Ustawa z 10 maja 2018 r. o ochronie danych osobowych (cz. 5)
(Dz.U. poz. 1000) (komentarz praktyczny)
W piątej części praktycznego komentarza do ustawy o ochronie danych osobowych (dalej: u.o.d.o.) dokończymy m.in. omawianie przepisów rozdziału 6 regulujących postępowanie w sprawie naruszenia ustawowych norm ochrony danych osobowych. Kolejne zagadnienie stanowi europejska współpraca administracyjna pomiędzy krajowymi organami nadzorczymi z poszczególnych państw członkowskich Unii Europejskiej. Główne zasady tejże współpracy uregulowane zostały, co prawda, w ogólnym rozporządzeniu o ochronie danych, jednak polski ustawodawca zdecydował się na uszczegółowienie niektórych z nich bezpośrednio w ustawie o ochronie danych osobowych. Przepisy te są istotne także dla przedsiębiorców, odnoszą się bowiem m.in. do wspólnych operacji podejmowanych przez krajowe organy nadzorcze w zakresie ochrony danych osobowych przetwarzanych transgranicznie.
Ostatnim tematem poruszonym w komentarzu jest kontrola przestrzegania przepisów o ochronie danych osobowych. W tym zakresie niezbędne jest omówienie nie tylko zasad wynikających z przedmiotowej ustawy, lecz także stosowanego posiłkowo kodeksu postępowania administracyjnego.
W kolejnej, szóstej części komentarza omówione zostaną przede wszystkim kwestie związane z odpowiedzialnością cywilną administratora danych i podmiotu przetwarzającego za naruszenie przepisów o ochronie danych osobowych, a także postępowanie sądowe prowadzone w przedmiocie orzekania o takiej odpowiedzialności. ©℗
Poprzednie części komentarza ukazały się:
• cz. 1 – 19 czerwca 2018 r. (DGP nr 117)
• cz. 2 – 24 lipca 2018 r. (DGP nr 142)
• cz. 3 – 21 sierpnia 2018 r. (DGP nr 161)
• cz. 4 – 18 września 2018 r. (DGP nr 181)
Kolejna część komentarza ukaże się 20 listopada 2018 r.
Michał Koralewski
radca prawny
TYDZIEŃ Z KOMENTARZAMI – baza publikacji
W tygodniku Firma i Prawo komentowaliśmy ustawy:
• z 2 lipca 2004 r. o swobodzie działalności gospodarczej
• z 5 lipca 2001 r. o cenach
• z 29 sierpnia 1997 r. o ochronie danych osobowych
• z 16 września 1982 r. – Prawo spółdzielcze
• z 3 lutego 1995 r. o ochronie gruntów rolnych i leśnych
• z 8 marca 2013 r. o terminach zapłaty w transakcjach handlowych
• z 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym
• z 12 grudnia 2012 r. o ogólnym bezpieczeństwie produktów
• z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji
• z 14 grudnia 2012 r. o odpadach
• z 30 maja 2014 r. o prawach konsumenta
• z 6 września 2001 r. o transporcie drogowym
• z 15 maja 2015 r. – Prawo restrukturyzacyjne
• z 29 stycznia 2004 r. – Prawo zamówień publicznych
• z 20 lipca 2017 r. – Prawo wodne
• z 23 kwietnia 1964 r. – Kodeks cywilny (wyciąg dotyczący rękojmi i gwarancji)
Przeoczyłeś tygodnik? Znajdziesz go w wydaniach dgp na www.edgp.gazeta prawna.pl
Art. 71. [Wniosek o wystąpienie z pytaniem prawnym]
1. Jeżeli w toku postępowania Prezes Urzędu uzna, że istnieją uzasadnione wątpliwości co do zgodności z prawem Unii Europejskiej decyzji Komisji Europejskiej, o której mowa w art. 40 ust. 9 w sprawie kodeksu postępowania, o którym mowa w art. 46 ust. 2 lit. e, oraz decyzji, o której mowa w art. 45 ust. 3 i 5 i art. 46 ust. 2 lit. c rozporządzenia 2016/679, Prezes Urzędu występuje do sądu administracyjnego z wnioskiem o wystąpienie z pytaniem prawnym na podstawie art. 267 Traktatu o funkcjonowaniu Unii Europejskiej w sprawie ważności decyzji Komisji Europejskiej.
2. Wniosek, o którym mowa w ust. 1, poza spełnianiem wymagań dotyczących skargi, o których mowa w art. 64 § 2 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2017 r. poz. 1369, 1370 i 2451 oraz z 2018 r. poz. 650), zawiera w szczególności:
1) wskazanie decyzji Komisji Europejskiej, której wniosek dotyczy;
2) omówienie powodów, dla których Prezes Urzędu powziął wątpliwości w kwestii ważności decyzji Komisji Europejskiej i jej niezgodności z przepisami prawa;
3) treść pytania lub pytań, które sąd administracyjny przedstawia Trybunałowi Sprawiedliwości Unii Europejskiej, zawierającą:
a) przedmiot sporu oraz ustalenia co do okoliczności faktycznych, w tym stanowisko strony podniesione w postępowaniu przed organem, jeżeli zostało przedstawione przez stronę,
b) wskazanie przepisów prawa mających zastosowanie w sprawie,
c) proponowaną do przedstawienia Trybunałowi Sprawiedliwości Unii Europejskiej przez sąd administracyjny sentencję pytania lub pytań;
4) oświadczenie o zgodności treści załącznika, o którym mowa w ust. 3, z wnioskiem złożonym w postaci papierowej.
3. Do wniosku, o którym mowa w ust. 1, dołącza się załącznik zawierający treść wniosku w formie dokumentu elektronicznego zapisanego na informatycznym nośniku danych w formacie danych pozwalającym na edycję jego treści.
4. Stroną postępowania przed sądem administracyjnym w sprawie wniosku, o którym mowa w ust. 1, jest Prezes Urzędu.
5. Sąd administracyjny rozpoznaje wniosek, o którym mowa w ust. 1, na posiedzeniu niejawnym, w składzie 3 sędziów.
6. Sąd administracyjny, uznając wnio sek, o którym mowa w ust. 1, za uzasadniony, występuje do Trybunału Sprawiedliwości Unii Europejskiej z pytaniem prejudycjalnym na podstawie art. 267 Traktatu o funkcjonowaniu Unii Europejskiej.
7. W przypadku uznania przez sąd administracyjny, że wniosek, o którym mowa w ust. 1, nie zawiera wystarczającego uzasadnienia dla wystąpienia z pytaniem prejudycjalnym do Trybunału Sprawiedliwości Unii Europejskiej, wydaje się postanowienie o odmowie wystąpienia z pytaniem.
8. Na postanowienie, o którym mowa w ust. 7, nie służy środek odwoławczy.
9. Sąd administracyjny sporządza uzasadnienie postanowienia, o którym mowa w ust. 7, w terminie 21 dni.
10. Od wniosku, o którym mowa w ust. 1, nie pobiera się opłaty sądowej.
komentarz
- Przekazywanie danych osobowych poza obszar Unii Europejskiej. Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz.Urz. UE z 2016 r. L 119, s. 1) wyposaża Komisję Europejską w wiele kompetencji, m.in. w prawo określania przypadków, w których możliwe jest przekazywanie danych osobowych do państw trzecich i organizacji międzynarodowych. W zakresie tym Komisja Europejska wydaje akty wykonawcze – decyzje. W tym miejscu wyjaśnić należy, że przekazywanie danych osobowych poza obszar UE podlega ograniczeniom wynikającym z RODO i możliwe jest wyłącznie w przypadkach, które zostały wskazane w tymże rozporządzeniu. Może zatem do tego dojść, gdy wydana została decyzja Komisji Europejskiej stwierdzająca, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony (stwierdzenie odpowiedniego stopnia ochrony następuje na mocy art. 45 ust. 3 RODO, stwierdzenie zaś, że dane państwo lub obszar nie gwarantuje takiej ochrony następuje na mocy art. 45 ust. 5 RODO, do przepisów tych odsyła komentowany artykuł).
Jeżeli brak decyzji Komisji Europejskiej, to administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. [ramka 1]
Ramka 1
Odpowiednie zabezpieczenia przy przekazywaniu danych – czyli jakie?
RODO za odpowiednie zabezpieczenia umożliwiające przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej uznaje:
• prawnie wiążące i egzekwowalne instrumenty między organami lub podmiotami publicznymi,
• stosowanie wiążących reguł korporacyjnych,
• stosowane standardowych klauzul ochrony danych przyjętych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO, do przepisu tego odsyła komentowany artykuł),
• stosowanie standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję Europejską,
• stosowanie zatwierdzonego – w trybie art. 40 ust. 9 RODO – kodeksu postępowania wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą (art. 46 ust. 2 lit. e RODO, do przepisu tego odsyła komentowany artykuł),
• stosowanie zatwierdzonego mechanizmu certyfikacji wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.
Natomiast po uzyskaniu dodatkowego zezwolenia krajowego organu nadzorczego za odpowiednie zabezpieczenie uznane będzie stosowanie:
• klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej lub
• postanowień, uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą. ©℗
Do przekazania danych do państw trzecich może też dojść w szczególnych sytuacjach wskazanych w RODO. [ramka 2]
Ramka 2
Szczególnie uzasadnione przypadki
Za szczególnie uzasadnione przypadki umożliwiające przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej RODO uznaje następujące okoliczności:
• osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę,
• przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą – sytuacja taka będzie miała miejsce, gdy osoba, której dane dotyczą, zawarła umowę z administratorem mającym siedzibę w państwie trzecim lub z organizacją międzynarodową bądź też zwraca się do takich podmiotów o podjęcie czynności przed zawarciem umowy, np. przesłanie oferty,
• przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną – ten przypadek dotyczy sytuacji, w której umowa z podmiotem z państwa trzeciego lub organizacją międzynarodową została zawarta nie bezpośrednio przez osobę, której dane dotyczą, ale w jej interesie, np. w celu wykonania usługi, bądź dostarczenia towaru osobie, której dane dotyczą przez podmiot z państwa trzeciego,
• przekazanie jest niezbędne ze względu na ważne względy interesu publicznego,
• przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń,
• przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody, np. na skutek wypadku albo jej stanu zdrowia,
• przekazanie następuje z rejestru, który zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – przekazanie takie nie może jednak obejmować całości danych osobowych ani całych kategorii danych osobowych zawartych w rejestrze.
Jeżeli nie występuje żaden ze wskazanych szczególnych przypadków, to przekazanie danych osobowych jest możliwe, gdy łącznie spełnione są następujące warunki:
• przekazanie nie jest powtarzalne,
• przekazanie dotyczy tylko ograniczonej liczby osób, których dane dotyczą,
• przekazanie jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora,
• administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych; ocena ta wymaga udokumentowania,
• administrator poinformuje organ nadzorczy o przekazaniu. ©℗
Jak wynika z powyższego, możliwość przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych w dużej mierze zależy od decyzji wydanych przez Komisję Europejską.
- Procedura odwoławcza prezesa UODO. Brak środków odwoławczych w tym zakresie ustawodawca zrekompensował swoistą ścieżką proceduralną, która może być zastosowana w przypadku uznania przez krajowy organ nadzorczy, że wydane w przedmiotowym zakresie decyzje Komisji Europejskiej naruszają prawo Unii Europejskiej. Nie chodzi zatem jedynie o ich sprzeczność z samym RODO, ale szerzej – także z innymi przepisami prawa unijnego. Procedura ta dotyczy jednakże wyłącznie precyzyjnie określonych aktów wykonawczych wydanych przez Komisję Europejską.
Pierwszy z nich dotyczy zatwierdzonych kodeksów postępowania, jednak tylko takich, które obejmować mają czynności przetwarzania danych osobowych prowadzonych w kilku państwach członkowskich. W takim bowiem przypadku krajowy organ nadzorczy przed zatwierdzeniem projektu kodeksu (albo jego zmiany lub rozszerzenia) przedkłada je Europejskiej Radzie Ochrony Danych. Ta zaś wydaje opinię o zgodności danego projektu kodeksu (lub jego zmiany lub rozszerzenia) z RODO lub opinię o tym, czy stanowią one odpowiednie zabezpieczenie (jeżeli kodeks postępowania ma być stosowany przez podmioty, które nie podlegają przepisom RODO). Jeżeli opinia Europejskiej Rady Ochrony Danych jest pozytywna, to zostaje przekazana Komisji Europejskiej. Ta zaś może stwierdzić w drodze decyzji, że zatwierdzony kodeks postępowania, zmiana lub rozszerzenie zaopiniowane w opisanej wyżej procedurze są powszechnie obowiązujące w Unii Europejskiej.
Druga grupa decyzji Komisji Europejskiej objętych przedmiotową procedurą odnosi się natomiast do stwierdzania przez ten organ, że państwo trzecie, terytorium lub określony sektor lub sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony pozwalający na przekazywanie danych osobowych z terytorium Unii Europejskiej bądź też przestały zapewniać odpowiedni stopień ochrony.
Trzeci przypadek, który wymienia komentowany artykuł, dotyczy przyjętych przez Komisję Europejską standardowych klauzul ochrony danych. Są to postanowienia umowne, których wprowadzenie do umów z kontrahentami z państw trzecich zapewnić ma poszanowanie ochrony danych osobowych na akceptowalnym przez ten organ poziomie.
- Pytanie prejudycjalne. Jeżeli zatem w toku postępowania prowadzonego przez prezesa UODO istnieje konieczność powołania się na jedną z wymienionych decyzji Komisji Europejskiej, a okaże się, że zdaniem krajowego organu nadzorczego narusza ona przepisy prawa Unii Europejskiej – to może on zastosować procedurę opisaną w komentowanym artykule.
Co ważne, w postępowaniu zainicjowanym przez prezesa UODO nie biorą udziału strony postępowania administracyjnego prowadzonego przez organ nadzorczy. Stroną postępowania sądowoadministracyjnego jest bowiem wyłącznie prezes UODO. Jeżeli sąd administracyjny podzieli stanowisko organu nadzorczego, to wówczas występuje do Trybunału Sprawiedliwości Unii Europejskiej z pytaniem prejudycjalnym w zakresie zgodności z prawem i ważności decyzji Komisji Europejskiej. W konsekwencji może to doprowadzić do wyeliminowania z obrotu prawnego decyzji Komisji Europejskiej zakwestionowanej przez krajowy organ nadzorczy.
W sytuacji przeciwnej natomiast sąd wydaje postanowienie o odmowie wystąpienia z pytaniem prejudycjalnym. Na postanowienie to nie przysługuje prezesowi UODO środek odwoławczy.
- Środki tymczasowe. Co prawda w omawianym postępowaniu sądowoadministracyjnym nie biorą udziału strony postępowania prowadzonego przez prezesa UODO, jednak wystąpienie przez ten organ z wnioskiem, o którym mowa w komentowanym artykule, ma wpływ na to postępowanie. Niezależnie od finalnego rozstrzygnięcia wniosku albo pytania prejudycjalnego procedura ta znacząco przedłuża postępowanie prowadzone przez prezesa UODO. Czas rozpatrywania wniosku nie został określony przez ustawodawcę. Oczekiwanie zaś na odpowiedź TSUE może zająć nawet kilkanaście miesięcy.
Bez wątpienia zatem w przypadku wystąpienia przez prezesa UODO z omawianym wnioskiem powinien on zastosować środki tymczasowe na czas oczekiwania na jego rozpatrzenie. Może tu znaleźć zastosowanie chociażby czasowe ograniczenie przetwarzania danych osobowych, o którym mowa w art. 70 komentowanej ustawy.
- Uprawnienie do zawieszenia postępowania. Niezależnie od powyższego, decydując się na wystąpienie z omawianym wnioskiem, prezes UODO zobligowany jest do zawieszenia prowadzonego postępowania administracyjnego do czasu rozstrzygnięcia zagadnienia wstępnego. Podstawę prawną zawieszenia postępowania stanowić będzie art. 97 par. 1 pkt 4 ustawy z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t.j. Dz.U. z 2017 r. poz. 1257 ze zm.; dalej: k.p.a.), zgodnie z którym organ zawiesza postępowanie, gdy rozpatrzenie sprawy i wydanie decyzji zależy od uprzedniego rozstrzygnięcia zagadnienia wstępnego przez inny organ lub sąd. Sytuacja taka występować będzie w niniejszym przypadku. Jedynym kompetentnym organem w tymże zakresie jest bowiem TSUE.
Rzecz jasna w przypadku wyroku TSUE, w którym stwierdzono nieważność decyzji Komisji Europejskiej, w postępowaniu prowadzonym przez prezesa UODO decyzja taka nie zostałaby uwzględniona. To zaś mogłoby mieć bezpośrednie przełożenie na sposób jego zakończenia.
Na marginesie należy wskazać, że kompetencja prezesa UODO do wystąpienia z wnioskiem do sądu administracyjnego przysługuje mu jedynie w toku toczącego się przed tym organem postępowania. Krajowy organ nadzorczy nie może zatem korzystać z instytucji opisanej w komentowanym artykule abstrakcyjnie, w oderwaniu od konkretnego postępowania przezeń prowadzonego.
- Wymóg załączenia wniosku w formie dokumentu elektronicznego. Jako ciekawostkę wskazać można nałożony na prezesa UODO obowiązek dołączenia do wniosku załącznika zawierającego treść tegoż wniosku w formie dokumentu elektronicznego zapisanego na informatycznym nośniku danych w formacie danych pozwalającym na edycję jego treści. Nałożenie tego wymogu wpływać ma na ułatwienie sądowi skonstruowania finalnej wersji pytania prejudycjalnego z wykorzystaniem edytowalnej wersji wniosku złożonej przez krajowy organ nadzorczy.
Art. 72. [Wskazanie przesłanek nałożenia administracyjnej kary pieniężnej]
W uzasadnieniu decyzji kończącej postępowanie w sprawie wskazuje się dodatkowo przesłanki określone w art. 83 ust. 2 rozporządzenia 2016/679, na których Prezes Urzędu oparł się, nakładając administracyjną karę pieniężną oraz ustalając jej wysokość.
komentarz
- Przesłanki nałożenia administracyjnej kary pieniężnej. Procedura nakładania administracyjnych kar pieniężnych za naruszenia przepisów ogólnego rozporządzenia o ochronie danych zostanie szczegółowo opisana w komentarzu do rozdziału 11 niniejszej ustawy. W tym miejscu jednakże należy wskazać na podstawowe reguły związane z nakładaniem tych kar oraz ustalaniem ich wysokości.
Po pierwsze, jest możliwość nałożenia kary pieniężnej oprócz albo zamiast środków naprawczych przysługujących krajowym organom nadzorczym. Do środków tych należy m.in. udzielenie upomnienia, zobowiązanie danego podmiotu do określonego zachowania (np. spełnienia żądania osoby, której dane dotyczą), wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania, nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
W zależności od okoliczności danej sprawy możliwe jest zatem:
– poprzestanie na nałożeniu na administratora lub inny podmiot uczestniczący w przetwarzaniu danych osobowych, jednego lub kilku środków naprawczych,
– nałożenie na dany podmiot administracyjnej kary pieniężnej oprócz nakazania mu podjęcia środków naprawczych,
– nałożenie na dany podmiot administracyjnej kary pieniężnej zamiast środków naprawczych.
Po drugie, RODO określa jedynie górne granice administracyjnych kar pieniężnych. Wysokość kary nakładanej w indywidualnym przypadku ma natomiast zapewnić spełnienie przesłanek: skuteczności, proporcjonalności oraz efektu odstraszającego. Dlatego też, decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, krajowy organ nadzorczy ma obowiązek każdorazowo brać pod uwagę przesłanki wskazane przez ustawodawcę unijnego (zarówno łagodzące, jak i obostrzające). Ocenić musi on zatem:
– charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
– umyślny lub nieumyślny charakter naruszenia;
– działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
– stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich w celu zapewnienia bezpieczeństwa ochrony danych osobowych (m.in. uwzględnienie ochrony danych w fazie projektowania, wprowadzenie domyślnej ochrony danych, wprowadzenie technicznych i organizacyjnych środków bezpieczeństwa itp.), wszelkie wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
– stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
– kategorie danych osobowych, których dotyczyło naruszenie (zwłaszcza czy dotyczy to szczególnych kategorii danych osobowych lub danych osobowych o wyrokach skazujących i naruszeniach prawa);
– sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
– jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki naprawcze, o których była mowa wyżej – przestrzeganie tych środków;
– stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji;
– wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
- Obowiązek zawarcia przesłanek w uzasadnieniu. Wszystkie wskazane powyżej przesłanki prezes UODO ma obowiązek rozpatrzyć. I to zarówno pod kątem tego, czy administracyjna kara pieniężna powinna zostać na dany podmiot nałożona, jak i podczas określania jej wysokości. Aby możliwa była weryfikacja, które okoliczności łagodzące bądź obostrzające miały wpływ na decyzję organu nadzorczego, a także czy przesłanki te zostały uwzględnione w sposób prawidłowy, prezes UODO zobligowany został do wskazania tychże przesłanek w uzasadnieniu do wydawanej przez niego decyzji administracyjnej nakładającej kary pieniężnych.
Komentowany przepis uzupełnia zatem ogólną normę kodeksu postępowania administracyjnego, określającą obligatoryjne elementy uzasadnienia decyzji. Zgodnie bowiem z art. 107 par. 3 tegoż kodeksu uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, uzasadnienie prawne powinno zaś zawierać wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
Dopiero łączne stosowanie tych przepisów kodeksu postępowania administracyjnego oraz komentowanej ustawy pozwala na określenie elementów konstrukcyjnych uzasadnienia decyzji wydawanych przez prezesa UODO w zakresie kar pieniężnych. Co ważne, z zestawienia tychże przepisów wynika, że organ nadzorczy nie może poprzestać na wyłącznym wskazaniu przesłanki lub przesłanek określonych w RODO. W treści uzasadnienia bowiem podstawa prawna decyzji powinna zostać dodatkowo wyjaśniona.
Na zakończenie przypomnieć należy, że od decyzji prezesa UODO wydanej w omawianym przedmiocie przysługuje skarga do sądu administracyjnego. Wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej (zob. komentarz do art. 74 ustawy).
Art. 73. [Informowanie o wydaniu decyzji przez prezesa UODO]
1. Prezes Urzędu, jeżeli uzna, że przemawia za tym interes publiczny, po zakończeniu postępowania informuje o wydaniu decyzji na swojej stronie podmiotowej w Biuletynie Informacji Publicznej.
2. Jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski, w stosunku do których Prezes Urzędu wydał prawomocną decyzję stwierdzającą naruszenie, niezwłocznie podają do publicznej wiadomości na swojej stronie internetowej lub stronie podmiotowej w Biuletynie Informacji Publicznej, informację o działaniach podjętych w celu wykonania decyzji.
komentarz
- Możliwość publikacji decyzji. RODO nie wprowadza wymogu podawania wszystkich decyzji wydawanych przez krajowe organy nadzorcze do wiadomości publicznej. Jednak taka publikacja stanowić może dodatkową formę sankcji nakładanej na stronę postępowania administracyjnego, do którego dana decyzja została skierowana. Ponadto może mieć ona także istotny wymiar prewencyjny. Upublicznienie decyzji prezesa UODO, w szczególności stwierdzającej naruszenie przepisów o ochronie danych osobowych lub nakładającej administracyjną karę pieniężną, wpływać bowiem może na społeczny odbiór danego podmiotu przez opinię publiczną.
Nie są to jednakże jedyne cele publikowania omawianych decyzji. Poznanie pełnej treści decyzji pozwala bowiem na zapoznanie się ze stanowiskiem prezesa UODO na temat konkretnych naruszeń ochrony danych osobowych, a także – poznanie poglądów krajowego organu nadzorczego dotyczących określonych zachowań administratorów i podmiotów przetwarzających. Dzięki temu publikacja decyzji wpływać może również na wytworzenie się prawidłowych praktyk w obrocie gospodarczym. Uczestnicy obrotu gospodarczego uzyskają bowiem szerszą informację o tym, jakiego typu okoliczności uznawane są przez krajowy organ nadzorczy za kwalifikowane formy naruszenia ochrony danych osobowych.
- Pojęcie interesu publicznego. Zwrócić należy uwagę, że upublicznienie informacji o wydanej przez prezesa UODO decyzji nie będzie miało miejsca każdorazowo, a jedynie w tych przypadkach, gdy w ocenie organu nadzorczego przemawiać za tym będzie interes publiczny.
Ten ostatni termin stanowi jedną z klauzul generalnych pojawiających się stosunkowo często w polskim ustawodawstwie. „«Interes publiczny» jest pojęciem niedookreślonym, którego funkcja w stosowaniu prawa sprowadza się do wyposażenia decydującego w możliwości reagowania na sytuacje faktyczne doniosłe prawnie, społecznie i gospodarczo, niemieszczące się w ramach oceny typowych jednostkowych stanów faktycznych (…) w imię elastycznego i słusznego rozstrzygania spraw” (tak wyrok Trybunału Konstytucyjnego z 9 listopada 2001 r., sygn. akt K 13/07). Interes publiczny to dyrektywa postępowania, nakazująca respektowanie wspólnych wartości istotnych dla całego społeczeństwa lub danej społeczności lokalnej, takich jak sprawiedliwość, bezpieczeństwo, zaufanie obywateli do organów władzy publicznej, sprawność i obiektywizm działania aparatu państwowego itp. (tak wyrok Naczelnego Sądu Administracyjnego w Warszawie z 8 lipca 2015 r., sygn. akt II FSK 1318/13).
- Obowiązki jednostek sektora finansów publicznych. Dodatkowo na instytucje wskazane w ust. 2 komentowanego artykułu (jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski) ustawodawca nałożył obowiązek publikowania informacji o działaniach podjętych przez nie w celu wykonania decyzji wydanej wobec nich przez prezesa UODO, w której to stwierdzono naruszenie. Informacje te powinny być publikowane w Biuletynie Informacji Publicznej, na stronach danego podmiotu.
Na uwagę zasługuje stwierdzenie, że obowiązek publikacji o działaniach powstaje po wydaniu „prawomocnej decyzji”, nie zaś ostatecznej. Przypomnieć zatem należy, że w myśl art. 16 par. 3 k.p.a. decyzje ostateczne, których nie można zaskarżyć do sądu, są prawomocne. Decyzjami prawomocnymi będą zatem decyzje, które bądź były już przedmiotem postępowania przed sądem administracyjnym, który utrzymał je w mocy, bądź takie, względem których upłynął już termin do wniesienia skargi do sądu administracyjnego.
Powyższy obowiązek ma podobne znaczenie, jak instytucja opisana w ust. 1 komentowanego artykułu. Dodatkowo pozwala na społeczną weryfikację działań podejmowanych przez wymienione podmioty w celu doprowadzenia przetwarzania danych osobowych do zgodności z prawem.
Art. 74. [Wstrzymanie wykonania decyzji]
Wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
komentarz
- Wyjątek od zasady. Jak już zostało to dokładnie wyjaśnione w komentarzu do art. 7 ustawy, co do zasady wniesienie skargi do sądu administracyjnego na decyzję ostateczną prezesa UODO nie wstrzymuje jej wykonania, w tym wykonania przymusowego – w drodze postępowania egzekucyjnego. Jedyny wyjątek w tym zakresie dotyczy decyzji prezesa UODO wydanych w zakresie administracyjnej kary pieniężnej, o czym ustawodawca wprost przesądził w treści komentowanego artykułu.
Właśnie ze względu na to, że zasadą ogólną jest brak suspensywności skargi do sądu administracyjnego (czyli brak wstrzymania jej wykonania z uwagi na sam fakt wniesienia tejże skargi), do przełamania tejże zasady konieczna była ingerencja ustawodawcy. W efekcie, jak wynika z art. 74, skutkiem wniesienia przez stronę skargi do sądu administracyjnego będzie wstrzymanie wykonania decyzji objętej skargą.
- Znaczenie regulacji. Wprowadzenie suspensywności skargi przez ustawodawcę wydaje się w pełni zasadne – choćby m.in. z uwagi na znaczną wysokość administracyjnych kar pieniężnych oraz jednoinstancyjność postępowania administracyjnego prowadzonego przez prezesa UODO. Dość łatwo bowiem wyobrazić sobie sytuację, w której obowiązek zapłaty wysokiej kary finansowej mógłby zachwiać płynnością finansową danego podmiotu. Dodawszy do tego fakt, że postępowanie sądowoadministracyjne jest dwuinstancyjne – niejednokrotnie mogłoby zdarzyć się w praktyce, że ewentualne uchylenie zaskarżonej decyzji prezesa UODO nastąpiłoby po zbyt długim czasie dla zainteresowanego. Sama zaś konieczność zapłaty kary pieniężnej mogłaby wywołać dla niego trudne do odwrócenia skutki. To właśnie dlatego, aby uniknąć tego typu przypadków, ustawodawca zerwał z zasadą braku suspensywności skargi do sądu administracyjnego.
- Wpływ na przebieg postępowania przed sądem administracyjnym. W tym miejscu należy wyjaśnić dodatkowo etapy postępowania sądowoadministracyjnego, a także rodzaje orzeczeń, jakie mogą zostać w nich wydane oraz ich wpływ na zawieszenie wykonania ostatecznej decyzji prezesa UODO wydanej w przedmiocie nałożenia administracyjnej kary pieniężnej. Kwestie związane z długością okresu wstrzymania wykonania takiej decyzji nie zostały bowiem uregulowane w komentowanej ustawie, ale w ustawie z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2018 r. poz. 1302; dalej: p.p.s.a.). Odpowiedzi na wcześniej postawione pytania należy zatem poszukiwać w przepisach ostatniego ze wskazanych aktów prawnych.
W pierwszej instancji skarga rozpatrywana jest przez wojewódzki sąd administracyjny, od jego wyroku przysługuje zaś skarga kasacyjna do Naczelnego Sądu Administracyjnego. Wydanie zatem wyroku przez sąd I instancji nie musi kończyć postępowania sądowoadministracyjnego. Strona niezadowolona z wyroku może bowiem skorzystać z wymienionego środka odwoławczego. Zgodnie natomiast z art. 61 par. 6 p.p.s.a. wstrzymanie wykonania aktu lub czynności traci moc z dniem:
– wydania przez sąd orzeczenia uwzględniającego skargę, tj. takiego, mocą którego sąd administracyjny:
a) uchylił zaskarżoną decyzję w całości albo w części;
b) stwierdza nieważność decyzji lub postanowienia w całości lub w części, jeżeli zachodzą przyczyny określone w art. 156 k.p.a. lub w innych przepisach, np. decyzja została wydana z rażącym naruszeniem prawa czy też została skierowana do osoby niebędącej stroną w sprawie;
c) stwierdza wydanie decyzji lub postanowienia z naruszeniem prawa, jeżeli zachodzą przyczyny określone w kodeksie postępowania administracyjnego lub w innych przepisach, np. jeżeli decyzja zostałaby wydana z naruszeniem przepisów o właściwości organu administracji publicznej (czyli przez niewłaściwy organ), a od dnia jej doręczenia lub ogłoszenia upłynęło dziesięć lat, a także gdy decyzja taka wywołałaby nieodwracalne skutki prawne,
– uprawomocnienia się orzeczenia oddalającego skargę.
Jeżeli zatem w pierwszej instancji zapadłby wyrok oddalający skargę na decyzję prezesa UODO, a strona wniosłaby skargę kasacyjną, to wstrzymanie wykonania tejże decyzji zostałoby przedłużone do czasu rozstrzygnięcia sprawy przez Naczelny Sąd Administracyjny. Wyroki wydane bowiem przez ten sąd są prawomocne. Wstrzymanie wykonania decyzji upadłoby również w przypadku, gdyby sąd I instancji oddalił skargę, a strona nie wniosłaby skargi kasacyjnej. W takim przypadku wyrok wojewódzkiego sądu administracyjnego stałby się prawomocny. Tożsama sytuacja będzie miała miejsce, gdy skarga kasacyjna zostałaby odrzucona bądź Naczelny Sąd Administracyjny umorzyły postępowanie.
- Zakres wstrzymania decyzji. Warto zwrócić również uwagę na sposób sformułowania komentowanego przepisu. Stanowi on bowiem, że wniesienie skargi „wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej”. Z takiej konstrukcji przepisu wynika bardzo istotny skutek dla adresatów decyzji administracyjnych wydawanych przez prezesa UODO. Otóż wstrzymanie wykonalności dotyczyć będzie:
– decyzji wydanej wyłącznie w przedmiocie administracyjnej kary pieniężnej – w takim przypadku wstrzymaniu ulegnie wykonanie całej decyzji,
– decyzji zawierającej rozstrzygnięcia w różnych kwestiach, w tym w przedmiocie administracyjnej kary pieniężnej – w takim przypadku wstrzymaniu ulegnie wykonanie odpowiedniego punktu bądź części decyzji. W pozostałym zaś zakresie decyzja będzie wykonalna. [przykład 1]
przykład 1
Wstrzymanie części decyzji
Prezes UODO wydał decyzję wobec przedsiębiorcy, na którego wpłynęła skarga osoby, która bezskutecznie domagała się usunięcia swoich danych osobowych. W punkcie 1 decyzji prezes nakazał administratorowi danych osobowych uwzględnienie żądania osoby, która domagała się usunięcia jej danych osobowych. W punkcie 2 nałożył na podmiot administracyjną karę pieniężną.
Przedsiębiorca zaskarżył decyzję. Zgodnie z art. 74 u.o.d.o. skutek w postaci wstrzymania wykonalności zaskarżonej do sądu administracyjnego decyzji ograniczony zostanie do jej punktu 2. I to nawet wtedy, gdy skargą objęta została całość decyzji prezesa UODO.
Z uwagi na to, że postępowanie przed prezesem UODO jest jednoinstancyjne, decyzja przez niego wydana będzie ostateczna, a zatem punkt 1 ww. decyzji podlegać będzie wykonaniu. Jeżeli zatem adresat decyzji nie wykona jej dobrowolnie, to możliwe będzie wszczęcie postępowania egzekucyjnego w administracji oraz stosowanie odpowiednich środków egzekucyjnych, w tym przypadku w szczególności nakładania grzywien w celu przymuszenia do wykonania obowiązku (usunięcia danych osobowych osoby, która wniosła skargę do prezesa UODO). Grzywna taka może być ponawiana. ©℗
- Zaskarżenie decyzji w pozostałym zakresie. W tym miejscu pojawia się pytanie, jak powinien postąpić administrator danych (bądź podmiot przetwarzający), gdy zamierza wnieść skargę do sądu administracyjnego na decyzję prezesa UODO w całości, a decyzja ta została wydana nie tylko w zakresie nałożenia na tenże podmiot administracyjnej kary pieniężnej.
W przypadku takim, w odniesieniu do pozostałych punktów (części) decyzji prezesa UODO, strona skarżąca może skorzystać z instytucji, zawartych w przepisach prawa o postępowaniu przed sądami administracyjnymi. Innymi słowy, strona skarżąca może wystąpić z wnioskiem o wstrzymanie wykonalności danego fragmentu decyzji ostatecznej prezesa UODO. Wniosek taki może zostać złożony zarówno do organu nadzoru, który wydał zaskarżoną decyzję, jak i do sądu administracyjnego. Podstawę prawną wstrzymania wykonania pozostałych punktów bądź części decyzji stanowić będzie w takim przypadku art. 61 p.p.s.a.
Więcej informacji na temat postępowania prowadzonego w przedmiocie rozpoznania wniosku o wstrzymanie wykonania decyzji zostało zawartych w komentarzu do art. 7 niniejszej ustawy.
- Możliwości odwoławcze. W tym miejscu jedynie należy zaznaczyć, że odmowa wstrzymania wykonania aktu lub czynności przez pre zesa UODO nie pozbawia skarżącego możliwości złożenia analogicznego wniosku do sądu administracyjnego.
Nadto, jeżeli sąd administracyjny odmówił wstrzymania wykonania zaskarżonej decyzji, to strona skarżąca uprawniona jest do ponawiania wniosku składanego w tym przedmiocie w razie zmiany okoliczności, zwłaszcza pojawienia się nowych zdarzeń przemawiających za zasadnością wstrzymania wykonania decyzji prezesa UODO.
Sąd może również z urzędu zmienić lub uchylić swoje postanowienie wydane w przedmiocie wstrzymania wykonania decyzji, jeżeli uzna że wymagają tego okoliczności danej sprawy. Jeżeli zatem sąd wyda postanowienie wstrzymujące wykonanie zaskarżonego aktu administracyjnego, to w dalszym toku postępowania może je zmienić bądź uchylić.
Na marginesie należy wskazać, że na postanowienie wojewódzkiego sądu administracyjnego wydane w omawianym przedmiocie strona może wnieść zażalenie do Naczelnego Sądu Administracyjnego. Przy czym nawet oddalenie zażalenia nie uniemożliwia późniejszego ponowienia wniosku o wstrzymanie wykonania decyzji administracyjnej prezesa UODO, o ile strona wykaże zmianę okoliczności sprawy.
Rozdział 8
Europejska współpraca administracyjna
Art. 75. [Środki tymczasowe stosowane przez prezesa UODO]
1. W przypadkach, o których mowa w art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1 rozporządzenia 2016/679, Prezes Urzędu może wydać postanowienie o zastosowaniu środka tymczasowego, o którym mowa w art. 70 ust. 1.
2. W postanowieniu Prezes Urzędu określa termin obowiązywania środka tymczasowego, o którym mowa w art. 70 ust. 1, nie dłuższy niż 3 miesiące.
3. Na postanowienie służy skarga do sądu administracyjnego.
komentarz
- Czasowe ograniczenie przetwarzania danych osobowych. Na wstępie wyjaśnić należy, że środkiem tymczasowym, o którym mowa w komentowanym artykule, jest czasowe ograniczenie przetwarzania danych osobowych. Środek ten został uregulowany w art. 70 ust. 1 u.o.d.o., szczegółowe informacje na jego temat zamieściliśmy zaś w komentarzu do tegoż artykułu. Prezes UODO wydając postanowienie w przedmiocie czasowego ograniczenia przetwarzania danych osobowych, określa jednocześnie dopuszczalny zakres tego przetwarzania w okresie obowiązywania ograniczenia.
Zastosowanie przez prezesa UODO środka tymczasowego, o którym mowa w komentowanym artykule, możliwe jest wyłącznie w ściśle określonych przypadkach i określonym zakresie. Chodzi o następujące sytuacje:
1. W przypadku, jeśli prezes UODO zwróciłby się z wnioskiem do organu nadzorczego innego państwa członkowskiego Unii Europejskiej o udzielenie informacji bądź zastosowanie środków nadzorczych, takich jak udzielenie uprzednich zezwoleń i przeprowadzenie uprzednich konsultacji oraz o przeprowadzenie kontroli i postępowań wyjaśniających, a wezwany organ nadzorczy nie poinformuje prezesa UOD o rezultatach lub w stosownym przypadku o postępach lub środkach zastosowanych w związku z jego wnioskiem oraz w terminie miesiąca od otrzymania tegoż wniosku. W takiej sytuacji prezes UODO uprawniony będzie do zastosowania środka tymczasowego na terytorium Polski (zob. art. 61 ust. 8 RODO).
2. Gdy administrator lub podmiot przetwarzający posiadają jednostki organizacyjne w kilku państwach członkowskich lub jeżeli operacje przetwarzania mogą istotnie wpłynąć na znaczną liczbę osób, których dane dotyczą, w więcej niż jednym państwie członkowskim, organy nadzorcze z tych państw członkowskich mogą przeprowadzać wspólne operacje. W takim przypadku właściwy dla podmiotu organ nadzorczy zaprasza organ nadzorczy każdego z tych państw członkowskich do uczestnictwa w danych wspólnych operacjach lub niezwłocznie odpowiada na wniosek innego organu nadzorczego dotyczący uczestnictwa. Jeżeli jednakże właściwy organ nadzorczy nie wywiązałby się z tych obowiązków w terminie miesiąca, to pozostałe organy nadzorcze mogą przyjąć środek tymczasowy na terytorium swojego państwa członkowskiego (zob. art. 62 ust. 7 RODO).
3. W wyjątkowych okolicznościach, jeżeli organ nadzorczy, którego sprawa dotyczy, uznałby, że istnieje pilna potrzeba podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą, to może w drodze odstępstwa od mechanizmu spójności lub od procedury współpracy między organami nadzorczymi niezwłocznie przyjąć środki tymczasowe mające na terytorium jego państwa członkowskiego wywołać skutki prawne przez określony okres, nieprzekraczający trzech miesięcy (zob. art. 66 ust. 1 RODO).
Na marginesie należy wskazać, że zarówno art. 61 ust. 8, jak i art. 62 ust. 7 RODO odsyłają do art. 66 ust. 1 RODO, wskazując, iż każdą z tych sytuacji należy traktować jak pilną potrzebę podjęcia działań, o której mowa w ostatnim ze wskazanych przepisów. To zaś ma bezpośrednie przełożenie na długość okresu, w jakim ww. środki tymczasowe mogą być stosowane. Artykuł 66 ust. 1 RODO wskazuje bowiem, że okres stosowania tego typu zabezpieczeń nie może przekraczać trzech miesięcy. Może to być zatem termin krótszy. Powtórzenie tej reguły znajduje się natomiast w art. 75 ust. 2 u.o.d.o.
Krajowy ustawodawca przesądził też, że przedmiotowy środek tymczasowy wprowadzany jest w drodze postanowienia, na które służy skarga do sądu administracyjnego. W tym miejscu warto przypomnieć, że zasadą jest, iż wniesienie skargi nie powoduje wstrzymania wykonania zaskarżonego aktu lub czynności. Skarżący może jednakże wystąpić z wnioskiem w tym przedmiocie do prezesa UODO lub sądu administracyjnego. Szerzej na ten temat pisaliśmy w komentarzu do art. 74 u.o.d.o. Do czasu ewentualnego wstrzymania wykonania zaskarżonego postanowienia skarżący zobowiązany jest do podporządkowania się jego sentencji. Co w praktyce oznaczać będzie konieczność ograniczenia przetwarzania danych osobowych do czynności wskazanych w treści postanowienia jako dopuszczalne.
Ograniczenie przetwarzania danych osobowych będące środkiem tymczasowym stosowanym przez krajowe organy nadzorczej, o którym to środku mowa w komentowanym artykule, należy odróżnić od prawa do ograniczenia przetwarzania. Te ostatnie przysługuje bowiem wyłącznie osobie, której dane dotyczą. Co więcej, prawo do żądania ograniczenia przetwarzania może być przez tą osobę realizowane wyłącznie w przypadkach wymienionych w art. 18 ust. 1 RODO, tj. gdy:
– osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych,
– przetwarzanie danych osobowych przez administratora lub podmiot przetwarzający jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
– administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
– osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
W przypadku uwzględnienia ww. żądania przez administratora dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, albo w celu ochrony praw innej osoby fizycznej lub prawnej, bądź z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego.
Co ważne, jeżeli przedmiotowe żądanie osoby, której dane dotyczą, zostałoby uwzględnione, administrator ma obowiązek poinformować każdego odbiorcę danych tejże osoby, któremu ujawniono te dane osobowe o fakcie ograniczenia, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
Odbiorca zaś, otrzymawszy informację od administratora danych, powinien również ograniczyć przetwarzanie otrzymanych danych osobowych, chyba że dysponuje samodzielną przesłanką przetwarzania danych osobowych.
Art. 76. [Tłumaczenie informacji przez prezesa UODO]
Wszelkie informacje kierowane przez Prezesa Urzędu do organów nadzorczych innych państw członkowskich w ramach europejskiej współpracy administracyjnej podlegają tłumaczeniu na jeden z języków urzędowych tego państwa członkowskiego lub na język angielski.
komentarz
- Wymóg tłumaczenia dokumentów. Ogólne rozporządzenie o ochronie danych nie określa języka, w którym prowadzona ma być współpraca pomiędzy krajowymi organami nadzorczymi z poszczególnych państw członkowskich. Pośrednio wynika to z faktu, że moc języków urzędowych Unii Europejskiej mają wszystkie języki narodowe państw członkowskich.
Polski ustawodawca dostrzegł jednakże problem natury praktycznej. Mianowicie nie sposób oczekiwać od poszczególnych organów nadzorczych, aby zatrudniały pracowników władających wszystkimi językami urzędowymi UE. Dlatego aby uniknąć trudności interpretacyjnych, jakie mogłyby powstać w przypadku tłumaczenia dokumentów wysyłanych przez prezesa UODO, wprowadzono w polskiej ustawie o ochronie danych osobowych zastrzeżenie, że wszelkie informacje kierowane do innych organów nadzorczych tłumaczone będą bądź na język urzędowy właściwego państwa członkowskiego, bądź na język angielski.
Wybór w tym zakresie pozostawiono prezesowi UODO. Powinien on przy tym rozważyć, czy tłumaczenie dokumentu na język angielski będzie w danej sprawie zasadne. Poziom znajomości tego języka jest bowiem różny w poszczególnych państwach członkowskich.
Przekazywanie informacji i dokumentów w języku urzędowym ich adresata bądź w powszechnie rozpoznawalnym języku angielskim powinno pozytywnie wpływać na czas oczekiwania na załatwienie danej sprawy. Przypomnijmy, że w zakresie współpracy administracyjnej organów nadzorczych RODO wprowadza wiele stosunkowo krótkich terminów, którymi związane są organy wiodące. Jak była o tym mowa w komentarzu do poprzedniego artykułu, uchybienie niektórym spośród tych terminów pozwala na zastosowanie przez krajowy organ nadzorczy środka tymczasowego w postaci ograniczenia przetwarzania danych osobowych przez konkretny podmiot będący administratorem danych albo podmiotem przetwarzającym.
Art. 77. [Ustalenia w przedmiocie wspólnej operacji]
W przypadku otrzymania przez Prezesa Urzędu wniosku organu nadzorczego innego państwa członkowskiego Unii Europejskiej dotyczącego uczestnictwa we wspólnej operacji, o której mowa w art. 62 ust. 1 rozporządzenia 2016/679, albo wystąpienia przez Prezesa Urzędu z takim wnioskiem, Prezes Urzędu dokonuje z organem nadzorczym innego państwa członkowskiego Unii Europejskiej ustaleń dotyczących wspólnej operacji i niezwłocznie sporządza wykaz ustaleń.
komentarz
- Wspólne operacje organów nadzorczych. Transgraniczny przepływ danych wewnątrz UE, chociaż nie wymaga dodatkowych zgód (bądź zezwoleń), może wymagać współpracy krajowych organów nadzorczych. Potrzebę tą dostrzegł ustawodawca unijny, stanowiąc, że organy nadzorcze mogą prowadzić w stosownych przypadkach wspólne operacje, w tym wspólne postępowania i wspólne działania egzekucyjne, w których uczestniczą członkowie lub personel organów nadzorczych innych państw członkowskich (art. 62 ust. 1 RODO). Sytuacja, w której taka współpraca będzie mogła zostać nawiązana, występuje, gdy administrator lub podmiot przetwarzający posiada jednostki organizacyjne w kilku państwach członkowskich, a także jeżeli operacje przetwarzania mogą istotnie wpłynąć na znaczną liczbę osób, których dane dotyczą, w więcej niż jednym państwie członkowskim (np. administrator danych obsługuje klientów z różnych państw członkowskich).
- Ustalenia dotyczące operacji. Prowadzenie wspólnych operacji wymaga uprzedniego powzięcia wielu ustaleń pomiędzy współpracującymi ze sobą krajowymi organami nadzorczymi. Dotyczyć one mogą nie tylko zakresu zadań podejmowanych przez każdy z organów nadzorczych państw członkowskich, lecz także chociażby kwestii związanych z oddelegowaniem pracowników jednego z organów nadzorczych do wykonywania czynności na terytorium działania innego organu nadzorczego oraz wyposażenia go w stosowne kompetencje. Te ostatnie natomiast mogą być bardzo szerokie i obejmować nawet prowadzenie postępowań wyjaśniających w obszarze podległym jurysdykcji innego organu nadzorczego.
Jest to istotne, gdy bowiem personel organu nadzorczego oddelegowującego pracownika działa w innym państwie członkowskim, państwo członkowskie przyjmującego organu nadzorczego ponosi odpowiedzialność za czynności tego personelu, w tym odpowiedzialność prawną za wszelkie szkody wyrządzone przez ten personel w trakcie wspólnej operacji. Jednocześnie RODO zastrzega, że państwo członkowskie organu nadzorczego oddelegowującego pracownika, którego personel wyrządził szkodę osobie na terytorium innego państwa członkowskiego, zwraca temu innemu państwu członkowskiemu całą kwotę, którą zapłaciło ono osobom uprawnionym w jego imieniu.
Nie powinno zatem dziwić, że polski ustawodawca zdecydował się na doprecyzowanie zasad współpracy pomiędzy organami nadzorczymi z różnych państw członkowskich. Owo doprecyzowanie należeć będzie do obowiązków prezesa UODO, który nie tylko ma poczynić stosowne ustalenia w tym przedmiocie ze swoim odpowiednikiem w innym państwie członkowskim, lecz także zadbać o sporządzenie wykazu tych ustaleń.
- Zakres stosowania procedury. Omawiana procedura znajdzie zastosowanie zarówno w przypadku, gdy to prezes UODO będzie organem wiodącym (a więc na którego terytorium podejmowane mają być wspólne działania), jak i wtedy, gdy zwraca się on o przeprowadzenie wspólnej operacji do innego krajowego organu nadzorczego. Powyższe zapewnić ma zachowanie tożsamych standardów postępowania w każdym przypadku, w którym prezes UODO uczestniczy we wspólnej operacji. Sporządzanie wykazu ustaleń przeciwdziałać będzie dodatkowo sporom, jakie mogłyby zaistnieć pomiędzy organami nadzorczymi z poszczególnych państw członkowskich.
Rozdział 9
Kontrola przestrzegania przepisów o ochronie danych osobowych
Art. 78. [Organ prowadzący kontrolę]
1. Prezes Urzędu przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych.
2. Kontrolę prowadzi się zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679.
komentarz
- Odrębne przepisy. W rozdziale 9 uregulowano sposób przeprowadzania kontroli przestrzegania przepisów przez podmioty przetwarzające dane osobowe. Ustawodawca nie zdecydował się na odesłanie w tym zakresie do przepisów ustawy z 6 marca 2018 r. ‒ Prawo przedsiębiorców (Dz.U. poz. 646), w której uregulowane zostały zasady przeprowadzania kontroli u osób prowadzących działalność gospodarczą. Co więcej, ustawy tej nie stosuje się do kontroli prowadzonej przez prezesa UODO nawet posiłkowo, tj. w zakresie nieuregulowanym w ustawie o ochronie danych osobowych. Regulacje zawarte w rozdziale 9 u.o.d.o. należy zatem uznać za kompletne.
Warto dodać, że rozwiązanie takie stosowane było również w poprzedniej ustawie o ochronie danych osobowych, tj. ona również zawierała autonomiczne przepisy o kontroli prowadzonej przez generalnego inspektora ochrony danych osobowych. Przy czym wówczas przepisy nie były wyodrębnione w samodzielnym rozdziale, a sama regulacja była mniej rozbudowana niż obecna.
Samodzielne unormowanie kompetencji kontrolnych prezesa UODO w omawianej ustawie o ochronie danych osobowych wynika ze specyfiki tej materii, a także konieczności stosowania wprost przepisów prawa unijnego zawartych w RODO. Dodać warto, że to przekłada się również na możliwość prowadzenia określonych czynności na terytorium Polski przez pracowników organów nadzorczych z innych państw członkowskich.
- Zakres podmiotowy. Niezwykle istotny jest zasięg podmiotowy regulacji. Krąg podmiotów zobowiązanych do stosowania przepisów o ochronie danych osobowych jest bowiem zdecydowanie szerszy aniżeli krąg adresatów prawa przedsiębiorców. Przypomnijmy, że RODO nie znajduje zastosowania do przetwarzania danych osobowych jedynie w niektórych sytuacjach, a mianowicie:
‒ w ramach działalności nieobjętej zakresem prawa Unii Europejskiej,
‒ przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 Traktatu o Unii Europejskiej,
‒ przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze,
‒ przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
Jedyne wyłączenie, którym objęte są podmioty prywatne, dotyczy zatem wykonywania czynności o czysto osobistym lub domowym charakterze. Taką czynnością może być np. prowadzenie prywatnej książki teleadresowej członków rodziny lub znajomych, wykorzystanie danych osobowych członków rodziny do stworzenia drzewa genealogicznego, gromadzenie adresów przedsiębiorców jednoosobowych świadczących drobne usługi dla osób fizycznych (hydraulik, elektryk itp.).
Wyłączenie to jest jednak na tyle wąskie, że przepisami RODO objąć należy wiele podmiotów, które nie wypełniają definicji przedsiębiorcy w rozumieniu art. 4 prawa przedsiębiorców. Podmioty stosujące RODO, niebędące przedsiębiorcami w myśl ww. ustawy, to m.in.: organizacje pozarządowe, stowarzyszenia i fundacje nieprowadzące działalności gospodarczej, osoby prowadzące działalność nieewidencjonowaną w rozumieniu art. 5 prawa przedsiębiorców.
- Organ uprawniony. Jako organ uprawniony do przeprowadzania przedmiotowych kontroli został wyznaczony prezes UODO. Wprawdzie RODO dopuszcza możliwość posiadania przez dane państwo członkowskie kilku organów wyposażonych w kompetencje w zakresie ochrony danych osobowych, jednakże omawiany przepis przesądza jednoznacznie, że w Polsce organem takim jest wyłącznie prezes UODO.
- Rodzaje kontroli. Podobnie jak w przypadku innych organów administracji publicznej kontrole prowadzone przez krajowy organ nadzorczy albo mogą być konsekwencją harmonogramu kontroli wynikającego z zatwierdzonego przez prezesa UODO planu kontroli, albo mogą przyjąć formę kontroli doraźnych. Te ostatnie będą miały miejsce, gdy organ nadzorczy uzyska informacje, z których – w jego ocenie – wynikać będzie konieczność przeprowadzenia kontroli w konkretnym podmiocie przetwarzającym dane osobowe.
Kontrola doraźna może mieć zatem miejsce jako konsekwencja m.in. jednego z następujących zdarzeń:
‒ skargi złożonej przez osobę, której dane dotyczą,
‒ przeprowadzenia czynności sprawdzających w celu oceny spełniania kryteriów certyfikacji (zob. komentarz do art. 24 ustawy),
‒ zgłoszenia naruszenia ochrony danych osobowych prezesowi UODO na podstawie art. 33 RODO,
‒ informacji uzyskanych od organu nadzorczego innego państwa członkowskiego,
‒ przeprowadzenia uprzednich konsultacji w procedurze oceny skutków dla ochrony danych, o których mowa w art. 35 i 36 RODO (zob. komentarz do art. 57 u.o.d.o.).
- Monitorowanie. Dodatkowo prezes UODO jako krajowy organ nadzorczy w zakresie ochrony danych osobowych zobowiązany jest do monitorowania stosowania ogólnego rozporządzenia o ochronie danych na terytoriom jego jurysdykcji.
RODO nie precyzuje jednakże konkretnych czynności, jakie organy nadzorcze powinny podejmować w tym zakresie. Monitorowanie to powinno jednak obejmować nie tylko przestrzeganie przepisów ww. rozporządzenia, lecz także wykonywanie nałożonych przez prezesa UODO zakazów i nakazów.
- Przepisy o ochronie danych. Zwrócić należy uwagę, że kontrole, o których mowa w komentowanym artykule, dotyczyć mają przestrzegania „przepisów o ochronie danych osobowych”. Pojęcie to obejmuje nie tylko ogólne rozporządzenie o ochronie danych (RODO). Ewentualnej kontroli podlegać zatem będzie również stosowanie przez administratorów danych i podmioty przetwarzające przepisów komentowanej ustawy. Co prawda zdecydowana większość jej przepisów nie jest skierowana wprost do tego typu podmiotów, niemniej jednak są takie, które regulują niektóre aspekty ich działalności. Przykładowo w ustawie krajowej zawarto chociażby przepisy regulujące:
‒ obowiązek powołania inspektora ochrony danych (zob. rozdział 2 ustawy),
‒ warunki udzielenia akredytacji do certyfikacji (zob. rozdział 3 ustawy),
‒ warunki udzielenia akredytacji do monitorowania przestrzegania zatwierdzonego kodeksu postępowania (zob. rozdział 5 ustawy),
‒ obowiązki podmiotu certyfikowanego (zob. rozdział 4 ustawy).
Art. 79. [Kontrolujący]
1. Kontrolę przeprowadza upoważniony przez Prezesa Urzędu:
1) pracownik Urzędu,
2) członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej w przypadku, o którym mowa w art. 62 rozporządzenia 2016/679
– zwany dalej „kontrolującym”.
2. Kontrolujący, o którym mowa w ust. 1 pkt 2, jest obowiązany do zachowania w tajemnicy informacji, o których dowiedział się w toku kontroli.
komentarz
- Osoby uprawnione do przeprowadzenia kontroli. Fakt uprawnienia do przeprowadzania kontroli przez pracowników Urzędu Ochrony Danych Osobowych nie powinien budzić wątpliwości. Pracownik taki powinien przy tym posiadać stosowne upoważnienie, o którym będzie mowa szerzej w komentarzu do art. 81 u.o.d.o.
Drugą grupę podmiotów, które mogą zostać upoważnione do przeprowadzenia kontroli, stanowią członkowie lub pracownicy krajowego organu nadzorczego z innego państwa członkowskiego. Sytuacja taka może mieć wszakże miejsce jedynie w procedurze wspólnych operacji organów nadzorczych, którą uregulowano w art. 62 RODO oraz opisano w komentarzu do poprzednich artykułów ustawy.
- Kompetencje pracowników organów nadzorczych innych państw. W tym miejscu wskazać należy, że w myśl art. 62 ust. 3 RODO organ nadzorczy może zgodnie z właściwym mu prawem oraz za zgodą organu nadzorczego oddelegowującego pracownika:
– przyznać uprawnienia (w tym uprawnienia do prowadzenia postępowań wyjaśniających) członkom lub personelowi organu nadzorczego oddelegowującego pracownika uczestniczącym we wspólnych operacjach lub
– zezwolić członkom lub personelowi organu nadzorczego oddelegowującego pracownika na wykonywanie ich własnych uprawnień w zakresie prowadzenia postępowań wyjaśniających zgodnie z prawem państwa członkowskiego organu nadzorczego oddelegowującego pracownika (jeżeli zezwala na to prawo państwa członkowskiego przyjmującego organu nadzorczego).
Tyle że krajowy ustawodawca nie zdecydował się jednak na przyznanie członkom i pracownikom organów nadzorczych z innych państw członkowskich aż tak szerokich kompetencji. W efekcie osoby te mogą zatem wykonywać swoje zadania jedynie w zakresie, w jakim kompetencje przysługują prezesowi UODO. Osoby te nie będą mogły zatem – na terytorium Polski – wykonywać ich własnych uprawnień w zakresie prowadzenia postępowań, które to wynikają wyłącznie z ich rodzimego porządku prawnego.
- Zachowanie tajemnicy. Obowiązek zachowania w tajemnicy informacji uzyskanych w toku kontroli przez pracowników Urzędu Ochrony Danych Osobowych wynika z art. 46 u.o.d.o. Przepis ten jednak nie dotyczy pracowników organów nadzorczych innych państw członkowskich. Dlatego zdecydowano się na odrębne uregulowanie tej kwestii w art. 79 ust. 2 u.o.d.o.
Co prawda obowiązek zachowania tajemnicy służbowej przez członków oraz personel krajowych organów nadzorczych (i to zarówno w trakcie kadencji, jak i po jej zakończeniu) – w odniesieniu do wszelkich poufnych informacji, które uzyskali w toku wypełniania zadań lub wykonywania swoich uprawnień – wynika wprost z art. 54 ust. 2 RODO. Wskazany przepis ogólnego rozporządzenia o ochronie danych odnosi się do „wszelkich poufnych informacji”, ustawodawca krajowy – w komentowanym artykule – posłużył się zaś pojęciem szerszym „informacji, o których kontrolujący dowiedział się w toku kontroli”.
Art. 80. [Wyłączenie kontrolującego z udziału w kontroli]
1. Kontrolujący podlega wyłączeniu z udziału w kontroli, na wniosek lub z urzędu, jeżeli:
1) wyniki kontroli mogłyby oddziaływać na prawa lub obowiązki jego, jego małżonka, osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnego i powinowatego do drugiego stopnia albo na osoby związanej z nim z tytułu przysposobienia, opieki albo kurateli;
2) zachodzą uzasadnione wątpliwości co do jego bezstronności.
2. Powody wyłączenia, o których mowa w ust. 1 pkt 1, trwają także po ustaniu małżeństwa, przysposobienia, opieki lub kurateli.
3. O przyczynach powodujących wyłączenie kontrolujący lub podmiot objęty kontrolą, zwany dalej „kontrolowanym”, niezwłocznie zawiadamia Prezesa Urzędu.
4. O wyłączeniu kontrolującego rozstrzyga Prezes Urzędu.
5. Do czasu wydania postanowienia kontrolujący podejmuje czynności niecierpiące zwłoki.
komentarz
- Możliwość wyłączenia kontrolującego. Konieczność zapewnienia obiektywnego przebiegu kontroli może wymagać wyłączenia niektórych pracowników organu nadzorczego z udziału w przeprowadzaniu czynności. Więzi emocjonalne, fizyczne lub gospodarcze mogą bowiem wpływać na sposób wykonywania obowiązków przez kontrolującego, modyfikując, chociażby pośrednio, wynik takiej kontroli. Aby unikać tego typu przypadków, ustawodawca wprowadził przepisy umożliwiające wyłączenie konkretnej osoby z przeprowadzania czynności kontrolnych.
- Przesłanki wyłączenia. Przypadki, w których może dojść do takiego wyłączenia, opisane zostały w komentowanym artykule w ust. 1 i 2. Większość użytych w nim pojęć została uregulowana w odrębnych przepisach, w szczególności w kodeksie rodzinnym i opiekuńczym, niektóre wszakże mogą budzić pewne wątpliwości interpretacyjne. Dotyczy to pojęcia „osoby pozostającej we wspólnym pożyciu” oraz terminu „uzasadnionych wątpliwości co do bezstronności kontrolującego”. Żadne z tych pojęć nie zostało zdefiniowane, a ich rozumienie ukształtowane zostało w orzecznictwie.
- Osoba pozostająca we wspólnym pożyciu. Określenie to pojawia się m.in. na gruncie prawa karnego. Jego ostatecznego wyjaśnienia dokonał Sąd Najwyższy w uchwale z 25 lutego 2016 r., sygn. akt I KZP 20/15. Czytamy w niej, że pojęcie „osoba pozostająca we wspólnym pożyciu” określa osobę, która pozostaje z inną osobą w takiej relacji faktycznej, w której pomiędzy nimi istnieją jednocześnie więzi duchowe (emocjonalne), fizyczne oraz gospodarcze (wspólne gospodarstwo domowe). Ustalenie istnienia takiej relacji, tj. „pozostawania we wspólnym pożyciu”, jest możliwe także wtedy, gdy brak określonego rodzaju więzi jest obiektywnie usprawiedliwiony. Odmienność płci osób pozostających w takiej relacji nie jest warunkiem uznania ich za pozostające we wspólnym pożyciu. Przykładem osób pozostających we wspólnym pożyciu będą zatem osoby pozostające ze sobą w konkubinacie.
- Termin „uzasadnione wątpliwości co do bezstronności”. Pojęciem okoliczności mogących wywoływać wątpliwości co do bezstronności pracownika posłużył się ustawodawca m.in. na gruncie kodeksu postępowania administracyjnego. Na jego kanwie zwraca się uwagę, że do zastosowania tego wyłączenia wystarczy istnienie okoliczności mogących wywoływać wątpliwość co do bezstronności, a nie okoliczności powodujących stronniczość. Wystarczy zatem, że z uwagi na konkretną okoliczność nie jest pewne i jasne, czy dana czynność zostanie wykonana w sposób bezstronny przez pracownika (zob. wyrok WSA w Gdańsku z 12 lutego 2015 r., sygn. akt III SA/Gd 859/14). Jako bardziej szczegółowe przykłady wskazywane są w orzecznictwie następujące stany faktyczne:
– same związki towarzyskie nie są wystarczające do podważenia bezstronności pracownika,
– jeżeli pracownik był biegłym lub świadkiem w postępowaniu cywilnym, karnym lub innym, a przedmiot tego postępowania był powiązany ze sprawą administracyjną, wówczas pracownik może podlegać wyłączeniu.
Co ważne, ustawodawca zastrzega, aby wątpliwości dotyczące bezstronności kontrolującego były uzasadnione. Wymaga to przedstawienia argumentów, a najlepiej również środków dowodowych, mających uzasadnić tego typu wątpliwości. Wniosek o wyłączenie kontrolującego z udziału w kontroli, niezawierający uzasadnienia, może okazać się niewystarczający do odsunięcia danej osoby od czynności kontrolnych.
- Zasady wyłączenia. Wyłączenie kontrolującego z udziału w kontroli może nastąpić zarówno na wniosek, [wzór 1] jak i z urzędu. Nadto ustawodawca zobligował zarówno kontrolującego, jak i podmiot kontrolowany do niezwłocznego zawiadomienia prezesa UODO o okolicznościach skutkujących wyłączeniem kontrolującego. Jeżeli informacje takie zostaną zgłoszone przez podmiot objęty kontrolą, a prezes UODO uzna, że spełniają one kryteria wskazane w komentowanym przepisie, to wyda on postanowienie o wyłączeniu kontrolującego.
- Przed wydaniem postanowienia. Sam fakt zgłoszenia prezesowi UODO przyczyn mogących przesądzać o wyłączeniu kontrolującego nie pozbawia go jeszcze kompetencji kontrolnych. Niemniej jednak, aby uniknąć ewentualnego zarzutu nieważności postępowania, do czasu wydania postanowienia przez prezesa UODO kontrolujący może podejmować jedynie czynności niecierpiące zwłoki. Chodzi tutaj przede wszystkim o przeprowadzenie czynności, których nie będzie można wykonać w przyszłości bądź też ich późniejsze wykonanie może odbyć się ze szkodą dla sprawy albo napotykać na znaczne przeszkody. Będzie tu zatem chodziło przede wszystkim o zabezpieczenie bądź przeprowadzenie dowodów, a także dokonanie innych czynności, których późniejsze dokonanie będzie niemożliwe lub utrudnione.
- Konsekwencje rozstrzygnięcia prezesa UODO. W przypadku uznania przez prezesa UODO, że nie zachodzą podstawy do wyłączenia kontrolującego, będzie on mógł kontynuować kontrolę, korzystając ze wszystkich ustawowych prerogatyw w tym zakresie.
wzór 1
Wniosek o wyłączenie kontrolującego z udziału w kontroli ©℗
Warszawa, 15 października 2018 r.
Prezes Urzędu Ochrony Danych Osobowych
w Warszawie
Kontrolowany:
Jan Kowalski prowadzący działalność gospodarczą
pod firmą P.H.U. Kowalski w Łodzi
Kontrolujący:
Adam Nowak
– pracownik Urzędu Ochrony Danych Osobowych
Numer kontroli: 10/2018/UOD.AN
Wniosek o wyłączenie kontrolującego z udziału w kontroli
Działając w imieniu własnym, na podstawie art. 80 ust. 1 pkt 1 i 2 ustawy o ochronie danych osobowych, wnoszę o wyłączenie Adama Nowaka z udziału w kontroli prowadzonej w moim przedsiębiorstwie, z niżej wskazanego powodu.
Jako pracodawca zatrudniam inspektora ochrony danych – zgłoszonego prezesowi Urzędu Ochrony Danych Osobowych. Funkcję inspektora pełni w moim przedsiębiorstwie pani Anna Wiśniewska, panieńskie nazwisko Nowak, która jest siostrą kontrolującego.
Co ważne, obecnie pozostaję w konflikcie z inspektorem, który – moim zdaniem bezzasadnie – zgłosił fakt naruszenia ochrony danych prezesowi Urzędu Ochrony Danych Osobowych. Fakt zatem, że kontrola prowadzona jest przez brata osoby zgłaszającej, a także odmienne stanowisko, jakie mam na temat rzekomego naruszenia, świadczyć mogą o braku bezstronności kontrolującego.
Nadto wyniki kontroli mogą wpływać na prawa lub obowiązki jego siostry pełniącej funkcję inspektora ochrony danych. Tymczasem na mocy art. 58 ustawy o ochronie danych osobowych prezes Urzędu Ochrony Danych Osobowych może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom, które dopuściły się naruszeń, co może tyczyć się także osoby inspektora ochrony danych osobowych.
Z powyższych względów wnoszę jak na wstępie.
Jan Kowalski
Jeżeli natomiast dany pracownik zostanie wyłączony na mocy postanowienia prezesa UODO, to organ nadzorczy powinien upoważnić inną osobę do przeprowadzenia kontroli.
- Brak drogi odwoławczej. Na postanowienie prezesa UODO w zakresie wyłączenia kontrolującego nie przysługuje skarga do sądu administracyjnego. Brak jest bowiem przepisu, który przewidywałby możliwość wystąpienia z taką skargą.
Nie jest wszakże wykluczone ponowne wystąpienie z wnioskiem o wyłączenie kontrolującego, w szczególności gdy pojawią się nowe okoliczności mogące świadczyć o zasadności takiego wniosku.
Art. 81. [Dokumenty, jakie powinien posiadać kontrolujący]
1. Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową, a w przypadku kontrolującego, o którym mowa w art. 79 ust. 1 pkt 2, po okazaniu imiennego upoważnienia wraz z dokumentem potwierdzającym tożsamość.
2. Imienne upoważnienie do przeprowadzenia kontroli zawiera:
1) wskazanie podstawy prawnej przeprowadzenia kontroli;
2) oznaczenie organu;
3) imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej, a w przypadku kontrolującego, o którym mowa w art. 79 ust. 1 pkt 2, imię i nazwisko oraz numer dokumentu potwierdzającego tożsamość;
4) określenie zakresu przedmiotowego kontroli;
5) oznaczenie kontrolowanego;
6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych;
7) podpis Prezesa Urzędu;
8) pouczenie kontrolowanego o jego prawach i obowiązkach;
9) datę i miejsce jego wystawienia.
komentarz
- Dokumenty okazywane przez kontrolującego. Komentowany artykuł określa dokumenty, które kontrolujący powinien okazać osobie kontrolowanej przy rozpoczęciu kontroli. Ze względu na możliwość podejmowania czynności kontrolnych przez członka lub pracownika organu nadzorczego z innego państwa członkowskiego ustawodawca rozróżnił ten zakres w zależności od osoby kontrolującego.
I tak:
– pracownik Urzędu Ochrony Danych Osobowych – powinien okazać imienne upoważnienie oraz legitymację służbową;
– członek lub pracownik organu nadzorczego z innego państwa członkowskiego – powinien okazać imienne upoważnienie oraz dokument potwierdzający jego tożsamość.
Niezwykle ważne jest przy tym, że w każdym ze wskazanych powyżej przypadków imienne upoważnienie wydawane jest przez prezesa UODO, nawet jeżeli upoważnionym jest członek lub pracownik innego organu nadzorczego.
- Zawartość upoważnienia. W art. 81 ust. 2 u.o.d.o. została wskazana szczegółowa treść upoważnienia. Osoba, której upoważnienie okazano, powinna zapoznać się z tą treścią, szczególną uwagę zwracając na następujące elementy:
– wskazanie podstawy prawnej przeprowadzenia kontroli – powinna być ona powiązana z określonym zakresem przedmiotowym kontroli,
– oznaczenie kontrolującego – czy dane wskazane w imiennym upoważnieniu są zgodne z danymi wynikającymi z okazanej legitymacji służbowej bądź dokumentu tożsamości,
– określenie zakresu przedmiotowego kontroli – to ten zakres wyznaczać będzie właściwy przedmiot kontroli, kontrolujący nie może domagać się informacji, dokumentów bądź wyjaśnień w zakresie wykraczającym poza przedmiot kontroli określony w jego imiennym upoważnieniu,
– oznaczenie kontrolowanego – czy osoba, której okazywane jest imienne upoważnienie, faktycznie jest podmiotem, u którego ma zostać przeprowadzona kontrola,
– pouczenie kontrolowanego o jego prawach i obowiązkach – każde imienne upoważnienie będzie zawierało węzłowe wskazanie podstawowych praw i obowiązków kontrolowanego, jakie przysługują mu w czasie prowadzonej kontroli.
Dokumenty należy sprawdzić pod względem ich treści oraz zgodności z przepisami ustawy. Zmniejszy to ryzyko uznania za kontrolerów ewentualnych oszustów, którzy podszywając się pod kontrolerów Urzędu Ochrony Danych Osobowych mogliby wyrządzić kontrolowanemu szkodę.
Art. 82. [Osoba mająca wiedzę specjalistyczną]
1. Prezes Urzędu może upoważnić do udziału w kontroli osobę posiadającą wiedzę specjalistyczną, jeżeli przeprowadzenie czynności kontrolnych wymaga takiej wiedzy. Przepisy art. 80 i art. 81 ust. 2 stosuje się.
2. Zakres uprawnień osoby, o której mowa w ust. 1, Prezes Urzędu określa w upoważnieniu.
3. Osoba, o której mowa w ust. 1, jest obowiązana do zachowania w tajemnicy informacji, o których dowiedziała się w toku kontroli.
komentarz
- Udział ekspertów. W dobie szybkiego rozwoju nowych technologii, które masowo są wykorzystywane do przetwarzania danych osobowych, kontrolujący będący pracownikami Urzędu Ochrony Danych Osobowych mogą nie dysponować odpowiednią wiedzą do oceny procesów przetwarzania dokonywanych przez kontrolowanego. W tego typu przypadkach, a także gdy wystąpią inne okoliczności, których ocena lub weryfikacja wymaga wiedzy specjalistycznej, prezes UODO może rozszerzyć grono kontrolujących o biegłego bądź eksperta w danej dziedzinie.
Bez wątpienia konieczność taka może dotyczyć w szczególności opisanych na wstępie okoliczności z wykorzystaniem systemów teleinformatycznych, a także innych urządzeń i technologii. Niemniej jednak, w zależności od konkretnej sprawy, pomoc osoby mającej wiedzę specjalistyczną może być niezbędna także w innych dziedzinach. Może to przykładowo dotyczyć konieczności zweryfikowania autentyczności dokumentu czy też nagrania bądź skuteczności stosowanych przez dany podmiot środków bezpieczeństwa.
- Zasady powoływania ekspertów zewnętrznych. Prezes UODO w każdym wypadku, gdy uzna to za stosowne, uprawniony został do upoważnienia do udziału w kontroli stosownego specjalisty. Przy czym nie jest on związany jakąkolwiek listą biegłych, a wyboru dokonuje, oceniając wiedzę osoby, która ma wziąć udział w przeprowadzaniu danej kontroli.
- Kompetencje specjalisty. Szczegółowy zakres kompetencji przyznanych osobie mającej wiedzę specjalistyczną prezes UODO określa w treści wydawanego jej imiennego upoważnienia. Upoważnienie to, oprócz uszczegółowienia uprawnień specjalisty, zawiera tożsame elementy, jak upoważnienie wydawane innym kontrolującym.
Do osoby mającej wiedzę specjalistyczną stosuje się również tożsame zasady wyłączenia z udział w kontroli (zob. komentarz do art. 80 u.o.d.o.). Nadto, podobnie jak inni kontrolujący, także specjalista zobowiązany jest do zachowania w tajemnicy informacji, o których dowiedział się w toku kontroli, w której uczestniczył.
Art. 83. [Obecność kontrolowanego podczas kontroli]
1. Czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej.
2. Kontrolowany jest obowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go w trakcie kontroli.
3. W razie nieobecności kontrolowanego lub osoby przez niego upoważnionej, upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa lub dokument potwierdzający tożsamość mogą być okazane:
1) osobie czynnej w lokalu przedsiębiorstwa w rozumieniu art. 97 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2017 r. poz. 459, 933 i 1132 oraz z 2018 r. poz. 398 i 650) lub
2) przywołanemu świadkowi, jeżeli jest funkcjonariuszem publicznym w rozumieniu art. 115 § 13 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U. z 2017 r. poz. 2204 oraz z 2018 r. poz. 20, 305 i 663), niebędącemu pracownikiem Urzędu albo osobą, o której mowa w art. 80 ust. 1.
komentarz
- Wymóg obecności. Komentowany artykuł wprowadza generalną zasadę, w myśl której czynności kontrolne powinny odbywać się w obecności kontrolowanego lub osoby przez niego upoważnionej. Przepisy te wprowadzają również wyjątki od tej zasady.
Warto zauważyć, że w ust. 1 niniejszego artykułu ustawodawca posłużył się spójnikiem „lub” reprezentującym alternatywę łączną. W praktyce oznacza to, że czynności kontrolne mogą być dokonywane w obecności:
– wyłącznie kontrolowanego,
– wyłącznie osoby upoważnionej przez kontrolowanego,
– kontrolowanego oraz upoważnionej przez niego osoby.
- Forma upoważnienia. Ustawodawca wymaga, aby osoba upoważniona przez kontrolowanego do reprezentowania go w trakcie kontroli została wskazana przez kontrolowanego na piśmie. [wzór 2] Pismo takie powinno zostać przekazane bądź kontrolującemu, bądź prezesowi UODO.
- Wyjątki od zasady. W ust. 3 komentowanego artykułu wskazano dwa wyjątki od opisanej powyżej zasady wprowadzającej wymóg przeprowadzania kontroli w obecności kontrolowanego lub osoby przez niego upoważnionej. Pierwszy z nich umożliwia rozpoczęcie kontroli poprzez okazanie wymaganych dokumentów „osobie czynnej w lokalu przedsiębiorstwa kontrolowanego”. Będzie to zatem np. pracownik wykonujący czynności bezpośrednio związane z prowadzeniem działalności przedsiębiorstwa w danym lokalu (tak NSA w wyroku z 20 kwietnia 2017 r., sygn. akt II OSK 2127/15). Niemniej jednak termin „osoba czynna w lokalu przedsiębiorstwa”, o którym mowa w art. 97 kodeksu cywilnego, to pojęcie szersze niż „pracownik”, jakkolwiek w wielu przypadkach pracownik będzie zarazem taką osobą (lecz nie odwrotnie). Taka osoba nie musi być związana z przedsiębiorcą stosunkiem pracy, chociaż niezbędne jest istnienie określonego powiązania organizacyjnoprawnego między daną osobą a przedsiębiorcą (tak wyrok Sądu Apelacyjnego w Warszawie z 1 marca 2017 r., sygn. akt VI ACa 1076/15). Musi to być zatem osoba wykonująca czynności na rzecz lub w imieniu kontrolowanego w lokalu, w którym prowadzi on działalność. Niezależnie od tego, czy osoba ta jest pracownikiem kontrolowanego, czy też jest z nim związana innym stosunkiem prawnym (np. umowa o świadczenie usług, umowa agencyjna, umowa-zlecenie itp.).
wzór 2
Upoważnienie ©℗
Warszawa, 15 października 2018 r.
Prezes Urzędu Ochrony Danych Osobowych
w Warszawie
Kontrolowany:
Jan Kowalski prowadzący działalność gospodarczą
pod firmą P.H.U. Kowalski w Łodzi
Numer kontroli: 10/2018/UOD.AN
Wskazanie osoby upoważnionej
do reprezentowania kontrolowanego w trakcie kontroli
Działając w imieniu własnym, na podstawie art. 83 ust. 1 i 2 ustawy o ochronie danych osobowych, upoważniam niniejszym pana Adama Kowalskiego (tel. 600 500 600), legitymującego się dowodem osobistym seria i numer ABC 123456, do reprezentowania mnie w trakcie kontroli prowadzonej w zakresie przestrzegania przepisów o ochronie danych osobowych. Pan Adam Kowalski jest pracownikiem mojego biura w Łodzi, pozostającym do dyspozycji kontrolującego.
Jan Kowalski
Drugi wyjątek umożliwia podjęcie kontroli w razie nieobecności kontrolowanego lub osoby przez niego upoważnionej po okazaniu odpowiednich dokumentów przywołanemu świadkowi, jeżeli jest on funkcjonariuszem publicznym.
- Funkcjonariusz publiczny. Definicja funkcjonariusza publicznego, która znajduje się w art. 115 par. 13 kodeksu karnego, jest szeroka i obejmuje kilkadziesiąt kategorii funkcji. Funkcjonariuszem publicznym będzie np. pracownik administracji rządowej, innego organu państwowego lub samorządu terytorialnego czy też notariusz, komornik, kurator sądowy, syndyk, nadzorca sądowy i zarządca, osoba orzekająca w organach dyscyplinarnych działających na podstawie ustawy, funkcjonariusz policji itp.
Jedynym zastrzeżeniem, jakie ustawodawca poczynił w tym zakresie, jest, aby funkcjonariusz publiczny przywołany przez kontrolującego w roli świadka nie był pracownikiem UODO ani osobą pozostającą z nim w relacjach uzasadniających wyłączenie pracownika od udziału w kontroli (np. jego małżonek, krewny i powinowaty do drugiego stopnia, osoba pozostająca faktycznie we wspólnym pożyciu itp.).
Art. 84. [Uprawnienia kontrolującego w czasie kontroli]
1. Kontrolujący ma prawo:
1) wstępu w godzinach od 6:00 do 22:00 na grunt oraz do budynków, lokali lub innych pomieszczeń;
2) wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;
3) przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
4) żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
5) zlecać sporządzanie ekspertyz i opinii.
2. Kontrolowany zapewnia kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub systemach, o których mowa w ust. 1 pkt 3.
3. Kontrolowany dokonuje potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków, o których mowa w ust. 2. W przypadku odmowy potwierdzenia za zgodność z oryginałem kontrolujący czyni o tym wzmiankę w protokole kontroli.
4. W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570 oraz z 2018 r. poz. 1000), na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli.
komentarz
- Uprawnienia przeprowadzającego kontrolę. Zakres uprawnień osoby przeprowadzającej kontrolę względem kontrolowanego został uregulowany w art. 84 ust. 1 u.o.d.o. Jest on wzorowany na analogicznych przepisach normujących kontrole prowadzone przez inne organy administracji publicznej. Zbliżone regulacje znajdziemy chociażby w przywoływanym już uprzednio prawie przedsiębiorców. Ich zakres umożliwić ma wnikliwe przeprowadzenie kontroli, co jest tym bardziej uzasadnione, że przetwarzanie danych osobowych odbywa się obecnie na różnych płaszczyznach oraz przy użyciu różnorodnych sposobów.
Należy przy tym pamiętać, że kompetencje kontrolującego, które wymienione zostały w kolejnych punktach ust. 1, powinny być oceniane przez pryzmat przedmiotowego zakresu kontroli określonego w imiennym upoważnieniu do przeprowadzenia kontroli. Kontrolujący nie może zatem podejmować przedmiotowych działań w zakresie szerszym, niż wynika to z jego upoważnienia. Przepisy zawarte w art. 84 u.o.d.o. nie stanowią bowiem samodzielnej podstawy do przeprowadzenia kontroli, a jedynie określają przedmiotowy zakres uprawnień osoby kontrolującej. Uprawnienia te zaś mogą być wykonywane wyłącznie na podstawie i w granicach danej kontroli.
- Obowiązki podmiotu kontrolowanego. Aby kontrolujący mógł faktycznie wykonywać czynności kontrolne, w tym realizować uprawnienia określone w ust. 1 niniejszego artykułu, niezbędna jest współpraca ze strony podmiotu kontrolowanego. Kontrolowany powinien zatem nie tylko umożliwić wykonywanie poszczególnych czynności, zapewnić dostęp do dokumentów, nośników danych, pomieszczeń bądź osób, lecz także zapewnić kontrolującemu stosowne materiały, w tym w szczególności kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach danych. Tożsame obowiązki ciążą na kontrolowanym względem osoby upoważnionej przez prezesa UODO do udziału w kontroli.
- Potwierdzenie zgodności dokumentów z oryginałem. Jeżeli kontrolowany sporządził wymienione kopie lub wydruki, to powinien potwierdzić je za zgodność z oryginałem, którym dysponuje. Kontrolujący nie jest bowiem uprawniony do samodzielnego kopiowania dokumentów lub danych będących w posiadaniu kontrolowanego. W przypadku zatem odmowy potwierdzenia za zgodność z oryginałem potwierdzenie takowe nie jest dokonywane przez kontrolującego. Czyni on jedynie wzmiankę w protokole kontroli o takiej odmowie.
- Prawo utrwalania przebiegu kontroli. Jeżeli kontrolujący lub inna osoba upoważniona do udziału w kontroli uznają to za zasadne, przebieg kontroli lub poszczególnych czynności dokonywanych w jej ramach (np. oględzin, przesłuchania) może być utrwalany za pomocą urządzeń rejestrujących obraz lub dźwięk. Dodatkowymi obowiązkami kontrolującego w tym zakresie są: konieczność uprzedzenia o tym fakcie kontrolowanego, a także dołączenie do protokołu kontroli nośnika danych, na którym utrwalono obraz lub dźwięk.
- Znaczenie postawy kontrolowanego. Na marginesie należy wskazać, że sposób postępowania kontrolowanego w czasie kontroli (w szczególności zaś to, czy próbuje udaremnić dokonanie określonych czynności przez kontrolującego lub specjalistę, czy też wywiązuje się on ze swoich obowiązków w sposób należyty i współpracuje z kontrolującym) stanowić może okoliczność wpływającą na wymiar ewentualnej administracyjnej kary pieniężnej, która może zostać nałożona na kontrolowany podmiot w rezultacie przeprowadzonej kontroli. Krajowy organ nadzorczy, decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na wiele okoliczności, które wskazane zostały w art. 83 ust. 2 RODO. Wśród nich ogólne rozporządzenie o ochronie danych wymienia przesłanki takie, jak chociażby:
‒ stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
‒ działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
‒ umyślny lub nieumyślny charakter naruszenia,
‒ wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty,
‒ sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.
Przesłanki te mogą pojawić się również przy okazji kontroli prowadzonej przez prezesa UODO.
- Inne konsekwencje utrudniania kontroli. Ponadto wszelkie przeszkody stawiane osobie kontrolującej lub upoważnionemu do udziału w kontroli specjaliście mogą spowodować skorzystanie przez kontrolującego z dyspozycji kolejnego artykułu niniejszej ustawy: mianowicie może on zwrócić się do właściwego miejscowo komendanta policji o pomoc w przeprowadzeniu czynności kontrolnych.
Co więcej, czyn polegający na udaremnianiu albo utrudnianiu prowadzenia kontroli w zakresie ochrony danych osobowych stanowi występek, który podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do lat dwóch (zob. komentarz do art. 108 u.o.d.o.). Czynności podejmowane przez kontrolowanego w tym zakresie mogą zatem mieć dla niego negatywny wymiar nie tylko w sferze finansowej, a mogą skończyć się zastosowaniem względem niego sankcji karnych.
Art. 85. [Pomoc policji w wykonywaniu kontroli]
1. Prezes Urzędu lub kontrolujący może zwrócić się do właściwego miejscowo komendanta Policji o pomoc, jeżeli jest to niezbędne do wykonywania czynności kontrolnych.
2. Policja udziela pomocy przy wykonywaniu czynności kontrolnych, po otrzymaniu pisemnego wezwania na co najmniej 7 dni przed terminem tych czynności.
3. W pilnych przypadkach, w szczególności gdy kontrolujący trafi na opór uniemożliwiający lub utrudniający wykonywanie czynności kontrolnych, udzielenie pomocy następuje również na ustne wezwanie Prezesa Urzędu lub kontrolującego, po okazaniu imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej kontrolującego.
4. W przypadku, o którym mowa w ust. 3, Prezes Urzędu przekazuje potwierdzenie wezwania na piśmie, nie później niż w terminie 3 dni po zakończeniu czynności kontrol nych.
5. Udzielenie pomocy Policji przy wykonywaniu czynności kontrolnych polega na zapewnieniu kontrolującemu bezpieczeństwa osobistego oraz dostępu do miejsca wykonywania kontroli i porządku w tym miejscu.
6. Policja, udzielając pomocy kontrolującemu przy wykonywaniu czynności kontrolnych, zapewnia bezpieczeństwo również innym osobom uczestniczącym przy wykonywaniu czynności kontrolnych, mając w szczególności na względzie poszanowanie godności osób biorących udział w kontroli.
7. Koszty poniesione przez Policję z tytułu udzielonej pomocy przy wykonywaniu czynności kontrolnych rozlicza się według stawki zryczałtowanej w wysokości 1,5% przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw bez wypłat nagród z zysku za ubiegły rok, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego na podstawie art. 60 pkt 5 ustawy z dnia 15 lipca 2011 r. o zawodach pielęgniarki i położnej (Dz. U. z 2018 r. poz. 123, z późn. zm.).
komentarz
- Tryby udziału policji w kontroli. W przepisach komentowanego artykułu przewidziane zostały dwa tryby udziału policji w kontroli prowadzonej przez prezesa UODO. Pierwszym z nich jest tryb zwykły, o którym mowa w ust. 1 i 2 omawianego artykułu. Drugim jest natomiast tryb doraźny, który został uregulowany w ust. 3 i 4 komentowanego przepisu.
- Zastosowanie trybu zwykłego. Tryb zwykły znajduje zastosowanie, gdy prezes UODO lub kontrolujący przewiduje wystąpienie okoliczności, które mogą uzasadniać skorzystanie z pomocy policji w celu skutecznego przeprowadzenia czynności kontrolnych. Może to mieć miejsce, gdy świadczyć o tym będzie zarówno dotychczasowa postawa kontrolowanego, jak i duże zainteresowanie społeczne daną kontrolą.
W procedurze tej wymagane jest uprzednie pisemne wezwanie policji do udziału w kontroli, które kierowane jest na ręce właściwego miejscowo komendanta. Wezwanie powinno zostać wysłane na co najmniej 7 dni przed terminem czynności kontrolnych, które mają się odbywać w asyście policji. Co ważne, ustawa nie przewiduje możliwości odmowy udziału w kontroli.
- Zastosowanie trybu doraźnego. Tryb doraźny natomiast przewidziany jest dla przypadków pilnych, gdy interwencja policji konieczna jest bez zbędnej zwłoki, w szczególności gdy kontrolujący trafi na opór uniemożliwiający lub utrudniający wykonywanie czynności kontrolnych.
Wezwanie policji może nastąpić ustnie, zarówno przez prezesa UODO, jak i przez kontrolującego, po okazaniu imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej kontrolującego. Wezwanie takie jednakże wymaga dodatkowego pisemnego potwierdzenia. Jego brak mógłby być oceniany, w zależności od okoliczności danej sprawy, jako bezpodstawne wezwanie policji.
- Zakres działań policji. Zadania funkcjonariuszy policji asystujących kontrolującemu podczas wykonywanych przez niego czynności określone zostały szeroko. Obejmują one:
– zapewnienie kontrolującemu bezpieczeństwa osobistego – może to być konieczne, gdy kontrolowany lub jego pracownicy mogą używać przemocy fizycznej względem osób przeprowadzających kontrolę,
– zapewnienie kontrolującemu dostępu do miejsca wykonywania kontroli – będzie to konieczne, gdy kontrolowany uniemożliwia albo utrudnia dostęp do miejsca przetwarzania danych osobowych objętego kontrolą,
– zapewnienie porządku w miejscu wykonywania kontroli, jeżeli kontrolowany co prawda nie dopuszcza się czynów wskazanych w poprzednich punktach, niemniej jednak utrudnia przeprowadzenie kontroli w inny sposób, bądź on lub inne osoby zakłócają porządek publiczny,
– zapewnienie bezpieczeństwa innym osobom uczestniczącym przy wykonywaniu czynności kontrolnych, chodzi tu w szczególności o specjalistów upoważnionych przez prezesa UODO do udziału w kontroli; w zależności od okoliczności danego przypadku konieczność zapewnienia bezpieczeństwa może dotyczyć także innych osób znajdujących się w miejscu przeprowadzania kontroli.
- Koszty udziału policji w czynnościach. Ustawodawca postanowił, że udział policji w czynnościach kontrolnych będzie odpłatny. Wysokość zryczałtowanych kosztów należnych z tego tytułu określono w art. 85 ust. 7 u.o.d.o. Zważyć jednakże należy, że wysokość ustawowego ryczałtu ma wymiar symboliczny, wynosi on bowiem zaledwie 1,5 proc. przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw bez wypłat nagród z zysku za ubiegły rok, które ogłaszane jest przez prezesa Głównego Urzędu Statystycznego. Przypomnijmy, że wynagrodzenie to za 2017 r. wynosiło 4739,51 zł.
Określone w komentowanym artykule przypadki zaangażowania policji w czynności kontrolne prowadzone przez prezesa UODO lub upoważnione przez niego osoby nie wykluczają podejmowania przez policję innych działań w toku takiej kontroli. Ich podstawę stanowić mogą w szczególności przepisy ustawy z 6 kwietnia 1990 r. o Policji (t.j. Dz.U. z 2017 r. poz. 2067 ze zm.). Do zadań tej formacji należy bowiem m.in.:
– ochrona życia i zdrowia ludzi oraz mienia przed bezprawnymi zamachami naruszającymi te dobra,
– ochrona bezpieczeństwa i porządku publicznego, w tym zapewnienie spokoju w miejscach publicznych,
– kontrola przestrzegania przepisów porządkowych i administracyjnych związanych z działalnością publiczną lub obowiązujących w miejscach publicznych.
Art. 86. [Przesłuchanie pracownika kontrolowanego]
1. Kontrolujący może przesłuchać pracownika kontrolowanego w charakterze świadka.
2. Za pracownika kontrolowanego uznaje się osobę zatrudnioną na podstawie stosunku pracy lub wykonującą pracę na podstawie umowy cywilnoprawnej.
3. Do przesłuchania pracownika kontrolowanego stosuje się przepis art. 83 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.
komentarz
- Uprawnienie do przesłuchania świadka. Już z art. 84 ust. 1 pkt 4 u.o.d.o. wynika, że kontrolujący uprawniony jest, aby żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwania w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego. W art. 86 doprecyzowano, że świadkiem może być także pracownik lub współpracownik kontrolowanego. Za pracownika bowiem ustawa nakazuje uznawać nie tylko osobę zatrudnioną w oparciu o umowę o pracę, lecz także na podstawie umowy cywilnoprawnej. Może to rodzić pewne wątpliwości interpretacyjne w odniesieniu do zakwalifikowania konkretnej osoby do kategorii pracowników – w rozumieniu art. 86 ust. 2 u.o.d.o. Bez wątpienia nie chodzi tu o każdą osobę związaną cywilnoprawnym węzłem obligacyjnym z kontrolowanym, a jedynie taką, którą z kontrolowanym łączy stosunek zbliżony w swoim celu do stosunku pracy. Chodzić tu będzie zatem w szczególności o wszelkiego rodzaju umowy o świadczenie usług, na mocy których ich wykonawca znacząco angażuje się w czynności wykonywane na rzecz kontrolowanego zarówno pod względem czasu, jak i otrzymywanego wynagrodzenia, jednocześnie zachowując pewną swobodę charakterystyczną dla umów cywilnoprawnych (np. brak ustalonych i sztywnych godzin pracy, większa swoboda wykonawcy w doborze czynności i sposobie ich wykonywania itp.).
Za pracownika natomiast nie sposób uznać innych, równorzędnych w obrocie gospodarczym osób fizycznych, świadczących na rzecz kontrolowanego świadczenia na zasadach równości stron. Co do zasady zatem podmioty świadczące różnego typu usługi doradcze i konsultingowe, a także wspierające procesy zachodzące u kontrolowanego w ramach outsourcingu, nie będą mogły zostać uznane za jego pracowników. Duże znaczenie w tym zakresie będzie miał wymiar ilościowy, a także poziom samodzielności tego typu podmiotów. Przykładowo księgowa, informatyk bądź prawnik świadczący na rzecz kontrolowanego usługi w wymiarze zbliżonym do pełnego etatu, którzy umownie zobowiązali się do niewykonywania tożsamych usług na rzecz innych podmiotów, a także włączeni do struktury organizacyjnej kontrolowanego, mogą mieścić się w definicji pracownika. Natomiast księgowa, prawnik czy też informatyk świadczący na rzecz kontrolowanego usługi w wymiarze nawet kilkudziesięciu godzin w miesiącu, jednakże posiadający własną klientelę oraz występujący w obrocie gospodarczym jako przedsiębiorca, niezwiązany zakazami charakterystycznymi dla wskazanych wcześniej współpracowników, nie może być zaliczony do kategorii wskazanej w ust. 2 komentowanego artykułu.
- Wskazówka z RODO. Na gruncie przepisów o ochronie danych osobowych wskazówką w rozróżnieniu, czy dana osoba fizyczna niebędąca zatrudniona w oparciu o umowę o pracę powinna być traktowana na równi z tymże pracownikiem – na potrzeby omawianej regulacji – czy też jako samodzielny przedsiębiorca, może być sposób, w jaki osoba taka została dopuszczona do przetwarzania danych osobowych kontrolowanego, oczywiście przy założeniu poprawności tejże kwalifikacji.
Mianowicie samodzielnym przedsiębiorcom i współpracownikom dane osobowe przetwarzane przez kontrolowanego mogą być przekazywane na podstawie umowy powierzenia danych osobowych do przetwarzania bądź udostępniane im jako odrębnym administratorom danych. Natomiast pracownicy oraz osoby świadczące pracę na podstawie umów cywilnoprawnych uzyskują dostęp do danych osobowych kontrolowanego w oparciu o wydane im upoważnienie.
- Prawo odmowy zeznań. Do obu kategorii osób uważanych za pracowników ustawodawca nakazuje stosować art. 83 k.p.a. Przepisy te regulują przypadki, w których świadkowi przysługuje prawo odmowy zeznań albo odpowiedzi na pytanie, a także obowiązki organu – w tym przypadku kontrolującego – z tym związane. W odniesieniu do opisywanej instytucji wyróżnić należy jej dwie postacie:
– prawo odmowy zeznań w charakterze świadka – co całkowicie uniemożliwia przesłuchanie danej osoby, które dotyczy przypadków, gdy pracownik jest względem kontrolowanego: małżonkiem, wstępnym, zstępnym lub rodzeństwem bądź jej powinowatym pierwszego stopnia, jak również pozostaje z nim w stosunku przysposobienia (adopcji), opieki lub kurateli; prawo odmowy zeznań trwa także po ustaniu małżeństwa, przysposobienia, opieki lub kurateli;
– prawo odmowy odpowiedzi na konkretne pytanie – co oznacza, że dana osoba, co prawda, może zostać powołana na świadka, jednak w czasie składania zeznań może odmówić odpowiedzi na zadane jej pytanie; przy czym dotyczy to przypadków, gdy odpowiedź mogłaby narazić świadka lub jego bliskich wymienionych w poprzednim punkcie na odpowiedzialność karną (czyli prowadziłaby do ujawnienia przestępstwa), hańbę (powodowałoby ujawnienie okoliczności poniżających bądź ośmieszających) lub bezpośrednią szkodę majątkową albo spowodować naruszenie obowiązku zachowania prawnie chronionej tajemnicy zawodowej (np. adwokackiej).
- Obowiązek pouczenia o możliwości uchylenia się od składania zeznań. W związku z wprowadzeniem możliwości uchylenia się świadka od składania zeznań bądź odpowiedzi na poszczególne pytania ustawodawca wprowadził obowiązek pouczenia przez kontrolującego świadka o tychże uprawnieniach, a także o odpowiedzialności za fałszywe zeznania. Kwestia odpowiedzialności karnej za fałszywe zeznania została unormowana natomiast w art. 233 kodeksu karnego. Zgodnie z nimi, „kto, składając zeznanie mające służyć za dowód w postępowaniu sądowym lub w innym postępowaniu prowadzonym na podstawie ustawy, zeznaje nieprawdę lub zataja prawdę, podlega karze pozbawienia wolności od 6 miesięcy do lat 8”. Przepisy przewidują przy tym dodatkowe okoliczności łagodzące albo obostrzające tę odpowiedzialność.
- Znaczenie pouczenia. Co ważne, pouczenie świadka o ww. uprawnieniach stanowi podstawę prawidłowego przeprowadzenia dowodu z jego zeznań. Samo oświadczenie osoby fizycznej bez pouczenia o odpowiedzialności karnej za fałszywe zeznania nie jest wystarczające dla uznania go za równoważne z dowodem z zeznań świadka (zob. wyrok WSA w Poznaniu z 20 listopada 2009 r., sygn. akt II SA/Po 313/09). W takim przypadku zatem stanowić ono będzie uchybienie mogące mieć istotny wpływ na wynik postępowania i może doprowadzić do uchylenia przez sąd administracyjny ewentualnych decyzji wydanych w oparciu o takie zeznania. Fakt pouczenia świadka o wymienionych uprawnieniach do odmowy składania zeznań lub odpowiedzi na pytania oraz o odpowiedzialności za fałszywe zeznania powinien zostać odnotowany przez kontrolującego w protokole z przesłuchania oraz potwierdzony podpisem świadka. Brak tychże elementów może prowadzić do podważenia mocy prawnej takiego środka dowodowego.
©℗
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu