Nawet najlepsze przepisy są tylko tak dobre, jak efektywna jest procedura ich stosowania. Stąd gdy mówimy o zmianach, jakie czekają nas w prawie ochrony danych osobowych w 2018 r. w związku z rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych (RODO; rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r., które zakłada m.in. powoływanie w firmach inspektorów ochrony danych) nie możemy zapominać, że akt ten nie reguluje sposobu postępowania przed krajowymi organami ochrony danych osobowych.
Innymi słowy, ujednolicone w całej Unii przepisy prawa materialnego będą stosowane w każdym kraju członkowskim na podstawie procedury przyjętej przez ten kraj. Jej określenie czeka również nas w Polsce.
Jak powinien funkcjonować organ, który po 25 maja 2018 r. zastąpi GIODO? Przede wszystkim efektywnie. Rozporządzenie podkreśla, że każdy organ nadzorczy powinien zostać wyposażony w zasoby, pomieszczenia i infrastrukturę niezbędne do skutecznego wykonywania zadań. Sama procedura postępowania powinna natomiast być przede wszystkim szybka – w dzisiejszych czasach organ nadzorczy zajmujący się ochroną naszych danych musi działać sprawnie, bo tylko wtedy ta ochrona ma jakikolwiek sens. Procedura, ale także wewnętrzna organizacja nowego urzędu, muszą więc zapewniać szybkie rozpatrywanie skarg, szybkie prowadzenie postępowań (na czele z nowymi postępowaniami uprzednich konsultacji, które zastąpią rejestrację zbiorów danych osobowych) i stosowanie uprawnień organu nadzorczego przyznanych mu przez rozporządzenie.
W Ministerstwie Cyfryzacji trwają obecnie prace nad nowym ustrojem organu nadzorczego. Kształt projektu nie jest na razie znany, pozostaje więc tylko mieć nadzieję, że postulaty w zakresie zapewnienia mu odpowiednich środków zostaną w praktyce zrealizowane. W przestrzeni publicznej pojawił się natomiast projekt przepisów regulujących procedurę postępowania przed organem nadzorczym, pochodzący od samego GIODO. I projekt ten, z jednym wyjątkiem, rozczarowuje.
Tym, co w pierwszej kolejności rzuca się w oczy po lekturze dokumentu, są terminy załatwiania spraw: 6 miesięcy, a w sprawach szczególnie skomplikowanych 12 miesięcy. To bardzo długo – odpowiednie terminy określone w kodeksie postępowania administracyjnego to 1 i 2 miesiące. Na pociechę osoba, która złożyła skargę, po 3 miesiącach otrzyma z urzędu informację o stanie sprawy.
Takich terminów nie można zaakceptować. W praktyce oznaczałyby one drastyczne obniżenie publicznoprawnych gwarancji ochrony danych osobowych, przez odłożenie w czasie momentu, gdy naruszenie przepisów spotka się z reakcją administracyjną. I to wszystko w sytuacji, gdy terminy określone w rozporządzeniu liczone są w tygodniach: np. 8 tygodni na rozpatrzenie przez organ nadzorczy wniosku o uprzednie konsultacje (z możliwością przedłużenia o 6 tygodni), czy 4 tygodnie na zgłoszenie uzasadnionego sprzeciwu w postępowaniu opartym na współpracy organów nadzorczych. Gdy dodatkowo weźmie się pod uwagę, że administrator danych ma obowiązek zgłoszenia do organu nadzorczego każdego naruszenia ochrony danych osobowych w 72 godziny, 6- i 12-miesięczne terminy zaproponowane w projekcie jawią się jako ustawowe sankcjonowanie przewlekłości postępowania.
Kwestia systemowa natomiast to zakres zastosowania kodeksu w nowej procedurze. Dzisiaj postępowanie przed GIODO jest prowadzone na podstawie k.p.a., z wyjątkiem (nielicznych) sytuacji, gdy ustawa o ochronie danych osobowych stanowi inaczej. Ta reguła według propozycji GIODO miałaby ulec odwróceniu – miałoby się stosować przepisy kodeksu, ale tylko te, które wyraźnie by wskazano w nowej procedurze. W efekcie w nowym postępowaniu miałoby się nie stosować np. przepisów o wznowieniu postępowania czy o stwierdzeniu nieważności decyzji – dlaczego? W imię czego tak istotnie chce się ograniczyć gwarancje proceduralne dla strony? Na pewno nie w imię szybkości postępowania, bo postępowanie w jednym z trybów nadzwyczajnych można wszcząć dopiero po zakończeniu postępowania i po wydaniu decyzji.
Szybkości postępowania dotyczy natomiast proponowana rezygnacja z konieczności wniesienia wniosku o ponowne rozpatrzenie sprawy jako warunku możliwości wniesienia skargi do sądu. Taka zmiana na pewno przyspieszyłaby postępowanie i z pewnością trzeba by uznać ją za celową.
W ogólnym obrazie projekt sprawia wrażenie próby dostosowania obecnej procedury – czyli k.p.a. z odrębnościami wynikającymi z ustawy o ochronie danych osobowych – do realiów rozporządzenia. Przykładem może być proponowane w projekcie postępowanie wstępne, które – jak należy sądzić – jest odpowiedzią na postulat szybkości postępowania. Postępowanie to w proponowanym kształcie to nic innego, jak dzisiejsze wystąpienia GIODO, znane nam z ustawy o ochronie danych osobowych, z niewielkimi zmianami. Ale jak się ono ma do przepisów rozporządzenia, nie wiadomo. Czy jest to „zawiadamianie administratora lub podmiotu przetwarzającego o podejrzeniu naruszenia rozporządzenia”, o którym mowa w art. 58 ust. 1 pkt d? Jeżeli tak, to powinno się tak właśnie nazywać; jeżeli nie, to gdzie szukać procedury zawiadamiania? Jednocześnie projekt nie odnosi się zupełnie do niektórych nowych instytucji: jak np. ma być prowadzone postępowanie w formie audytów ochrony danych? Czym są zawiadomienia, ostrzeżenia i upomnienia przewidziane przez rozporządzenie, których organ nadzorczy ma udzielać administratorowi danych?
Czy więc istnieje inna droga w stosunku do zaproponowanej przez GIODO? Z pewnością tak – nowe przepisy proceduralne powinny przede wszystkim zapewnić realizację w praktyce zasady szybkości postępowania. Trzeba również zastanowić się nad zupełnie nową procedurą – procedurą uproszczoną – w sprawach, których okoliczności na to pozwalają, ale w której organ nadzorczy powinien mieć możliwość wydania nakazu. Trzeba uwzględnić wszystkie nowe instytucje, które przewidziało rozporządzenie, bo tylko wtedy to ostatnie będzie mogło być w praktyce stosowane. Otwarta pozostaje wreszcie kwestia najważniejsza: procedura odrębna, czy kodeks postępowania administracyjnego?
Projekt nie odnosi się do niektórych nowych instytucji: jak np. ma być prowadzone postępowanie w formie audytów ochrony danych? Czym są zawiadomienia, ostrzeżenia i upomnienia przewidziane przez rozporządzenie, których organ nadzorczy ma udzielać administratorowi danych?
