Pozycja prawna Prezesa Urzędu Ochrony Danych Osobowych

LA PAŃSTWOWA 6/2018

CZASOPISMO PUNKTOWANE

listopad grudzień

2 0 1 8

6

ISSN 0452-5027

PRZEMYSŁAW SZUSTAKIEWICZ

Pozycja prawna Prezesa Urzędu Ochrony Danych Osobowych

PIOTR WASILEWSKI

Zakażenia szpitalne – nierozwiązany problem

KATARZYNA TOMASZCZYK-PACUŁA, KRZYSZTOF MADEJ Profilaktyka i leczenie chorób cywilizacyjnych

– realizacja programu badań naukowych STRATEGMED AGNIESZKA LISZEWSKA

Odpowiedzialność karna za wyłudzenie podatku VAT

...ktokolwiek grosz publiczny do swego rozporządzenia odbiera, wydatek onegoż usprawiedliwić winien.*

WARSZAWA

DWUMIESIĘCZNIK – ROCZNIK 63: 2018 r. – NUMER 6 (383) – LISTOPAD – GRUDZIEŃ

„Kontrola Państwowa”, ukazująca się nieprzerwanie od 1956 r., znajduje się na liście czasopism nauko wych Ministra Nauki i Szkolnictwa Wyższego z liczbą 7 punktów za umieszczoną w niej publikację (komunikat MNiSW z 18 grudnia 2015 r.). Pismo można odnaleźć w bazach Central European Journal of Social Sciences and Humanities oraz Index Copernicus Journal Master List. Wskaźnik Index Copernicus Value 2017 – 45,60.

* CytatnastronietytułowejpochodzizpismaministraskarbuKsięstwaWarszawskiego,

TadeuszaDembowskiego,wystosowanegowzwiązkuzpracamiprzygotowawczymi

dodekretuz14grudnia1808rokuoGłównejIzbieObrachunkowej.

Jacek Jagielski, prof. dr hab., Uniwersytet Warszawski

Adam Lipowski, prof. dr hab., Wyższa Szkoła Bankowa w Poznaniu

Teresa Liszcz, dr hab., prof. UMCS w Lublinie, sędzia Trybunału Konstytucyjnego w stanie spoczynku Jacek Mazur, dr, radca prezesa NIK, kontroler Europejskiego Instytutu Uniwersyteckiego we Florencji Wojciech Misiąg,dr, radca prezesa NIK, prof. nadzw. WSIiZ w Rzeszowie

Małgorzata Niezgódka-Medek, sędzia Naczelnego Sądu Administracyjnego

Andrzej Panasiuk, dr hab., dyrektor Delegatury NIK w Warszawie, prof. Uniwersytetu w Białymstoku Marzena Repetowska-Nyc,redaktor naczelna „Kontroli Państwowej”

Czesława Rudzka-Lorentz, dr, em. radca prezesa NIK

Janusz Witkowski, prof. dr hab., Wyższa Szkoła Ekonomii, Prawa i Nauk Medycznych w Kielcach

Zbigniew Wrona, dr, radca prezesa NIK, p.o. dyrektora Departamentu Prawnego i Orzecznictwa Kontrolnego NIK Marek Zająkała, dyrektor Departamentu Obrony Narodowej NIK

REDAKCJA

Marzena Repetowska-Nyc, redaktor naczelna, tel. 22 444 53 11 Barbara Odolińska, redaktor, tel. 22 444 57 81

Jacek Matwiejczyk, redaktor, tel. 22 444 54 01

dr Wiesław Karliński, redaktor statystyczny, tel. 22 444 56 69

Adres redakcji

Najwyższa Izba Kontroli, 02-056 Warszawa, ul. Filtrowa 57

Nasz adres w Internecie

e-mail: kpred@nik.gov.pl http://www.nik.gov.pl

Kontrola i audyt

PRZEMYSŁAW SZUSTAKIEWICZ: Pozycja prawna Prezesa Urzędu Ochrony Danych Osobowych – ustrój i kompetencje polskiego organu nadzoru 8 Ogólne rozporządzenie o ochronie danych osobowych (RODO), które zastąpiło wydaną przed ponad dwudziestu laty dyrektywę 95/46/WE w sprawie ochrony danych osobowych wzmocniło pozycję krajowego organu nadzoru. W Polsce, na mocy ustawy z 10 maja 2018 r., powołano Prezesa Urzędu Ochrony Danych Osobowych (PUODO), w miejsce Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Artykuł przybliża pozycję prawną PUODO, akcentując różnice między kompetencjami obu organów.

ŁUKASZ RÓG: Czy kontrolerzy potrzebują immunitetu

cywilnoprocesowego – swoboda wykonywania czynności służbowych 19 W artykule przedstawiono obowiązujące przepisy umożliwiające pozwanie kontrolera w związku z treścią wystąpienia pokontrolnego, zwłaszcza oceną kontrolowanej działalności oraz wybrane orzecznictwo sądów. Rozważania autora służą odpowiedzi na pytanie, czy istnieje potrzeba wzmocnienia niezależności kontrolerów przez zapewnienie im formalnego immunitetu zabezpieczającego przed roszczeniami, jakie mogą być formułowane na podstawie prawa cywilnego z tytułu naruszenia dóbr osobistych.

PAWEŁ LIPOWSKI: Kontrola podmiotów leczniczych

– wybrane zagadnienia prawne 32

Artykuł przybliża zagadnienia związane z prowadzeniem kontroli podmiotów leczniczych na podstawie ustawy z 15 kwietnia 2011 r. o działalności leczniczej oraz ustawy z 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. Omówienie przepisów zostało wzbogacone komentarzami autora dotyczącymi uwarunkowań prowadzenia czynności w tych podmiotach.

Spis treści

JACEK MAZUR: Współpraca ETO i NOK państw Unii

w prowadzeniu kontroli 46

Kompetencje Europejskiego Trybunału Obrachunkowego (ETO) i najwyższych organów kontroli państw członkowskich Unii Europejskiej (NOK) do kontroli zarządzania i wykorzystania środków unijnych w pewnym stopniu się pokrywają. ETO i NOK mają też częściowo tych samych interesariuszy – obywateli UE. Współpraca wydaje się więc czymś naturalnym. W artykule omówiono jej główne obszary: udział najwyższych organów kontroli w wizytach kontrolnych Trybunału w państwach członkowskich; działania na rzecz zmniejszenia ryzyka nakładania się kontroli; współpracę w prowadzeniu kontroli. 

  Przedruk artykułu w języku angielskim s. 61

USTALENIA KONTROLI NIK 75

PIOTR WASILEWSKI: Zakażenia szpitalne – nierozwiązany problem

w lecznictwie zamkniętym 75

Zakażenia szpitalne powodują powikłania choroby podstawowej prowadzące często do niepełnosprawności, a nawet śmierci. Stanowią także problem dla samych podmiotów leczniczych, przyczyniając się do wydłużenia pobytu w szpitalu i zwiększenia kosztów świadczonych usług. Biorąc to pod uwagę, NIK zdecydowała o podjęciu pierwszej, planowej kontroli koordynowanej poświęconej temu zjawisku. Było to szczególnie istotne w związku z narastającym w polskich szpitalach zjawiskiem lekooporności drobnoustrojów na dostępne antybiotyki, a także wzrostem liczby pacjentów zakażonych patogenami wielolekoopornymi, trudnymi do wyeliminowania ze środowiska szpitalnego.

LILA GNIADEK, GRAŻYNA MAZUREK: Profilaktyczna opieka nad dziećmi i młodzieżą w wieku szkolnym – kształtowanie postaw prozdrowotnych 89 Najwyższa Izba Kontroli oceniła system opieki zdrowotnej nad dziećmi i młodzieżą w wieku szkolnym w odniesieniu do opieki profilaktycznej. Sprawdzono, czy organizacja opieki pozwoliła na efektywne wykorzystanie zasobów finansowych i kadrowych oraz czy zapewniono wymagane świadczenia profilaktyczno-lecznicze, równy dostęp do nich oraz systematycznie udoskonalano ten system opieki.

KATARZYNA TOMASZCZYK-PACUŁA, KRZYSZTOF MADEJ:

Profilaktyka i leczenie chorób cywilizacyjnych – realizacja programu

badań naukowych STRATEGMED 107

Podstawą przygotowania i realizacji przez Narodowe Centrum Badań i Rozwoju (NCBiR) strategicznych programów badań naukowych i prac rozwojowych jest Krajowy Program Badań. Na jego podstawie Centrum prowadziło program „Profilaktyka i leczenie chorób

cywilizacyjnych – STRATEGMED”. Jego wartość ustalono na 800 mln zł. Był to pierwszy program strategiczny w ramach nowego modelu wsparcia dla badań i rozwoju. Chciano uzyskać zasadniczy postęp w zwalczaniu chorób cywilizacyjnych oraz medycynie regeneracyjnej, wykorzystując wyniki badań naukowych i prac rozwojowych prowadzonych w ramach programu. NIK przeprowadziła kontrolę jego realizacji.

WŁADYSŁAW RADGOWSKI: Dostępność do świadczeń ginekologiczno- -położniczych – opieka medyczna na terenach wiejskich 117 Najwyższa Izba Kontroli sprawdziła, czy mieszkanki terenów wiejskich mają zapewniony dostęp do świadczeń ginekologiczno-położniczych oraz programów profilaktyki raka szyjki macicy i raka piersi. Kontrolą objęto osiem województw, zbadano tam oddziały wojewódzkie NFZ oraz po trzy podmioty udzielające ambulatoryjnych świadczeń ginekologiczno-położniczych (w województwie podlaskim dodatkowo trzy poradnie w ramach kontroli rozpoznawczej), tj. łącznie 27 poradni.

ROBERT SASIN: Program „Moje boisko – Orlik 2012”

– utrzymywanie przez gminy obiektów sportowych 130

W artykule przedstawiono najważniejsze wyniki kontroli utrzymywania orlików przez gminy, a także badania kwestionariuszowego przeprowadzonego w 1686 jednostkach samorządu terytorialnego na temat stanu technicznego obiektów, zatrudnienia animatorów oraz środków publicznych przeznaczonych na te kompleksy sportowe. Badaniem objęto lata 2013–2017 (do 16 października 2017 r.).

TOMASZ MARCINKOWSKI, PIOTR WANIC: Tworzenie warunków do nauki niepełnosprawnym studentom – wyrównywanie szans edukacyjnych 142 Sytuacja niepełnosprawnych studentów na polskich uczelniach poprawiła się w ostatnich latach, ale nadal jest wiele do zrobienia. Jak wykazała kontrola NIK, wciąż występują bariery, które uniemożliwiają im funkcjonowanie na równi z osobami zdrowymi.

Problemem są niedostosowane budynki, nieprzyjazne rozwiązania techniczne oraz utrudnienia w dostępie do pełnej oferty dydaktycznej uczelni. Mimo to, większość szkół wyższych nie wykorzystywała w pełni środków przyznanych na bieżące wspieranie osób z niepełnosprawnościami.

RYSZARD OSTASZEWSKI: Zadania zarządców dróg wojewódzkich

– bezpieczeństwo i wygoda podróżowania 150

Utrzymanie należytego stanu infrastruktury drogowej, jak również prawidłowe zarządzanie ma istotny wpływ na bezpieczeństwo oraz wygodę podróżowania. Dlatego

NIK przeprowadziła kontrolę działań zarządców dróg w województwach: łódzkim, małopolskim, mazowieckim i podlaskim (jednostki te zarządzały łącznie 6701,5 km dróg) oraz w Miejskim Zarządzie Dróg w Płocku i Zarządzie Dróg Miejskich w Warszawie.

Objęto nią podmioty odpowiedzialne za ok. 23,6% dróg wojewódzkich w Polsce.

POZOSTAŁE KONTROLE NIK 157

Wyniki przekazane do publikacji w październiku i listopadzie 2018 r. – red. 157 Rubryka sygnalizuje zakończenie przez Najwyższą Izbę Kontroli badań w wybranych obszarach i opublikowanie ich w formie „Informacji o wynikach kontroli”. W tym numerze piszemy o kontroli: zanieczyszczenia wód związkami azotu; zapobiegania i leczenia depresji;

płatności bezpośrednich dla rolników; tworzenia warunków do nauki niepełnosprawnym studentom; dostosowania przestrzeni publicznej do potrzeb i możliwości osób starszych i niepełnosprawnych; nadzoru nad spółkami Skarbu Państwa; udziału odnawialnych źródeł energii w bilansie energetycznym; respektowania prawa konsumenta energii elektrycznej; jakości kształcenia w szkołach wyższych; bezpieczeństwa informatycznego;

rozwiązywania problemów społeczno-ekonomicznych mieszkańców miast; ochrony zabytków archeologicznych.

Państwo i społeczeństwo

AGNIESZKA LISZEWSKA: Odpowiedzialność karna za wyłudzenie podatku VAT – konsekwencje wystawienia faktury poświadczającej nieprawdę 159 W artykule omówiono stan prawny obowiązujący po nowelizacji Kodeksu karnego w odniesieniu do przestępstw związanych z wyłudzeniami podatku VAT. Olbrzymie straty, jakie Skarb Państwa ponosi z tego powodu w związku z działalnością zorganizowanych grup przestępczych, skłoniły ustawodawcę do ustanowienia, zagrożonych bardzo wysokimi karami, nowych typów przestępstw przeciwko wiarygodności dokumentów.

SEBASTIAN KALETA: Zbieg postępowań nadzwyczajnych

– spór w sprawie reprywatyzacji nieruchomości 175

Artykuł opisuje kompetencje Prezydenta m.st. Warszawy oraz Komisji do spraw reprywatyzacji nieruchomości warszawskich na kanwie sprawy o rozstrzygnięcie sporu przez Naczelny Sąd Administracyjny. Autor koncentruje się na możliwości wzruszania i weryfikacji decyzji reprywatyzacyjnych wydawanych przez Prezydenta m.st. Warszawy oraz ocenie relacji między kompetencjami obu organów w razie zaistnienia zbiegu trybów nadzwyczajnych w postępowaniu administracyjnym.

Współpraca międzynarodowa

EWA MIĘKINA: NOK otwierają się na potrzeby obywateli 186 Zebranie Komitetu Kontaktowego państw UE i Europejskiego Trybunału Obrachunkowego, które miało miejsce 11-12 października 2018 r. w chorwackim Dubrowniku poświęcono przede wszystkim kwestiom związanym z ulepszeniem współpracy instytucji kontrolnych z obywatelami UE i większej otwartości na ich potrzeby. Ważnym punktem spotkania było przekazanie funkcji przewodniczącego Komitetu prezesowi NIK, który będzie ją sprawował do kolejnego zebrania w czerwcu 2019 r.

Z życia NIK

Rocznica odzyskania niepodległości – red. 191

W stulecie odzyskania przez Polskę niepodległości, 11 listopada 2018 r., prezes NIK Krzysztof Kwiatkowski wziął udział w uroczystościach państwowych – Mszy Świętej w Świątyni Opatrzności Bożej, odprawie wart przy Grobie Nieznanego Żołnierza oraz w pośmiertnym nadaniu Orderów Orła Białego 25 Polakom. Rocznicę upamiętniono też w delegaturach.

NIK uczy jak walczyć ze smogiem – red. 193

Izba, wspólnie z agencją ONZ – Global Compact Network Poland, Krakowskim Alarmem Smogowym, przy wsparciu Banku Światowego rozpoczęła akcję edukacyjną wśród Polaków dotyczącą negatywnego wpływu zanieczyszczonego powietrza na zdrowie.

Spotkanie Zarządu EUROSAI w Stambule – red. 193

W Stambule odbyło się robocze zebranie Zarządu Europejskiej Organizacji Najwyższych Organów Kontroli (EUROSAI). W dwudniowym spotkaniu (20-21 listopada) wzięło udział ośmiu szefów instytucji kontrolnych, w tym prezes NIK Krzysztof Kwiatkowski, będący od 2017 r. wiceprzewodniczącym tej organizacji.

Sygnały o książkach

Roczny spis treści w języku polskim

Roczny spis treści w języku angielskim

Contents

Informacja dla Czytelników i Autorów 220

Informacja dla Prenumeratorów 222

Kontrola i audyt

Ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) o ochronie danych osobowych, które zastąpiło wydaną przed ponad dwudziestu laty dy- rektywę 95/46/WE, wzmocniło pozycję krajowego organu nadzoru. Powinien być całkowicie niezależny od administracji rządowej oraz posiadać odpowied- nie środki, aby skutecznie realizować przepisy rozporządzenia. Ustrój i kom- petencje polskiego organu określono w ustawie z 10 maja 2018 r. o ochronie danych osobowych¹, w  miejsce Generalnego Inspektora Ochrony Danych Oso bowych powołując Prezesa Urzędu Ochrony Danych Osobowych.

Pozycja prawna Prezesa Urzędu Ochrony Danych Osobowych

Ustrój i kompetencje polskiego organu nadzoru

PRZEMYSŁAW SZUSTAKIEWICZ

1

Uchwalenie w 1997 r. ustawy o ochronie danych osobowych² zmieniło w polskim

1 Dz.U. z 2018 r., poz. 1000, dalej: uodo, ustawa weszła w życie 25.5.2018 – art. 176 uodo.

2 Z 29.8.1997, Dz.U. z 2015 r., poz. 2135 ze zm.

porządku prawnym podejście do tych kwestii. Wcześniej kojarzono je głów- nie z ochroną dóbr osobistych, a zatem z prawem cywilnym. W momencie wejścia

w życie ustawy, państwo przejęło aktywną rolę ochrony danych osobowych przed nie- uprawnionym ujawnieniem i wykorzysta- niem. Punkt ciężkości został więc prze- sunięty z prawa cywilnego do prawa pu- blicznego, a przepisy dotyczące ochrony danych osobowych stały się częścią prawa administracyjnego.

Inspiracją dla polskich przepisów było prawo europejskie, w tym przede wszyst- kim dyrektywa 5/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobo- wych i swobodnego przepływu tych da- nych³, statuująca te zasady na obszarze Unii Europejskiej, do której w tym okre- sie Polska aspirowała. Dyrektywa została uchwalona, ponieważ dynamiczny rozwój techniczny, szczególnie technologii infor- matycznych sprawił, że coraz więcej in- formacji jest gromadzonych w różnych systemach, a jednocześnie są one coraz łatwiej dostępne. Różne podmioty wy- mieniają lub udostępniają informacje, często odpłatnie. Dotyczy to zwłaszcza podmiotów gospodarczych zbierających dane swoich klientów. Również urzędy administracji publicznej i organy ochrony prawnej gromadzą rożne dane o osobach fizycznych, z którymi zetknęły się wyko- nując powierzone im zadania. Powstają zatem duże zbiory obejmujące takie in- formacje o osobach fizycznych, jak: imię i nazwisko, dane teleadresowe oraz daleko

3 Dz. Urz. WE seria L nr 281, s. 31 ze zm., dalej: dyrektywa.

4 Dalej: GIODO.

5 Szerzej na temat kompetencji i zasad działania GIODO, P. Szustakiewicz: Kontroladokonywanaprzez

GeneralnegoInspektoraOchronyDanychOsobowych,„Kontrola Państwowa” nr 6/2017, s.34. nr 6/2007, s. 52-59.

bardziej szczegółowe, np. dotyczące po- siadanej nieruchomości, stanu cywilnego, liczebności rodziny itp.

Niepożądanym skutkiem takiej dzia- łalności stała się możliwość ingerencji w prywatność osób, których dane znalazły się w posiadaniu określonego podmiotu.

Niewątpliwie nikt nie chce, aby informa- cje o nim, zwłaszcza te dotyczące sfery prywatnej były powszechnie dostępne.

Z tego wynikała pilna konieczność ure- gulowania problematyki ochrony danych osobowych. Dyrektywa w motywie 62 wskazywała, że w krajach członkowskich powołanie wyspecjalizowanych organów

„wykonujących swoje funkcje w sposób całkowicie niezależny jest zasadniczym elementem ochrony osób fizycznych w za- kresie przetwarzania danych osobowych”.

Każdy z krajów UE miał ustanowić organ nadzorczo-kontrolny zajmujący się prze- strzeganiem przepisów o ochronie danych osobowych jako podstawowy element pra- widłowego wdrażania zasad ochrony da- nych osobowych. W Polsce organem ochro- ny danych osobowych został Generalny Inspektor Ochrony Danych Osobowych⁴, który dysponował dość dużym zakresem niezależności, choć, jak się wydaje, dość ograniczonymi środkami odziaływania⁵. RODO

Przepisy uchwalonej ponad 20 lat temu dyrektywy okazały się niewystarcza- jące do dostatecznej ochrony danych

osobowych w XXI wieku. Technologie in- formatyczne rozwinęły się niezwykle szyb- ko, pojawiły się nowe formy komunikacji (np. portale społecznościowe), a globali- zacja stosunków gospodarczych sprawiła, że dane osobowe zaczęły być przedmiotem nie tylko kontynentalnego, ale i globalnego obrotu. Stąd wynikła konieczność uchwa- lenia nowego aktu prawnego, jakim stało się rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodne- go przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporzą- dzenie o ochronie danych osobowych)⁶. Zauważa się, że RODO „wpłynie na kształtowanie ochrony; dokumentowa- nie przetwarzania danych i wprowadzo- nych procedur; wykazywanie stosowa- nia rozporządzenia; metody zapewnienia bezpieczeństwa danych; szczególną rolę szacowania ryzyka; realizację praw osób, których dane dotyczą, przetwarzanie tych odnoszących się do usług transgra- nicznych oraz na funkcjonowanie organów nadzorczych”⁷.

Rozporządzenie realizuje zatem dwie funkcje:

• ochronną – dotyczącą nadzoru nad tym, aby dane osobowe były pozyskiwane i prze- twarzane w sposób, który nie narusza prawa osoby fizycznej do prywatności;

• gospodarczą – związaną z koniecznością takiej organizacji ochrony danych osobo- wych, aby nie paraliżowała ona funkcjo- nowania przedsiębiorców europejskich.

6 Dz. Urz. seria L nr 118, s. 1, dalej RODO lub rozporządzenie.

7 M. Sakowska-Baryła: Przetwarzaniedanychosobowychprzezpodmiotypubliczne, „Kontrola Państwowa”

nr 6/2017, s.34.

Jeśli chodzi o funkcję ochronną w RODO wskazano na dwa narzędzia jej realizacji – przepisy dokładnie określające zadania podmiotów (publicznych i prywatnych) pozyskujących i przetwarzających dane osobowe oraz system instytucjonalny wzmacniający pozycję organów nadzo- rujących przestrzeganie przepisów roz- porządzenia.

W stosunku do uprzednio obowiązują- cej dyrektywy rozbudowano normy po- święcone sposobowi organizacji organu nadzorczego w państwach członkowskich, przede wszystkim akcentujące konieczność niezależności organu odpowiedzialnego za ochronę danych osobowych. Jak bowiem wskazano w motywie 117 RODO, „zasad- niczym elementem ochrony osób fizycz- nych w związku z przetwarzaniem danych osobowych jest utworzenie w państwach członkowskich organów nadzorczych, uprawnionych do wypełniania zadań i wy- konywania uprawnień w sposób całkowicie niezależny”. Nie budzi więc wątpliwości, że „funkcjonowanie niezależnych orga- nów nadzorczych jest kluczowym elemen- tem systemu ochrony danych osobowych w Europie. Doświadczenia europejskich organów ochrony danych powołanych na mocy dyrektywy 95/46/WE pokazu- ją, że skuteczna realizacja prawa osób, któ- rych dane dotyczą oraz egzekwowanie obo- wiązków administratorów nie jest możliwe bez ustanowienia podmiotu wyposażone- go w odpowiednie zadania i kompetencje w zakresie monitorowania przestrzegania

przepisów o ochronie danych”⁸. Tylko zatem niezależny organ nadzorczy w każ- dym z państw członkowskich Wspólnoty daje gwarancję prawidłowej realizacji prze- pisów rozporządzenia. Niezależność takie- go organu zgodnie z przepisami rozdziału VI rozporządzenia, powinna być gwaran- towania przez:

1. Separację od innych podmiotów – człon- kowie takiego organu nie powinni przyj- mować poleceń i instrukcji od innych pod- miotów (art. 52 ust. 2) oraz angażować się w działalność polityczną lub gospodarczą (art. 52 ust. 3), a wybór członka organu na- leży tak przeprowadzić, aby nie było wąt- pliwości co do jego predyspozycji osobo- wych i zasad powołania oraz odwołania (art. 53 ust.1 i 3).

2. Kompetencje pozwalające na pełnienie takiej funkcji – członek organu nadzorczego powinien posiadać odpowiednie kwalifika- cje pozwalające na właściwe wykonywanie obowiązków (art. 53 ust. 2).

3. Zabezpieczenie logistyczno-finan- sowe – każde z państw członkowskich Wspólnoty jest zobowiązane do wyposa- żenia organu nadzorczego w odpowiednie środki pozwalające mu na wykonywanie powierzonych zadań (art.52 ust. 4-6).

Kompetencje i zasady funkcjonowania PUODO

Nową ustawę o ochronie danych osobo- wych⁹, która zdaje się przynajmniej w czę- ści realizować wspomniane założenia

8 U. Góral, P. Makowski [w:] RODO. Ogólnerozporządzenieoochroniedanych.Komentarz, red. E. Bielak-Joma, D. Lubasz, Warszawa 2018, s. 907.

9 Dz.U. z 2018 r. poz. 1000, dalej: uodo, ustawa weszła w życie 25.5.2018 – art. 176 uodo.

10 Dalej: PUODO lub Prezes UODO.

uchwalono 10 maja 2018 r. Jak wspo- mniano na wstępie, ustawodawca zmienił nazwę organu odpowiedzialnego za ochro- nę danych osobowych – zamiast dotych- czasowego GIODO, obecnie za ochro- nę danych osobowych odpowiada nowy organ – Prezes Urzędu Ochrony Danych Osobowych¹⁰.

Jak wskazano w uzasadnieniu do ustawy zmiana ma mieć charakter porządkujący, ponieważ „… po pierwsze, Rozporządzenie wprowadza funkcję ‘inspektora ochrony danych’ jako osoby fizycznej wyznacza- nej przez administratora bądź podmiot przetwarzający wewnątrz ich struktury organizacyjnej i obowiązanej do szeroko rozumianego monitorowania przestrze- gania Rozporządzenia. Jednocześnie brak jest jednak jakiegokolwiek związku ustro- jowego pomiędzy takimi osobami a przy- szłym organem nadzorczym, odpowiada- jącym za egzekwowanie w Polsce prze- strzegania przepisów Rozporządzenia.

Pozostawienie dotychczasowej nazwy orga- nu wprowadzałoby w tym zakresie w błąd co do ich pozycji ustrojowej. Zgodnie bo- wiem z art. 38 ust. 3 Rozporządzenia inspektorzy ochrony danych muszą być niezależni. Po drugie, utrzymanie nazwy Generalny Inspektor Ochrony Danych Osobowych powodowałoby niejako ko- nieczność nazwania inspektorami pracow- ników biura, którzy w imieniu organu prze- prowadzają postępowanie kontrolne. Skoro bowiem mamy Generalnego Inspektora,

muszą funkcjonować w jego strukturze organizacyjnej inni inspektorzy, względem których jest on inspektorem generalnym (tak jak miało to miejsce na gruncie do- tychczasowych przepisów). To z kolei prze- sądziłoby, że w systemie ochrony danych osobowych mielibyśmy dwie kategorie in- spektorów – pracowników organu nadzor- czego oraz osoby mające inny status, powo- ływane wewnątrz struktury organizacyjnej administratorów i podmiotów przetwa- rzających, co jest w ocenie projektodawcy niedopuszczalne. Uwzględniając powyższe, odstąpiono również od nazywania pracow- ników organu nadzorczego przeprowadza- jących w jego imieniu czynności kontrolne inspektorami na rzecz nazwania ich kon- trolującymi”¹¹. Zmiana ta ma jedynie upo- rządkować terminologię w sprawach doty- czących ochrony danych osobowych, tak aby nikt nie mylił PUODO oraz pracowni- ków Urzędu Ochrony Danych Osobowych z inspektorem ochrony danych, który działa na podstawie przepisów RODO w pod- miocie przetwarzającym dane. Wydaje się, że to uzasadnienie nie jest przekonujące.

W Polsce GIODO było organem roz- poznawalnym, cieszącym się autoryte- tem. Inspektor ochrony danych posiadał jasno określone kompetencje, odróżniające go od osób wykonujących zadania z zakre- su ochrony danych osobowych na rzecz państwa. Wprowadzenie nowej nazwy – PUODO wpisuje się w niekorzystną praktykę, która od kilku lat ma miejsce w polskim prawodawstwie, polegającą na swego rodzaju „zacieraniu” śladów

11 Uzasadnieniedoprojektuustawyoochroniedanychosobowych, Druk Sejmowy nr 2410, Sejm VIII Kadencji, s. 22.

po poprzednikach i tworzeniu z rewolu- cyjnym zapałem nowych instytucji, choć- by tylko przez zmianę ich nazwy. Obecna nazwa może wskazywać, że PUODO to jeden z wielu centralnych organów ad- ministracji rządowej, jak np. Prezes Urzędu Zamówień Publicznych, czy Prezes Urzędu Dozoru Technicznego – co może osłabić jego autorytet, jeśli ktoś odczyta to jako su- gestię, że utracił niezależność.

Niezależność Prezesa Urzędu Ochrony Danych Osobowych chronią:

1. Tryb wyboru. Podobnie jak Prezes NIK jest wybierany oraz odwoływany przez Sejm za zgodą Senatu (art. 34 ust. 3 uodo). Tryb wyboru PUODO powinien zapewnić jawność informacji o kandydacie oraz o przesłankach, które zadecydowały o jego wyborze.

2. Wymagania. Kandydat na stanowi- sko Prezesa Urzędu Ochrony Danych Osobowych powinien wyróżniać się:

a) wiedzą prawniczą, zdobytą w czasie studiów prawniczych oraz podczas wy- konywania zawodu prawnika lub w trakcie działalności naukowej – na przykład pisząc doktorat lub pracę habilitacyjną na temat ochrony danych osobowych;

b) doświadczeniem, a zatem jego wiedza powinna być poparta doświadczeniem, uzyskanym przez pełnienie funkcji zwią- zanych z ochroną danych (art.34 ust.4 pkt 4 uodo). Niedopuszczalne jest zatem, aby PUODO została osoba, dla której peł- nienie tego stanowiska będzie pierwszym poważnym zetknięciem się z problematyką ochrony danych.

3. Zasada, że przy wykonywaniu swoich obowiązków PUODO podlega tylko prze- pisom ustawy (art. 34 ust. 5 uodo). Przepis ten stanowi, że „żaden organ państwa nie może wpływać w jakiejkolwiek for- mie na wykonywanie zadań przez GIODO oraz przesądza o braku podległości orga- nizacyjnej jakiemukolwiek organowi”¹². Prezes UODO nie może otrzymywać wią- żących poleceń lub instrukcji dotyczacych realizacji swoich zadań od innego organu.

W tym zakresie wiążąca jest dla niego je- dynie treść RODO i ustawy o ochronie danych osobowych;

4. Kadencyjność. PUODO jest powoły- wany na czteroletnią kadencję, a ta sama osoba może pełnić funkcję Prezesa UODO nie więcej niż dwie kadencje (art. 34 ust. 6 i 7 uodo). Przed upływem kadencji Prezes jest faktycznie nieodwoływalny, ponie- waż ustawa określa tylko dwie możliwo- ści powołania nowego Prezesa UODO przed upływem kadencji jego poprzed- nika: Po pierwsze, w sytuacji wcześniej- szego wygaśnięcia kadencji, co ma miejsce z chwilą jego śmierci, odwołania lub utra- ty obywatelstwa polskiego (art. 34 ust.8 uodo). Po drugie, z chwilą jego odwołania przez Sejm za zgodą Senatu, co następuje wyłącznie w przypadku, gdy:

a) zrzekł się stanowiska;

b) stał się trwale niezdolny do pełnienia obowiązków na skutek choroby stwier- dzonej orzeczeniem lekarskim;

c) sprzeniewierzył się ślubowaniu;

d) został skazany prawomocnym wy- rokiem sądu za popełnienie umyślnego

12 P. Barta, P. Litwiński: Ustawaoochroniedanychosobowych.Komentarz, Warszawa 2016, s.152.

przestępstwa lub umyślnego przestępstwa skarbowego;

e) został pozbawiony praw publicznych (art. 34 ust. 9 uodo).

Sytuacje, w których można skrócić ka- dencję PUODO są więc niezwykle rzadkie.

5. Immunitet równy parlamentarnemu.

Prezes UODO nie może być bez uprzed- niej zgody Sejmu Rzeczypospolitej Polskiej pociągnięty do odpowiedzialności karnej ani pozbawiony wolności, a tryb pozba- wiania go immunitetu powinien zapewnić jak najlepszą ochronę osobie pełniącej tę funkcję (art. 38-40 uodo).

6. Zakaz zajmowania przez Prezesa UODO innego stanowiska, poza stanowiskiem na- ukowo-dydaktycznym w uczelni wyższej lub instytucie naukowym oraz podejmo- wania dodatkowych zajęć (nawet nieod- płatnych), jeżeli byłyby one sprzeczne z jego obowiązkami (art. 37 ust. 1 uodo) oraz zakaz przynależności do partii po- litycznej i prowadzenia działalności pu- blicznej niedającej się pogodzić z godnością sprawowanego urzędu (art. 37 ust. 2 uodo).

Ustawa o ochronie danych osobowych ustanowiła w art. 48 organ o charakterze pomocniczo-opiniodawczym działający przy PUODO. Jest nią Rada do Spraw Ochrony Danych Osobowych, której członków powołuje na dwuletnią kaden- cję Prezes UODO spośród kandydatów przedstawianych mu zarówno przez ad- ministrację rządową, jak i inne podmioty (w tym organizacje społeczne) zajmujące się problematyką ochrony danych osobo- wych. Jak stwierdzono w uzasadnieniu

do ustawy: „ideą jest, by różne podmio- ty mogły wesprzeć swoją wiedzą Prezesa Urzędu”¹³. Rada powinna więc służyć wsparciem PUODO podczas wykony- wania przez niego kompetencji.

Utrzymano, jak się wydaje, niezależność finansową nowego organu, ponieważ zgod- nie z art. 139 ust. 2 ustawy z 27 sierpnia 2009 r. o finansach publicznych¹⁴, Prezes UODO sam konstruuje swój budżet, a w art. 174 uodo określono maksymal- ną kwotę wydatków na lata 2018–2027 przeznaczoną na ochronę danych osobo- wych w Polsce.

Podkreślić należy, że w art. 57 ust. 1 RODO prawodawca unijny określił za- mknięty katalog zadań powierzonych nie- zależnemu organowi nadzorczemu funk- cjonującemu w każdym z państw człon- kowskich. Zadania te zmierzają do takiego określenia jego pozycji, aby w każdym z państw był on swego rodzaju „gospo- darzem systemu ochrony danych osobo- wych”, a więc podmiotem w pełni i jedynie odpowiedzialnym nie tylko za kontrolę wy- konywania przepisów RODO, ale i za or- ganizację całego systemu ochrony danych.

PUODO jest zatem również odpowiedzial- ny za całość wdrażania i organizacji ochrony danych osobowych w Polsce.

Procedury kontroli

Nie mniej ważnym elementem systemu ochrony danych osobowych pozostaje kontrola przestrzegania związanych z nią

13 Uzasadnieniedoprojektuustawyoochroniedanychosobowych, Druk Sejmowy nr 2410, Sejm VIII Kadencji, s. 21.

14 Dz.U. z 2017 r. poz. 2077, ze zm.

15 Dz.U. z 2017 r. poz. 1257, ze zm., dalej: k.p.a.

16 Uzasadnieniedoprojektuustawyoochroniedanychosobowych, Druk Sejmowy..., op.cit., s. 23.

przepisów dokonywana przez Prezesa UODO. Nowa ustawa o ochronie da- nych osobowych w stosunku do uprzed- niej regulacji znacznie rozwinęła zasady, na podstawie których przeprowadza się kontrolę. Przede wszystkim ustanawia dwie procedury kontroli:

• zwykłą, określoną w rozdziale 7 uodo – realizowaną na podstawie przepisów ustawy z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego¹⁵;

• stricte kontrolną – opisaną w rozdziale 9 uodo – prowadzoną na podstawie prze- pisów uodo.

Procedura zwykła zawiera kilka zmian w stosunku do regulacji zawartej w k.p.a.

W trakcie prac nad ustawą zauważono, że „projektodawca nie zdecydował się na wprowadzenie odrębnego, właściwego dla naruszeń ochrony danych osobowych, trybu postępowania przed Prezesem Urzędu. U podstaw takiej decyzji legło przekonanie, iż obowiązująca procedu- ra administracyjna, z odmiennościami wynikającymi choćby z bezpośrednie- go stosowania Rozporządzenia, zapew- nia kompletny, a zarazem sprawdzony w praktyce mechanizm postępowania.

Postępowania prowadzone przez Prezesa Urzędu będą postępowaniami w spra- wie naruszenia prawa podstawowego, a stronom tak prowadzonych postępo- wań przysługiwać powinien pełen katalog uprawnień procesowych przewidzianych w KPA”¹⁶.

Uznano zatem, że przepisy Kodeksu postępowania administracyjnego w do- stateczny sposób zapewniają prawidłowe ustalenie stanu sprawy przez PUODO.

Różnice w stosunku do rozwiązań zawar- tych w k.p.a. dotyczą:

• postępowania dowodowego, tj. przez wprowadzenie uprawnienia Prezesa UODO do żądania, aby strona dokonała na swój koszt tłumaczenia na język polski dokumentów obcojęzycznych posiadają- cych znaczenie dla ustalenia stanu sprawy (art. 63 uodo), przedstawienia przez stronę dokumentów, w których znajdują się in- formacje stanowiące tajemnicę przedsię- biorstwa, w dwóch wersjach: zastrzeżonej i bez informacji objętych zastrzeżeniem (art. 67 ust. 1 uodo) oraz przeprowadzenia badań w ramach zwykłego postępowania kontrolnego, gdy wymaga tego koniecz- ność uzupełnienia materiału dowodowego (art. 68 ust.1 uodo);

• wydania przez PUODO na podstawie art. 74 § 2 k.p.a. postanowienia o odmo- wie dostępu do akt sprawy także wów- czas, gdy o ograniczenie wglądu do akt dla stron postępowania wnosi przedsię- biorca, od którego informacja pochodzi (art. 66 uodo);

• uprawnienia dla Prezesa UODO do wy- dawania postanowień nakazujących tym- czasowe ograniczenie przetwarzania da- nych osobowych w sytuacji, gdy zostanie uprawdopodobnione, że narusza to prze- pisy o ochronie danych osobowych, a dal- sze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki

17 Uzasadnieniedoprojektuustawyoochroniedanychosobowych, Druk Sejmowy..., op.cit., s. 30.

(art. 70 ust.1 uodo). Jak podniesiono,

„W takiej sytuacji Prezes, w celu zapo- bieżenia tym skutkom może, w drodze postanowienia, zobowiązać podmiot, któ- remu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograni- czenia przetwarzania danych osobowych, wskazując dopuszczalny zakres tego prze- twarzania”¹⁷. Postanowienie o tymczaso- wym ograniczeniu przetwarzania danych służy ochronie prawidłowego wykonywa- nia kompetencji kontrolnych przez organ, tak aby powstrzymać sprzeczne z prawem działania kontrolowanego, który – obawia- jąc się o wynik kontroli – mógłby w jej trak- cie podjąć działania osłabiające ewentualne skutki. O zastosowaniu środka decydują dwie przesłanki: obiektywna – wysoki, wy- nikający ze wstępnej analizy stanu sprawy stopień prawdopodobieństwa, że doszło do naruszenia przepisów RODO lub uodo i subiektywna, tj. przeświadczenie Preze- sa UODO, że brak jego natychmiastowej reakcji spowoduje trudne lub niemożliwe do usunięcia skutki dotyczące przetwa- rzania danych;

• nakazu, aby w uzasadnieniu do decyzji o nałożeniu kary pieniężnej wskazano prze- słanki określone w art. 83 ust. 2 RODO, na których PUODO oparł się, nakładając administracyjną karę pieniężną oraz usta- lając jej wysokość (art. 72 uodo);

• prawa Prezesa UODO do zwrócenia się do sądu administracyjnego w sytuacji, gdy w trakcie kontroli pojawią się uzasad- nione wątpliwości co do zgodności z pra- wem Unii Europejskiej decyzji Komisji

Europejskiej dotyczącej zasad przetwa- rzania danych z wnioskiem o wystąpie- nie z pytaniem prawnym na podstawie art. 267 Traktatu o funkcjonowaniu Unii Europejskiej w sprawie ważności decyzji Komisji (art. 71 uodo);

• wniesienia skargi do sądu administracyj- nego na decyzję PUODO, która wstrzy- muje z mocy prawa jej wykonanie w od- niesieniu do kary pieniężnej (art. 74 uodo).

Przepisy ustanawiające procedurę stricte kontrolną zostały zamieszczone w rozdziale 9 uodo. Kontrola zarządzona przez Prezesa UODO może mieć cha- rakter planowej lub doraźnej (art. 78 ust. 1 uodo). Przeprowadza ją upoważ- niona osoba na podstawie legitymacji służbowej i wydanego przez PUODO upoważnienia. Ustawa o ochronie da- nych osobowych nie pozwala na prze- prowadzenie kontroli natychmiastowej tylko na podstawie legitymacji służbo- wej kontrolera. Uodo określa, że kon- trole mogą przeprowadzić kontrolerzy należący do trzech kategorii:

a) pracownik Urzędu Ochrony Danych Osobowych (art. 79 ust. 1 pkt 1);

b) członek lub pracownik organu nad- zorczego państwa członkowskiego Unii Europejskiej, gdy przeprowadzana kon- trola posiada charakter wspólnej operacji dwóch lub większej liczby organów nad- zorczych państw członkowskich¹⁸ (art. 79 ust. 1 pkt 2 uodo);

c) specjalista, a więc osoba, której wiedza jest konieczna do prawidłowego zbada- nia stanu faktycznego, w tym wypadku

18 Możliwość takiej kontroli przewiduje art. 62 RODO.

zakres upoważnienia jest  określany przez PUODO (art. 82 ust.1).

Kontrolerzy podlegają dwóm ogra- niczeniom czasowym. Kontrola może być bowiem dokonywana tylko w godzi- nach od 6.00 do 22.00, nadto nie może, zgodnie z art. 89 ust. 1, trwać dłużej niż 30 dni od dnia okazania upoważ- nienia do dnia podpisania lub odmowy podpisania protokołu przez kierownika kontrolowanego podmiotu. Nie wlicza się do tego terminów przewidzianych na zgłoszenie zastrzeżeń do protoko- łu kontroli lub podpisanie i doręczenie protokołu przez kontrolowanego. Okres kontroli jest zatem bardzo krótki, a usta- wodawca nie przewidział możliwości jego wydłużenia. Wymaga zatem dyscypliny pracowników Urzędu Ochrony Danych Osobowych.

Czynności kontrolne

W przeciwieństwie do poprzedniej re- gulacji, nowa ustawa o ochronie danych osobowych nie ogranicza środków dowo- dowych, które mogą być stosowane pod- czas kontroli. W trakcie badań kontrolerzy mają prawo do przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub tele- informatycznych służących do przetwa- rzania danych, żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwa- nia osób w charakterze świadka w zakresie niezbędnym do ustalenia stanu faktycz- nego oraz do zlecania niezbędnych eks- pertyz i opinii.

Czynności kontrolne, np. oględziny są przeprowadzane w obecności kierow- nika kontrolowanej jednostki lub osoby przez niego upoważnionej. Powinien on zapewnić kontrolerom warunki do prze- prowadzenia kontroli. W sytuacji, gdy jest to uzasadnione okolicznościami, Prezes UODO może zwrócić się pisemnie do wła- ściwego ze względu na miejsce kontroli komendanta Policji o zapewnienie asysty policjanta podczas czynności kontrolnych, przy czym w nadzwyczajnych sytuacjach, szczególnie jeśli kontrolujący napotka opór uniemożliwiający lub utrudniający wyko- nywanie czynności kontrolnych, udzielenie pomocy następuje również na ustne we- zwanie Prezesa Urzędu lub kontrolujące- go, po okazaniu imiennego upoważnienia do przeprowadzenia kontroli oraz legity- macji służbowej (art. 85 uodo).

Czynności dowodowe kończą się z chwi- lą przedstawienia kierownikowi kontrolo- wanej jednostki protokołu kontroli zawie- rającego: imię i nazwisko osoby reprezen- tującej kontrolowanego oraz nazwę organu;

imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer imiennego upoważnienia kontrolującego, a w przypadku kontrolującego specjali- sty – imię i nazwisko, numer dokumentu potwierdzającego tożsamość oraz numer imiennego upoważnienia; datę rozpoczęcia i zakończenia czynności; określenie zakre- su przedmiotowego kontroli; opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne zna- czenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych; wyszczególnienie załączni- ków; omówienie dokonanych w protokole kontroli poprawek, skreśleń i uzupełnień;

pouczenie kontrolowanego o prawie zgła- szania zastrzeżeń do protokołu kontroli oraz o prawie odmowy podpisania protoko- łu oraz datę i miejsce podpisania protokołu.

Sporządzony w postaci elektronicznej lub papierowej protokół jest podpisywany przez kontrolującego. Kierownik jednostki kontrolowanej w terminie 7 dni od dnia przedstawienia protokołu do podpisu, pod- pisuje go, albo gdy nie zgadza się z treścią składa pisemne zastrzeżenia. W wypadku złożenia zastrzeżeń, kontrolujący dokonuje ich analizy i gdy uzna za uzasadnione – po- dejmuje dodatkowe czynności kontrolne które, jeśli potwierdzą zasadność zastrze- żeń, powodują zmianę lub uzupełnienie odpowiedniej części protokołu kontroli w formie aneksu. Natomiast w wypad- ku nieuwzględnienia zastrzeżeń w całości albo części, informacje o tym kontrolujący przekazuje kontrolowanemu wraz z uza- sadnieniem. Niepodpisanie protokołu przez kierownika kontrolowanego pod- miotu nie wstrzymuje dalszych czynności Prezesa UODO, który w razie stwierdzenia nieprawidłowości podejmuje czynności prowadzone już w ramach postępowania zwykłego kończącego się wydaniem de- cyzji administracyjnej.

Zakończenie

Wprowadzenie na obszarze całej Unii Europejskiej jednolitych zasad ochrony danych osobowych wiąże się z nadzieja- mi, że nareszcie w Europie w realiach XXI wieku, przy bardzo rozwiniętych techni- kach informatycznych, ochrona informa- cji o osobach fizycznych będzie skutecz- na. Zapewnić ją mają organy nadzorcze działające w państwach członkowskich.

Rozwiązania przyjęte w polskiej ustawie

o ochronie danych wydają się zapewniać polskiemu organowi nadzorczemu skutecz- ne narzędzia ochrony danych osobowych Polaków i innych osób przebywających na terenie państwa.

Powstaje jednak pytanie, czy biorąc pod uwagę skomplikowaną problema- tykę, którą zajmuje się obecnie PUODO, oraz niewielkie zasoby kadrowe jaki- mi dysponuje¹⁹, jest w stanie podołać

19 Wedle sprawozdania GIODO, w 2017 r. w Biurze GIODO było zatrudnionych 162 pracowników, z czego 132 osoby na stanowiskach merytorycznych (SprawozdaniezdziałalnościGeneralnegoInspektoraOchrony

DanychOsobowychwroku2017, Warszawa 2018, s. 14).

nałożonym na niego obowiązkom. Oby nie było sytuacji, w której mamy dobre, nowoczesne rozwiązania prawne, ale bra- kuje sił i środków, aby z nich w pełni korzystać.

dr hab. PRZEMYSŁAW SZUSTAKIEWICZ profesor Uczelni Łazarskiego w Warszawie

Słowa kluczowe: ochrona danych osobowych, RODO, Prezes Urzędu Ochrony Danych Osobowych, kontrola, administrator danych osobowych

Key words: protection of personal data, RODO, President of Personal Data Protection Office, audit, personal data administrator

Artykuł przybliża przepisy umożliwiające pozwanie kontrolera w związku z treścią wystąpienia pokontrolnego, a zwłaszcza oceną kontrolowanej dzia- łalności oraz wybrane orzecznictwo sądów. Rozważania służą odpowiedzi na pytanie, czy istnieje potrzeba instytucjonalnego wzmocnienia niezależ- ności kontrolerów przez zapewnienie im formalnego immunitetu zabezpie- czającego przed roszczeniami, jakie mogą być formułowane na podstawie prawa cywilnego, przede wszystkim z tytułu naruszenia dóbr osobistych.

Czy kontrolerzy potrzebują

immunitetu cywilnoprocesowego

Swoboda wykonywania czynności służbowych

ŁUKASZ RÓG

W preambule Deklaracji z Limy w spra- wie zasad kontroli¹ wskazano, że racjonal- ne i efektywne wykorzystanie funduszy publicznych stanowi jeden z zasadniczych warunków prawidłowego zarządzania fi- nansami publicznymi oraz skuteczności decyzji podejmowanych przez właściwe organy, a osiągnięcie tego celu wyma- ga, aby w każdym kraju istniał najwyż- szy organ kontroli, którego niezależność

1 Dokument uchwalony przez IX Kongres INTOSAI w 1977 r., <https://www.nik.gov.pl/plik/id,2049.pdf>.

2 Dokument uchwalony przez XIX Kongres INTOSAI w 2017 r., <https://www.nik.gov.pl/plik/id,2048.pdf>.

3 Dokument uchwalony przez XIX Kongres INTOSAI; osiem zasad, które jak wskazano w samej Deklaracji, wynikają z Deklaracji z Limy.

4 Odnosi się natomiast do niezależności szefów najwyższych organów kontroli oraz członków ich organów kolegialnych.

jest zagwarantowana prawem. Z kolei sto- sownie do pkt. 3 cz. 6 Deklaracji, dzia- łalność zawodowa pracowników najwyż- szych organów kontroli musi być wolna od wpływu podmiotów kontrolowanych i nie może od nich zależeć. Przyjęta później Deklaracja z Meksyku w sprawie niezależ- ności najwyższych organów kontroli², sta- nowi bardzo istotny dokument dotyczący określania zasad niezależności tych orga- nów³, jednak nie zawiera bezpośrednich odniesień do ich pracowników⁴.

Konstytucja Rzeczypospolitej Polskiej⁵ w art. 206 formułuje immunitet prawno- karny Prezesa NIK, natomiast art. 88 ust. 1 ustawy z 23 grudnia 1994 r. o Najwyższej Izbie Kontroli⁶ obejmuje nim również wi- ceprezesów i dyrektora generalnego NIK oraz kontrolerów.

Dla kontrolerów⁷ prowadzących czynno- ści w jednostce kontrolowanej znaczenie ma możliwość wytoczenia przeciwko nim powództwa o naruszenie dóbr osobistych.

Niezależnie od wyników takiego postę- powania, sam udział w nim w charakte- rze pozwanego jest bardzo niekorzystny z punktu widzenia poczucia bezpieczeń- stwa prawnego pracownika naczelnego or- ganu kontroli. W skrajnych przypadkach może oddziaływać na sposób prowadze- nia przez nich postępowania oraz treść projektu wystąpienia pokontrolnego, w tym opisu ustalonych nieprawidłowo- ści i oceny kontrolowanej działalności.

Należy przy tym zaznaczyć, że powódz- two o naruszenie dóbr osobistych może zostać wytoczone także przeciwko dyrek- torowi kontrolnej jednostki organizacyjnej, który podpisał wystąpienie pokontrolne oraz Skarbowi Państwa – Najwyższej Izbie Kontroli. Jednak to kontroler jest najsłab- szym – z punktu widzenia powoda – pod- miotem, przeciwko któremu mogą być skierowane roszczenia. Dlatego można

5 Z 2.4.1997, Dz.U. nr 78 poz. 483, ze zm.

6 Dz.U. z 2017 r. poz. 524, ze zm.; dalej: „ustawa o NIK”.

7 W dalszej części opracowania pojęcie kontrolerów będzie używane w znaczeniu niepokrywającym się z art. 66a ustawy o NIK, który określa dziewięć kategorii kontrolerów (dyrektorów kontrolnych jednostek organizacyjnych NIK; wicedyrektorów kontrolnych jednostek organizacyjnych NIK; radców prezesa NIK;

doradców prawnych, ekonomicznych i technicznych; głównych specjalistów kontroli państwowej; specjali- stów kontroli państwowej; starszych inspektorów kontroli państwowej; inspektorów kontroli państwowej;

młodszych inspektorów kontroli państwowej), tj. w odniesieniu do kontrolerów przeprowadzających czyn- ności kontrolne w jednostce i odpowiedzialnych za ustalenie stanu faktycznego.

uznać, że spośród wszystkich uczestni- ków postępowania kontrolnego, kontroler jest właśnie najbardziej narażony na taką ewentualność.

Powyższe ryzyko nie jest jednak wyłącz- nie hipotetyczne. W związku z wynika- mi jednej z przeprowadzonych ostatnio przez Najwyższą Izbę Kontroli kontroli i sformułowaną w wystąpieniu pokontrol- nym oceną działalności, kierownik jednost- ki kontrolowanej zapowiedział wystąpienie przeciwko kontrolerowi z powództwem o naruszenie dóbr osobistych.

W ustawie o NIK nie ma instytucjonal- nych gwarancji niezależności kontrolerów jeśli chodzi o odpowiedzialność cywilną za treść wystąpienia pokontrolnego, a im- munitet karnoprocesowy nie zapewnia im wystarczającego prawnego bezpieczeń- stwa w związku z czynnościami służbo- wymi.

Prawne gwarancje

niezależności kontrolerów Zgodnie z art. 88 ust. 1 ustawy o NIK wi- ceprezesi i dyrektor generalny Najwyższej Izby Kontroli oraz kontrolerzy nie mogą być pociągnięci do odpowiedzialno- ści karnej z powodu czynności służbo- wych, bez uprzedniej zgody Kolegium Najwyższej Izby Kontroli, a  Prezes Najwyższej Izby Kontroli ‒ bez zgody

Sejmu. Powyższy przepis, mający za- stosowanie również po ustaniu stosun- ku pracy, uzależnia wszczęcie przeciw- ko kontrolerowi postępowania karnego od wyrażenia zgody przez Kolegium NIK, co jest ważną, instytucjonalną gwarancją niezależności, ale jedynie w aspekcie kar- noprocesowym. W literaturze wskazuje się, że immunitet ustanowiony w art. 88 ustawy o NIK jest niepełny i ma charakter formalny⁸ (immunitet materialny, zwany także immunitetem nieodpowiedzialno- ści, jest instytucją uchylającą karalność czynu przestępczego⁹). Ponadto zwraca się uwagę, że ma on charakter trwały¹⁰ (obowiązuje również po ustaniu stosun- ku pracy). Niepełność natomiast oznacza, że immunitetem są objęte tylko czyny popełnione „przy wykonywaniu czyn- ności służbowych lub w związku z tymi czynnościami (…). Nie dotyczy natomiast innych czynów, chociażby zostały doko- nane przy okazji wykonywania czynności służbowych”¹¹.

W razie niewyrażenia przez Kolegium NIK zgody na pociągnięcie kontrolera do odpowiedzialności karnej, postępo- wanie karne przeciwko niemu nie może się toczyć, bowiem jak stanowi art. 17 § 1 pkt 10 ustawy z 6 czerwca 1997 r. ‒ Kodeks postępowania karnego¹², nie wszczyna się postępowania, a wszczęte umarza,

8 T. Liszcz [w: ] KomentarzdoustawyoNajwyższejIzbieKontroli,Wydawnictwo Sejmowe, Warszawa 2000, s. 229.

9 U. Kalina-Prasznic (red.): Encyklopediaprawa, Wydawnictwo C.H. Beck, Warszawa 2004, s. 210.

10 T. Grzegorczyk: ImmunitetkarnoprocesowyfunkcjonariuszyNajwyższejIzbyKontroli, „Kontrola Państwowa”

nr 3/1996, s. 33.

11 T. Liszcz, op. cit., s. 229.

12 Dz.U. z 2018 r. poz. 1987, ze zm.

13 T. Grzegorczyk, op. cit., s 34.

14 Zmiana dokonana ustawą z 22.1.2010 o zmianie ustawy o Najwyższej Izbie Kontroli (Dz.U. nr 227 poz. 1482, ze zm.), która weszła w życie 2.6.2012.

gdy brak wymaganego zezwolenia na ści- ganie lub wniosku o ściganie pochodzącego od osoby uprawnionej, chyba że ustawa stanowi inaczej. Podkreślenia wymaga, jak wskazuje się w literaturze, że „umo- rzenie postępowania z uwagi na przeszko- dę w postaci nieuchylonego immunitetu nie stanowi rei iudicate na przyszłość¹³.

Brzmienie art. 88 ustawy o NIK, zapew- niającego kontrolerowi immunitet karno- procesowy, nie uległo zmianie od czasu uchwalenia tej ustawy. Jednakże nasuwa się wątpliwość, czy przepis ten, szczegól- nie po zasadniczej zmianie modelu postę- powania kontrolnego jaka miała miejsce w 2010 r.¹⁴, stanowi wystarczającą prawną gwarancję niezależności kontrolera. Należy bowiem mieć na uwadze, że to nie groź- ba odpowiedzialności karnej w związku z czynnościami służbowymi, ale odpo- wiedzialności cywilnej, przede wszyst- kim w związku z treścią oceny zawartej w wystąpieniu pokontrolnym, może być czynnikiem mającym negatywny wpływ na poczucie bezpieczeństwa prawnego kontrolera.

W czasie uchwalania ustawy o NIK, choć teoretycznie również istniała moż- liwość pozwania kontrolera za naruszenie dóbr osobistych w związku z treścią sporzą- dzanych w postępowaniu kontrolnym do- kumentów, taka ewentualność była bardzo

mało prawdopodobna. Z przepisów regu- lujących postępowanie kontrolne prowa- dzone przez NIK jednoznacznie wynikało, że to nie kontroler odpowiada za jego treść i oceny kontrolowanej działalności. Zatem pozywanie go w związku z treścią ocen zawartych w wystąpieniu pokontrolnym nie miało na podstawie przepisów ustawy o NIK oraz aktów wykonawczych do niej, prawnego uzasadnienia.

Zgodnie z art. 28 ust. 1 ustawy o NIK postępowanie kontrolne ma na celu usta- lenie stanu faktycznego dotyczącego dzia- łalności jednostek poddanych kontroli, rzetelne jego udokumentowanie i doko- nanie oceny kontrolowanej działalności według kryteriów określonych w art. 5.

W wypadku dwóch z trzech wymienio- nych celów postępowania kontrolnego, tj. ustalenia stanu faktycznego oraz rze- telnego jego udokumentowania, kluczowa rola i odpowiedzialność przypada kontro- lerowi. Stosownie do art. 71 pkt 2 ustawy o NIK do obowiązków kontrolera należy obiektywne ustalanie i rzetelne dokumen- towanie wyników kontroli. Wydaje się, że co do zasady, kontroler nie jest jedynym autorem ostatecznej oceny kontrolowa- nej działalności, zarówno w poprzednio, jak i obecnie obowiązującym modelu po- stępowania kontrolnego¹⁵.

Oczywiście rola kontrolera w sformuło- waniu oceny zawartej w wystąpieniu po- kontrolnym zależy od konkretnego przy- padku. Należy także zauważyć, że opis ustalonych nieprawidłowości zawiera elementy ocenne i w istotnym stopniu

15 Nie umniejszając roli kontrolera, należy mieć na uwadze, że zgodnie z art. 1 ust. 3 ustawy o NIK Izba działa na zasa- dach kolegialności, a ostateczna treść wystąpienia pokontrolnego jest wypracowywana z uwzględnieniem tej zasady.

warunkuje ocenę kontrolowanej działal- ności. Jednak odpowiedzialność kontrolera przede wszystkim za treść ustaleń znaj- dowała wyraźne oparcie tylko w modelu postępowania kontrolnego obowiązującym do 2 czerwca 2012 r., w ramach którego sporządzało się dwa dokumenty: proto- kół kontroli oraz wystąpienie pokontrolne.

Jak stanowił art. 53 ust. 1 i 2 ustawy o NIK w brzmieniu obowiązującym do 2 czerw- ca 2012 r., wyniki przeprowadzonej kon- troli kontroler przedstawia w protoko- le, który zawiera opis stanu faktycznego stwierdzonego w toku kontroli działalności jednostki kontrolowanej, w tym ustalo- nych nieprawidłowości, z uwzględnieniem przyczyn powstania, zakresu i skutków tych nieprawidłowości oraz osób za nie od- powiedzialnych. O tym, że to kontroler odpowiadał za treść protokołu kontroli jednoznacznie świadczył art. 54 ustawy o NIK. Stanowił on, że protokół kontroli podpisują kontroler i kierownik jednostki kontrolowanej, a w razie jego nieobecności osoba pełniąca jego obowiązki.

Drugim dokumentem sporządzanym w postępowaniu kontrolnym było wystą- pienie pokontrolne. Zgodnie z art. 60 ust. 1 ustawy o NIK, w brzmieniu obowiązu- jącym do 2 czerwca 2012 r., Najwyższa Izba Kontroli przekazuje kierownikowi jednostki kontrolowanej, a w razie potrzeby także kierownikowi jednostki nadrzęd- nej oraz właściwym organom państwo- wym lub samorządowym, wystąpienia pokontrolne. Natomiast art. 60 ust. 2 ustawy o NIK stanowił, że wystąpienie

pokontrolne zawiera oceny kontrolowanej działalności, wynikające z ustaleń opisa- nych w protokole kontroli, a w razie stwier- dzenia nieprawidłowości, także uwagi i wnioski w sprawie ich usunięcia. Z po- wyższego wynika, że ustawa o NIK nie re- gulowała kwestii podpisywania wystąpie- nia pokontrolnego. Zostało to natomiast uregulowane w § 47 zarządzenia Prezesa Najwyższej Izby Kontroli z września 2011 r.

w sprawie postępowania kontrolnego¹⁶. Ponadto § 3 pkt 7 ww. zarządzenia sta- nowił, że dyrektor kontrolnej jednostki organizacyjnej zapewnia rzetelne przed- stawianie w wystąpieniach pokontrolnych oceny kontrolowanej działalności, a w ra- zie stwierdzenia nieprawidłowości, także uwag i wniosków w sprawie ich usunięcia.

Zgodnie z § 46 ust. 1 zarządzenia kontroler opracowywał projekt wystąpienia pokon- trolnego do kierownika jednostki kontro- lowanej, zawierającego ocenę działalno- ści, w tym osób odpowiedzialnych za nią, a w razie stwierdzenia nieprawidłowości – uwagi i wnioski w sprawie ich usunię- cia. Zatem w świetle przepisów regulują- cych postępowanie kontrolne do 2 czerwca 2012 r. nie było większych wątpliwości, że kontroler odpowiada za sporządzenie (podpisywanego przez siebie) protoko- łu kontroli zawierającego opis ustalonego stanu faktycznego i jedynie za sporządze- nie projektu wystąpienia pokontrolnego, w którym przedstawiono oceny kontro- lowanej działalności.

16 M.P. nr 87 poz. 913; poprzednio obowiązujące zarządzenie Prezesa Najwyższej Izby Kontroli z 1.3.1995 w sprawie postępowania kontrolnego (M.P. nr 17 poz. 211) zawierało analogiczne uregulowania.

17 Ostatecznie decyzję w przypadku odmowy podpisania przez kontrolera wystąpienia podejmuje Prezes NIK, który stosownie do art. 53 ust. 5 ustawy o NIK, może zastrzec dla siebie prawo do podpisania każdego wy- stąpienia pokontrolnego.

Od 2 czerwca 2012 r. podział zadań i kompetencji w ramach nowego mode- lu postępowania kontrolnego faktycznie nie uległ zasadniczej zmianie, tj. kontroler w dalszym ciągu opisuje w wystąpieniu pokontrolnym stan faktyczny oraz sporzą- dza projekt oceny kontrolowanej działal- ności, która ostatecznie jest formułowana przy udziale innych kontrolerów (koor- dynatora kontroli – w wypadku kontroli koordynowanych, doradcy nadzorujące- go, doradcy prawnego, wicedyrektora) – z uwzględnieniem zasad kolegialności.

Odrębną kwestią jest udział w postępo- waniu kontrolnym członków Zespołu Orze kającego Komisji Rozstrzygającej w Naj wyższej Izbie Kontroli w wypad- ku zgłoszenia zastrzeżeń do wystąpienia pokontrolnego. Nie oznacza to jednak, że kon troler ma bezwzględny obowiązek podpisania wystąpienia, z którego treścią, w szczególności ze sformułowaną oceną – różną od tej, której projekt sam zapro- ponował – się nie zgadza. W takiej sytuacji regulacje wewnętrzne przewidują mecha- nizmy, pozwalające na weryfikację zasad- ności odmowy podpisania przez kontrolera wystąpienia¹⁷. Jednakże dla omawianej kwestii istotne jest to, że przepisy ustawy o NIK umożliwiają pociągnięcie kontrole- ra do odpowiedzialności cywilnej za treść oceny kontrolowanej działalności, mogącej naruszać dobra osobiste kierownika kon- trolowanej jednostki lub/i samej jednostki objętej kontrolą. Zgodnie z art. 53 ust. 1

pkt 4 ustawy o NIK kontroler przygotowu- je wystąpienie pokontrolne, które zawie- ra zwięzły opis ustalonego stanu faktycz- nego i ocenę kontrolowanej działalności, w tym ustalone, na podstawie materiałów dowodowych znajdujących się w aktach kontroli, nieprawidłowości i ich przyczy- ny, zakres i skutki oraz osoby za nie od- powiedzialne. Stosownie do art. 53 ust. 3 ustawy o NIK wystąpienie pokontrolne podpisuje kontroler prowadzący kontrolę oraz dyrektor właściwej jednostki kontrol- nej, z zastrzeżeniem ust. 4 i 5.

Można zaryzykować stwierdzenie, że podpis kontrolera na wystąpieniu pokon- trolnym niejako certyfikuje prawdziwość ustalonego przez niego stanu faktyczne- go oraz rzetelne jego udokumentowanie, co poprzednio następowało przez sporzą- dzenie oraz podpisanie protokołu kontroli.

Jest oczywiste, że ocena kontrolowanej działalności musi wynikać z ustalonego stanu faktycznego i zgromadzonego ma- teriału dowodowego, co kontroler po- twierdza swoim podpisem. Nie oznacza to jednak, że jest on jedynym i głównym autorem tej oceny oraz ponosi za nią pełną odpowiedzialność. Pomimo że kontroler przygotowuje jedynie projekt oceny kon- trolowanej działalności, jego rola w sfomu- łowaniu ostatecznej jej wersji nie znajduje odzwierciedlenia w treści art. 53 ustawy o NIK. Jego brzmienie nie wyklucza moż- liwości pozwania kontrolera za treść wy- stąpienia pokontrolnego, w szczególności

18 Choć nie można też wykluczyć, że kierownik kontrolowanej jednostki może uznać, iż jego dobra osobiste naruszają również konkretne ustalenia stanu faktycznego.

19 E. Jarzęcka-Siwik [w:] NajwyższaIzbaKontroliiprawneaspektyfunkcjonowaniakontrolipaństwowej, Warszawa 2018, s. 308.

za treść oceny kontrolowanej działalno- ści. Wydaje się, że prawdopodobieństwo pozwania kontrolera w związku z opisa- nym w wystąpieniu prawdziwym stanem faktycznym jest nieporównanie mniej- sze niż wystąpienia przeciwko niemu na drogę sądową za konkretną treść oceny kontrolowanej działalności, szczególnie gdy jest ona krytyczna (negatywna lub opi- sowa o wydźwięku negatywnym)¹⁸. Czym innym są bowiem fakty, mające charakter obiektywny, a czym innym sformułowa- na na ich podstawie ocena, która – nawet wbrew intencji autora – zawsze będzie obarczona subiektywizmem jej autora, więc potencjalnie może naruszać dobra osobiste kierownika kontrolowanej jed- nostki lub/i samej jednostki, w stopniu większym niż sam opis stanu faktycznego.

Prawna możliwość pozwania kontrolera za naruszenie dóbr osobistych nie budzi wątpliwości w doktrynie, jednak nie uzna- je się tego wyraźnie jako stan niepożąda- ny, który może mieć negatywny wpływ na wykonywanie przez niego czynności kontrolnych. Wskazuje się, że „powództwo o ochronę dóbr osobistych może zostać skierowane przeciwko Izbie, ale pozwanym może być również kontroler, którego czyn- ności służbowe były podstawą do sformu- łowania roszczenia. Pozwani muszą wdać się w spór sądowy i wykazać brak podstaw do zasądzenia powództwa”¹⁹.

Warunki dochodzenia roszczeń z tytu- łu naruszenia dóbr osobistych określają

przede wszystkim z art. 23 i 24 oraz 448 ustawy z 23 kwietnia 1964 r. Kodeks cy- wilny²⁰ (k.c.). Zgodnie z art. 23 k.c. dobra osobiste człowieka, jak w szczególności:

zdrowie, wolność, cześć, swoboda sumie- nia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, arty- styczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilne- go niezależnie od ochrony przewidzianej w innych przepisach. Art. 24 § 1 k.c. sta- nowi, że ten, czyje dobro osobiste zosta- je zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie doko- nanego naruszenia może on także żądać, żeby osoba, która dopuściła się narusze- nia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczegól- ności żeby złożyła oświadczenie odpo- wiedniej treści i w odpowiedniej formie.

Na zasadach przewidzianych w Kodeksie może on również żądać zadośćuczynie- nia pieniężnego lub zapłaty odpowiedniej sumy na wskazany cel społeczny. Z kolei stosownie do art. 448 k.c., w razie naru- szenia dobra osobistego sąd może przy- znać temu, czyje dobro osobiste zostało naruszone, odpowiednią sumę tytułem zadośćuczynienia pieniężnego za doznaną krzywdę lub na jego żądanie zasądzić odpo- wiednią sumę na wskazany przez niego cel społeczny, niezależnie od innych środków

20 Dz.U. z 2018 r. poz. 1025, ze zm.; dalej: „k.c.”.

21 Zgodnie z art. 445 § 3 k.c. roszczenie o zadośćuczynienie przechodzi na spadkobierców tylko wtedy, gdy zo- stało uznane na piśmie albo gdy powództwo zostało wytoczone za życia poszkodowanego.

22 Oczywiście dotyczy to tych kontrolowanych jednostek, którym przepisy szczególne przyznają osobowość prawną.

23 Sygn. I ACa 609/17, LEX nr 2423310.

potrzebnych do usunięcia skutków naru- szenia. Przepis art. 445 § 3 stosuje się²¹. Należy zaznaczyć, że zgodnie z art. 43 k.c. przepisy o ochronie dóbr osobistych osób fizycznych stosuje się odpowiednio do osób prawnych. Jak już wyżej wska- zano, po stronie powodowej w procesie o naruszenie dóbr osobistych może zatem występować zarówno kierownik kontro- lowanej jednostki jako osoba fizyczna, jak i sama kontrolowana jednostka bę- dąca osobą prawną²².

Jak wynika z art. 24 § 1 k.c. kluczowym elementem warunkującym uwzględnienie roszczenia z tytułu naruszenia dóbr osobi- stych jest bezprawność działania. Można a priori przyjąć, że działaniu kontrolera, którego podpis zgodnie z formalnym wy- mogiem określonym w art. 53 ust. 3 usta- wy o NIK znajduje się na wystąpieniu po- kontrolnym – co do zasady – nie będzie możliwe przypisanie cech bezprawności, co skutkować musi oddaleniem wytoczo- nego przeciwko niemu powództwa z ty- tułu naruszenia dóbr osobistych. Jednak przed wydaniem takiego wyroku koniecz- ne będzie wdanie się kontrolera w spór i wykazanie bezzasadności roszczenia.

Z orzecznictwa sądów wynika, że dzia- łanie na podstawie i w granicach usta- wy o NIK powinno być uznane za oko- liczność wyłączającą bezprawność.

W wyroku z 15 grudnia 2017 r.²³ Sąd Apelacyjny w Białymstoku wskazał, że: