Stanowisko w sprawie prac nad procedurą postępowania przed Generalnym Inspektorem Ochrony Danych Osobowych

Uwagi

1. Należy zmienić brzmienie art. 7 projektu, dotyczącego udziału organizacji społecznej w postępowaniu przed GIODO, w następujący sposób:

Art. 7. ust. 1
1. Organizacja społeczna może w sprawie dotyczącej innej osoby występować z żądaniem:
1) wszczęcia postępowania,
2) dopuszczenia jej do udziału w postępowaniu,
jeżeli jest to bezpośrednio uzasadnione celami statutowymi tej organizacji i gdy przemawia za tym ważny interes społeczny.
Wspomniany zapis pozwoli precyzyjniej określić krąg organizacji społecznych, które są zainteresowane reprezentowaniem w postępowaniu przed GIODO osób, których dane dotyczą.
2. Terminy załatwiania spraw są zbyt długie (6 mies., a w sprawach szczególnie skomplikowanych 12 mies.) (art. 8 ust.3 projektu). W kwestii terminów warto również zwrócić również uwagę na bardzo długi termin - 3 miesiące - na przekazanie przez GIODO skargi do sądu (art. 24). Postuluję ich skrócenie, by nie przedłużać niepewności dla przedsiębiorców.
3. W art. 11 ust. 2 projektu należałoby dodać jakie warunki musi spełniać wniosek, powodujący wszczęcie postępowania w sprawie indywidualnej. W przeciwnym przypadku przeciwko przedsiębiorcy może być wszczęte postępowanie w oparciu o pismo nie spełniające minimalnych nawet standardów np. donos:
2. Organ kieruje wystąpienie, o którym mowa w ust. 1, w oparciu o wniesione do niego podanie w rozumieniu art. 63 § 1 i 2 KPA, zawierające ponadto przytoczenie faktów uzasadniających skierowanie wystąpienia, wskazanie istotnych okoliczności sprawy oraz uzasadnienie faktyczne i prawne. W wystąpieniu organ zawiera dane wnoszącego podanie, chyba że zawarcie takich danych uznaje za nieuzasadnione.
4. Art. 11 ust. 2 projektu odsyła do art. 63 § 1 i 2 KPA jeżeli chodzi o pojęcie podania. Odesłanie jest wąskie, w związku z tym nie jest jasne, czy do podania mają zastosowanie również § 3 i 4 tegoż artykułu dotyczące podpisu pod podaniem. Jest to istotne o tyle, że podanie nie powinno być anonimowe w celu uniknięcia bezkarnych pomówień. Postuluję, dla pewności, zmienić brzmienie art. 10 projektu procedury i włączyć do katalogu przepisów KPA, które organ stosuje w ramach postepowania, art. 63 § 1-4 KPA:
Do postępowań przed organem stosuje się przepisy art. 4, 5 § 2 pkt 1, 3 i 5, art. 6-7, 8-8a, 9-12, 14 § 1, 16 § 2, 24, 26 § 1, 28- 30 § 1-3, 32, 34, 38-48, 50-58, 63 § 1-4 KPA.
5. Wszelkie kary pieniężne niewynikające z RODO, lecz z niniejszego projektu ustawy powinny zostać obniżone do rozsądnych rozmiarów (obecnie są niezwykle wysokie).
6. Biorąc pod uwagę tak wysokie kary pieniężne, należy postulować, by przepisy końcowe projektu ustawy uchylały obowiązywanie przepisów karnych za naruszenie przepisów o ochronie danych.
7. Postuluję usunięcie art. 15 projektu procedury z uwagi na wystąpienie problemu konfliktu interesów po stronie inspektora ochrony danych (ABI), który pracuje dla administratora danych a jednocześnie jest zobowiązany udzielać, w ramach postepowania, informacji GIODO. Wspomniany artykuł ma obecnie następujące brzmienie:
15. W postępowaniu, o którym mowa w art. 12, organ może zwrócić się do inspektora ochrony danych wyznaczonego przez administratora lub podmiot przetwarzający o udzielenie informacji w kwestiach związanych z przetwarzaniem danych przez tego administratora lub przez ten podmiot przetwarzający. Informacja taka stanowi dowód w postępowaniu.
8. Zastosowanie KPA tylko we wskazanych w projekcie sytuacjach oznacza ograniczenie prawa strony do skorzystania z nadzwyczajnych trybów postępowania, takich jak wznowienie postępowania czy też uchylenie, zmiana oraz stwierdzenie nieważności decyzji. Ponadto, jeśli projekt zakłada stosowanie KPA w określonych sytuacjach to nie ma potrzeby aby w ustawie wskazać na elementy decyzji czy też terminy związania decyzją (art. 21,22).
9. Projekt zakłada możliwość zaskarżania decyzji do sądu administracyjnego. W aktualnym stanie prawnym sąd administracyjny orzeka na podstawie akt sprawy. W związku z powyższym podmiotowi, na którego zostanie nałożona kara pieniężna, będzie niezwykle trudno wykazać nieprawidłowości w orzeczeniu kary, chociażby udowodnienie stopnia współpracy z organem.
10. W projekcie brak jest również informacji o trybie w jakim organ będzie wydawać zalecenia, o których mowa RODO (art. 36 ust. 2 RODO).
11. Zgodnie z RODO tylko administrator lub procesor mają prawo do wyboru inspektora. Natomiast projekt zakłada, iż każdy zgłoszony do GIODO ABI stanie się z mocy prawa inspektorem ochrony danych co może zostać uznane za sprzeczne z przepisami RODO.
12. Biorąc pod uwagę daleko idące zmiany wynikające z RODO zasadnym wydaje się zastanowienie czy na pewno obowiązujące przepisy KPA oraz PPSA będą spełniać wymagania RODO. Ważnym jest aby zarówno podmioty danych, administratorzy i podmioty przetwarzające posiadali odpowiednie środki prawne pozwalające na obronę swoich praw. Dobrym rozwiązaniem może okazać się odejście od procedury administracyjnej i wytworzenie procedury podobnej do tej, która obowiązuje przed UOKIK.


Konfederacja Lewiatan, KL/144/42/AM/2017