Administracja ochrony danych

Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych (GIODO). Rola i zadania tego organu zostały uregulowane przede wszystkim w rozdziale 2 ustawy o ochronie danych osobowych (zatytułowa-nym „Organ ochrony danych osobowych”). Omawiając pozycję ustrojową GIODO, należy zwrócić uwagę na kilka cech stanowiących o szczególnym charakterze tego organu, określanego w literaturze przedmiotu mianem organu o szczegól-nym statusie, łączącym cechy organu: administracyjnego, kontroli państwowej, egzekucyjnego oraz typu „rzecznikowskiego”, przy czym uprawnienia kontrolne bywają w literaturze szczególnie akcentowane⁸⁹.

Generalny Inspektor Ochrony Danych Osobowych powoływany jest przez Sejm za zgodą Senatu na 4-letnią kadencję (art. 8 ust. 2 i ust. 5 u.o.d.o.). W lite-raturze GIODO określany jest zatem mianem centralnego organu administra-cji (obejmującego swoją kompetencją całe terytorium państwa), nienależącym do administracji rządowej, lecz podległym Sejmowi RP⁹⁰. Konsekwentnie, na

88 Tamże, s. 131.

89 Zob. J. Zimmermann, Prawo administracyjne, Warszawa 2008, s. 143, G. Szpor, A. Szpor, Kon-trola administracji, w: Prawo administracyjne, Z. Niewiadomski (red.), Warszawa 2011 s. 302–303, G. Sibiga, Wprowadzenie, w: Nowelizacja ustawy o ochronie danych osobowych 2010, G. Sibiga (red.), Monitor Prawniczy 2011, Nr 3 oraz P. Fajgielski, Nowelizacja ustawy o ochronie danych osobowych – zakładane cele i przewidywane skutki, w: Nowelizacja ustawy o ochronie danych osobowych 2010, G. Sibiga (red.), Monitor Prawniczy 2011, Nr 3, s. 2–3.

90 J. Zimmermann, Prawo administracyjne, s. 103 oraz s. 142–143, G. Szpor, A. Szpor, Kontrola administracji, s. 302.

GIODO ciąży ustawowy obowiązek składania Sejmowi corocznego sprawozdania ze swojej działalności wraz z wnioskami wynikającymi ze stanu przestrzega-nia przepisów o ochronie danych osobowych (art. 20 u.o.d.o.). Brak występo-wania podległości administracji rządowej (a także samorządowej) sprawia, iż GIODO ma status organu naczelnego⁹¹. Ustawa o ochronie danych osobowych przewiduje szereg dalszych instrumentów służących zapewnieniu GIODO nie-zależności. Art. 8 ust. 4 u.o.d.o. akcentuje, iż Generalny Inspektor w zakresie wykonywania swoich zadań podlega wyłącznie ustawie, a piastuna organu chroni immunitet i Generalny Inspektor nie może być bez uprzedniej zgody Sejmu po-ciągnięty do odpowiedzialności karnej ani pozbawiony wolności (art. 11 u.o.d.o.).

Ustawodawca przyznał zatem Generalnemu Inspektorowi immunitet odpowia-dający temu, którym dysponują Prezes Najwyższej Izby Kontroli czy Rzecznik Praw Obywatelskich. Zapewnieniu niezależności GIODO służy dodatkowo usta-wowy zakaz łączenia funkcji Generalnego Inspektora z innym stanowiskiem (za wyjątkiem stanowiska profesora szkoły wyższej), wykonywaniem innych zajęć zawodowych, należeniem do partii politycznej, związku zawodowego czy prowadzeniem działalności publicznej niedającej się pogodzić z godnością tego urzędu (art. 10 ust. 1 i ust. 2 u.o.d.o.). Pod względem cech ustrojowych organ ochrony danych można porównać do Rzecznika Praw Obywatelskich z tym jednak istotnym zastrzeżeniem, iż GIODO (w przeciwieństwie do RPO) dyspo-nuje kompetencjami władczego działania w drodze decyzji administracyjnych⁹². Trzeba też podkreślić, iż GIODO nie jest organem kontrolującym ani nadzoru-jącym prawidłowość stosowania prawa materialnego i procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji czy w inny sposób określony odpowiednimi procedurami (wyrok NSA z 2 marca 2001 r.)⁹³.

Organizację i zasady działania Biura GIODO określa Statut Biura Generalnego Inspektora Ochrony Danych Osobowych, nadany w drodze rozporządzenia przez Prezydenta RP w dniu 10 października 2011 r.⁹⁴ (tekst wspomnianego Statutu sta-nowi załącznik do rozporządzenia Prezydenta RP). Nowelizacja u.o.d.o. z 2010 r.

pozwoliła na tworzenie struktur terenowych – jednostek zamiejscowych Biura, o ile charakter i liczba spraw tego wymagają⁹⁵. Wspomniana nowelizacja ustawy

91 J. Zimmermann, Prawo administracyjne, s. 143 oraz I. Lipowicz, Ustrój administracji rządowej, w: Prawo administracyjne, Z. Niewiadomski (red.), Warszawa 2011, s. 180.

92 Zob. G. Sibiga, Postępowanie w sprawach danych osobowych, Warszawa 2003, s. 117.

93 II SA 52/00, niepubl., przytoczony za: I. Kamińska, Ochrona danych osobowych. Orzecznictwo, s. 51. Por. też inne wyroki sądów administracyjnym formułujące podobne tezy, na przykład: wyrok WSA w Warszawie z dnia 22 stycznia 2004 r., II SA 3310/03 przytoczony za: I. Kamińska, Ochrona danych osobowych. Orzecznictwo, s. 53.

94 Dz.U. z 2001 r. Nr 225, poz. 1350.

95 Art. 13 ust. 1a dodany powołaną już powyżej ustawą z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz.U. z 2010 r. Nr 229, poz. 1497).

o ochronie danych osobowych w kwestii tworzenia jednostek zamiejscowych Biura GIODO powtórzyła obowiązującą już wcześniej regulację Statutu Biura GIODO (§3 ust. 4 tego Statutu). Taka kolejność normowania omawianej kwestii budzi zastrzeżenia co do poprawności działań prawodawczych.

Na mocy Statutu Biura GIODO z 2011 r. powołano dwie Jednostki Zamiejscowe Biura Ochrony Danych Osobowych, działające pod kierownictwem dyrektorów – w Katowicach (właściwa dla województw: śląskiego, opolskiego, dolnośląskiego, małopolskiego i podkarpackiego) oraz w Gdańsku (dla województw: pomor-skiego, warmińsko-mazurskiego i zachodniopomorskiego) – por. §4 ust. 1 pkt 1 i 2 Statutu, które wspierają działania struktury centralnej Biura, mieszczącego się w m.st. Warszawa (por. § 1 ust. 2 Statutu)⁹⁶. Statutowymi jednostkami organiza-cyjnymi Biura są departamenty: Organizacyjno-Administracyjny, Orzecznictwa, Legislacji i Skarg, Edukacji Społecznej i Współpracy Międzynarodowej, Inspekcji, Rejestracji Zbiorów Danych Osobowych, Informatyki, a także Zespół do spraw Egzekucji Administracyjnej, Dział Finansowy oraz samodzielne stanowiska:

do spraw Ochrony Informacji Niejawnych, do spraw Pracowniczych, do spraw Audytu Wewnętrznego, jak również Zespół Rzecznika Prasowego (§3 ust. 1 pkt 1–12 Statutu). Pracownikami Biura GIODO są w szczególności inspektorzy, którzy działając z upoważnienia Generalnego Inspektora, władni są wykonywać czynności kontrolne w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych (art. 14 i następne u.o.d.o.). Imienne upoważnienie inspektora powinno zawierać wskazanie podstawy prawnej przeprowadzenia kontroli, oznaczenie organu kontroli, imię i nazwisko, stanowisko służbowe in-spektora oraz numer jego legitymacji służbowej, określenie zakresu przedmioto-wego kontroli oraz podmiotu objętego kontrolą albo zbioru danych bądź miejsca poddawanego kontroli, wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli. Ponadto oprócz daty i miejsca wystawienia upoważnienie musi być podpisane przez Generalnego Inspektora i zawierać pouczenie kontro-lowanego o jego prawach i obowiązkach (art. 15 ust. 4 u.o.d.o. doprecyzowujący treść imiennego upoważnienia, dodany ustawą z dnia 29 października 2010 r.⁹⁷).

Przytoczona nowelizacja u.o.d.o. doprecyzowała także treść protokołu kontroli (art. 16 ust. 1a u.o.d.o.), co przyczyniło się do zwiększenia obrotu i gwarancji praw podmiotów kontrolowanych.

Jak wskazano powyżej, Generalny Inspektor Ochrony Danych Osobowych przejawia cechy typowe dla organu administracji, organu kontroli, organu egze-kucyjnego, a także organu typu „rzecznikowskiego”. Zgodnie z art. 12 u.o.d.o., do zadań Generalnego Inspektora w szczególności należy:

96 Szerzej na ten temat zob. P. Fajgielski, Nowelizacja ustawy o ochronie danych osobowych – zakładane cele, s. 2–5.

97 Powoływana powyżej ustawa z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw, Dz.U. Nr 229, poz. 1497.

• kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych (kompetencje kontrolne, które zgodnie z orzecznictwem NSA muszą być interpretowane ściśle⁹⁸),

• wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wy-konania przepisów o ochronie danych osobowych (kompetencja rozstrzygania spraw w drodze decyzji administracyjnej, często, acz nie wyłącznie w wyniku przeprowadzonej kontroli, jak również kompetencja prowadzenia tak zwanego postępowania arbitrażowego – szerzej na temat tej formy działania GIODO por. punkt 6 niniejszego rozdziału),

• zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z wydawanych przez GIODO decyzji, poprzez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji⁹⁹ (uprawnie-nia egzekucyjne),

• prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowa-nych zbiorach (uprawnienie do wydawania decyzji administracyjo zarejestrowa-nych w przed-miocie odmowy rejestracji zbioru danych, jak również zadanie zapewnienia funkcjonowania rzeczonego rejestru w znaczeniu materialno-technicznym),

• opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,

• inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,

• uczestniczenie w pracach międzynarodowych organizacji i instytucji zaj-mujących się problematyką ochrony danych osobowych (w tym zwłaszcza wspomnianej wyżej w niniejszym rozdziale unijnej Grupie Roboczej Art. 29).

Poza powyższymi kompetencjami wymienionymi w przepisie art. 12 u.o.d.o.

GIODO wskazać należy kompetencje zwane „rzecznikowskimi”, którymi są wpro-wadzone w 2010 r. uprawnienia Generalnego Inspektora do kierowania wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych oraz wnio-sków o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych (art. 19a u.o.d.o., bliżej scharakteryzowany w punkcie 6 poniżej).

Ustawodawca nie przewidział wobec GIODO organu wyższego stopnia, czego konsekwencją jest brak instancyjności postępowania i brak możliwości zaskarżenia decyzji GIODO za pomocą zwykłego środka prawnego, jakim jest odwołanie do organu drugiej instancji. Wobec powyższego, strona może zwrócić się wyłącznie do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie sprawy (art. 21 ust. 1 u.o.d.o.). Ostatecznie, na decyzję Generalnego Inspektora w przedmiocie

98 Zob. wyrok NSA z dnia 16 grudnia 2004 r., OSK 829/04, niepubl., przytoczony za: I. Kamińska, Ochrona danych osobowych. Orzecznictwo…, s. 54.

99 Tekst jedn. Dz.U. z 2016 r., poz. 599 ze zm.

wniosku o ponowne rozpatrzenie sprawy stronie przysługuje skarga do sądu ad-ministracyjnego (art. 21 ust. 2 u.o.d.o.).