Ustawa z 10 maja 2018 r. o ochronie danych osobowych (cz. 6)

W szóstej części komentarza do ustawy o ochronie danych osobowych poruszamy dwie zasadnicze grupy zagadnień. Kontynuujemy przede wszystkim omawianie rozdziału 9 „Kontrola przestrzegania przepisów o ochronie danych osobowych”. W komentarzu do art. 87–91 przedstawiamy w szczególności ostatnią fazę kontroli zwieńczoną obowiązkiem sporządzenia protokołu kontroli, a także prawa i obowiązki kontrolującego oraz kontrolowanego po doręczeniu protokołu ostatniemu z nich.

Komentarz obejmuje również art. 92–99 należące do rozdziału 10 „Odpowiedzialność cywilna i postępowanie przed sądem”. W tym kontekście omawiamy zarówno przepisy polskiej ustawy o ochronie danych osobowych, jak i rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; RODO). Dotyczą one w szczególności procesowych uprawnień prezesa Urzędu Ochrony Danych Osobowych oraz wzajemnego stosunku tego organu i sądu powszechnego rozpoznającego roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, a także prezesa UODO i stron takiego postępowania.

Ostatnia część komentarza poświęcona zostanie omówieniu przepisów o administracyjnych karach pieniężnych oraz przepisów karnych. Podstawę stanowić przy tym będzie zarówno regulacja krajowa, jak i przepisy RODO. ©℗

Poprzednie części komentarza ukazały się:

• cz. 1 – 19 czerwca 2018 r. (DGP nr 117)

• cz. 2 – 24 lipca 2018 r. (DGP nr 142)

• cz. 3 – 21 sierpnia 2018 r. (DGP nr 161)

• cz. 4 – 18 września 2018 r. (DGP nr 181)

• cz. 5 – 23 października 2018 r. (DGP nr 206)

Kolejna część komentarza ukaże się 18 grudnia 2018 r.

TYDZIEŃ Z KOMENTARZAMI – baza publikacji

W tygodniku Firma i Prawo komentowaliśmy ustawy:

• z 2 lipca 2004 r. o swobodzie działalności gospodarczej

• z 5 lipca 2001 r. o cenach

• z 29 sierpnia 1997 r. o ochronie danych osobowych

• z 16 września 1982 r. – Prawo spółdzielcze

• z 3 lutego 1995 r. o ochronie gruntów rolnych i leśnych

• z 8 marca 2013 r. o terminach zapłaty w transakcjach handlowych

• z 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym

• z 12 grudnia 2012 r. o ogólnym bezpieczeństwie produktów

• z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji

• z 14 grudnia 2012 r. o odpadach

• z 30 maja 2014 r. o prawach konsumenta

• z 6 września 2001 r. o transporcie drogowym

• z 15 maja 2015 r. – Prawo restrukturyzacyjne

• z 29 stycznia 2004 r. – Prawo zamówień publicznych

• z 20 lipca 2017 r. – Prawo wodne

• z 23 kwietnia 1964 r. – Kodeks cywilny (wyciąg dotyczący rękojmi i gwarancji)

Przeoczyłeś tygodnik? Znajdziesz go w wydaniach dgp na www.edgp.gazeta prawna.pl

Michał Koralewski

radca prawny

Art. 87. [Ustalenie stanu faktycznego przez kontrolującego]

Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.

komentarz

• Zasada prawdy obiektywnej. Komentowany artykuł jest nie tylko konsekwencją norm prawnych wypływających z wcześniej omówionych przepisów, regulujących uprawnienia kontrolującego w czasie kontroli (zob. art. 84 oraz art. 86 komentowanej ustawy). Odnaleźć w nim można również nawiązanie do jednej z podstawowych zasad postępowania administracyjnego – zasady prawdy obiektywnej (zawartej m.in. w art. 7 oraz 77 ustawy z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego; tj. Dz.U. z 2018 r. poz. 2096 ze zm.; dalej: k.p.a.). Zgodnie z nią organ administracji publicznej jest zobowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy i w konsekwencji z urzędu lub na wniosek stron podjąć wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy.
• Podstawa ustalenia stanu faktycznego. Podstawą ustalenia stanu faktycznego sprawy będącej przedmiotem kontroli powinien być zatem całokształt materiału dowodowego zgromadzonego w postępowaniu kontrolnym. Co ważne, niezależnie od tego, czy dany dowód dopuszczono z urzędu (czyli na polecenie kontrolującego) czy też na wniosek kontrolowanego bądź innego uczestnika postępowania.

Katalog uprawnień kontrolującego został szczegółowo omówiony w komentarzach do właściwych artykułów. Obecnie wystarczające jest wskazanie, że już tylko z tychże przepisów wynika, że dowodami w postępowaniu kontrolnym mogą być w szczególności:

– dokumenty i informacje mające związek z zakresem kontroli,

– oględziny miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych,

– wyjaśnienia kontrolowanego,

– zeznania świadków, w tym pracowników kontrolowanego,

– ekspertyza lub opinia sporządzona przez niezależnego biegłego.

Prócz wskazanych środków dowodowych w komentowanym przepisie wskazano także na dowody w postaci „przedmiotów” i „oględzin”. Nie jest do końca jasne, czy ustawodawca nie miał jednak na myśli „przedmiotu oględzin”, czy też oba te środki wyraźnie odróżnia – pomiędzy tymi wyrazami wstawiony został przecinek. W innym jednak miejscu jako jedno z uprawnień kontrolującego wskazano przeprowadzenie oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych (zob. art. 84 ust. 1 pkt 3 komentowanej ustawy).

Niemniej jednak zgodnie ze wskazaną poniżej zasadą równej mocy środków dowodowych przyjąć należy, że skoro dowodem może być wszystko, co może przyczynić się do wyjaśnienia sprawy, to moc dowodową mają również bliżej nieokreślone przedmioty.

Ustawodawca w omawianym przepisie nie zawęża katalogu środków dowodowych. Ma to bezpośredni związek z kolejną normą ogólnego prawa administracyjnego. Mianowicie zgodnie z art. 75 par. 1 k.p.a. jako dowód należy dopuścić wszystko, co może przyczynić się do wyjaśnienia sprawy, a nie jest sprzeczne z prawem. Zasadę tę odnajdujemy w komentowanym przepisie w słowach „w szczególności”, którymi poprzedzono przykładowe wyliczenie środków dowodowych. Jest to zasada równej mocy środków dowodowych. Oznacza ona, że swoich racji w postępowaniu administracyjnym dowodzić można w każdy sposób, o ile nie jest on zabroniony.

• Przykłady środków dowodowych. Na gruncie postępowania kontrolnego w przedmiocie ochrony danych osobowych środkami dowodowymi, które mogą pojawiać się stosunkowo często, będą:

– dokumentacja fotograficzna – np. fotografia potwierdzająca wywieszenie klauzuli informacyjnej w lokalu kontrolowanego,

– nagranie rozmowy telefonicznej z klientem, w czasie której przedstawiane są informacje z zakresu ochrony danych osobowych lub odbierana jest zgoda na przetwarzanie tychże danych na określone cele,

– korespondencja e-mail zawierająca treść klauzul informacyjnych bądź odpowiedź na żądanie zgłoszone przez osobę, której dane dotyczą,

– informacja wygenerowana przez zamieszczony na stronie internetowej kontrolowanego skrypt, z której wynika, że konkretna osoba udzieliła zgody na przetwarzanie jej danych osobowych.

Przykłady takie można mnożyć, katalog środków dowodowych jest bowiem otwarty. Okoliczność ta jest korzystna również dla kontrolowanego. Przypomnieć zatem należy, że w myśl zasady rozliczalności to kontrolowany jest zobowiązany wykazać, że przetwarza dane osobowe zgodnie z prawem (zob. art. 5 ust. 2 RODO). Szerokie możliwości dowodzenia takiego stanu rzeczy będą więc ułatwiały to zadanie kontrolowanemu, który uprawniony jest do wskazywania dowodów istotnych – w jego ocenie – dla danego postępowania.

• Stosowanie kodeksu postępowania administracyjnego. Na zakończenie przypomnieć także należy generalne odesłanie zawarte w art. 7 ust. 1 omawianej ustawy. Zgodnie z nim w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed prezesem UODO, o których mowa w rozdziałach 4–7 i 11, stosuje się k.p.a.

Powyższe odesłanie znajdzie zastosowanie także względem sposobów przeprowadzania postępowania dowodowego w toku kontroli prowadzonej przez prezesa UODO. Stosowane będą zatem w szczególności przepisy rozdziału 4 dział II k.p.a., normujące postępowanie dowodowe. Pamiętać wszakże należy, że odesłanie to tyczy się wyłącznie spraw nieuregulowanych, a zatem nie stosujemy przepisów k.p.a., gdy dana kwestia została odmiennie uregulowana wprost w ustawie o ochronie danych osobowych.

Przykładem powyższego mogą być przepisy art. 86 ustawy o ochronie danych osobowych, regulujące przesłuchanie pracownika kontrolowanego w charakterze świadka. Analogicznej normy nie odnajdziemy bowiem wprost w k.p.a. Rzecz jasna również ogólna procedura administracyjna wprowadza możliwość przesłuchania pracownika strony w charakterze świadka, jednak nie zawiera szczególnego przepisu dotyczącego tej kwestii. Szczególny charakter art. 86 wynika również z tego, że wprowadza on autonomiczną definicję pracownika na potrzeby omawianej ustawy.

Art. 88. [Treść protokołu kontroli]

1. Przebieg czynności kontrolnych kontrolujący przedstawia w protokole kontroli.

2. Protokół kontroli zawiera:

1) wskazanie nazwy albo imienia i nazwiska oraz adresu kontrolowanego;

2) imię i nazwisko osoby reprezentującej kontrolowanego oraz nazwę organu reprezentującego kontrolowanego;

3) imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer imiennego upoważnienia kontrolującego, a w przypadku kontrolującego, o którym mowa w art. 79 ust. 1 pkt 2, imię i nazwisko, numer dokumentu potwierdzającego tożsamość oraz numer imiennego upoważnienia;

4) datę rozpoczęcia i zakończenia czynności kontrolnych;

5) określenie zakresu przedmiotowego kontroli;

6) opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

7) wyszczególnienie załączników;

8) omówienie dokonanych w protokole kontroli poprawek, skreśleń i uzupełnień;

9) pouczenie kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu kontroli oraz o prawie odmowy podpisania protokołu kontroli;

10) datę i miejsce podpisania protokołu kontroli przez kontrolującego i kontrolowanego.

3. Protokół kontroli podpisuje kontrolujący i przekazuje kontrolowanemu w celu podpisania.

4. Kontrolowany w terminie 7 dni od dnia przedstawienia protokołu kontroli do podpisu podpisuje go albo składa pisemne zastrzeżenia do jego treści.

5. W przypadku złożenia zastrzeżeń, kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu do protokołu kontroli.

6. W razie nieuwzględnienia zastrzeżeń w całości albo części, kontrolujący przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem.

7. Brak doręczenia kontrolującemu podpisanego protokołu kontroli i niezgłoszenie zastrzeżeń do jego treści w terminie, o którym mowa w ust. 4, uznaje się za odmowę podpisania protokołu kontroli.

8. O odmowie podpisania protokołu kontroli kontrolujący czyni wzmiankę w tym protokole, zawierającą datę jej dokonania. W przypadku, o którym mowa w ust. 7, wzmianki dokonuje się po upływie terminu, o którym mowa w ust. 4.

9. Protokół kontroli sporządza się w postaci elektronicznej albo w postaci papierowej w dwóch egzemplarzach. Protokół kontroli kontrolujący doręcza kontrolowanemu.

komentarz

• Protokół kontroli. Dokument ten jest jednym z podstawowych elementów i formalnych wymogów postępowania kontrolnego prowadzonego przez krajowe organy nadzorcze – i to nie tylko w zakresie przestrzegania przepisów o ochronie danych osobowych. Protokół kontroli to dokument będący swoistym podsumowaniem całego postępowania, dowodów przeprowadzonych w jego trakcie oraz poczynionych ustaleń.

Nie powinno zatem dziwić, że protokół kontroli jest dokumentem niezwykle rozbudowanym. Stanowi bowiem główne źródło wiedzy zarówno dla kontrolującego, jak i kontrolowanego.

• Zawartość. Przedsiębiorca lub inny podmiot, u którego prowadzona była kontrola, dzięki zapoznaniu się z treścią protokołu może zweryfikować wiele okoliczności faktycznych i prawnych sprawy. Ma przy tym prawo do sformułowania pisemnych zastrzeżeń do jego treści.

Zatem analizując poszczególne elementy protokołu kontroli pod kątem stawianych mu zarzutów, przedsiębiorca powinien przede wszystkim zwrócić uwagę na zawarte w nim, niżej omówione elementy.

1. Wskazanie nazwy albo imienia i nazwiska oraz adresu kontrolowanego – punkt ten pozwala zweryfikować, czy kontrola była prowadzona względem właściwego podmiotu. Może wydawać się to kuriozalne, ale w niektórych przypadkach o pomyłkę nie jest trudno, np. jeżeli kontrolowana jest jedna ze spółek powiązanych bądź wchodzących w skład grupy kapitałowej. W ostatnich latach popularne stały się spółki komandytowe, których komplementariuszem jest spółka z o.o. Jeżeli obie spółki prowadzą działalność gospodarczą, której poszczególne aspekty się krzyżują, to wyodrębnienie poszczególnych procesów i przypisanie ich poszczególnym spółkom może nastręczać trudności.

2. Określenie zakresu przedmiotowego kontroli – jak już była o tym mowa przy okazji omawiania upoważnienia do przeprowadzenia kontroli (zob. komentarz do art. 81 ustawy), kontrola może być prowadzona wyłącznie w przedmiocie wskazanym w tymże dokumencie. Wykroczenie poza jej zakres przez kontrolującego będzie stanowiło istotne naruszenie mogące stanowić podstawę zarzutu.

3. Opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych – kontrolowany w swoich zastrzeżeniach może polemizować z ustaleniami poczynionymi przez kontrolującego, wskazując dalsze informacje i dowody na poparcie swojego stanowiska. Aby tego typu polemika miała szansę powodzenia, nie może stanowić jedynie prostego zaprzeczenia prawdziwości argumentów kontrolującego. Konieczne jest wykazanie, że są one błędne.

• Procedura sporządzenia. Po przeprowadzeniu czynności kontrolnych kontrolujący sporządza protokół kontroli w postaci elektronicznej albo w postaci papierowej w dwóch egzemplarzach. Następnie kontrolujący doręcza protokół kontroli kontrolowanemu przedsiębiorcy. Do protokołu kontroli znajdują zastosowanie przepisy dotyczące obowiązku doręczenia – na żądanie kontrolującego – tłumaczenia dokumentacji na język polski.
• Zastrzeżenie tajemnicy. Kontrolowany uprawniony jest do zastrzeżenia informacji stanowiących tajemnicę jego przedsiębiorstwa. W takim przypadku kontrolujący może być zobligowany do opracowania dwóch wersji protokołu kontroli:

– pełnej, która trafi wyłącznie do kontrolowanego oraz do organu,

– niezawierającej informacji objętych zastrzeżeniem, jeżeli protokół kontroli miałby trafić także do innych podmiotów.

Szersze informacje na temat ww. instytucji zostały zamieszczone w komentarzach do art. 63–65 oraz art. 91 niniejszej ustawy.

• Możliwości ustosunkowania się do treści. Kontrolowany po otrzymaniu protokołu kontroli ma trzy możliwości, z których każda wywołuje odmienne skutki prawne. Co ważne, kontrolowany musi podjąć decyzję w terminie siedmiu dni od dnia doręczenia mu protokołu. Wspomniane powyżej możliwości są następujące:

– podpisanie protokołu, które jest równoznaczne z akceptacją jego treści, co w praktyce przekłada się także na zaakceptowanie poczynionych w czasie kontroli ustaleń,

– wniesienie zastrzeżeń do treści protokołu kontroli,

– odmowa podpisania protokołu kontroli bez jednoczesnego wniesienia zastrzeżeń.

Co ważne, za odmowę uznawane jest także brak doręczenia kontrolującemu podpisanego protokołu kontroli i niezgłoszenie zastrzeżeń do jego treści we wskazanym terminie. Odmowa podpisania protokołu nie blokuje dalszych czynności kontrolującego.

• Wniesienie zastrzeżeń. Przed powzięciem decyzji o podpisaniu protokołu kontroli bądź o złożeniu pisemnych zastrzeżeń warto, aby kontrolowany porównał jego treść z treścią przedstawionego mu na wstępnym etapie kontroli upoważnienia do jej przeprowadzenia. Rozbieżności pomiędzy tymi dokumentami, o ile nie mają podstawy w późniejszych czynnościach organu nadzoru, mogą być wykorzystane przez kontrolowanego do formułowania zastrzeżeń względem protokołu kontroli. [wzór] Rzecz jasna, zarzuty mogą dotyczyć także samego przebiegu kontroli oraz ustaleń kontrolowanego umieszczonych w treści tegoż protokołu.

wzór

Gdańsk, 15 listopada 2018 r.

Prezes Urzędu Ochrony Danych Osobowych

ul. Stawki 2, 00-193 Warszawa

Kontrolowany:

ABC spółka z o.o.

ul. Gdańska 1, 80-700 Gdańsk

reprezentowana przez Adama Nowaka – prezesa jednoosobowego zarządu

Znak sprawy: 2018.10.10.UOD.K.1

Zastrzeżenia do protokołu kontroli z 9 listopada 2018 r.

Działając w imieniu kontrolowanej spółki jako jej prezes zarządu uprawniony do samodzielnej reprezentacji, po zapoznaniu się z treścią protokołu kontroli przeprowadzonej przez pracowników Urzędu Ochrony Danych Osobowych w ABC spółka z o.o. (dalej: Spółka), na podstawie upoważnienia nr 2018.10.10.UOD.K.1 w zakresie naruszenia przepisów o ochronie danych osobowych przez Spółkę, jako administratora danych, wskazuję, że Spółka nie zgadza się z ustaleniami zawartymi w protokole kontroli oraz zgłaszam następujące zastrzeżenie:

– w świetle zgromadzonego w sprawie materiału, w tym zeznań świadków oraz dołączonych dokumentów i informacji, nie sposób przyjąć, że Jan Kowalski nie został poinformowany o przetwarzaniu jego danych osobowych w sposób wskazany w art. 13 ogólnego rozporządzenia o ochronie danych (RODO).

W związku z powyższym, wnoszę o zmianę treści protokołu kontroli poprzez sporządzenie aneksu, w którym stwierdzone zostanie, że Spółka nie naruszyła art. 13 RODO.

Uzasadnienie

Z treści protokołu kontroli wynika, że Kontrolujący nie dał wiary informacjom i wyjaśnieniom pracowników Spółki, a także dostarczonym przez Spółkę zrzutom ekranu, uznając, że Spółka nie wypełniła obowiązku informacyjnego względem Jana Kowalskiego.

Faktem jest, że stażysta zatrudniony w Spółce omyłkowo usunął dowód wysłania wiadomości zawierającej treść klauzuli informacyjnej do pana Jana Kowalskiego. Niemniej jednak fakt jej wysłania potwierdzony został nie tylko zeznaniami pracownika odpowiedzialnego za przesyłanie klauzul informacyjnych do klientów Spółki, lecz także stosownym zrzutem ekranu. Spółka bowiem wprowadziła dodatkowe zabezpieczenie polegające na tym, że e-maile istotne z punktu widzenia wypełnienia jej obowiązków z zakresu ochrony danych osobowych są zapisywane poprzez zrzut ekranu oraz przechowywane, zgodnie z ustalonym okresem retencji, na odrębnym dysku.

Z materiałów tych zatem jednoznacznie wynika, że obowiązek informacyjny został wykonany prawidłowo. Co więcej, sam Jan Kowalski nie zaprzeczył, że otrzymał e-mail od Spółki. Wskazał jedynie, że w tamtym okresie otrzymywał bardzo dużo tego typu e-maili, które od razu usuwał, bo zapychały mu skrzynkę.

W świetle powyższego wnoszę jak na wstępie. Spółka otrzymała protokół kontroli 9 listopada 2018 r., a zatem siedmiodniowy termin na wniesienie zastrzeżeń został zachowany.

...........................

Adam Nowak

W przypadku podpisania protokołu kontroli przez kontrolowanego postępowanie kontrolne kończy się na tej czynności.

• Postępowanie organu po wniesieniu zastrzeżeń. Jeżeli kontrolowany wniesie zastrzeżenia, to kontrolujący zobligowany jest do ich rozpatrzenia i – w razie potrzeby – podjęcia dodatkowych czynności kontrolnych, np. przeprowadzenia dowodów wskazanych w zastrzeżeniach. W konsekwencji, po analizie zastrzeżeń, kontrolujący może alternatywnie:

1) uwzględnić zgłoszone zastrzeżenia w całości lub w części i w tym zakresie zmienić lub uzupełnić treść protokołu kontroli, zmiana i uzupełnienie następują w formie aneksu do protokołu kontroli;

2) nie uwzględnić zastrzeżeń w całości albo części – w takim przypadku kontrolujący przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem; w nieuwzględnionym zakresie protokół kontroli nie podlega zmianie.

• Odmowa podpisania. Inaczej niż w przypadku wniesienia zastrzeżeń, w przypadku odmowy podpisania protokołu kontroli kontrolujący nie musi przedstawiać swojego stanowiska. Postępowanie kontrolne kończy się w takim przypadku wraz z upływem terminu na podpisanie protokołu bądź wniesienie zarzutów wobec jego treści. Finalnie kontrolujący czyni w protokole wzmiankę o odmowie podpisania go przez kontrolowanego, która zawierać musi datę jej dokonania. Wzmianki dokonuje się po upływie siedmiodniowego terminu.
• Dalsze czynności. Protokół kontroli wieńczy postępowanie kontrolne. Od ustaleń kontroli zależą dalsze czynności podejmowane przez prezesa UODO.

W przypadku zatem, gdy kontrola nie wykaże, że kontrolowany przedsiębiorca naruszył przepisy o ochronie danych osobowych, sprawa administracyjna kończy się. Prezes UODO nie wszczyna postępowania administracyjnego. Organ ten nie wydaje również żadnego postanowienia ani decyzji wskazującej na odstąpienie od zamiaru wszczęcia postępowania (np. w przedmiocie naruszenia przepisów o ochronie danych osobowych). Kontrolowany nie otrzyma zatem żadnego formalnego orzeczenia w tej kwestii. Ostatnim dokumentem doręczonym mu pozostanie protokół kontroli.

W innym przypadku, tj. w razie stwierdzenia, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, prezes UODO wszczyna właściwe postępowanie administracyjne (o czym będzie mowa w komentarzu do art. 90 niniejszej ustawy). Co ważne, organ nadzorczy ma obowiązek wszcząć takie postępowanie, co jednak nie przesądza o sposobie jego zakończenia. Na skutek dalszych ustaleń poczynionych w toku takiego postępowania nie jest wykluczone bowiem również jego umorzenie. Natomiast w przypadku wydania przez prezesa UODO decyzji administracyjnej stronie – która uprzednio występowała w charakterze kontrolowanego – przysługiwać będzie skarga do wojewódzkiego sądu administracyjnego.

Reasumując, przeprowadzenie kontroli nie oznacza, że prezes UODO po jej zakończeniu automatycznie zdecyduje o wszczęciu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych. Co więcej, nawet wszczęcie takiego postępowania nie oznacza, że zakończy się ono nałożeniem administracyjnej kary pieniężnej na stronę. Jeżeli natomiast kara taka zostałaby nałożona, to kontrolowanemu przysługiwać będzie skarga. Jej wniesienie wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej (zob. komentarz do art. 74 ustawy).

Art. 89. [Czas trwania kontroli]

1. Kontrolę prowadzi się nie dłużej niż 30 dni od dnia okazania kontrolowanemu lub innej osobie wskazanej w przepisach imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość. Do terminu nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie i doręczenie protokołu kontroli przez kontrolowanego.

2. Terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki, o której mowa w art. 88 ust. 8.

komentarz

• Wyjątek od zasady. Fakt, że przepisy RODO znajdują szersze zastosowanie aniżeli ustawa z 6 marca 2018 r. – Prawo przedsiębiorców (Dz.U. poz. 646), wymusił odrębne uregulowanie kontroli prowadzonej przez krajowy organ nadzorczy. Niezbędne stało się również uregulowanie maksymalnego czasu trwania kontroli. Został on przy tym odmiennie określony niż w prawie przedsiębiorców. Przypomnijmy zatem, że na podstawie przepisów ustawy regulującej podstawowe zasady działalności gospodarczej w naszym kraju czas trwania wszystkich kontroli organu nie może przekraczać od 12 do 48 dni roboczych w jednym roku kalendarzowym (w zależności od rodzaju przedsiębiorcy). Natomiast ustawa o ochronie danych osobowych wskazuje jeden okres: 30 dni, niezależnie od podmiotu kontrolowanego. Taki sam czas kontroli dotyczyć będzie zatem zarówno mikroprzedsiębiorców, jak i dużych przedsiębiorców, a nawet osób zobowiązanych do stosowania RODO, mimo iż nie są przedsiębiorcami. Przedmiotowy termin został ponadto zdefiniowany w dniach kalendarzowych, nie zaś w dniach roboczych. Co ciekawe, omawiany przepis nie przewiduje ani wyjątków, do których nie znajduje on zastosowania, ani regulacji pozwalających na przedłużenie czasu kontroli.

W zdaniu drugim ust. 1 omawianego artykułu wskazano, że do terminu kontroli nie wlicza się okresu, o którym mowa w art. 88 ust. 4 niniejszej ustawy, tj. terminu na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie i doręczenie protokołu kontroli przez kontrolowanego. Jak pamiętamy, termin ten wynosi siedem dni. W praktyce zatem ogólny czas kontroli, liczony od momentu okazania kontrolowanemu lub innej osobie wskazanej w przepisach imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość do chwili jej zakończenia, wynosić może nawet więcej niż 37 dni.

• Termin zakończenia. Jak wskazano w ust. 2 komentowanego artykułu, terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki o odmowie podpisania protokołu. Kontrolujący zaś może uczynić wzmiankę w protokole kontroli dopiero po upływie siedmiodniowego terminu na jego podpisanie przez kontrolowanego.
• Wydłużenie na skutek zastrzeżeń. Termin kontroli ulega dalszemu wydłużeniu, jeżeli kontrolowany skorzysta ze swojego uprawnienia oraz wniesie zastrzeżenia do protokołu kontroli. W takim bowiem przypadku kontrola zakończy się dopiero, gdy:

– kontrolujący uwzględni zarzuty wskazane w zastrzeżeniach, zmieni lub uzupełni protokół kontroli poprzez dołączenie do niego stosownego aneksu, co finalnie doprowadzi do jego podpisania,

– kontrolujący nie uwzględni zastrzeżeń kontrolowanego oraz przekaże mu swoją decyzję wraz z uzasadnieniem, a kontrolowany bądź podpisze protokół, bądź na skutek odmowy jego podpisana kontrolujący sporządzi na nim stosowną wzmiankę.

Powyższe wynika z faktu, że – jak stanowi art. 89 ust. 2 niniejszej ustawy – terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki, o której mowa w art. 88 ust. 8. Przepisy nie wiążą zatem terminu zakończenia kontroli jedynie z rozpatrzeniem zgłoszonych zastrzeżeń. Stosować zatem należy ogólne zasady postępowania z protokołem kontroli, o których mowa w art. 88 ustawy. Z tą wszakże różnicą, że zmiany lub uzupełnienia protokołu kontroli dokonywane są w aneksie. Przyjąć zatem należy, że kontrolowany – w takim przypadku – powinien podpisać nie tylko sam protokół, lecz także aneks do niego sporządzony przez kontrolującego po przeanalizowaniu pisemnych zastrzeżeń.

Art. 90. [Konsekwencja stwierdzenia naruszenia przepisów o ochronie danych osobowych]

Jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania, o którym mowa w art. 60.

komentarz

• Wszczęcie postępowania. Jak sygnalizowano to już wcześniej, w przypadku wykrycia w czasie postępowania kontrolnego informacji mogących świadczyć o naruszeniu przepisów o ochronie danych osobowych prezes UODO zobligowany jest do wszczęcia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.

Organ nadzorczy nie może zignorować wyników kontroli, jednak ich ocena należy do jego kompetencji uznaniowych. To prezes UODO ocenia bowiem, czy zgromadzony materiał pozwala na przyjęcie, że mogło dojść do naruszenia przepisów o ochronie danych osobowych. Istotne jest również, że przesłanką, od której uzależniono konieczność wszczęcia postępowania administracyjnego, jest sama możliwość naruszenia przepisów. Ustawodawca nie zdecydował się na określenie wymaganego stopnia prawdopodobieństwa takiego naruszenia. Do uruchomienia kolejnej procedury wystarczające jest zatem, że w ocenie prezesa UODO naruszenie takie mogło nastąpić chociażby hipotetycznie.

Komentowany artykuł nie ogranicza także wskazanego w nim obowiązku wszczęcia postępowania administracyjnego do określonego rodzaju naruszeń w zakresie ochrony danych osobowych. Uznanie zatem przez prezesa UODO, że mogło dojść do niezgodnego z prawem zachowania kontrolowanego, czyni koniecznym wszczęcie przezeń odrębnej procedury, nawet jeżeli owo naruszenie w sposób istotny nie zagraża prawom lub wolnościom osób, których dane dotyczą. Okoliczności te (tj. sposób, zakres i konsekwencje naruszenia dla osób fizycznych) będą miały natomiast znaczenie przy określaniu sankcji administracyjnych wymierzanych przez prezesa UODO za dane naruszenie. W tym miejscu przypomnieć należy, że organ nadzorczy może poprzestać na udzielaniu upomnień administratorowi danych lub podmiotowi przetwarzającemu (zob. art. 58 ust. 2 lit. b RODO).

Sposób konstrukcji omawianego artykułu uznać należy za zrozumiały, zwłaszcza w świetle przepisów regulujących postępowanie w sprawie naruszenia przepisów. To bowiem przedmiotowe postępowanie ma dać ostateczną odpowiedź, czy do takowego naruszenia faktycznie doszło. Same ustalenia kontroli oraz treść protokołu, o którym mowa w art. 88 ustawy, nie są w tym zakresie przesądzające. Potwierdzenie tej tezy odnaleźć można w dalszych przepisach rozdziału 7 ustawy o ochronie danych osobowych, w szczególności zaś w:

– art. 68, który umożliwia organowi nadzorczemu uzupełnienie materiału dowodowego sprawy – jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, prezes UODO może przeprowadzić postępowanie kontrolne; ustawodawca przewidział zatem, że materiał zgromadzony w postępowaniu kontrolnym może być niewystarczający do ostatecznego rozstrzygnięcia kwestii, czy naruszenie miało miejsce;

– art. 70, który wprowadza instytucję czasowego ograniczenia przetwarzania danych osobowych – instytucja ta może zostać zastosowana przez organ nadzorczy, gdy w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych; nie jest zatem wymagane udowodnienie faktu naruszenia przepisów, uprawdopodobnienie jest bowiem przesłanką słabszą.

Postępowanie administracyjne prowadzone przez prezesa UODO w związku z informacjami ujawnionymi w toku kontroli nie musi zakończyć się stwierdzeniem naruszenia przepisów o ochronie danych osobowych. Organ nadzorczy może uznać, że całokształt okoliczności sprawy, uzupełnionych w toku kolejnego postępowania, nie potwierdza naruszenia bądź jego skali. Komentowany artykuł obliguje bowiem prezesa UODO jedynie do wszczęcia postępowania, nie przesądzając jego wyniku.

Art. 91. [Odesłanie do przepisów postępowania]

Przepisy art. 63–65 stosuje się odpowiednio.

komentarz

• Szczególne uprawnienia prezesa. Jak sygnalizowano już w komentarzu do art. 88 ustawy, do dokumentacji oraz informacji gromadzonych w czasie kontroli znajdują zastosowanie niektóre przepisy rozdziału regulującego postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Chodzi o art. 63–65. Wprowadzają one szczególne uprawnienia prezesa UODO oraz strony postępowania względem pozyskiwanych bądź ujawnianych w czasie postępowania danych. Ze względu jednak na to, że komentowany artykuł usytuowany jest w rozdziale poświęconym kontroli, wyżej wymienione przepisy art. 63–65 znajdują jedynie odpowiednie zastosowanie. Przed przejściem do omówienia kwestii związanych z praktycznym znaczeniem tego odesłania wyjaśnić należy rozumienie terminu „odpowiednie stosowanie”. Zwrot ten oznacza, że przepisy, do których ustawodawca odsyła, mogą być:

– wykorzystane wprost, czyli bez jakichkolwiek modyfikacji,

– dostosowane do potrzeb postępowania kontrolnego – w tym przypadku normy wynikające z art. 63–65 stosować będzie głównie kontrolujący, nie zaś prezes UODO; pierwotne brzmienie przepisu ulegnie zatem modyfikacji,

– pominięte – zdarza się, że fragment przepisu, do którego odsyła nas ustawodawca, nie przystaje do stanu rzeczy opisywanego przez normę odsyłającą, w takim wypadku fragment ten się pomija, czyli nie jest on stosowany.

Przekładając powyższe wyjaśnienia na grunt rozdziału 9 komentowanej ustawy oraz uwzględniwszy specyfikę jedynie odpowiedniego stosowania art. 63–65 do kontroli, nasuwają się poniższe wnioski.

1. Kontrolujący może żądać od kontrolowanego przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez kontrolowanego. Tłumaczenie dokumentacji kontrolowany jest obowiązany wykonać na własny koszt. Powyższe znajduje potwierdzenie w art. 84 ust. 1 pkt 2–4 komentowanej ustawy, które dają kontrolującemu prawo wglądu m.in. do dokumentów, informacji oraz nośników danych. Jeżeli zatem ujawnione w ten sposób dane, bądź inne oświadczenia złożone przez kontrolowanego lub świadków, sporządzone są w języku obcym, to kontrolujący będzie uprawniony do zażądania tłumaczenia na język polski.

2. Kontrolujący ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną kontrolowanego, chyba że przepisy szczególne stanowią inaczej (zob. szerzej komentarz do art. 64 ustawy).

3. Kontrolowany może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, przedstawiane kontrolującemu – chociażby w wykonaniu jego obowiązków wynikających z art. 84 ust. 1 pkt 2–4 ustawy. W takim przypadku kontrolowany będzie zobowiązany przedstawić kontrolującemu również wersję dokumentu niezawierającą informacji objętych zastrzeżeniem (zob. szerzej komentarz do art. 65 ustawy).

• Obowiązek przedstawienia tłumaczeń dokumentów. Umiejscowienie art. 91 ustawy na końcu rozdziału 9, noszącego tytuł „Kontrola przestrzegania przepisów o ochronie danych osobowych”, oznacza, że odesłanie w nim zawarte znajduje zastosowanie do całego postępowania kontrolnego. A więc w praktyce kontrolujący będzie mógł domagać się od kontrolowanego przedłożenia tłumaczeń dokumentów sporządzonych w języku obcym, zarówno gdy zostaną one mu przekazane w pierwszej fazie kontroli, jak również gdy kontrolowany zdecyduje się na ich dołączenie do zastrzeżeń.
• Dostęp do tajemnicy przedsiębiorstwa. Analogicznie przedstawia się kwestia żądania dostępu do tajemnicy prawnie chronionej, a także możliwość kontrolowanego do zastrzeżenia informacji stanowiących tajemnicę jego przedsiębiorstwa. To ostatnie może mieć zatem miejsce także na etapie składania zastrzeżeń do protokołu kontrolnego.

Prezes UODO będzie mógł uchylić zastrzeżenie kontrolowanego w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa. Wynika to z faktu, że decyzje administracyjne wydawane są przez organ nadzorczy, czyli prezesa UODO. Od decyzji takiej przysługiwać będzie skarga do wojewódzkiego sądu administracyjnego. Powyższe nie wyklucza, rzecz jasna, upoważnienia pracownika organu nadzorczego do wydawania tego typu decyzji w trybie art. 268 k.p.a. Będzie to on jednak czynił nie w imieniu własnym, ale nadal w imieniu prezesa UODO.

Na marginesie należy również wskazać, że art. 65 ust. 4 komentowanej ustawy może znaleźć zastosowanie w postępowaniu kontrolnym jedynie wyjątkowo. Przewiduje on, że w przypadku ustawowego obowiązku przekazania informacji lub dokumentów otrzymanych od przedsiębiorców innym krajowym lub zagranicznym organom lub instytucjom przekazuje się je wraz z zastrzeżeniem i pod warunkiem jego przestrzegania. Sytuacja taka mogłaby mieć miejsce w przypadku wykonywania wspólnej operacji przez organy nadzorcze z kilku państw członkowskich (zob. komentarz do art. 77 ustawy oraz art. 62 RODO).

Rozdział 10

Odpowiedzialność cywilna i postępowanie przed sądem

Art. 92. [Odesłanie do przepisów kodeksu cywilnego]

W zakresie nieuregulowanym rozporządzeniem 2016/679, do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i art. 82 tego rozporządzenia, stosuje się przepisy ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny.

komentarz

• Roszczenia cywilne osoby, której dane zostały naruszone. Aby móc odpowiedzieć na pytanie, w jakim zakresie do roszczeń wynikających z RODO znajduje zastosowanie ustawa z 23 kwietnia 1964 r. – Kodeks cywilny (t.j. Dz.U. z 2018 r. poz. 1025 ze zm.; dalej: k.c.), w pierwszej kolejności należy omówić kwestie uregulowane w RODO. Polską ustawę stosować bowiem należy jedynie w zakresie nieuregulowanym tymże rozporządzeniem. Wskazane w komentowanym artykule przepisy RODO (art. 79 i 82) określają roszczenia cywilne osoby, której dane dotyczą, względem administratora danych oraz podmiotu przetwarzającego. Co ważne, są to roszczenia cywilne, które mogą być niezależne od żądania wszczęcia postępowania administracyjnego względem takiego podmiotu, a nawet ukarania go administracyjną karą pieniężną przez prezesa UODO. O ile bowiem sankcje i kary nakładane przez organ nadzorczy nie mają na celu przyznania rekompensaty na rzecz poszkodowanego naruszeniem przepisów o ochronie danych osobowych, o tyle roszczenia cywilne właśnie do tego zmierzają.

RODO przewiduje dwie grupy żądań, z którymi może występować osoba, której dane dotyczą, względem administratora danych lub podmiotu przetwarzającego. Pierwsza z nich związana jest z prawem do skutecznego środka ochrony prawnej przed sądem, jeżeli osoba taka uzna, że prawa przysługujące jej na mocy ww. rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem przepisów prawa. Podstawą prawną tych żądań jest art. 79 RODO. Chodzić tutaj może zatem w szczególności o wszelkie roszczenia mające na celu przywrócenie stanu zgodnego z prawem. Może to być zatem żądanie usunięcia danych osobowych czy też żądanie przetwarzania ich jedynie w określonych granicach bądź wykonania obowiązków ciążących na administratorze danych względem osoby, której dane dotyczą.

Drugą grupę roszczeń stanowią typowe roszczenia odszkodowawcze, o których mowa w art. 82 RODO. Zgodnie z nim bowiem każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przedmiotowego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Ustawodawca unijny zdecydował się zatem na umożliwienie wyrównania zarówno szkody majątkowej, jak i niemajątkowej (tzw. krzywdy).

Szkoda majątkowa obejmuje zarówno rzeczywisty uszczerbek majątkowy (stratę), jak i utracone korzyści. Te ostatnie jednakże tylko wtedy, gdy poszkodowany wykaże, iż uzyskałby je z prawdopodobieństwem graniczącym z pewnością, gdyby sprawca szkody nie zachował się w sposób sprzeczny z prawem. Krzywda natomiast to m.in. cierpienie psychiczne lub fizyczne, poczucie nieprzydatności, bezradności, smutku itp. [przykłady 1 i 2]

• Zasady odpowiedzialności administratora i przetwarzającego. W art. 82 RODO uregulowano jeszcze inne, istotne z punktu widzenia odpowiedzialności cywilnej kwestie, a mianowicie: zakres odpowiedzialności administratora danych oraz podmiotu przetwarzającego, solidarną odpowiedzialność administratora danych i podmiotu przetwarzającego, a także regres pomiędzy nimi. Ustawodawca unijny wprowadza w tym zakresie następujące zasady:

– administrator danych uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie,

– podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie wtedy, gdy nie dopełnił obowiązków, które cytowane rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom (art. 82 ust. 2 RODO),

– zarówno administrator danych, jak i podmiot przetwarzający mogą zwolnić się ze ww. odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie (art. 82 ust. 3 RODO), które doprowadziło do powstania szkody, w praktyce oznacza to, że odpowiedzialność ww. podmiotów ukształtowana jest na zasadzie winy, jej brak po stronie tychże podmiotów wyklucza możliwość domagania się odszkodowania przez osobę, której dane dotyczą,

– jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator danych lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator, jak i podmiot przetwarzający i podmioty te odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę.

Administrator danych lub podmiot przetwarzający, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność. Rozwiązanie to wynika z podstawowej cechy odpowiedzialności solidarnej. Zakłada ona bowiem, że wierzyciel (osoba, której dane dotyczą) może żądać całości lub części odszkodowania od wszystkich dłużników (administratorów danych lub podmiotów przetwarzających) łącznie, od kilku z nich lub od każdego z osobna, a zaspokojenie wierzyciela przez któregokolwiek z dłużników zwalnia pozostałych. Stąd też, jeżeli jeden z dłużników solidarnych zapłacił odszkodowanie w całości, nabywa prawo regresu względem pozostałych dłużników solidarnych.

Jak wynika z powyższego, art. 79 i 82 RODO regulują jedynie podstawowe kwestie z zakresu odpowiedzialności cywilnej administratorów danych i podmiotów przetwarzających. W zasadzie regulacja ta sprowadza się do wskazania rodzajów roszczeń przysługujących osobie, której dane dotyczą, oraz przesądzenia o zasadach odpowiedzialności (zasada winy, odpowiedzialność solidarna), a także przesądzenia o prawie regresu pomiędzy podmiotami zobowiązanymi do zapłaty odszkodowania.

• Inne przepisy kodeksu cywilnego. Pozostałe kwestie związane z materialnoprawną podstawą odpowiedzialności unijne rozporządzenie pozostawiło regulacjom wewnętrznym poszczególnych państw członkowskich. Ustalenie zatem, czy dany podmiot zobowiązany jest do naprawienia szkody (a jeżeli tak – to w jakim zakresie), odbywać się zatem będzie głównie w oparciu o przepisy kodeksu cywilnego. Ten ostatni uzupełniać bowiem będzie lakoniczną regulację zawartą w ogólnym rozporządzeniu o ochronie danych.

Przechodząc na grunt krajowego prawa cywilnego, wskazać można przykładowo przepisy, które będą mogły znaleźć zastosowanie w sprawach cywilnych o roszczenia z tytułu naruszenia zasad ochrony danych osobowych.

– Art. 361 k.c. – normujący granice odpowiedzialności odszkodowawczej. Zgodnie z nim zobowiązany do odszkodowania ponosi odpowiedzialność tylko za normalne następstwa działania lub zaniechania, z którego szkoda wynikła. Ustawa wymaga zatem istnienia tzw. adekwatnego związku przyczynowego pomiędzy zachowaniem się administratora danych lub podmiotu przetwarzającego a szkodą osoby, której dane dotyczą. Związek adekwatny występuje przy tym, jeżeli w danym układzie stosunków i warunków oraz w zwyczajnym biegu rzeczy, bez zaistnienia szczególnych okoliczności, szkoda jest zwykłym następstwem tego zdarzenia (zob. wyrok Sądu Apelacyjnego w Warszawie z 9 marca 2018 r., sygn. akt VI ACa 1211/16). Ze wskazanego artykułu wynika także zakres obowiązku odszkodowawczego. Naprawienie szkody obejmuje zatem straty, które poszkodowany poniósł, oraz korzyści, które mógłby osiągnąć, gdyby mu szkody nie wyrządzono. Ustalenie uszczerbku w granicach utraconych korzyści (lucrum cessans) wymaga wykazania wysokiego stopnia prawdopodobieństwa utraty korzyści, chociaż nie jest konieczny dowód pewności ich wystąpienia. W przypadku gdy prawdopodobieństwo uzyskania dochodu nie było bardzo wysokie, określa się ten stan mianem szkody ewentualnej. Nie jest ona objęta obowiązkiem odszkodowawczym na podstawie art. 361 par. 2 k.c., gdyż przepis ten odnosi się do odszkodowania z tytułu utraconego dochodu, a nie utraty szansy jego uzyskania (zob. wyrok Sądu Apelacyjnego w Warszawie z 19 grudnia 2017 r., sygn. akt II AKa 376/17). [przykłady 3 i 4]

– Art. 362 k.c. – mówiący o przyczynieniu się poszkodowanego do powstania lub zwiększenia szkody. W takiej sytuacji obowiązek jej naprawienia ulega odpowiedniemu zmniejszeniu stosownie do okoliczności, a zwłaszcza do stopnia winy obu stron. Przepis ten ma związek ze wskazywaną już wyżej zasadą odpowiedzialności sprawcy za zachowanie zawinione. W zakresie zatem, w jakim szkoda powstała bez jego winy, a z winy poszkodowanego, sprawca może uwolnić się od odpowiedzialności odszkodowawczej. [przykład 5]

przykład 1

Szkoda majątkowa

Niezgodne z prawem postępowaniem administratora danych spowodowało ujawnienie danych osobowych osoby fizycznej osobie trzeciej. Osoba ta posłużyła się danymi w nieodpowiedni sposób: zaciągnęła zobowiązania w jej imieniu. W konsekwencji poszkodowany doznał szkody majątkowej: musiał ponieść wydatki w celu uwolnienia się od rzekomego długu.

przykład 2

Szkoda niemajątkowa

Na skutek upublicznienia danych osobowych zawierających wstydliwe informacje osoba, której dane dotyczyły, spotkała się z negatywnymi reakcjami ze strony jej środowiska. Doznała przez to szkód niemajątkowych, przede wszystkim krzywdy w postaci cierpienia psychicznego.

przykład 3

Brak adekwatnego związku przyczynowego

Osoba fizyczna starała się o zatrudnienie, wysyłając aplikacje do różnych pracodawców. W toku rekrutacji aplikacja została odrzucona, gdyż nie spełniała jednego z wymogów stawianych w ogłoszeniu. W tym samym czasie, jeszcze przed zakończeniem postępowania rekrutacyjnego, inny administrator danych na skutek błędu oprogramowania upublicznił informacje, które mogłyby stawiać kandydata do pracy w złym świetle. Jednakże nie miały one wpływu na rozstrzygnięcie.

Osoba fizyczna nie może podnosić roszczenia odszkodowawczego wobec administratora danych, odrzucenie jej aplikacji nastąpiło bowiem z innej przyczyny niż ujawnienie jej danych osobowych.

przykład 4

Trzeba wykazać następstwo działania

Z zasobów jednego z administratorów danych wyciekły informacje ujawniające poglądy polityczne pewnej grupy osób. Jedna z tych osób, dowiedziawszy się o ujawnieniu jej prywatnych poglądów, w złości z dużą siłą zamknęła laptop, a ten uległ uszkodzeniu. Nie ma jednak podstaw, by domagać się odszkodowania. Uszkodzenie komputera na skutek upublicznienia danych osobowych nie jest zwyczajnym następstwem wycieku danych. Dlatego też podmiot, który naruszył zasady ochrony danych osobowych, nie będzie zobowiązany do pokrycia kosztów naprawy uszkodzonego sprzętu. Zgodnie bowiem z art. 361 k.c. zobowiązany do odszkodowania ponosi odpowiedzialność tylko za normalne następstwa działania lub zaniechania, z którego szkoda wynikła.

przykład 5

Przyczynienie się do szkody

Na skutek niedbalstwa obsługi sekretariatu jednej z prywatnych placówek medycznych wyniki badań osoby fizycznej pozostawiono w widocznym miejscu w recepcji. Osoba fizyczna, której te wyniki dotyczyły, zrobiła zdjęcie dokumentujące ów fakt oraz umieściła je na swoim profilu w portalu społecznościowym. Ze zdjęcia można było odczytać wyniki badań. Wyniki wskazywały na wykrycie u tej osoby choroby zakaźnej. Po publikacji zdjęcia pod wpisem pojawiło się wiele komentarzy wyśmiewających zdiagnozowaną przypadłość u osoby, której dane dotyczą.

Placówka medyczna nie ponosi jednak winy za krzywdę doznaną przez osobę, której dane dotyczą, na skutek upublicznienia zdjęcia z wynikami jej badań. Upublicznienia dokonała bowiem owa osoba samodzielnie. W tym zakresie zatem przyczyniła się ona do powstania szkody niemajątkowej (krzywdy). ©℗

– Art. 366 oraz art. 371–376 k.c. – regulujące zasady solidarnej odpowiedzialności dłużników za zobowiązanie względem wierzyciela. Jak pamiętamy, RODO wprowadza solidarną odpowiedzialność podmiotów uczestniczących w procesie przetwarzania danych osobowych (administratorów danych oraz podmiotów przetwarzających), niezależnie od ich faktycznej konfiguracji w danej sprawie. Ogólne rozporządzenie o ochronie danych nie zawiera przy tym szczegółowych zasad tejże odpowiedzialności. Znajdziemy je natomiast w przepisach kodeksu cywilnego. Wśród nich należy wskazać przede wszystkim poniższe regulacje.

1. Przerwanie lub zawieszenie biegu przedawnienia w stosunku do jednego z dłużników solidarnych nie ma skutku względem współdłużników – jeżeli doszłoby do przerwania biegu terminu przedawnienia (np. na skutek uznania odpowiedzialności, wniesienia pozwu, wszczęcia mediacji) pomiędzy poszkodowanym a administratorem danych, to nie wpłynęłoby to na dalszy bieg terminu przedawnienia roszczeń względem podmiotu przetwarzającego.

2. Zwolnienie z długu lub zrzeczenie się solidarności przez wierzyciela względem jednego z dłużników solidarnych nie ma skutku względem współdłużników – występuje tu analogiczna sytuacja jak powyżej. Jeżeli poszkodowany zrzekłby się roszczeń względem podmiotu przetwarzającego, to nadal mógłby dochodzić ich od administratora danych (rzecz jasna pamiętając o tym, że administrator odpowiada za zachowania zawinione przez niego).

3. Dłużnik solidarny może się bronić zarzutami, które przysługują mu osobiście względem wierzyciela, jak również tymi, które ze względu na sposób powstania lub treść zobowiązania są wspólne wszystkim dłużnikom – jeżeli np. osoba, której dane dotyczą, dochodzi odszkodowania od administratora danych oraz procesora, zarzucając im nielegalne przetwarzanie danych osobowych, to każdy z tych podmiotów może się bronić, wykazując, że dane osobowe poszkodowanego przetwarzane były zgodnie z prawem.

4. Jeżeli z treści stosunku prawnego pomiędzy dłużnikami solidarnymi nie wynika inaczej, dłużnik, który świadczenie spełnił, może żądać zwrotu od pozostałych dłużników solidarnych w częściach równych. Ograniczenie regresu na gruncie RODO wynika częściowo z cytowanych powyżej przepisów art. 82 ust. 2 i 3 rozporządzenia. Niemniej jednak RODO nie rozstrzyga, jak należałoby rozdzielić regres w przypadku, gdyby za szkodę odpowiadało kilku administratorów, a żaden z nich nie mógłby uwolnić się od odpowiedzialności. W takim wypadku zastosowanie może znaleźć przepis kodeksu cywilnego mówiący o równym rozdzieleniu świadczenia pomiędzy dłużników zobowiązanych z regresu.

5. Jeżeli w przypadku skorzystania z regresu przez tego z dłużników solidarnych, który wypłacił całość odszkodowania poszkodowanemu, okaże się, że jeden z pozostałych dłużników solidarnych jest niewypłacalny, to część przypadająca na dłużnika niewypłacalnego rozkłada się między pozostałych współdłużników. [przykład 6]

– Art. 117–125 k.c. – normujące zasady przedawnienia roszczeń cywilnych. Ze względu na zakres niniejszego komentarza praktycznego wskazać jedynie należy, że termin przedawnienia dla osób fizycznych będących konsumentami wynosi co do zasady sześć lat, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej – trzy lata. Jednakże koniec terminu przedawnienia przypada na ostatni dzień roku kalendarzowego – oznacza to, że jeżeli roszczenie odszkodowawcze powstało w ciągu roku kalendarzowego, to faktyczny okres przedawnienia zostanie wydłużony do końca ostatniego roku kalendarzowego objętego okresem przedawnienia.

– Art. 4421 k.c. – znajdujący zastosowanie do przedawnienia roszczeń mających swoje źródło w czynach niedozwolonych. Mówiąc najprościej, czynami takimi są zdarzenia nie mające osadzenia w innym stosunku prawnym łączącym strony (np. umowie). W szczególności zatem mogą to być przestępstwa popełnione na szkodę osoby, którą dane dotyczą. [przykład 7] W takich przypadkach okresy przedawnienia są następujące:

a) podstawowy – roszczenie o naprawienie szkody wyrządzonej czynem niedozwolonym ulega przedawnieniu z upływem lat trzech od dnia, w którym poszkodowany dowiedział się albo przy zachowaniu należytej staranności mógł się dowiedzieć o szkodzie i o osobie obowiązanej do jej naprawienia; jednakże termin ten nie może być dłuższy niż 10 lat od dnia, w którym nastąpiło zdarzenie wywołujące szkodę;

b) wydłużony – jeżeli szkoda wynikła ze zbrodni lub występku, roszczenie o naprawienie szkody ulega przedawnieniu z upływem lat 20 od dnia popełnienia przestępstwa bez względu na to, kiedy poszkodowany dowiedział się o szkodzie i o osobie obowiązanej do jej naprawienia; zbrodnią jest czyn zabroniony zagrożony karą pozbawienia wolności na czas nie krótszy od lat trzech albo karą surowszą, natomiast występkiem jest czyn zabroniony zagrożony grzywną powyżej 30 stawek dziennych albo powyżej 5000 zł, karą ograniczenia wolności przekraczającą miesiąc albo karą pozbawienia wolności przekraczającą miesiąc.

• Inne przepisy. Powyżej wskazano jedynie najważniejsze przykłady stosowania przepisów k.c. do roszczeń opartych na przepisach art. 79 lub 82 RODO. Zastosowanie mogą bowiem znaleźć także inne przepisy polskiej ustawy normujące odpowiedzialność kontraktową (wynikającą z naruszenia postanowień umownych) bądź deliktową (wynikającą z czynów niedozwolonych). Pamiętać przy tym należy, że także k.c. wprowadza w wielu przypadkach wyjątki od reguł ogólnych, które stosowane będą w sytuacjach w nich opisanych. Dobór właściwych norm prawa cywilnego wymaga zatem każdorazowo dokładnej analizy stanu faktycznego danej sprawy oraz przypisania mu odpowiednich przepisów prawa.

przykład 6

Zasada solidarnej odpowiedzialności

Jeżeli za szkodę odpowiedzialnych jest solidarnie kilku administratorów danych, a odszkodowanie zapłaci jeden z nich i wystąpi o regres do pozostałych, a jeden z nich jest niewypłacalny, to przypadająca na niego część odszkodowania powinna być zwrócona przez pozostałych administratorów proporcjonalnie do ich odpowiedzialności za szkodę. Rzecz jasna, ci spośród administratorów danych, którzy spłacili niewypłacalnego, będą mogli dochodzić od niego zapłaty w odrębnych postępowaniach.

przykład 7

Wydłużenie okresu przedawnienia w przypadku przestępstwa

Administrator danych przy okazji podpisywania umowy z osobą fizyczną bez uzyskania zgody zeskanował jej dowód osobisty. Następnie grożąc wykorzystaniem owych skanów na szkodę tejże osoby, zmusił ją do zawarcia niekorzystnego dla niej aneksu.

W takiej sytuacji mogło dojść do popełnienia przestępstwa groźby karalnej. Przestępstwo to jest występkiem. Okres przedawnienia roszczenia odszkodowawczego ulegnie zatem wydłużeniu. ©℗

Art. 93. [Sąd właściwy]

W sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i art. 82 rozporządzenia 2016/679, właściwy jest sąd okręgowy.

komentarz

• Właściwość sądu. Artykuł 93 komentowanej ustawy jest przepisem szczególnym względem ogólnych norm kodeksu postępowania cywilnego, określających właściwość rzeczową sądów powszechnych do rozpoznania sprawy. Zasadą jest bowiem, że w przypadku praw majątkowych sprawy o wartość przedmiotu sporu nie większą niż 75 tys. zł są rozpoznawane przez sądy rejonowe. Dopiero jeżeli wartość przedmiotu sporu przekracza tę kwotę, kognicję uzyskuje sąd okręgowy. Jednakże za sprawą art. 93 na gruncie roszczeń wysuwanych w oparciu o art. 79 i 82 RODO zasada ta nie znajdzie zastosowania i każdorazowo właściwy będzie sąd okręgowy.

Jak czytamy w uzasadnieniu projektu ustawy o ochronie danych osobowych, decyzja o przyznaniu sądom okręgowym właściwości w sprawach roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych podyktowana została względami ekonomiki, w tym chęcią zapewnienia szybkości postępowania. Liczba spraw rozpatrywanych przez sądy okręgowe jest bowiem mniejsza niż przez sądy rejonowe.

• Przebieg postępowania. Ogólne rozporządzenie o ochronie danych nie reguluje postępowania przed sądem krajowym, zastosowanie w tym zakresie znajdą zatem przepisy ustawy z 17 listopada 1964 r. – Kodeks postępowania cywilnego (t.j. Dz.U. z 2018 r. poz. 1360 ze zm.; dalej: k.p.c.). W RODO znajdziemy jedynie nieliczne przepisy procesowe, do których należą następujące:

– art. 80 RODO – mówiący o reprezentacji osób, których dane dotyczą (zasady te zostały omówione w komentarzu do art. 61 ustawy);

– art. 81 RODO – wprowadzający dodatkową przesłankę zawieszenia postępowania sądowego (która zostanie omówiona w komentarzu do art. 95 ustawy).

Postępowanie sądowe z zakresu roszczeń wynikających z naruszenia przepisów o ochronie danych osobowych, podobnie jak większość innych postępowań cywilnych, wszczyna się przez wniesienie pozwu.

• Zawartość pozwu. Z uwagi na praktyczny zakres niniejszego komentarza, wskazać należy jedynie na elementy, jakie powinien zawierać pozew, a które wynikają z art. 126 i 187 k.p.c. Otóż pozew powinien zawierać:

1) oznaczenie sądu, do którego jest skierowany, imię i nazwisko lub nazwę stron, ich przedstawicieli ustawowych i pełnomocników – w pozwie oznaczyć należy zatem zarówno właściwy miejscowo sąd okręgowy, jak i wszystkie strony (powoda oraz pozwanego bądź pozwanych); ustawa dodatkowo wymaga, aby w oznaczeniu stron postępowania znalazły się następujące informacje:

a) oznaczenie miejsca zamieszkania lub siedziby i adresy stron albo, w przypadku gdy strona jest przedsiębiorcą wpisanym do Centralnej Ewidencji i Informacji o Działalności Gospodarczej – adres do korespondencji wpisany do CEIDG,

b) oznaczenie miejsca zamieszkania lub siedziby i adresy przedstawicieli ustawowych i pełnomocników stron,

c) numer Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL) lub numer identyfikacji podatkowej (NIP) powoda będącego osobą fizyczną, jeżeli jest on obowiązany do jego posiadania lub posiada go nie mając takiego obowiązku lub

d) numer w Krajowym Rejestrze Sądowym, a w przypadku jego braku – numer w innym właściwym rejestrze, ewidencji lub NIP powoda niebędącego osobą fizyczną, który nie ma obowiązku wpisu we właściwym rejestrze lub ewidencji, jeżeli jest on obowiązany do jego posiadania;

2) oznaczenie rodzaju pisma, którym w tym przypadku jest pozew;

3) dokładnie określone żądanie, a w sprawach o prawa majątkowe także oznaczenie wartości przedmiotu sporu, chyba że przedmiotem sprawy jest oznaczona kwota pieniężna, czyli konkretne roszczenia oparte na art. 79 lub art. 82 RODO, np. zasądzenie wskazanej kwoty pieniężnej od pozwanego;

4) oznaczenie daty wymagalności roszczenia w sprawach o zasądzenie roszczenia, roszczenia o odszkodowanie za szkodę majątkową i niemajątkową, które wynikają zarówno z umowy, jak i deliktu (np. czynu niedozwolonego), jako roszczenia bezterminowe stają się wymagalne „niezwłocznie po wezwaniu dłużnika do zapłaty” (zob. art. 455 k.c.); innymi słowy, poszkodowany powinien wezwać sprawcę (administratora danych lub podmiot przetwarzający) do dobrowolnego spełnienia świadczenia, zakreślając mu w tym celu termin, wraz z upływem tegoż terminu roszczenie staje się wymagalne, a zatem możliwe jest jego dochodzenie przed sądem;

5) przytoczenie okoliczności faktycznych uzasadniających żądanie, a w miarę potrzeby uzasadniających również właściwość sądu – należy zatem wskazać dowody potwierdzające zasadność roszczenia objętego pozwem, powinny one wykazywać fakt naruszenia przepisów o ochronie danych osobowych przez pozwanego oraz wysokość i postać szkody doznanej przez osobę, której dane dotyczą;

6) informację, czy strony podjęły próbę mediacji lub innego pozasądowego sposobu rozwiązania sporu, a w przypadku gdy takich prób nie podjęto, wyjaśnienie przyczyn ich niepodjęcia;

7) podpis strony albo jej przedstawiciela ustawowego lub pełnomocnika;

8) wymienienie załączników (do pozwu należy załączyć jeden odpis pisma i wszystkich załączników dla sądu oraz po jednym dla każdego z pozwanych).

• Inne wnioski w pozwie. Pozew może także zawierać wnioski o zabezpieczenie powództwa, nadanie wyrokowi rygoru natychmiastowej wykonalności i przeprowadzenie rozprawy w nieobecności powoda oraz wnioski służące do przygotowania rozprawy, a w szczególności wnioski o:

– wezwanie na rozprawę wskazanych przez powoda świadków i biegłych,

– dokonanie oględzin,

– polecenie pozwanemu dostarczenia na rozprawę dokumentu będącego w jego posiadaniu, a potrzebnego do przeprowadzenia dowodu, lub przedmiotu oględzin,

– zażądanie na rozprawę dowodów znajdujących się w sądach, urzędach lub u osób trzecich.

Niektóre spośród wskazanych powyżej wniosków dodatkowych mogą być szczególnie przydatne w sprawach dotyczących omawianych roszczeń. W zależności bowiem od okoliczności konkretnego przypadku konieczne może okazać się przesłuchanie świadków naruszenia ochrony danych osobowych bądź dokonanie oględzin mających potwierdzić fakt naruszenia. Konieczne może okazać się także zażądanie, by pozwany bądź osoba trzecia dostarczyły dowodów znajdujących się w ich posiadaniu (np. dokumentu zawierającego klauzulę zgody na przetwarzanie danych osobowych, umowy powierzenia danych osobowych do przetwarzania itp.).

Art. 94. [Wymiana informacji]

1. O wniesieniu pozwu oraz prawomocnym orzeczeniu kończącym postępowanie w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych, o którym mowa w art. 79 lub art. 82 rozporządzenia 2016/679, sąd zawiadamia niezwłocznie Prezesa Urzędu.

2. Prezes Urzędu zawiadomiony o toczącym się postępowaniu niezwłocznie informuje sąd o każdej sprawie dotyczącej tego samego naruszenia przepisów o ochronie danych osobowych, która toczy się przed Prezesem Urzędu lub sądem administracyjnym albo została zakończona. Prezes Urzędu niezwłocznie informuje sąd również o wszczęciu każdego postępowania w sprawie dotyczącej tego samego naruszenia.

komentarz

• Procesowe uprawnienia prezesa UODO. Wobec przyznania prezesowi UODO licznych kompetencji w postępowaniu cywilnym dotyczącym roszczeń wynikających z naruszenia przepisów o ochronie danych osobowych konieczne stało się wprowadzenie przepisów regulujących sposób komunikacji pomiędzy sądem powszechnym rozpoznającym taką sprawę a prezesem UODO. Przepisy te zamieszczono w komentowanym artykule. Przed ich omówieniem warto wskazać na procesowe uprawnienia prezesa UODO, które szczegółowo omawiane będą w komentarzach do dalszych artykułów ustawy o ochronie danych osobowych:

1) prezes UODO może wytaczać powództwa na rzecz osoby, której dane dotyczą, za jej zgodą, a także wstępować, za zgodą powoda, do postępowania w każdym jego stadium (zob. komentarz do art. 98 ustawy);

2) prezes UODO może przedstawić sądowi istotny dla sprawy pogląd w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych (zob. komentarz do art. 99 ustawy);

3) sąd rozpoznający sprawę zawiesza postępowanie, jeżeli sprawa dotycząca tego samego naruszenia przepisów o ochronie danych osobowych została wszczęta przed prezesem UODO (zob. komentarz do art. 95 ustawy);

4) prawomocna decyzja prezesa UODO o stwierdzeniu naruszenia przepisów o ochronie danych osobowych wiąże sąd w postępowaniu o naprawienie szkody wyrządzonej przez naruszenie przepisów o ochronie danych osobowych co do stwierdzenia naruszenia tych przepisów (zob. komentarz do art. 97 ustawy);

5) sąd rozpoznający sprawę umarza postępowanie w zakresie, w jakim prawomocna decyzja prezesa UODO o stwierdzeniu naruszenia przepisów o ochronie danych osobowych uwzględnia roszczenie dochodzone przed sądem przez osobę, której dane dotyczą (zob. komentarz do art. 96 ustawy).

Ustawodawca krajowy dostrzegł zatem możliwą zbieżność postępowań mogących toczyć się przed sądem powszechnym oraz jednocześnie przed prezesem UODO. Co ważne, regulacje te dotyczą również prawomocnych wyroków sądu administracyjnego wydanych na kanwie skargi wniesionej na decyzję administracyjną lub postanowienie prezesa UODO, o czym będzie mowa w komentarzach do dalszych artykułów niniejszej ustawy.

• Obowiązki informacyjne. Opisana w komentowanym artykule procedura wzajemnej wymiany informacji pomiędzy sądem rozpoznającym określoną sprawę a prezesem UODO inicjowana jest przez pierwszy z wymienionych organów. Po otrzymaniu zawiadomienia, krajowy organ nadzorczy:

1) ma obowiązek:

a) poinformować niezwłocznie sąd o każdej sprawie dotyczącej tego samego naruszenia przepisów o ochronie danych osobowych, która toczy się przed prezesem UODO lub sądem administracyjnym albo została zakończona,

b) niezwłocznie informować sąd o wszczęciu przez ten organ każdego nowego postępowania w sprawie dotyczącej tego samego naruszenia, chodzi zatem o postępowania administracyjne wszczynane przez prezesa UODO już po otrzymaniu ww. informacji od sądu;

2) a ponadto może:

a) wstąpić, za zgodą powoda, do postępowania sądowego, o którym został zawiadomiony; prezes UODO musi zatem zwrócić się do osoby, której dane dotyczą, o wyrażenie przez nią zgody na jego wstąpienie do toczącego się już postępowania – w przypadku wyrażenia takiej zgody i wstąpienia prezesa UODO do postępowania będzie miał on pozycję równą prokuratorowi przystępującemu do udziału w sprawach cywilnych (zostanie to szerzej omówione w komentarzu do art. 98 niniejszej ustawy),

b) przedstawić sądowi, który go zawiadomił, istotny dla sprawy pogląd w sprawie zawisłej przed tym sądem oraz której to dotyczy zawiadomienie.

Prawa i obowiązki prezesa UODO, o których mowa powyżej, wygasają wraz z prawomocnym zakończeniem postępowania sądowego. Dlatego sąd rozpoznający sprawę zobligowany został również do zawiadomienia prezesa UODO o prawomocnym orzeczeniu kończącym dane postępowanie.

Na marginesie należy wyjaśnić, że opisana powyżej procedura wzajemnej wymiany informacji nie odnosi się do wszystkich spraw zawierających element odnoszący się do danych osobowych, ale wyłącznie tych, których materialną podstawę stanowią art. 79 lub 82 RODO. Inaczej mówiąc, obejmuje ona wyłącznie sprawy o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych.

Art. 95. [Zawieszenie postępowania cywilnego]

Sąd zawiesza postępowanie, jeżeli sprawa dotycząca tego samego naruszenia przepisów o ochronie danych osobowych została wszczęta przed Prezesem Urzędu.

komentarz

• Zawieszenie postępowania sądowego w przypadku prowadzenia postępowania przed prezesem UODO. W przypadku gdy sąd rozpoznający konkretną sprawę o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych poweźmie wiadomość o tym, że to samo roszczenie jest przedmiotem postępowania administracyjnego prowadzonego przez prezesa UODO, sąd ten zobligowany został do zawieszenia prowadzonego przezeń postępowania.
• Źródła informacji dla sądu. Wiedza o takim fakcie może pochodzić zarówno od samego prezesa UODO, który informuje o tym w ramach wykonywania obowiązków nałożonych na niego przez art. 94 ustawy, jak i od stron postępowania sądowego. Dla realizacji obowiązku przewidzianego w niniejszym artykule nie ma to bez znaczenia. Podobnie nie jest istotne, czy postępowanie administracyjne zostało wszczęte jeszcze przed wytoczeniem powództwa, czy też już po zawiśnięciu sporu. Tym samym ustawodawca daje pierwszeństwo postępowaniu prowadzonemu przez prezesa UODO (o czym szerzej w komentarzach do art. 96 i 97 ustawy).
• Czas trwania zawieszenia. Zawieszenie postępowania sądowego trwać będzie do czasu prawomocnego zakończenia postępowania administracyjnego przed prezesem UODO bądź wydania prawomocnego wyroku przez sąd administracyjny na skutek skargi, o której mowa poniżej. W zależności od rodzaju ostatecznego rozstrzygnięcia zapadłego na gruncie prawa administracyjnego decyzja sądu względem postępowania cywilnego może przybrać jedną z następujących postaci:

– umorzenie postępowania w zakresie, w jakim prawomocna decyzja prezesa UODO o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocny wyrok sądu administracyjnego wydany w wyniku wniesienia skargi zawierającej żądanie wydania orzeczenia stwierdzającego istnienie albo nieistnienie uprawnienia lub obowiązku, uwzględnia roszczenie dochodzone przed tym sądem,

– podjęcie zawieszonego postępowania oraz merytoryczne rozpatrzenie żądań pozwu – w pozostałych przypadkach (np. gdy prezes UODO umorzył postępowanie administracyjne, nie dopatrując się naruszenia przepisów o ochronie danych osobowych).

• Zawieszenie na podstawie art. 81 RODO. Wskazane powyżej przypadki zawieszenia postępowania sądowego nie są jedynymi. Kolejną jego przesłankę odnajdziemy bowiem w art. 81 RODO. Zgodnie z nią, jeżeli właściwy sąd państwa członkowskiego ma informację, że przed sądem w innym państwie członkowskim toczy się postępowanie w tej samej sprawie w odniesieniu do przetwarzania przez tego samego administratora lub ten sam podmiot przetwarzający, kontaktuje się z tym sądem w innym państwie członkowskim, aby potwierdzić istnienie takiego postępowania. Jeżeli okoliczność taka zostałaby potwierdzona, sąd inny niż sąd, przed którym jako pierwszym wszczęto postępowanie, może zawiesić swoje postępowanie. Innymi słowy, możliwość zawieszenia postępowania przez sąd okręgowy w Polsce, który rozpoznaje sprawę o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, wystąpiłaby tylko wtedy, gdyby w wyniku opisanych powyżej konsultacji stwierdzone zostało, że to sąd w innym państwie członkowskim wszczął jako pierwszy postępowanie w tej samej sprawie w odniesieniu do przetwarzania przez tego samego administratora lub ten sam podmiot przetwarzający. Jeżeli zatem pierwszym sądem, który wszczął takie postępowanie, byłby sąd polski, to nie tylko nie mógłby on na tej podstawie zawiesić postępowania, ale możliwość taka powstałaby po stronie sądu z innego państwa członkowskiego.
• Możliwość, nie obowiązek. Istotne jest również, że sąd nie ma obowiązku zawieszania postępowania, jeżeli przed innym sądem analogiczna sprawa już się toczy, i to nawet gdy to ów inny sąd wszczął postępowanie jako pierwszy. Omawiany przepis RODO daje bowiem sądowi jedynie możliwość zawieszenia postępowania. Przepis ten jest zatem odmiennie ukształtowany niż komentowany artykuł ustawy o ochronie danych osobowych. Polski ustawodawca nakazuje bowiem sądowi prowadzącemu postępowanie, aby ten zawiesił je, jeżeli sprawa dotycząca tego samego naruszenia przepisów o ochronie danych osobowych została wszczęta przed prezesem UODO.

Co więcej, jeżeli oba postępowania przed sądami z różnych państw członkowskich toczą się w pierwszej instancji, to sąd inny niż sąd, przed którym jako pierwszym wszczęto postępowanie, może także – na wniosek jednej ze stron – stwierdzić brak swojej jurysdykcji, jeżeli sąd, przed którym jako pierwszym wszczęto postępowanie, ma jurysdykcję względem przedmiotowych spraw, a jego prawo dopuszcza ich połączenie. Jurysdykcja oznacza kompetencję sądu do merytorycznego rozpoznania określonej sprawy i wydania orzeczenia. Jej brak stanowi zatem bezwzględną przeszkodę uniemożliwiającą skuteczne dochodzenie roszczenia przed danym sądem.

W art. 81 ust. 3 RODO, który reguluje cytowaną powyżej kwestię, chodzi jednakże o inną sytuację. Mianowicie, jeżeli postępowanie zawisłe przed polskim sądem może być prowadzone również przez sąd z innego państwa członkowskiego (czyli sąd ten posiada w tym zakresie jurysdykcję), a nadto właściwe dla tego drugiego sądu przepisy postępowania umożliwiają łączne rozpoznanie obu postępowań zawisłych przed tymi sądami, to sąd krajowy mógłby – na wniosek którejkolwiek ze stron – stwierdzić brak swojej jurysdykcji. W konsekwencji sądem wyłącznie uprawnionym do rozpoznania obu tychże postępowań byłby sąd w innym państwie członkowskim, w którym sprawa toczy się w I instancji.

• Warunki zastosowania art. 81 RODO. Podkreślenia przy tym wymaga, że w omawianej regulacji nie chodzi o dowolne dwa postępowania sądowe z zakresu roszczeń wynikających z art. 79 lub 82 RODO. Postępowania te muszą bowiem toczyć się w tej samej sprawie oraz w odniesieniu do przetwarzania danych przez tego samego administratora lub ten sam podmiot przetwarzający. Innymi słowy, chodzi tutaj o tę samą sprawę, na kanwie której wszczęto postępowania przed sądami w różnych państwach członkowskich. Oba postępowania muszą bowiem dotyczyć:

– tego samego pozwanego, którym będzie ten sam administrator danych lub podmiot przetwarzający, względnie oba te podmioty,

– tego samego przedmiotu (sprawy), np. odszkodowania za szkodę wyrządzoną przez naruszenie zasad ochrony danych osobowych.

Na marginesie należy dodać, że w przypadku wystąpienia przez prezesa UODO z pytaniem prawnym w sprawie zgodności z prawem decyzji Komisji Europejskiej dotyczącej powszechnego obowiązywania w Unii Europejskiej kodeksu postępowania, krajowy organ nadzorczy zawiesi toczące się przed nim postępowanie administracyjne do czasu udzielenia odpowiedzi na zadane pytanie prawne przez Trybunał Sprawiedliwości Unii Europejskiej bądź wydania przez sąd administracyjny postanowienia o odmowie wystąpienia z pytaniem prejudycjalnym (zob. komentarz do art. 71 ustawy).

Art. 96. [Umorzenie postępowania sądowego]

Sąd umarza postępowanie w zakresie, w jakim prawomocna decyzja Prezesa Urzędu o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocny wyrok wydany w wyniku wniesienia skargi, o której mowa w art. 145a § 3 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi, uwzględnia roszczenie dochodzone przed sądem.

komentarz

• Zbieg postępowania cywilnego i administracyjnego. Wskazywana już powyżej rola decyzji administracyjnych prezesa UODO w dochodzeniu roszczeń cywilnych przez osoby, których dane dotyczą, znajduje wyraz w art. 96 i 97 komentowanej ustawy. Szerokie kompetencje krajowego organu nadzorczego, a także możliwość nałożenia wiążącego zobowiązania na administratora danych lub podmiotu przetwarzającego do określonego postępowania, wymusiły wprowadzenie stosownych przepisów kolizyjnych pomiędzy postępowaniem administracyjnym z jednej strony oraz postępowaniem cywilnym z drugiej.

Przypomnijmy, że w myśl art. 58 ust. 2 RODO prezes UODO uprawniony jest m.in. do:

– nakazania administratorowi danych lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO,

– nakazania administratorowi danych lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO, a w stosownych przypadkach wskazanie sposobu i terminu,

– nakazania administratorowi danych zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych,

– wprowadzania czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania,

– nakazania sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazania powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono,

– nakazania zawieszenia przepływu danych osobowych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Poszczególne z wyżej wskazanych uprawnień zostały omówione w komentarzach do art. 64 oraz art. 70 ustawy.

• Umorzenie postępowania sądowego w przypadku wydania decyzji przez prezesa UODO. Przytoczone kompetencje prezesa UODO mogą pokrywać się w niektórych przypadkach z żądaniami osoby, której dane dotyczą zawartymi w pozwie. Osoba taka bowiem, prócz odszkodowania od administratora danych lub podmiotu przetwarzającego, może dochodzić przed sądem również innych roszczeń mających na celu przywrócenie zgodnego z prawem przetwarzania danych osobowych przez pozwanego bądź też zobowiązania go do usunięcia danych osobowych.

Jeżeli zatem prezes UODO przed zakończeniem postępowania sądowego wydał decyzję administracyjną skutkującą zobowiązaniem pozwanego podmiotu do zachowania się w sposób zgodny z żądaniem sformułowanym w pozwie oraz decyzja ta stała się prawomocna, to sąd zobligowany jest do umorzenia w tym zakresie postępowania. W przypadku gdy powód dochodziłby kilku roszczeń, umorzenie dotyczyłoby jedynie tych spośród nich, o których prawomocnie orzekł prezes UODO. [przykład 8]

przykład 8

Co w sytuacji, gdy postępowanie sądowe zbiega się z postępowaniem przed prezesem UOKiK

Osoba fizyczna, która uważała, że przedsiębiorca bez jej zgody przetwarza dane osobowe i bezskutecznie domagała się ich usunięcia, wniosła przeciwko niemu pozew do sądu. Domagała się, by sąd zobowiązał przedsiębiorcę do usunięcia danych, a dodatkowo zasądził odszkodowanie w wysokości 10 tys. zł. Osoba ta jednocześnie wystąpiła do prezesa UODO ze skargą na naruszenie przez przedsiębiorcę przepisów RODO, wskazując, że ten jako administrator przetwarza jej dane osobowe bez podstawy prawnej. Argumentowała, że przedsiębiorca nie usunął ich, mimo że wielokrotnie zwracała się do niego z tym żądaniem, powołując się na art. 17 RODO.

Sąd po wszczęciu postępowania w trybie art. 94 komentowanej ustawy powiadomił prezesa UODO o wniesieniu pozwu. Ten zaś w odpowiedzi poinformował sąd, że toczy się przed nim postępowanie o naruszenie przepisów o ochronie danych osobowych dotyczące tego samego naruszenia. W konsekwencji sąd, kierując się art. 95 komentowanej ustawy, zawiesił postępowanie. Prezes UODO w decyzji zobowiązał administratora danych do usunięcia danych osobowych skarżącego. Administrator danych wykonał decyzję i nie wnosił skargi do sądu administracyjnego. Prezes UODO przekazał sądowi informację o prawomocnej decyzji administracyjnej wydanej w sprawie.

Działając na podstawie art. 96 komentowanej ustawy, sąd umorzył postępowanie w zakresie roszczenia z punktu pierwszego pozwu. W pozostałym zakresie, będąc związanym dyspozycją art. 97 ustawy, orzekł o odszkodowaniu na rzecz powoda. ©℗

• Wyrok wydany w wyniku wniesienia skargi na decyzję prezesa UODO. Tożsame zasady znajdą zastosowanie w przypadku powiadomienia sądu orzekającego w sprawie o prawomocnym wyroku sądu administracyjnego, który został wydany w wyniku wniesienia skargi, o której mowa w art. 145a par. 3 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U z 2018 r. poz. 1302 ze zm.; dalej: u.p.p.s.a.). Konieczne jest zatem krótkie omówienie w tym miejscu również postępowania sądowoadministracyjnego, o którym mowa w wymienionym przepisie.

W przypadku wniesienia do sądu administracyjnego skargi na decyzję lub postanowienie prezesa UODO sąd może wydać jedno z rozstrzygnięć wskazanych w art. 145 u.p.p.s.a., w tym m.in.:

– uchylić decyzję lub postanowienie prezesa UODO w całości albo w części, jeżeli stwierdzi naruszenie prawa materialnego, które miało wpływ na wynik sprawy,

– stwierdzić nieważność decyzji lub postanowienia w całości lub w części, jeżeli zachodzą przyczyny określone w art. 156 k.p.a. lub w innych przepisach (np. decyzja dotyczy sprawy już poprzednio rozstrzygniętej inną decyzją ostateczną bądź została skierowana do osoby niebędącej stroną w sprawie).

W wymienionych przypadkach sąd administracyjny, jeżeli uzna to za uzasadnione okolicznościami sprawy, zobowiąże prezesa UODO do wydania w określonym terminie decyzji lub postanowienia, wskazując sposób załatwienia sprawy lub jej rozstrzygnięcie bądź rozstrzygnięcie pozostawiając uznaniu krajowego organu nadzorczego.

W przypadku niewydania decyzji lub postanowienia, o których mowa powyżej, strona może wnieść skargę w określonym przez sąd administracyjny terminie, żądając wydania przez ten sąd administracyjny orzeczenia stwierdzającego istnienie albo nieistnienie uprawnienia lub obowiązku. Sąd wydaje orzeczenie w tym przedmiocie, jeżeli pozwalają na to okoliczności sprawy. Ponadto w wyniku rozpoznania skargi sąd stwierdza, czy niewydanie decyzji lub postanowienia miało miejsce z rażącym naruszeniem prawa, i może z urzędu albo na wniosek strony wymierzyć prezesowi UODO grzywnę lub przyznać od tegoż organu na rzecz skarżącego określoną sumę pieniężną w wysokości do połowy kwoty odpowiadającej maksymalnej grzywnie. Maksymalna grzywna natomiast nie może przekroczyć wysokości dziesięciokrotnego przeciętnego wynagrodzenia miesięcznego w gospodarce narodowej w roku poprzednim.

Jeżeli zatem sąd administracyjny, wydając w wyżej wymienionym trybie wyrok, zobowiązałby administratora danych lub podmiot przetwarzający do zachowania zgodnego z żądaniem osoby, której dane dotyczą, zawartym w pozwie, to sąd cywilny umorzyłby postępowanie w zakresie tegoż żądania.

Art. 97. [Związanie sądu decyzją prezesa UODO]

Ustalenia prawomocnej decyzji Prezesa Urzędu o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocnego wyroku wydanego w wyniku wniesienia skargi, o której mowa w art. 145a § 3 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi, wiążą sąd w postępowaniu o naprawienie szkody wyrządzonej przez naruszenie przepisów o ochronie danych osobowych co do stwierdzenia naruszenia tych przepisów.

komentarz

• Związanie sądu decyzją prezesa UODO. W celu zapewnienia zbieżności pomiędzy rozstrzygnięciami sądów powszechnych oraz prezesa UODO w zakresie naruszeń przepisów o ochronie danych osobowych ustawodawca przesądził o związaniu sądu powszechnego prawomocną decyzją organu nadzorczego w zakresie, w jakim stwierdzono w niej fakt naruszenia tychże przepisów.

Znaczenie komentowanego przepisu dla postępowania cywilnego jest istotne. Sąd rozpoznający roszczenie odszkodowawcze osoby, której dane dotyczą, nie będzie bowiem samodzielnie rozstrzygał o tym, czy i w jakim zakresie doszło do naruszenia przepisów o ochronie danych osobowych. W kwestii tej sąd bazować będzie na ustaleniach poczynionych przez prezesa UODO.

Sądowi pozostanie zatem rozpatrzenie pozostałych przesłanek odpowiedzialności pozwanego (np. ocena, czy pomiędzy stwierdzonym przez prezesa UODO naruszeniem przepisów o ochronie danych osobowych a szkodą powoda istnieje adekwatny związek przyczynowy, czy istnieją okoliczności wyłączające winę pozwanego) oraz ewentualnych okoliczności mogących mieć wpływ na wysokość lub należność odszkodowania (np. określenie, czy nastąpiło przedawnienie, miało miejsce przyczynienie się poszkodowanego). Przy czym we wskazanym zakresie sąd swobodnie oceniać będzie zgromadzony materiał dowodowy.

Fakt stwierdzenia przez prezesa UODO, że dany podmiot – będący jednocześnie pozwanym w postępowaniu cywilnym – naruszył przepisy o ochronie danych osobowych, nie przekłada się zatem automatycznie na uwzględnienie przez sąd cywilny powództwa odszkodowawczego. Jak już była o tym mowa wyżej, w toku sprawy okazać się bowiem może, że powód nie udowodnił istnienia innych przesłanek odpowiedzialności pozwanego bądź też pozwany skutecznie podniósł zarzut ograniczający albo wyłączający jego odpowiedzialność za daną szkodę.

Podobnie jak art. 96 ustawy również komentowany przepis tożsame skutki łączy z wydaniem przez sąd administracyjny prawomocnego wyroku na podstawie art. 145a p.p.s.a. Treść takiego wyroku, zastępującego przecież orzeczenie prezesa UODO, również będzie wiążąca dla sądu cywilnego, jeżeli w jego treści sąd administracyjny wypowiedział się co do stwierdzenia naruszenia przepisów o ochronie danych osobowych.

Art. 98. [Uprawnienia procesowe prezesa UODO]

1. W sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, które mogą być dochodzone wyłącznie w postępowaniu przed sądem, Prezes Urzędu może wytaczać powództwa na rzecz osoby, której dane dotyczą, za jej zgodą, a także wstępować, za zgodą powoda, do postępowania w każdym jego stadium.

2. W pozostałych sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych Prezes Urzędu może wstępować, za zgodą powoda, do postępowania przed sądem w każdym jego stadium, chyba że toczy się przed nim postępowanie dotyczące tego samego naruszenia przepisów o ochronie danych osobowych.

3. W przypadkach, o których mowa w ust. 1 i 2, do Prezesa Urzędu stosuje się odpowiednio przepisy ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz. U. z 2018 r. poz. 155, z późn. zm.) o prokuratorze.

komentarz

• Rodzaje postępowań, których dotyczy uprawnienie. Komentowany artykuł dotyczy dwóch rodzajów postępowań mających za przedmiot roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych. Pierwszy rodzaj dotyczy roszczeń, które mogą być dochodzone wyłącznie przed sądem. Drugi natomiast pozostałych żądań, czyli takich, które mogą być dochodzone zarówno przed sądem, jak i w drodze postępowania administracyjnego prowadzonego przez prezesa UODO.

Do pierwszej kategorii należą roszczenia odszkodowawcze związane ze szkodami majątkowymi i niemajątkowymi, jakie osobie, której dane dotyczą, wyrządzone zostały przez administratora danych lub podmiot przetwarzający. Prezes UODO, mimo szerokiego wachlarza kompetencji, nie ma uprawnienia do przyznania odszkodowania na rzecz skarżącego. Jedynym władnym w tym zakresie organem jest sąd powszechny rozpoznający powództwo osoby, której dane dotyczą.

Jak już była o tym mowa wielokrotnie w komentarzach do poprzednich artykułów omawianej ustawy, niektóre zarzuty osoby poszkodowanej mogą być przedmiotem zarówno postępowania sądowego, jak i administracyjnego. Chodzi np. o żądanie usunięcia danych osobowych, ich zaktualizowania czy zaprzestania przekazywania do państwa trzeciego lub organizacji międzynarodowej (zob. komentarz do art. 96 ustawy). Do tego typu spraw zastosowanie znajduje ust. 2 komentowanego artykułu. Jak wynika z jego treści, prezes UODO ma zbliżone uprawnienia w zakresie wstępowania do toczących się postępowań, jak w przypadkach objętych ust. 1. Analogicznie jak w pierwszym przypadku, także w odniesieniu do drugiej kategorii roszczeń prezes UODO musi uzyskać zgodę powoda (osoby, której dane dotyczą) na wstąpienie do toczącego się już postępowania sądowego. Z tą wszakże różnicą, że uprawnienie do wstąpienia do postępowania cywilnego nie powstanie, gdy przed prezesem UODO toczy się postępowanie dotyczące tego samego naruszenia przepisów o ochronie danych osobowych. Ma to związek z treścią art. 94–96 komentowanej ustawy. Jak pamiętamy, przyznają one pierwszeństwo postępowaniu administracyjnemu prowadzonemu przez krajowy organ nadzorczy przed postępowaniem cywilnym rozpoznawanym przez sąd powszechny.

Zrozumiałe jest zatem, że prezes UODO nie ma uprawnienia do wstąpienia do ostatniego ze wskazanych postępowań sądowych, skoro ustawa wymaga jego zawieszenia do czasu prawomocnego zakończenia postępowania administracyjnego. Finalnie zaś postępowanie sądowe może zostać umorzone. Ustawodawca uznał, że przyznanie prezesowi UODO takich kompetencji jest zbędne.

Podobnie uzasadnić należy rozwiązanie, że krajowy organ nadzorczy nie może wytoczyć powództwa na rzecz osoby, której dane dotyczą. Może on bowiem wszcząć postępowanie administracyjne dotyczące tego samego naruszenia przepisów o ochronie danych osobowych, które jest przedmiotem rozpoznania przez sąd. Również i w takim wypadku zastosowanie znajdą art. 94–96 komentowanej ustawy. Prezes UODO zobligowany bowiem będzie do zawiadomienia sądu o wszczęciu takiego postępowania. Sąd natomiast zawiesi postępowanie, a w konsekwencji może je nawet umorzyć w całości bądź w części. Wpływ prezesa UODO na rozstrzygnięcie kwestii związanej z naruszeniem przepisów o ochronie danych osobowych został zatem zabezpieczony w inny sposób aniżeli poprzez możliwość inicjowania przez ten organ postępowania sądowego.

• Prawo do inicjowania postępowań. W kontekście powyższych wyjaśnień zrozumiała staje się również treść ust. 1 komentowanego artykułu. Przepis ten przyznaje bowiem prezesowi UODO kompetencje do wytoczenia powództwa na rzecz osoby, której dane dotyczą, jedynie w tych sprawach, w których organ nadzorczy nie jest uprawniony do wszczęcia i przeprowadzenia postępowania administracyjnego.

Jeżeli prezes UODO zdecyduje się na skorzystanie z któregoś z ww. uprawnień procesowych, nie wstępuje on do postępowania cywilnego w charakterze strony bądź interwenienta ubocznego. Ustawodawca przyznał mu bowiem status zrównujący ten organ z prokuratorem. Pamiętać wszakże należy, że nie chodzi tu o kompetencje prokuratora w sprawach karnych, a jedynie jego udział w postępowaniach cywilnych. Co więcej, jak wynika to wprost z art. 98 ust. 3 komentowanej ustawy, do prezesa UODO przepisy o prokuraturze stosuje się jedynie odpowiednio, nie zaś wprost.

• Kompetencje prezesa. Przechodząc natomiast na grunt procedury cywilnej, wskazać należy na kompetencje prokuratorskie, z których korzystać będzie mógł również krajowy organ nadzorczy, stosując art. 98 ustawy.

W przypadku wytoczenia powództwa przez prezesa UODO na rzecz osoby, której dane dotyczą, sąd zawiadamia o tym fakcie wskazaną osobę oraz przesyła jej odpis pozwu. Osoba taka uprawniona jest do wstąpienia do sprawy w charakterze powoda. W przypadku wstąpienia ww. osoby do sprawy do udziału prezesa UODO w postępowaniu stosuje się odpowiednio przepisy o współuczestnictwie jednolitym. Wypływają z tego dalsze konsekwencje dla osoby, której dane dotyczą, mianowicie:

a) zasadą jest, że każdy ze współuczestników jednolitych działa w imieniu własnym, co oznacza, że zarówno prokurator, jak i powód mogą samodzielnie oraz niezależnie od drugiej strony brać udział w postępowaniu sądowym, składać pisma i wnioski;

b) czynności procesowe współuczestników działających są jednakże skuteczne wobec niedziałających, np. złożenie przez prezesa UODO wniosku o uzasadnienie wyroku będzie skuteczne także względem powoda;

c) do zawarcia ugody, zrzeczenia się roszczenia albo uznania powództwa potrzeba zgody wszystkich współuczestników.

Prezes UODO nie może samodzielnie rozporządzać przedmiotem sporu, nie może zatem zrzec się roszczenia ze skutkiem dla osoby, na rzecz której wystąpił z powództwem.

Wyrok prawomocny zapadły w sprawie wytoczonej przez prezesa UODO ma powagę rzeczy osądzonej pomiędzy stroną, na rzecz której wytoczył on powództwo, a stroną przeciwną, i to nawet jeżeli osoba, której dane dotyczą, nie zdecyduje się na przystąpienie do sprawy w charakterze powoda. Wyrok zapadły na kanwie pozwu złożonego przez organ nadzorczy wiązać będzie zatem zarówno osobę, której dane dotyczą, jak i pozwanego administratora danych lub podmiot przetwarzający. Od zasady powagi rzeczy osądzonej jest jeden wyjątek, mianowicie w sprawach o roszczenia majątkowe prawomocne rozstrzygnięcie sprawy nie pozbawia strony zainteresowanej (osoby, której dane dotyczą), która nie brała udziału w sporze, możności dochodzenia swoich roszczeń w całości lub w tej części, w której nie zostały zasądzone. [przykład 9]

przykład 9

Szkody wyższe niż odszkodowanie uzyskane przez prezesa UODO

Prezes UODO za zgodą osoby, której dane zostały nielegalnie ujawnione, wytoczył powództwo o odszkodowanie na jej rzecz, pozywając administratora danych, który winny był temu zdarzeniu. W pozwie określono, że prezes UODO domaga się odszkodowania w kwocie 10 tys. zł. Osoba, której dane dotyczą, nie brała udziału w postępowaniu. Sąd uznał roszczenie i zasądził całą dochodzoną kwotę. Osoba, której dane dotyczą, uważa jednak, że ta kwota nie rekompensuje poniesionych szkód. W tej sytuacji po prawomocnym zakończeniu postępowania ma ona prawo wystąpić z pozwem przeciwko administratorowi danych o zapłatę dodatkowej kwoty tytułem odszkodowania, wykazując w uzasadnieniu pozwu, że jej faktyczne szkody były wyższe aniżeli zasądzone odszkodowanie, o czym informowała prezesa UODO. Nadto jej roszczenie nie uległo przedawnieniu. ©℗

• Wstąpienie prezesa do toczącego się postępowania. Odmiennie przedstawia się natomiast sytuacja, gdy prezes UODO wstępuje do już toczącego się postępowania. W takim przypadku organ nadzorczy nie jest związany z żadną ze stron. Może składać oświadczenia i zgłaszać wnioski, jakie uzna za celowe, oraz przytaczać fakty i dowody na ich potwierdzenie. Sąd doręcza prezesowi UODO pisma procesowe, zawiadomienia o terminach i posiedzeniach oraz orzeczenia sądowe. Przysługuje mu także prawo do zaskarżenia każdego orzeczenia sądowego, od którego służy środek odwoławczy. Terminy do zaskarżenia orzeczeń sądowych, ustanowione dla stron, wiążą również prezesa UODO.

Art. 99. [Przedstawianie sądowi istotnych dla sprawy poglądów przez prezesa UODO]

Prezes Urzędu, jeżeli uzna, że przemawia za tym interes publiczny, przedstawia sądowi istotny dla sprawy pogląd w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych.

komentarz

• Uprawnienie prezesa UODO do przedstawiania istotnych poglądów. RODO w art. 58 ust. 5 nakazuje, aby każde państwo członkowskie przewidziało w swoich przepisach, że jego organ nadzorczy jest uprawniony do wniesienia do organów wymiaru sprawiedliwości sprawy dotyczącej naruszenia niniejszego rozporządzenia oraz w stosownych przypadkach do wszczęcia lub do uczestniczenia w inny sposób w postępowaniu sądowym w celu wyegzekwowania stosowania przepisów niniejszego rozporządzenia.

Ostatnim z takich środków uczestnictwa w postępowaniu sądowym przewidzianych w polskiej ustawie o ochronie danych osobowych jest właśnie możliwość przedstawienia przez prezesa UODO sądowi rozpatrującemu sprawę istotnego dla sprawy poglądu w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych.

• Przesłanki wystąpienia interesu publicznego. Omawiana kompetencja prezesa UOD uzależniona jest od uznania przez niego, że za przedstawieniem poglądu w sprawie przemawia interes publiczny. Na temat definicji tego pojęcia zob. komentarz do art. 73 ustawy. W tym miejscu należy przypomnieć, że termin ten stanowi jedną z klauzul generalnych pojawiających się stosunkowo często w polskim ustawodawstwie i stanowi dyrektywę postępowania nakazującą respektowanie wspólnych wartości istotnych dla całego społeczeństwa lub danej społeczności lokalnej, takich jak sprawiedliwość, bezpieczeństwo, zaufanie obywateli do organów władzy publicznej, sprawność i obiektywizm działania aparatu państwowego itp. (tak wyrok Naczelnego Sądu Administracyjnego w Warszawie z 8 lipca 2015 r., sygn. akt II FSK 1318/13).

Co prawda prezes UODO nie może całkowicie swobodnie wybierać spraw, w których przedstawi swoje stanowisko, niemniej jednak to on będzie rozstrzygał o tym, czy wystąpił interes publiczny uzasadniający takowe wystąpienie. Bez wątpienia przesłanka interesu publicznego zostanie spełniona, gdy sprawa zawisła przed sądem dotyczyć będzie większej liczby osób bądź jej rozstrzygnięcie może stworzyć precedens istotny dla wielu spraw podobnych, a także gdy wynik sprawy będzie istotny z uwagi na prawa lub obowiązki osób trzecich, wpływając na praktykę ich postępowania.

Zauważyć również należy, że omawiana instytucja nie jest nowością w prawie polskim. Analogiczne uprawnienie odnajdziemy chociażby w ustawie z 16 lutego 2007 r. o ochronie konkurencji i konsumentów (t.j. Dz.U. z 2018 r. poz. 798 ze zm.; dalej: u.o.k.k.). Zgodnie z art. 31d u.o.k.k. prezes Urzędu Ochrony Konkurencji i Konsumentów, jeżeli uzna, że przemawia za tym interes publiczny, przedstawia sądowi istotny dla sprawy pogląd w sprawach dotyczących ochrony konkurencji i konsumentów. Wskazać można, że wymieniony organ wyraził dotychczas swoje istotne poglądy w kilkudziesięciu sprawach sądowych.

• Treść istotnych poglądów. Na bazie powyższego wskazać można, że w treści „istotnych dla sprawy poglądów” prezes UODO wskazać powinien swoje stanowisko prawne względem roszczeń dochodzonych w postępowaniu sądowym oraz uzasadnić je. Podobnie jak w przypadku istotnych poglądów przedstawianych na podstawie art. 31d u.o.k.k. również stanowisko prezesa UODO nie jest dla sądu wiążące.

Co więcej, z uwagi na to, że stanowisko organu nadzorczego musi być istotne dla sprawy, powinno się ono odnosić do jej kluczowych elementów. Prezes UODO może zatem w szczególności przedstawić sądowi swoją interpretację określonych przepisów prawa, które stanowić mogą rozstrzygnięcie danej sprawy. Ze względu na kompetencje prezesa UODO interpretacja ta powinna dotyczyć przede wszystkim przepisów o ochronie danych osobowych. Prezes UODO nie powinien natomiast odnosić się do regulacji innych dziedzin prawa, o ile nie mają one bezpośredniego związku z roszczeniem powoda wynikłym na kanwie naruszenia przepisów o ochronie danych osobowych. Komentowany artykuł ogranicza bowiem uprawnienie prezesa UODO do wymienionej kategorii spraw. Wskazać jednakże należy, że inaczej niż ma to miejsce w treści art. 98 omawianej ustawy, przepis art. 99 nie dzieli spraw o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych na dwie kategorie.

• Zastosowanie uprawnienia. Z powyższego należy wyprowadzić wniosek, że prezes UODO może przedstawić sądowi swój istotny pogląd zarówno w sprawach, które mogą być dochodzone wyłącznie w postępowaniu przed sądem, jak i w pozostałych sprawach. Co więcej, przedstawienie istotnego dla sprawy poglądu może być dla organu nadzorczego alternatywą do korzystania z uprawnień procesowych wskazanych w art. 98 ustawy. Zamiast bowiem występować z powództwem bądź wstępować do sprawy na prawach prokuratora, prezes UODO będzie mógł przedstawić sądowi swoje stanowisko w sposób przewidziany w art. 99. Omawiana instytucja będzie mogła być również wykorzystywana w tych sprawach, w których organ nadzorczy uzna za zbyt daleko idące korzystanie z przepisów art. 98.
• Brak związania sądu opinią prezesa UODO. W tym zakresie przytoczyć można stanowisko wyrażone względem istotnych poglądów zgłaszanych przez prezesa UOKiK. Otóż art. 31d u.o.k.k. nie może naruszać zasady niezawisłości sądów. Opinia prezesa UOKiK nie ma na celu (nie jest formą) narzucenia sądowi określonego rozwiązania ani też pouczenia sądu. Sąd nie jest związany poglądem przedstawionym przez prezesa UOKiK na podstawie art. 31d u.o.k.k. Zatem możliwa jest sytuacja, gdy sąd odmówi wzięcia pod uwagę opinii prezesa UOKiK (tak B. Kotowicz, M. Sieradzka, „Prezes UOKiK – uprawnienie do występowania w roli amicus curie”, Przegląd Ustawodawstwa Gospodarczego nr 5/2016). Powyższe odnieść należy również do omawianych kompetencji prezesa UODO. Jego pogląd wyrażony w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych nie będzie zatem dla sądu wiążący. Powyższe założenie jest zgodne z jedną z zasad postępowania cywilnego, która określana jest łacińską paremią iura novit curia (sąd zna prawo). Wynika z niej, że ocena stanu prawnego oraz przypisanie go do rozstrzygnięcia danej sprawy pozostaje kompetencją sądu niezależną od poglądów prezentowanych przez uczestników postępowania sądowego.
• Inicjatywa w sprawie przedstawienia poglądu. Co ciekawe, prezes UODO może przedstawić swój istotny dla sprawy pogląd z własnej inicjatywy bądź na wniosek strony, a nawet sądu. Co prawda komentowany artykuł o tym milczy, nie oznacza to jednak, że strona postępowania bądź sąd nie mogą zwrócić się do prezesa UODO, aby ten skorzystał ze swojego ustawowego uprawnienia. Rzecz jasna, w takim przypadku organ nadzorczy nie będzie związany takim wnioskiem. Niemniej jednak nic nie stoi na przeszkodzie, aby go uwzględnił, jeżeli uzna to za właściwe.

Sam wniosek nie przyjmuje żadnej sformalizowanej postaci. Powinny znaleźć się w nim wszakże argumenty przemawiające za koniecznością wystąpienia przez prezesa UODO z istotnym poglądem w sprawie. W szczególności zatem wykazanie interesu publicznego przemawiającego za skorzystaniem przez organ nadzorczy z art. 99 ustawy. ©℗