Czy do wydania zaświadczenia ma zastosowanie UODO I KPA?

Zakres zastosowania przepisów uodo i przepisów k.p.a. do wydawania zaświadczeń
o zarejestrowaniu zbioru danych osobowych.

Poza rejestracją zbioru danych, która jest czynnością materialno-techniczną, taki sam charakter ma wydawanie zaświadczeń o zarejestrowaniu zgłoszonego przez administratora danych zbioru danych[2].

Symptomatyczne, że ustawodawca nie oparł zasad tego postępowania wyłącznie na przepisach k.p.a., ale dokonał pewnej jego modyfikacji, wprowadzając postanowienia różniące się od przepisów k.p.a. (art. 42 ust. 3 i ust. 4 u.o.d.o.). Przepisy dotyczące wydawania zaświadczeń umieszczone w u.o.d.o. zawierają trzy istotne modyfikacje w stosunku do odpowiadających im przepisów k.p.a. Pierwsza dotyczy zawężenia zakresu podmiotowego – w myśl u.o.d.o., uprawniony do uzyskania zaświadczenia o zarejestrowaniu zbioru danych jest wyłącznie administrator danych, który dokonał zgłoszenia tego zbioru do rejestracji. Natomiast według k.p.a. (vide: art. 217 § 1 k.p.a.), uprawniony do uzyskania zaświadczenia jest każdy podmiot, który spełnia jedną z przesłanek określonych w art. 217 § 2 k.p.a. Druga z modyfikacji wprowadza obowiązek wydawania z urzędu zaświadczeń o zarejestrowaniu zbiorów danych, w których przetwarzane są tzw. dane wrażliwe (art. 27 ust. 1 u.o.d.o.). Tymczasem kodeksowe postępowanie w sprawie wydawania zaświadczeń ma charakter wyłącznie wnioskowy. Wreszcie trzecia odrębność polega na uproszczeniu postępowania o wydanie zaświadczenia o zarejestrowaniu zbioru w stosunku do kodeksowej procedury. Wydanie zaświadczenia w oparciu o przepisy k.p.a. wymaga, aby podmiot ubiegający się o zaświadczenie wskazał przepis prawa nakazujący urzędowe potwierdzenie określonych faktów lub stanu prawnego lub aby ww. podmiot legitymował się interesem prawnym w urzędowym potwierdzeniu określonych faktów lub stanu prawnego. Natomiast postępowanie o wydanie zaświadczenia, prowadzone według u.o.d.o., obliguje jedynie do tego, aby podmiot ubiegający się o zaświadczenie miał status administratora danych w stosunku do wpisanego do rejestru zbioru, o potwierdzenie faktu zarejestrowania którego podmiot ten się ubiega.

Powyższe rozdzielenie zasad wydawania zaświadczeń jest precyzyjne i jednoznaczne oraz wskazuje na wyłączność regulacji art. 42 ust. 2 i ust. 3 u.o.d.o. w zakresie potwierdzania faktu zarejestrowania zbioru danych. Jednakże wniosek taki okazuje się mylny.

Stwierdzić bowiem należy, iż ustawodawca, zawierając w u.o.d.o. odrębne regulacje dotyczące wydawania zaświadczeń, nie wyłączył zastosowania przepisów k.p.a. w tym zakresie, ale stworzył faktycznie dwa równorzędne tryby umożliwiające uzyskanie zaświadczeń o zarejestrowaniu zbiorów danych w rejestrze prowadzonym przez GIODO: ustawowy i kodeksowy. Taki wniosek zdaje się uzasadniony zarówno na podstawie wykładni logiczno-językowej, jak i wykładni teleologicznej. Przeprowadzenie pierwszej należy rozpocząć od analizy treści art. 22 u.o.d.o., zgodnie z którym postępowanie w sprawach uregulowanych w niniejszej ustawie prowadzi się według przepisów Kodeksu postępowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej. Dyrektywa zawarta w tym przepisie jako zasadę ustanawia prowadzenie postępowań w sprawach objętych u.o.d.o. według k.p.a., natomiast, jako wyjątek od niej – prowadzenie postępowań według u.o.d.o. Kiedy więc, w myśl art. 22 u.o.d.o., będziemy mieli do czynienia z wyjątkiem od ogólnej zasady, czyli z prowadzeniem sprawy będącej przedmiotem u.o.d.o. według przepisów k.p.a.? Otóż wyłącznie wtedy, gdy stan faktyczny relewantny prawnie będzie podlegał zarówno normie prawnej zawartej w k.p.a., jak i normie prawnej umieszczonej w u.o.d.o. Jednakże z każdej normy będą wynikały różne dyspozycje pożądanego zachowania się w stosunku do adresata obu norm. Tak więc jako wyjątek należy traktować wyłącznie te regulacje u.o.d.o., określające sposób prowadzenia postępowań, które znajdują swój dokładny odpowiednik w treści k.p.a., jednakże wynikają z nich inne nakazy dla adresata niż zawarte w k.p.a. Inaczej rzecz ujmując, będą to normy prawne mające te same hipotezy, różniące się jednak dyspozycją.

Hipotezy norm prawnych zawartych w art. 42 ust. 2 i ust. 3 u.o.d.o. są odmienne od hipotezy normy prawnej zawartej w art. 217 § 1 k.p.a. Różnica dotycząca hipotez w ww. normach polega na innym określeniu okoliczności, w jakich formułowany jest przez nie obowiązek pożądanego zachowania się przez adresatów norm, tj. nakaz wydania przez określony organ zaświadczenia. W przypadku art. 42 ust. 2 i ust. 3 u.o.d.o. jest to sytuacja złożenia przez administratora danych żądania wydania zaświadczenia i zarejestrowania zbioru lub sytuacja wyłącznie zarejestrowania zbioru, natomiast według art. 217 § 1 k.p.a. jest to sytuacja złożenia żądania przez każdy podmiot, który spełnia przesłanki wynikające z art. 217 § 2 k.p.a. W związku z tym, regulacje ustawowe i kodeksowe nie są tożsame (nie zastępują się), a dotyczą dwu innych przypadków, które są niezależne wobec siebie. W związku z tym przyjąć należy, iż, zgodnie z wcześniej postawioną tezą, istnieją dwa tryby uzyskania zaświadczenia o zarejestrowaniu zbioru danych: ustawowy – prostszy i przeznaczony wyłącznie dla administratorów danych zarejestrowanego zbioru oraz kodeksowy –umożliwiający uzyskanie takiego zaświadczenia każdemu, kto spełni przesłanki określone w art. 217 § 2 k.p.a.

Powyższą tezę potwierdza również wykładnia celowościowa. Brak jest bowiem jakichkolwiek przeciwwskazań do wyłączenia możliwości uzyskiwania przez każdą osobę zaświadczenia o zarejestrowaniu zbioru danych[3], zwłaszcza w świetle dyspozycji art. 42 ust. 1 zd. 1 i ust. 2 u.o.d.o., które stanowią, iż Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych i każdy ma prawo przeglądać rejestr, a także faktu, iż dostęp do ogólnokrajowego rejestru zbiorów danych osobowych może mieć każdy człowiek, za pomocą sieci Internet.

  1. Uwagi do art. 42 ust. 3 u.o.d.o.

Należy wskazać na jeszcze jedną wątpliwość związaną z ustawowym trybem postępowania w sprawie wydawania zaświadczeń o zarejestrowaniu zbioru danych. Dotyczy ona poprawności normy prawnej zawartej w art. 42 ust. 3 u.o.d.o. Zgodnie z tym przepisem, na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych (…). Ustawodawca użył w tym przepisie sformułowania może być wydane, przeciwnie niż w art. 217 § 1 k.p.a., gdzie posłużył się sformułowaniem organ administracji publicznej wydaje zaświadczenie. Zwrot użyty w u.o.d.o., zgodnie z regułami interpretacyjnymi, należy rozumieć jako przyznanie organowi administracji publicznej kompetencji do samodzielnego wyboru sposobu rozstrzygnięcia sprawy. W tym przypadku oznacza to uprawnienie do wydania bądź niewydania zaświadczenia o zarejestrowaniu zgłoszonego przez administratora zbioru (tj. odmowy wydania zaświadczenia). GIODO nie został bowiem na mocy ww. przepisu zobligowany do wydania takiego zaświadczenia.

Sformułowanie użyte w art. 42 ust. 3 u.o.d.o. jest charakterystyczne dla instytucji prawnej uznania administracyjnego, która znajduje swoje zastosowanie przede wszystkim w odniesieniu do niektórych decyzji administracyjnych. Przez uznanie administracyjne należy rozumieć takie uregulowanie kompetencji organu administracji, zgodnie z którym organ ten może rozstrzygnąć sprawę w różny sposób przy tożsamym stanie faktycznym i każde rozstrzygnięcie sprawy jest legalne. Uznanie administracyjne polega więc na wyborze sposobu rozstrzygnięcia przez organ administracji (podobnie do zagadnienia podchodzi Z. Janowicz[4]). Celem stosowania przez ustawodawcę instytucji uznania administracyjnego jest zapewnienie elastyczności rozstrzygnięć w pewnej kategorii spraw, które wymagają jej ze względu na skomplikowanie stanu faktycznego (ich wielowątkowość) lub też konieczność uwzględnienia przez organ administracji przy rozpatrywaniu tych spraw klauzul generalnych i zasad, które definiowane są pojęciami nieostrymi[5] (np. zasada uwzględnienia interesu społecznego)[6].

W przypadku zaświadczenia o zarejestrowaniu zbioru, które wydawane jest administratorowi tego zbioru, brakuje jakiegokolwiek uzasadnienia uznaniowości rozstrzygnięcia w tym zakresie, a zwłaszcza odmowy wydania takiego zaświadczenia administratorowi zarejestrowanego zbioru. Administrator ma pełne prawo do informacji o własnym zbiorze, zwłaszcza iż jest stroną w postępowaniu o zarejestrowanie zbioru w rejestrze prowadzonym przez GIODO. Ponadto podkreślić należy, iż u.o.d.o., dopuszczając ww. uznaniowość, nie przewiduje jednocześnie żadnych wytycznych (ogólnych) dla GIODO, które pozwalałyby mu na rozróżnienie, kiedy należy wydać ww. zaświadczenie, a kiedy odmówić jego wydania[7].

Zatem prawidłowa regulacja powinna przewidywać, iż złożenie przez administratora danych żądania wydania zaświadczenia o zarejestrowaniu zgłoszonego przez niego zbioru danych, powoduje, po stronie GIODO, obowiązek wydania zaświadczenia (postępowanie w tej sprawie należy w zasadzie ograniczyć wyłącznie do zbadania braków formalnych podania złożonego przez administratora danych). Regulacja ta powinna ustanawiać niejako automatyzm rozstrzygnięcia w zakresie wydania zaświadczenia.

Mirosław Szymański

Autor jest prawnikiem, specjalistą z zakresu ochrony danych osobowych.

[2] J. Barta, R. Markiewicz, P. Fajgielski, Ochrona danych osobowych. Komentarz, Kraków 2007, s. 632 i 633.

[3] Podobnie J. Barta, R. Markiewicz, P. Fajgielski, Ochrona danych osobowych…, jw., s. 636.

[4] Z. Janowicz, Kodeks postępowania administracyjnego. Komentarz, Warszawa 1996, s. 270.

[5] Z. Duniewska [w:] Prawo administracyjne – pojęcia, instytucje, zasady w teorii i orzecznictwie, pod red. M. Stahl, Warszawa 2000, s. 69.

[6] Problem uznania administracyjnego szeroko omawia A. Habuda w Granicach uznania administracyjnego, Opole 2004.

[7] Podobnie G. Sibiga, Postępowanie w sprawach…, jw., s. 211 i 212.

About Redakcja 244 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.