przewidział stosownych ograniczeń w tym zakresie, korzystanie przez inną stronę z jej kodeksowych uprawnień mogłoby prowadzić do – nawet nieumyślnego – wejścia w posiadanie informacji objętych tajemnicą przedsiębiorstwa.

Stąd też w sytuacji opisanej w komentowanym artykule prezes UODO może wydać postanowienie, mocą którego odmówi stronie dostępu oraz przeglądania akt sprawy, sporządzania z nich notatek, kopii i odpisów, uwierzytelnienia takich kopii i odpisów lub wydania uwierzytelnionych odpisów. Rzecz jasna będzie to dotyczyć wyłącznie tej części akt sprawy, w której znajdują się informacje objęte tajemnicą prawnie chronioną. A więc nie tajemnicą przedsiębiorstwa, ale także tajemnicami, o których mowa w art. 64 tejże ustawy (np. tajemnica zawodowa).

• Wniosek o wydanie postanowienia o ograniczeniu. Prezes UODO nie będzie jednakże działał w omawianym zakresie z urzędu. Postanowienie o odmowie albo ograniczeniu dostępu do akt sprawy organ ten będzie mógł bowiem wydać tylko wtedy, jeżeli wniesie o to przedsiębiorca, od którego dana informacja bądź dokumentacja pochodzi. Stąd też bezczynność strony postępowania obligować będzie organ nadzorczy do udzielenia wnioskodawcy pełnego dostępu do akt sprawy.

Aby uniknąć tego typu sytuacji, przedsiębiorca powinien poczynić takowe zastrzeżenie już w piśmie, z którym przekazuje szefowi UODO dokumenty i informacje mające pozostać poufnymi w toku postępowania administracyjnego. [wzór]

wzór

Warszawa, 2 września 2018 r.

Prezes Urzędu Ochrony Danych Osobowych

ul. Stawki 2 , 00-193 Warszawa

Administrator danych:

ABCD spółka z o.o. w Poznaniu

przy ul. Poznańskiej 1,

reprezentowana przez Adama Nowaka

Wniosek o ograniczenie wglądu do akt sprawy

Działając w imieniu administratora danych osobowych – spółki ABCD sp. z o.o., jako prezes jednoosobowego zarządu tejże spółki, w związku z zastrzeżeniem części dokumentacji złożonej przez spółkę do akt niniejszej sprawy – w trybie art. 65 ust. 1 ustawy o ochronie danych osobowych, wnoszę o wyłączenie dostępu do akt sprawy innych stron postępowania w zakresie wskazanym w zastrzeżeniu spółki.

Wskazuję, że dokumentacja ta obejmuje informacje objęte tajemnicą przedsiębiorstwa spółki. Natomiast wśród innych stron postępowania znajdują się spółki mogące wykorzystać przedmiotową wiedzę na swoje potrzeby bez zgody i wiedzy ABCD sp. z o.o. oraz na jej szkodę.

Adam Nowak

• Ocena wniosku przez prezesa. Rzecz jasna organ nadzorczy nawet po otrzymaniu zastrzeżenia o poufności przekazanych materiałów nie jest nim związany i może nie wydawać postanowienia ograniczającego dostęp do akt sprawy. Przesłankami jego wydania są bowiem nie tylko ww. wniosek przedsiębiorcy, ale także istnienie zagrożenia, że ujawniona zostanie tajemnica prawnie chroniona albo tajemnica przedsiębiorstwa. Jeżeli więc w ocenie prezesa UODO takowe zagrożenie nie występuje, może on ujawnić informacje i dokumenty zastrzeżone przez przedsiębiorcę.
• Prawo do skargi do WSA. Co prawda art. 74 par. 2 k.p.a. zastrzega, iż na postanowienie wydane w przedmiocie odmowy dostępu do akt sprawy bądź wykonania innych czynności w nim wskazanych przysługuje zażalenie, to, jak pamiętamy, postępowanie przed prezesem UODO jest jednoinstancyjne. W tym przypadku zastosowanie znajdują art. 7 ust. 3–4 ustawy o ochronie danych osobowych. Dla przypomnienia, stanowią one, że do postanowień wydanych w postępowaniach administracyjnych prowadzonych przez prezesa UODO, na które zgodnie z kodeksem postępowania administracyjnego służy zażalenie – przepisów o zażaleniu nie stosuje się. Na postanowienia te służy jednakże skarga do wojewódzkiego sądu administracyjnego.

Jeżeli organ nadzorczy nie widzi podstawy do ograniczenia stronie dostępu do akt postępowania administracyjnego, nie wydaje w tym zakresie żadnego rozstrzygnięcia, a jedynie udostępnia akta sprawy wnioskodawcy. Natomiast jeżeli taki wniosek dotyczyłby informacji lub dokumentów objętych zastrzeżeniem przedsiębiorcy poczynionym zgodnie z art. 65 niniejszej ustawy, to organ nadzorczy chcąc udostępnić taką dokumentację, musi w pierwszej kolejności uchylić zastrzeżenie.

• Możliwość zastrzeżenia części dokumentacji. Podobnie, jak w przypadku opisywanym w komentarzu do poprzedniego artykułu również i na kanwie art. 66 należy przyjąć, że kompetencja prezesa UODO dotyczy zarówno odmowy dostępu do całości określonych dokumentów lub informacji bądź jedynie do ich części. Decydujące znaczenie będzie miało to, w jakim zakresie organ nadzorczy zgodzi się z wnioskiem przedsiębiorcy występującego o ograniczenie dostępu do akt sprawy. Należy bowiem pamiętać, że celem komentowanego przepisu jest zapewnienie należytej ochrony tajemnicom ustawowo chronionym, ale przy jednoczesnym badaniu w każdym przypadku przez prezesa UODO zasadności ograniczenia dostępu do materiału dowodowego ze względu na te tajemnice.

Art. 67. [Zawiadomienie przez publiczne obwieszczenie]

Jeżeli liczba stron w postępowaniu przekracza 20, Prezes Urzędu może zastosować przepis art. 49 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.

komentarz

• Instytucja obwieszczenia. Ten enigmatyczny przepis, zawierający w sobie normę odsyłającą do przepisów kodeksu postępowania administracyjnego, w praktyce może się okazać niezwykle istotny – zwłaszcza w przypadku postępowań, w których bierze udział znaczna liczba stron. W takiej bowiem sytuacji prezes UODO będzie miał prawo skorzystania z dyspozycji art. 49 k.p.a., które to wprowadzają instytucję zawiadomienia stron postępowania poprzez publiczne obwieszczenie.

Sytuacja taka będzie miała najczęściej miejsce w tych wszystkich przypadkach, w których incydent polegający na naruszeniu bezpieczeństwa ochrony danych osobowych mógł zagrozić bądź faktycznie spowodował powstanie szkody u większej liczby osób, których dane podlegały przetwarzaniu. Dotyczyć to może np. wycieku większej liczby danych osobowych na skutek włamania do elektronicznej bazy danych, kradzieży nośnika danych zawierającego taką bazę, a nawet nieumyślnego ujawnienia danych osobowych przez pracownika administratora danych osobowych bądź podmiotu przetwarzającego. Przykłady w tym zakresie można mnożyć.

• Przesłanki wydania obwieszczenia. Przedmiotowy przepis może jednak znaleźć zastosowanie dopiero wtedy, gdy łączna liczna stron – a zatem z uwzględnieniem administratora danych osobowych oraz podmiotu przetwarzającego – przekroczy dwadzieścia podmiotów.

Instytucja ta ma przyspieszyć oraz uprościć przebieg postępowania administracyjnego w tego typu sprawach. Duża liczba stron w praktyce oznacza bowiem konieczność doręczenia każdej z nich pism w sprawie, a także wiąże się z oczekiwaniem na otrzymanie przez organ administracji zwrotnego potwierdzenia odbioru. To zaś mogłoby prowadzić do przewlekłości postępowania paraliżowanego kwestiami formalnymi. Aby uniknąć tego typu przypadków, ustawodawca wprowadził przepisy o publicznym obwieszczeniu.

• Forma zawiadomienia. Zgodnie zatem z art. 49 par. 1 k.p.a. zawiadomienie stron o decyzjach i innych czynnościach organu administracji publicznej może nastąpić w formie publicznego obwieszczenia, w innej formie publicznego ogłoszenia zwyczajowo przyjętej w danej miejscowości lub przez udostępnienie pisma w Biuletynie Informacji Publicznej na stronie podmiotowej właściwego organu administracji publicznej.
• Skutek obwieszczenia. Co bardzo istotne, tego typu zawiadomienie uważa się za dokonane po upływie 14 dni od dnia, w którym nastąpiło publiczne obwieszczenie, inne publiczne ogłoszenie lub udostępnienie pisma w Biuletynie Informacji Publicznej (art. 49 par. 2 k.p.a.). Innymi słowy, publiczne obwieszczenie, nawet o treści decyzji administracyjnej wydanej przez prezesa UODO, będzie miało co do zasady skutek doręczenia decyzji każdej ze stron.
• Termin do wniesienia skargi. Od upływu okresu wskazanego w cytowanym przepisie bieg rozpocznie termin do wniesienia skargi do wojewódzkiego sądu administracyjnego na decyzję albo postanowienie prezesa UODO, względnie podjęcie innych czynności wynikających z przepisów prawa i zależnych od skuteczności doręczenia pisma danej stronie.
• Skutki przeoczenia obwieszczenia. Jak wynika z powyższego, stosunkowo łatwe przeoczenie przez stronę omawianego obwieszczenia może wywoływać dla niej negatywne skutki prawne. Niedopuszczalne jest bowiem powoływanie się przez stronę postępowania na argument, że nie wiedziała o wydaniu decyzji w formie publicznego ogłoszenia. W przeciwnym razie prowadziłoby to do podważenia sensu regulacji zawartej w art. 49 k.p.a. W takiej sytuacji bowiem mielibyśmy swoisty dualizm: z jednej strony po upływie 14 dni od dnia publicznego ogłoszenia decyzje uznawane byłyby za ostateczne, a z drugiej strony każda ze stron postępowania mogłaby domagać się wznowienia postępowania, twierdząc, że skoro faktycznie decyzji jej nie doręczono, to nie brała udziału w postępowaniu (patrz: wyrok Naczelnego Sądu Administracyjnego z 13 marca 2018 r., sygn. akt II OSK 1086/17).
• Prawidłowe liczenie 14-dniowego terminu. Jak zatem należy obliczyć termin do powzięcie dalszych działań prawnych przez stronę postępowania zawiadomioną w drodze publicznego obwieszczenia? Odpowiadając na to pytanie, można sięgnąć do bogatego orzecznictwa sądów administracyjnych. Termin ten jest określony w dniach i ma być obliczany od „dnia publicznego ogłoszenia”. Publiczne ogłoszenie jest więc zdarzeniem, od którego należy obliczać termin 14 dni. Sposób obliczania terminu określonego – jak w tym wypadku – w dniach reguluje art. 57 par.1 k.p.a., który stanowi, że jeżeli początkiem terminu określonego w dniach jest pewne zdarzenie, to przy obliczaniu tego terminu nie uwzględnia się dnia, w którym owo zdarzenie nastąpiło. Upływ ostatniego z wyznaczonej liczby dni uważa się za koniec terminu. Dzień publicznego ogłoszenia nie może być uwzględniony przy obliczaniu 14-dniowe go terminu (tak wyrok Wojewódzkiego Sądu Administracyjnego w Rzeszowie z 21 lutego 2018 r., sygn. akt II SA/Rz 877/17).

Oznacza to, że jeżeli publiczne obwieszczenie zostałoby dokonane np. 10 września 2018 r., to pierwszym dniem 14-dniowego terminu, o którym mowa w omawianym przepisie, byłby dzień następny, czyli 11 września 2018 r. Należy przy tym pamiętać, że wraz upływem ww. 14-dniowego terminu zachodzi dopiero skutek w postaci doręczenia danego pisma stronie. To zaś z kolei rozpoczyna bieg terminu do powzięcia przez stronę dalszych działań prawnych – przykładowo bieg 30-dniowego terminu do wystąpienia ze skargą na decyzję administracyjną albo postanowienie prezesa UODO do wojewódzkiego sądu administracyjnego. Wskazany w art. 49 par. 2 k.p.a. termin 14 dni nie może być zatem utożsamiany z terminem do dokonania określonej czynności, a jedynie wyznacza on dzień doręczenia danego pisma stronie.

• Różne formy obwieszczenia. Może się również zdarzyć, że prezes UODO zdecyduje się na zrealizowanie publicznego obwieszczenia na kilka różnych sposobów. W takiej sytuacji należy przede wszystkim ustalić, kiedy ukazało się po raz pierwszy ostatnie z obwieszczeń i to właśnie ten dzień należy traktować jako dzień rozpoczęcia biegu terminu 14 dni, którego upływ skutkuje uznaniem doręczenia decyzji w trybie art. 49 k.p.a. (patrz: wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 21 września 2016 r., sygn. akt VIII SA/Wa 1016/15).

Na marginesie należy wskazać, że aby uniknąć trudności w ustaleniu ww. dat, dzień, w którym nastąpiło dane publiczne obwieszczenie, inne publiczne ogłoszenie lub udostępnienie pisma w Biuletynie Informacji Publicznej, powinien zostać wskazany w treści tego obwieszczenia, ogłoszenia lub w Biuletynie Informacji Publicznej (art. 49 par. 2 zdanie 1 k.p.a.).

• Dobre praktyki. Komentowany artykuł nie nakazuje prezesowi UODO korzystania z instytucji zawiadomienia poprzez publiczne obwieszczenie, a jedynie przyznaje temu organowi kompetencję do zastosowania takiego środka. Zatem prezes UODO decydując się na jego zastosowanie, powinien mieć na względzie wszystkie niebezpieczeństwa z tym związane, w szczególności zaś skuteczność zawiadomienia stron postępowania w tenże sposób. Pożądane byłoby bez wątpienia uprzednie poinformowanie stron, że prezes UODO może skorzystać ze ww. uprawnienia, a także, w jaki sposób dokonywane będą publiczne obwieszczenia. Pozwala to na minimalizację negatywnych skutków tegoż rozwiązania, pozytywnie wpływając na bezpieczeństwo prawne stron postępowania. Należy bowiem zważyć, że przepis ten odnosi się do wszystkich stron postępowania, w tym także administratora danych osobowych i podmiotu przetwarzającego. Na te podmioty prezes UODO może również nakładać różnego typu zobowiązania, a także wymierzać im kary finansowe.

Niewątpliwy efekt w postaci przyspieszenia postępowania administracyjnego nie powinien zatem przeważać nad negatywnymi dla stron skutkami upływu terminu na podjęcie dalszych działań prawnych, liczonego od dokonania obwieszczenia publicznego.

Art. 68. [Postępowanie kontrolne i uzupełnienia dowodów]

1. Jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu może przeprowadzić postępowanie kontrolne.

2. Okresu postępowania kontrolnego nie wlicza się do terminów, o których mowa w art. 35 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.

komentarz

• Postępowanie kontrolne w celu uzupełnienia dowodów. Postępowanie kontrolne zostało uregulowane w rozdziale 9 komentowanej ustawy (art. 78–91). Kontrolę prowadzi się co do zasady zgodnie z zatwierdzonym przez prezesa UODO planem kontroli lub na podstawie uzyskanych przez prezesa UODO informacji, ewentualnie w ramach monitorowania przestrzegania stosowania ogólnego rozporządzenia o ochronie danych. Dodatkowo, w art. 68 ust. 1 przewidziano możliwość przeprowadzenia przez prezesa UODO postępowania kontrolnego w toku innego postępowania administracyjnego. Warunkiem tego jest wszakże powstanie konieczności uzupełnienia materiału dowodowego.
• Przesłanki zastosowania. Co prawda – w myśl zasady rozliczalności – administrator danych osobowych, a niekiedy również podmiot przetwarzający, jest nie tylko zobowiązany do przestrzegania RODO, ale także musi być w stanie wykazać jego przestrzeganie (zob. art. 5 ust. 2 RODO), niemniej obowiązki gromadzenia materiału dowodowego ciążą również na organach administracji publicznej. W tym zakresie wskazać należy na zasadę prawdy obiektywnej wyrażoną w kodeksie postępowania administracyjnego. Zgodnie z nią w toku postępowania organy administracji publicznej stoją na straży praworządności – z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Co więcej, organ administracji publicznej jest zobowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy (zob. art. 77 par. 1 k.p.a.).

Nie sposób zatem wykluczyć, że prezes UODO uzna za konieczne uzupełnienie posiadanego materiału dowodowego z urzędu. Konieczność taka może powstać po przeprowadzeniu wszystkich dotychczas zebranych dowodów, a także wobec wniosku złożonego przez stronę postępowania (zob. art. 78 k.p.a.). Prezes UODO może bowiem w każdym stadium postępowania zmienić, uzupełnić lub uchylić swoje postanowienie dotyczące przeprowadzenia dowodu (zob. art. 77 par. 2 k.p.a.).

• Inne możliwości uzupełnienia materiału dowodowego. Wszczęcie oraz przeprowadzenie postępowania kontrolnego nie jest obowiązkiem prezesa UODO. Może on bowiem podejmować również inne działania mające na celu uzupełnienie materiału dowodowego. Przykładowo, zobowiązać strony albo inne osoby do okazania określonych dokumentów czy też przeprowadzić przesłuchanie świadków bądź stron, a nawet przeprowadzić dowód z oględzin albo opinii biegłego. Dopiero gdy nie będzie możliwe uzupełnienie materiału dowodowego w inny sposób, koniecznym może się okazać wszczęcie postępowania kontrolnego przez prezesa UODO. Zasady prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych określone zostały w art. 78–91 niniejszej ustawy oraz zostaną one omówione w komentarzach do tychże przepisów.
• Ograniczenie czasowe. Artykuł 68 ust. 2 u.o.d.o. wyłącza stosowanie art. 35 k.p.a. do okresu prowadzenia postępowania kontrolnego. Regulacje kodeksu postępowania administracyjnego, do których odsyła komentowany artykuł, określają terminy załatwiania spraw. Jak jednakże pamiętamy z treści wcześniejszych przepisów ustawy o ochronie danych osobowych, terminy te i tak zostały w dużej mierze zmodyfikowane na gruncie ustawy o ochronie danych osobowych. O ile bowiem w ogólnym postępowaniu administracyjnym podstawowe terminy do załatwienia sprawy wynoszą miesiąc, a w sprawach szczególnie skomplikowanych dwa miesiące, to najczęstszym okresem postępowania toczącego się przed prezesem UODO jest okres trzech miesięcy (zob. np. komentarze do art. 18 oraz do art. 30 niniejszej ustawy).

Chociaż sam okres trwania postępowania przed krajowym organem nadzorczym uległ wydłużeniu, to jednak skutki jego naruszenia, tj. niezałatwienia sprawy w terminie, są tożsame, jak w ogólnym postępowaniu administracyjnym. Fakt ten dostrzegł ustawodawca przy okazji upoważnienia prezesa UODO do przeprowadzenia postępowania kontrolnego w celu uzupełnienia dowodów. Konieczność wykonania czynności kontrolnych bez wątpienia ma bowiem wpływ na faktyczną długość całego postępowania administracyjnego prowadzonego w danej sprawie. Stąd też, aby wykluczyć negatywne sankcje związane z niezałatwieniem sprawy w terminie z powodu prowadzenia postępowania kontrolnego, zastrzeżono, iż okresu kontroli prowadzonej w celu uzupełnienia dowodów nie wlicza się do terminu przewidzianego na załatwienie sprawy.

Na marginesie należy wskazać, że brak takiego wyłączenia utrudniałby skorzystanie przez prezesa UODO z dyspozycji komentowanego przepisu. Każdorazowo musiałby on bowiem liczyć się z wiążącymi go terminami na przeprowadzenie postępowania administracyjnego.

O każdym przypadku niezałatwienia sprawy w terminie organ administracji publicznej jest bowiem zobowiązany zawiadomić strony, podając przyczyny zwłoki, wskazując nowy termin załatwienia sprawy oraz pouczając o prawie do wniesienia ponaglenia (zob. art. 36 par. 1 k.p.a.). To zaś może skończyć się nawet nałożeniem sankcji na pracownika organu odpowiedzialnego za nieterminowe załatwienie sprawy. Pracownik organu administracji publicznej podlega bowiem odpowiedzialności porządkowej lub dyscyplinarnej albo innej odpowiedzialności przewidzianej w przepisach prawa, jeżeli z nieuzasadnionych przyczyn nie załatwił sprawy w terminie lub prowadził postępowanie dłużej niż było to niezbędne do załatwienia sprawy (zob. art. 38 k.p.a.).

Art. 69. [Kara grzywny]

1. W przypadku, o którym mowa w art. 88 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, Prezes Urzędu wymierza karę grzywny w wysokości od 500 złotych do 5000 złotych.

2. Wymierzając karę grzywny, Prezes Urzędu bierze pod uwagę:

1) w przypadku osoby fizycznej – sytuację osobistą wezwanego i stopień zrozumienia powagi ciążących na nim obowiązków wynikających z wezwania lub

2) potrzebę dostosowania wysokości kary grzywny do celu, jakim jest przymuszenie wezwanego do zadośćuczynienia wezwaniu.

3. Kara grzywny, o której mowa w ust. 1, może być nałożona także w przypadku, gdy strona odmówiła przedstawienia tłumaczenia na język polski dokumentacji sporządzonej w języku obcym.

komentarz

• Instrument mobilizujący. Komentowany artykuł jest kolejnym przykładem modyfikacji przepisów ogólnego postępowania administracyjnego. W tym przypadku zmiany odnoszą się do zasad oraz wysokości wymierzania grzywny za naruszenie obowiązku osobistego stawiennictwa na wezwanie organu administracji publicznej. Zmiany te są bardzo istotne, art. 88 k.p.a. przewiduje bowiem, że osoba zobowiązana do osobistego stawienia się, która mimo prawidłowego wezwania nie stawi się bez uzasadnionej przyczyny jako świadek lub biegły albo bezzasadnie odmówi złożenia zeznania, wydania opinii, okazania przedmiotu oględzin albo udziału w innej czynności urzędowej, może być ukarana przez organ przeprowadzający dowód grzywną do 50 zł, a w razie ponownego niezastosowania się do wezwania – grzywną do 200 zł.
• Wysokość grzywny. Na gruncie postępowań prowadzonych przez prezesa UODO grzywna ta natomiast będzie mogła zostać wymierzona w kwocie od 500 zł do aż 5000 zł. Na marginesie można wskazać, że grzywna wymierzana w wysokości do 50 zł, a zatem również w kwotach niższych, przestała spełniać swoją podstawową rolę sankcji administracyjnej. Również w przypadku ponownego niestawienia się kwota grzywny w wysokości maksymalnej 200 zł nie odpowiada obecnym realiom gospodarczym. Dlatego też podwyższenie kwot grzywny w komentowanym artykule uznać należy za racjonalne. Tym bardziej że regulowana ustawą o ochronie danych osobowych materia uznawana jest za istotną.
• Katalog sankcjonowanych. Artykuł 69 ust. 1 nie modyfikuje jednakże podmiotowego katalogu osób, na które może zostać ona nałożona, a także przypadków jej wymierzania. Grzywnę mogą zatem otrzymać jedynie osoby wezwane przez prezesa UODO w charakterze świadka bądź biegłego. Wyklucza to zatem w szczególności te podmioty, którym przysługuje status strony danego postępowania administracyjnego i to zarówno będące osobami, których dane osobowe dotyczą, jak i administratorem tychże danych osobowych bądź podmiotem przetwarzającym je w oparciu o umowę powierzenia.
• Przesłanki zastosowania. Zakres czynności, za które ww. osoby mogą ponieść karę, nie uległ natomiast zmianie względem pierwotnego wzorca zawartego w art. 88 par. 1 k.p.a. Będą to zatem następujące zachowania:

– nieusprawiedliwione niestawiennictwo (przy tej przesłance należy poczynić zastrzeżenie wynikające z art. 51 k.p.a. Mianowicie do osobistego stawienia się wezwany jest obowiązany tylko w obrębie gminy lub miasta, w którym zamieszkuje albo przebywa, a także gdy wezwany zamieszkuje lub przebywa w sąsiedniej gminie albo mieście);

– bezzasadna odmowa złożenia zeznania;

– bezzasadna odmowa wydania opinii;

– bezzasadna odmowa okazania przedmiotu oględzin – w takim przypadku sankcja w postaci grzywny może zostać nałożona nie tylko na świadka i biegłego, ale także inną osobę, która zobowiązana jest do okazania przedmiotu mającego podlegać oględzinom w toku postępowania dowodowego prowadzonego przez prezesa UODO;

– bezzasadna odmowa udziału w innej czynności urzędowej.

Modyfikację ww. zasad ogólnych odnajdziemy natomiast w art. 69 ust. 3 komentowanej u.o.d.o. Ustawodawca przewidział w nim dodatkową przesłankę zastosowania grzywny. Sankcja ta może zostać zatem nałożona wyłącznie na stronę, ale tylko gdy odmówiła ona przedstawienia tłumaczenia na język polski dokumentacji sporządzonej w języku obcym.

Ustawa wprowadza zatem zamknięty katalog podmiotów, na które grzywa może zostać nałożona, oraz zamknięty katalog przypadków, w których wymierzenie grzywny staje się możliwe. Przy czym obie grupy przesłanek należy traktować odrębnie. Znaczy to, że np. grzywna na świadka lub biegłego może zostać nałożona wyłącznie w przypadkach wskazanych w art. 88 par. 1 k.p.a., natomiast na stronę tylko w sytuacji opisanej w art. 69 ust. 3 niniejszej ustawy.

• Rola pouczenia. Na gruncie art. 88 k.p.a. w doktrynie wykształcił się, ugruntowany już obecnie pogląd, w myśl którego, aby nałożenie grzywny było możliwe, osoba zagrożona przedmiotową sankcją powinna zostać pouczona o takiej możliwości. Brak takiego pouczenia, zwłaszcza w wezwaniach kierowanych do osób fizycznych nieobeznanych w prawie, może bowiem naruszać obowiązki organu administracji publicznej wynikające z ogólnych zasad postępowania administracyjnego – chociażby zasady informowania stron (art. 9 k.p.a.) czy też zasady pogłębiania zaufania do obywateli (art. 8 par. 1 k.p.a.).
• Postanowienie o wymierzeniu grzywny. Grzywna wymierzana jest w drodze postanowienia wydawanego przez prezesa UODO, na które to – w myśl art. 7 ust. 4 ustawy o ochronie danych osobowych – służy skarga do wojewódzkiego sądu administracyjnego.
• Wymierzanie wysokości. Opisane powyżej modyfikacje zasad ogólnych nie są jedynymi, które komentowana ustawa wprowadza w przedmiotowym zakresie. W art. 69 ust. 2 ustawodawca zawarł bowiem przesłanki, którymi organ nadzorczy ma obowiązek się kierować przy wymierzaniu grzywny, a konkretnie przy określaniu jej wysokości. Ustawowa rozpiętość kwot, w jakich sankcja ta może zostać wymierzona, jest bowiem znacząca. Przesłanki te znajdą przy tym zastosowanie przy wymierzaniu grzywny zarówno świadkom i biegłym, jak i stronom postępowania.

Pierwsza z nich dotyczy wyłącznie tych podmiotów, które są osobami fizycznymi. W takim przypadku prezes UODO musi mieć na względzie sytuację osobistą wezwanego oraz stopień zrozumienia powagi ciążących na danej osobie obowiązków. Przyjąć można, że warunki te odnoszone powinny być co najwyżej do świadków i stron postępowania będących osobami fizycznymi, a jedynie wyjątkowo do biegłych. Od biegłego wymagać bowiem można większego stopnia wiedzy w przedmiocie jego obowiązków, co więcej, na ich wykonywanie z reguły nie ma wpływu sytuacja osobista biegłego.

Druga przesłanka ma charakter ogólny i powinna być stosowana przez organ nadzorczy względem każdego podmiotu mającego zostać ukaranym grzywną. Każdorazowo zatem prezes UODO kieruje się także potrzebą dostosowania wysokości kary grzywny do celu, jakim jest przymuszenie wezwanego do zadośćuczynienia wezwaniu.

Wszystkie ze wskazanych przesłanek pozostawiają znaczny luz decyzyjny organowi wymierzającemu grzywnę. Przez sytuację osobistą osoby fizycznej należy rozumieć całokształt okoliczności odnoszących się do danej osoby. Może to być np. jej stan zdrowia albo stan zdrowia najbliższego członka rodziny czy też konieczność sprawowania opieki nad inną osobą, a także wiek tejże osoby. Ostatnia z okoliczności może mieć również wpływ na drugą z przesłanek, tj. stopień zrozumienia powagi obowiązków. Zarówno bowiem niedoświadczenie życiowe, jak i choroby wieku podeszłego mogą wpływać na błędną ocenę tychże obowiązków.

• Prewencyjny charakter. Kara grzywny powinna być również skuteczna, stąd też jej wysokość prezes UODO może dostosować w taki sposób, aby z jednej strony już samo zagrożenie sankcją wywoływało efekt prewencyjny w stosunku do osób, na które może zostać ona nałożona, a drugiej zaś strony – zwiększało prawdopodobieństwo wykonania wezwania po jej nałożeniu.

Co ważne, wskazane w art. 69 ust. 1 widełki ustawowe odnosić należy zarówno do przypadku pierwszego niewykonania wezwania, jak i kolejnego. W szczególności przepis ten nie może być rozumiany w ten sposób, że kwota 500 zł odnosi się do pierwszego zaniechania w wykonaniu wezwania, a kwota 5000 zł w razie ponownego niezastosowania się do wezwania.

• Charakter sankcji. Kary grzywny, o których mowa w komentowanym artykule, odróżnić należy od administracyjnych kar pieniężnych, o których mowa w RODO. Te ostatnie bowiem nakładane mogą być przez krajowe organy nadzorcze za naruszenie przepisów ogólnego rozporządzenia o ochronie danych. Omawiana regulacja odnosi się natomiast do sankcji stosowanych względem określonych uczestników postępowania administracyjnego prowadzonego przez prezesa UODO. Stąd też grzywny te mogą być nakładane we wszystkich rodzajach postępowań administracyjnych prowadzonych przez organ nadzorczy.
• Wniosek o zwolnienie od kary grzywny. Na zakończenie należy wskazać, że komentowany artykuł nie wyłącza stosowania dalszych przepisów art. 88 k.p.a. do świadków oraz biegłych. W szczególności zatem prezes UODO będzie mógł na wniosek ukaranego, złożony w ciągu siedmiu dni od daty otrzymania zawiadomienia o ukaraniu, uznać za usprawiedliwioną nieobecność lub odmowę zeznania, wydania opinii albo okazania przedmiotu oględzin i zwolnić od kary grzywny (art. 88 par. 2 k.p.a.).
• Skarga na odmowę zwolnienia od kary grzywny. Co ważne, na odmowę zwolnienia od kary grzywny ukaranemu świadkowi bądź biegłemu przysługiwać będzie prawo do wniesienia skargi do wojewódzkiego sądu administracyjnego (art. 88 par. 2 k.p.a. w zw. z art. 7 ust. 3 i 4 ustawy o ochronie danych osobowych).

Nadto ukaranie grzywną nie wyklucza możności zastosowania do opornego świadka środków przymusu przewidzianych w regulacjach szczególnych (art. 88 par. 3 k.p.a.). Chodzi tutaj o ustawę o postępowaniu egzekucyjnym w administracji, która przewiduje możliwość wymierzania dalszych grzywien w celu przymuszenia danej osoby do wykonania zobowiązania, a także zastosowanie względem takiej osoby przymusu bezpośredniego (np. doprowadzenie świadka w celu przesłuchania, odebranie przedmiotu, względem którego mają zostać dokonane urzędowe oględziny).

Art. 70. [Ograniczenie przetwarzania danych osobowych]

1. Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu, w celu zapobieżenia tym skutkom, może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych, wskazując dopuszczalny zakres tego przetwarzania.

2. W postanowieniu, o którym mowa w ust. 1, Prezes Urzędu określa termin obowiązywania ograniczenia przetwarzania danych osobowych nie dłuższy niż do dnia wydania decyzji kończącej postępowanie w sprawie.

3. Na postanowienie, o którym mowa w ust. 1, służy skarga do sądu administracyjnego.

komentarz

• Istota regulacji. Instytucja ograniczenia przetwarzania danych osobowych występuje na gruncie RODO w kilku niezależnych od siebie aspektach. Pierwszym z nich jest uprawnienie osoby, której dane dotyczą, do żądania od ich administratora, aby ten ograniczył przetwarzanie jej danych osobowych. W przypadku skorzystania z tego uprawnienia dane osobowe nim objęte można przetwarzać z wyjątkiem przechowywania – wyłącznie za zgodą osoby, której dane dotyczą, lub w celu: ustalenia, dochodzenia i obrony roszczeń, lub ochrony praw innej osoby fizycznej bądź prawnej, ewentualnie z uwagi na ważne względy interesu publicznego (zob. art. 18 RODO).

Odmienną sytuacją jest natomiast przypadek opisany w komentowanym artykule. Odwołuje się on bowiem do uprawnień prezesa UODO – dotyczących czasowego ograniczenia przetwarzania danych osobowych w trakcie prowadzonego przez ten organ postępowania oraz wyłącznie na warunkach wskazanych w omawianych przepisach.

• Różnice względem uregulowań RODO. Warto w tym miejscu poczynić jeszcze jedną, aczkolwiek istotną uwagę. Mianowicie zbliżone uprawnienie zostało przyznane krajowym organom nadzorczym w art. 58 ust. 2 lit. f RODO. Zgodnie z nim wszakże każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze do wprowadzania czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania.

Polski ustawodawca rozszerzył zakres kompetencji prezesa UODO o możliwość czasowego ograniczenia przetwarzania również w odniesieniu do prowadzonych przez niego postępowań, a nie tylko jako uprawnienie naprawcze. W tym przypadku zatem uprawnienie to przybiera formę swoistego środka zabezpieczającego przed powstaniem poważnych i trudnych do usunięcia strat bądź szkód. Możliwość rozszerzenia kompetencji krajowych organów nadzorczych wynika z art. 58 ust. 6 RODO. Krajowy ustawodawca wzorował się przy tym na już istniejących rozwiązaniach, które funkcjonują na gruncie innych dziedzin prawa. Jak czytamy bowiem w uzasadnieniu projektu ustawy o ochronie danych osobowych: „rozwiązanie wprowadzone do ustawy o ochronie danych osobowych nie jest jednak rozwiązaniem obcym polskiemu porządkowi prawnemu. Z podobnymi rozwiązaniami mamy do czynienia chociażby w przypadku zabezpieczenia roszczeń w postępowaniu cywilnym bądź postępowaniu antymonopolowym w przypadku decyzji prezesa Urzędu Ochrony Konkurencji i Konsumentów zobowiązującej przedsiębiorcę, któremu jest zarzucane stosowanie praktyk monopolowych, by w drodze decyzji zobowiązać go do zaniechania określonych działań”.

• Postanowienie o ograniczeniu przetwarzania. Skorzystanie przez organ nadzorczy z tego uprawnienia zostało obwarowane wieloma warunkami, którymi są:

– wszczęcie postępowania administracyjnego przez prezesa UODO w przedmiocie naruszenia przez określony podmiot przepisów o ochronie danych osobowych;

– uprawdopodobnienie w toku ww. postępowania, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych – okoliczność ta zatem nie musi być udowodniona, a jedynie uprawdopodobniona, co oznacza, że ze zgromadzonego w toku postępowania materiału wynika duże prawdopodobieństwo, iż przetwarzanie takie może naruszać stosowne przepisy;

– dalsze przetwarzanie tychże danych osobowych w dotychczasowy sposób może spowodować poważne i trudne do usunięcia skutki – np. prowadzić do nieuprawnionego ujawnienia danych osobowych szczególnych (np. dane o stanie zdrowia, poglądy określonej grupy osób itp.). Na uwagę zasługuje również to, że ustawodawca posłużył się w tej klauzuli spójnikiem „i”, który charakterystyczny jest dla koniunkcji. Oznacza to, że aby możliwe było zastosowanie omawianej regulacji, konieczne jest, aby dalsze przetwarzanie danych osobowych w dotychczasowy sposób mogło spowodować zarówno poważne, jak i jednocześnie trudne do usunięcia skutki. Co z pewnością ogranicza zakres stosowania tejże regulacji. I tak:

– wydanie postanowienia przez prezesa UODO w odniesieniu do osoby, której zarzucane jest naruszenie przepisów o ochronie danych osobowych – organ nadzorczy nie może zatem korzystać z tego uprawnienia względem innych podmiotów,

– określenie przez prezesa UODO dopuszczalnego zakresu przetwarzania – inaczej zatem, aniżeli w przypadku ograniczenia przetwarzania danych osobowych na żądanie osoby, której te dane dotyczą, ustawodawstwo nie określa z góry ram dozwolonego przetwarzania danych w okresie ograniczenia. Prezes UODO może dzięki temu dostosować sposób swojej reakcji na ww. poważne zagrożenia do potrzeb danej sytuacji. Wskazuje się przy tym, że skorzystanie przez organ nadzorczy z omawianego środka nie powinno rodzić nieodwracalnych skutków, np. usunięcia przetwarzania danych osobowych (tak: uzasadnienie projektu ustawy). Jest to o tyle zrozumiałe, że z założenia ograniczenie to ma mieć charakter jedynie czasowy, a zatem możliwe jest jego uchylenie bądź wygaśnięcie z mocy prawa. Przykładem takowego ograniczenia może być zatem wskazanie operacji na danych osobowych, których adresat postanowienia nie może wykonywać (np. udostępniać ich innym podmiotom uczestniczącym w procesie przetwarzania danych, czy też nie wykorzystywać ich do prowadzenia wskazanych czynności gospodarczych bądź zawodowych). Możliwe jest także zastosowanie metody przeciwnej, tj. na wzór art. 18 ust. 2 RODO, wskazanie zakresu czynności, które są w okresie ograniczonego przetwarzania dozwolone, pozostałe uznając za zakazane do czasu uchylenia ograniczenia bądź wydania decyzji administracyjnej w sprawie,

– określenie terminu obowiązywania ograniczenia przetwarzania danych osobowych, który nie może być dłuższy niż do dnia wydania decyzji kończącej postępowanie w sprawie. Jeżeli zatem okres ten upływie, a prezes UODO nie wyda decyzji nakazującej usunięcie danych osobowych bądź przywrócenie w inny sposób zgodności ich przetwarzania z prawem, to adresat wcześniejszego postanowienia będzie mógł powrócić do przetwarzania ich w dotychczasowy sposób.

• Możliwość skargi do sądu administracyjnego. Ze względu na fakt, że omawiane uprawnienie krajowego organu nadzorczego nie znajduje swojej podstawy także w kodeksie postępowania administracyjnego, nie byłoby możliwe skorzystanie z dyspozycji art. 7 ust. 4 komentowanej ustawy. Przypomnijmy, że przepis ten wprowadza możliwość wystąpienia ze skargą do sądu administracyjnego w tych przypadkach, w których ww. kodeks przewidywał zażalenie jako środek odwoławczy. Pragnąc więc wprowadzić możliwość sądowej kontroli postanowienia prezesa UODO wydawanego w przedmiocie czasowego ograniczenia przetwarzania danych osobowych, ustawodawca musiał zatem przewidzieć taką możliwość wprost w ustawie. Powyższe znalazło odzwierciedlenie w treści art. 70 ust. 3 ustawy, który jednoznacznie przesądza, że na omawiane postanowienie służy skarga do sądu administracyjnego.

I choć ograniczenie przetwarzania danych osobowych możliwe jest tylko wyjątkowo – jedynie w określony sposób oraz przez z góry oznaczony czas – a nadto stronie przysługuje skarga do sądu administracyjnego na postanowienie prezesa UODO, to przesłanki, którymi musi kierować się prezes UODO, są nieostre. Nadto wystarczające jest, aby:

– zostało jedynie uprawdopodobnione (nie zaś udowodnione) przetwarzanie danych osobowych niezgodnie z prawem,

– prezes UODO uznał, że ww. przetwarzanie może spowodować poważne i trudne do usunięcia skutki, a więc wystarczające jest już samo ryzyko powstania takich skutków.

Postulować stąd należy, aby instytucja ta była stosowana wyłącznie w przypadkach ewidentnych. Bowiem nawet możliwość wystąpienia ze skargą do wojewódzkiego sądu administracyjnego nie gwarantuje pełnej ochrony prawa do przetwarzania danych osobowych, gdy przesłanki jego ograniczenia zawierają pewną dozę uznaniowości.

Dużą rolę w tym zakresie odgrywać będą wypracowane w przyszłości linie orzecznicze, a także utrwalone praktyki rozstrzygania spraw przez prezesa UODO. Zgodnie bowiem z art. 8 ust. 2 k.p.a. organy administracji publicznej bez uzasadnionej przyczyny nie odstępują od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym. ©℗