Czy GIODO może dokonać oceny zgodności z prawem udostępnienia przez inne podmioty?

Close-up Of Businessperson Inspecting Document On Clipboard With Magnifying Glass

Zgodnie z art. 7 Konstytucji, organy władzy publicznej działają na podstawie i w granicach prawa. Ustanowiona w tym przepisie zasada praworządności powtórzona została przez ustawodawcę w art. 6 k.p.a. Działanie na podstawie prawa w postępowaniu administracyjnym wyraża się, po pierwsze, w ustaleniu przez organ administracji publicznej zdolności prawnej do prowadzenia postępowania w danej sprawie, po drugie zaś w zastosowaniu przepisów prawa materialnego i procesowego przy rozpoznaniu i rozstrzygnięciu sprawy[2]. Zasada ta pozostaje zatem w ścisłym związku z przestrzeganiem przez organ z urzędu swojej właściwości rzeczowej i miejscowej (art. 19 k.p.a.). K.p.a. stanowi, że właściwość rzeczową organu administracji publicznej ustala się według przepisów o zakresie jego działania (art. 20 k.p.a.). W doktrynie przyjmuje się, że o właściwości organu administracji publicznej do rozpoznawania i załatwiania określonej kategorii spraw stanowią przepisy prawne regulujące kompetencje, które są zawarte w ustawach o charakterze materialnoprawnym[3].

GIODO, jest niezależnym organem powołanym do spraw ochrony danych osobowych. Zgodnie z art. 8 ust. 2 u.o.d.o., GIODO powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu. GIODO jest centralnym organem administracji państwowej, który nie ma nad sobą organu wyższego stopnia w rozumieniu k.p.a. Zarówno zakres działania (zadania), jak i kompetencje GIODO, ustawodawca określił w rozdziale drugim u.o.d.o., wskazując przy tym, że w zakresie wykonywania swych zadań GIODO podlega tylko ustawie (art. 8 ust. 4 u.o.d.o.). W doktrynie wyrażony został pogląd, że niezależność GIODO w tym zakresie można przyrównać do niezależności sądu czy sędziego[4].

W związku z tym, że na mocy art. 22 u.o.d.o. postępowanie w sprawach uregulowanych w u.o.d.o. prowadzi się według przepisów k.p.a., do GIODO w pełni zastosowanie znajdują m.in. przepisy o właściwości organów.

U.o.d.o. stanowi w art. 12, że do zadań GIODO należy w szczególności:

1)                            kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,

2)                            wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych,

3)                            prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,

4)                            opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,

5)                            inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,

6)                            uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

Oczywiście art. 12 u.o.d.o. nie wymienia wszystkich zadań GIODO, o czym świadczy użyty przez ustawodawcę zwrot w szczególności. Przypisywanie jednak temu organowi innych zadań niż wymienione w powołanym przepisie, powinno odbywać się ze szczególną ostrożnością. Nie może ono bowiem prowadzić do rozstrzygania przez ten organ w sprawach, które do zakresu jego właściwości rzeczowej nie należą.

Kompetencje GIODO określone zostały w art. 18 u.o.d.o., zgodnie z którym, w przypadku naruszenia przepisów o ochronie danych osobowych, GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

1) usunięcie uchybień,

2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,

5) zabezpieczenie danych lub przekazanie ich innym podmiotom,

6) usunięcie danych osobowych.

Przepis ten stanowi materialnoprawną podstawę do wydawania przez GIODO decyzji administracyjnych w rozumieniu art. 107 k.p.a. Kwestią podstawową, rozstrzyganą przez GIODO w drodze decyzji administracyjnej, jest odpowiedzialność z tytułu przestrzegania przepisów u.o.d.o. przez administratorów danych oraz przez podmioty, którym dane zostały powierzone do przetwarzania w drodze pisemnej umowy.

W doktrynie przyjmuje się, że aby organ administracji publicznej mógł prowadzić postępowanie w danej sprawie, oprócz potencjalnej możliwości rozstrzygnięcia sprawy administracyjnej, jaka wynika z przysługującej mu kompetencji ogólnej, musi dysponować zdolnością prawną do załatwienia konkretnej sprawy (kompetencją szczególną)[5]. Przepisem określającym właściwość rzeczową GIODO jest art. 18 u.o.d.o. Nie może być on jednak interpretowany w oderwaniu od art. 12 pkt 2 u.o.d.o. Z tego względu, przy ustalaniu właściwości GIODO, ogromne znaczenie ma właściwe rozumienie sformułowania użytego w tym przepisie, tj. w sprawach wykonania przepisów o ochronie danych osobowych. Podzielić należy wyrażony w doktrynie pogląd, że wydawanie decyzji administracyjnych przez GIODO może mieć miejsce tylko w sprawach dotyczących wykonania (stosowania) przepisów o ochronie danych osobowych[6].

  1. Kompetencje organu muszą wynikać wprost z przepisów prawa, tak aby nie było wątpliwości, że określone kwestie podlegają właściwości danego organu państwowego, a zatem, że ma on uprawnienie do tego, aby kształtować sytuację prawną jednostek czy innych podmiotów. Kompetencji organu nie można domniemywać.

Ma to istotne znaczenie zwłaszcza w tych sprawach, w których jednoczesnego uwzględnienia czy rozważenia wymaga prawo jednostki do ochrony dwóch różnych, konstytucyjnie zagwarantowanych praw, w tym m.in. prawa do ochrony prywatności i prawa dostępu do informacji publicznej.

Tego rodzaju sytuacje mogą mieć miejsce np. wtedy, gdy wnioskujący żąda od jakiegoś organu (zobowiązanego na gruncie u.d.i.p.) informacji publicznej, w której treści znajdują się dane osobowe.

W odniesieniu do powyższego, wskazania wymaga, że szeroko rozumiane prawo do informacji, w tym także prawo dostępu do informacji publicznej, jest regułą, a wszelkie wyjątki, określone w u.d.i.p. nie powinny być interpretowane rozszerzająco. Dotyczy to także takich ustawowych ograniczeń, jak wymienione w art. 5 ust. 2 u.d.i.p., prawo do prywatności czy ochrona danych osobowych (art. 22 ust. 1 u.d.i.p.). Zgodnie z art. 5 ust. 2 u.d.i.p., prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji oraz w przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa.

Każdy z podmiotów zobowiązanych w rozumieniu u.d.i.p. powinien rozważyć – przy rozpatrywaniu wniosku o udostępnienie informacji publicznej – możliwość zrealizowania przez wnioskodawcę prawa do informacji publicznej, przy jednoczesnym poszanowaniu prawa do prywatności osoby czy osób, których dane znajdują się w treści tej informacji. Powyższe wynika wprost z przywołanego przepisu prawa. Zadanie to jest jednak niezwykle trudne do wykonania w praktyce, zwłaszcza że wyważenie konstytucyjnych wartości, o których mowa wyżej, wymaga wiedzy nie tylko w zakresie prawa do informacji publicznej, ale również właściwego rozumienia pojęcia prywatność. Podmioty, które rozpatrują wnioski o udostępnienie informacji publicznej, nie mogą bowiem nie zauważać, że pomimo prymatu prawa do informacji publicznej równie istotne z konstytucyjnego punktu widzenia jest prawo do prywatności. Tak samo bowiem jak Konstytucja ustanawia w art. 61 prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne, tak też w art. 47 statuuje prawo do ochrony prywatności. Zgodnie z art. 47 Konstytucji, każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.

Podkreślenia wymaga, że prawo do ochrony danych osobowych wyrażone w art. 51 Konstytucji, stanowiące wyraz autonomii informacyjnej jednostki, jest postrzegane w doktrynie i w orzecznictwie sądowym jako instrument służący ochronie tych samych wartości, które chroni art. 47 Konstytucji[7].

Iwona Maciejuk

Autorka jest  referendarzem sądowym WSA w Warszawie.

[2] B. Adamiak [w:] B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego. Komentarz wydanie 6, Warszawa 2004, str. 54.

[3] Tamże, str. 127.

[4] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2007, wydanie 4, str. 386.

[5] P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2009, str. 156-157.

[6] Tamże, str. 157.

[7] M. Safjan [w:] Ochrona danych osobowych pod red. M. Wyrzykowskiego, Warszawa 1999, str. 10; I. Lipowicz, Konstytucyjne postawy ochrony danych osobowych [w:] Ochrona danych osobowych w Polsce z perspektywy dziesięciolecia pod red. P. Fajgielskiego, Lublin 2008, str. 47; wyrok Trybunału Konstytucyjnego z dnia 17 czerwca 2008 r. sygn. akt K 8/04, Lex nr 387751.

About Redakcja 244 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.