Wraz z wejściem w życie pod koniec maja 2018 roku nowych przepisów o ochronie danych osobowych przedsiębiorców czekają duże, można powiedzieć, rewolucyjne zmiany. Nie wchodząc w szczegóły dotyczące szeregu nowych obowiązków, których spełnienie będzie odtąd konieczne, zauważyć należy, że to nie jedynie zmiany, jakie czekają na przedsiębiorców w tej kwestii. Zmieni się bowiem i to znacząco procedura podstępowania przed organem administracji w sprawie naruszenia przepisów o ochronie danych osobowych. Już na wstępie należy stwierdzić, że nie będą to zmiany korzystne dla przedsiębiorców. Przeciwnie, wprowadzonych zostanie szereg nie obowiązujących aktualnie obostrzeń i rygorów, jednocześnie zaś zwiększone zostaną znacząco uprawnienia urzędników.
Nawet 20 mln euro kary
Niewątpliwie najbardziej medialną, a tym samym najbardziej nośną informacją w kwestii danych osobowych, będzie możliwość nakładania przez nowo powstały organ administracji – Prezesa Urzędu Ochrony Danych Osobowych – gigantycznych kar finansowych na przedsiębiorców, którzy dane takie przetwarzać będą z naruszeniem przepisów. Faktem jest, że kary na poziomie 20 milionów euro lub stanowiących równowartość 4% światowego obrotu firmy – bo o takich kwotach mówimy przemawiają do wyobraźni. Jeżeli uświadomimy sobie, że wcześniej organ administracji nie posiadał w ogóle instrumentu do nakładania sankcji tego rodzaju, to zmiana ta ma charakter wręcz systemowy. Należy jednak pamiętać, że zmiany procedury administracyjnej idą dalej, o czym szerzej poniżej.
RODO w Unii Europejskiej
Należy na wstępie przedstawić pokrótce charakterystykę takiej procedury. Otóż, przepisy unijnego rozporządzenia, zwanego w skrócie jako RODO (chodzi o Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE), które wchodzi w życie z dniem 25 maja 2018 roku, znajdą bezpośrednie zastosowanie we wszystkich krajach Unii Europejskiej, w tym także w Polsce. Nie oznacza to jednak, że żaden kraj członkowski UE nie może ustanowić własnych przepisów w tym zakresie. Takie uprawnienie istnieje, ważne jest jedynie, aby tworząc takie krajowe przepisy, które uszczegóławiają regulacje unijne, nie były z nimi sprzeczne. Dodatkowo, rozporządzenie RODO wskazuje obszary, których uregulowane zostało wprost przewidziane dla ustawodawstw krajowych. Takim obszarem jest między innymi właśnie kwestia określenia organu administracji krajowej, który miałby zajmować się postępowaniami w tym zakresie, oraz kwestia dotycząca samej procedury takiego postępowania.
Wyłączenie zasady dwuinstancyjności postępowania
Polski ustawodawca, korzystając z przewidzianego w RODO uprawnienia, przygotował projekt własnej ustawy o ochronie danych osobowych, która wejdzie w życie równolegle z RODO. W projekcie tym, opracowanym przez Ministerstwo Cyfryzacji, dużą część zajmują przepisy związane z omawianą procedurą administracyjną. Wskazano w nich wprost, że w tym zakresie zastosowanie znajdą przepisy Kodeksu Postępowania Administracyjnego (KPA), obejmujące jednak – co ma kluczowe znaczenie – zmiany wynikające z tej nowej ustawy. Powyższe ma zasadnicze znaczenie, przewidziane bowiem w ustawie odmienności wobec standardowej procedury z KPA mają bardzo daleko idący charakter.
Wypada zauważyć, że zgodnie z przepisami KPA postępowanie przed organami administracji ma charakter dwuinstancyjny (art. 15). Oznacza to w praktyce, że w razie wydania niekorzystnej dla strony (przedsiębiorcy) decyzji, może on zawsze wnieść odwołanie do organu administracji wyższego stopnia. Jeżeli organ wyższego stopnia uzna, że decyzja administracyjna wobec przedsiębiorcy była błędna, odwołanie zostanie uwzględnione, a wadliwa decyzja – uchylona czy też zmieniona jeszcze na etapie administracyjnym.
Należy podkreślić, że zasada dwuinstancyjności postępowania administracyjnego wynika wprost z Konstytucji (art. 78). Wyjątek od tej zasady może mieć miejsce jedynie w sytuacjach nadzwyczajnych i musi być uzasadniony wyjątkowymi i szczególnymi okolicznościami. Podkreślić należy, że w projekcie ustawy o ochronie danych osobowych przewidziano, że postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych będzie jednoinstancyjne. Oznacza to zatem, że w razie wydania niekorzystnej dla przedsiębiorcy decyzji, nie będzie mógł on się od niej odwołać w ramach procedury administracyjnej. Wyłączona będzie tym samym możliwość uchylenia czy też zmiany takiej decyzji przez organ administracyjny wyższego stopnia. Przedsiębiorca będzie zaś musiał szukać sprawiedliwości na drodze sądowej, składając skargę do Wojewódzkiego Sądu Administracyjnego, a w razie niekorzystnego wyroku tego sądu – skargę kasacyjną do Naczelnego Sądu Administracyjnego.
Błąd urzędnika może skutkować upadłością przedsiębiorcy
Sytuacja strony (przedsiębiorcy) postępowania administracyjnego będzie zatem już „na starcie” dużo mniej korzystna niż uczestników postępowań przed innymi organami administracji. Jeżeli przedsiębiorca opiera swoją działalność na przetwarzaniu danych osobowych (klasycznym przykładem może być tutaj firma prowadząca sklep internetowy), to decyzja, na mocy której np. ograniczono mu możliwość przetwarzania takich danych lub zakazano ich przetwarzania, w praktyce może skutkować faktycznym zakończeniem działalności gospodarczej czy też upadłością takiego podmiotu. Spodziewany wyrok sądu administracyjnego, który w odległej zapewne przyszłości uchyli taką decyzję, nie przywróci już takiemu przedsiębiorcy poniesionej szkody. Samo wniesienie skargi do sądu administracyjnego spowoduje wstrzymanie wykonalności decyzji jedynie w zakresie nałożonej kary finansowej. Wszelkie inne nakazy i zakazy pozostaną w mocy, co w praktyce sparaliżuje pracę firmy.
Natychmiastowe wykonanie postanowienia
Jednoinstancyjność postępowania administracyjnego to nie jedynie niekorzystne dla przedsiębiorców rozwiązanie, które przyjęto w nowym projekcie ustawie. Powiedzieć należy bowiem również o kolejnym niekorzystnym aspekcie postępowania, jakim jest możliwość wydawania przez organ postanowień w toku postępowania. W szczególności dotyczyć to będzie postanowień, na mocy których organ będzie mógł zobowiązać przedsiębiorcę do ograniczenia przetwarzania danych we wskazanym zakresie. Co szalenie istotne, podstawą takiego postanowienia nie będzie wcale stwierdzenie określonego naruszenia. Podstawą ma być zaledwie uprawdopodobnienie, że przetwarzanie danych osobowych jest niezgodne z prawem, a dopuszczenie do ich dalszego przetwarzania może spowodować poważne i trudne do usunięcia skutki.
Brak wysłuchania przedsiębiorcy w toku postępowania
W praktyce, subiektywne przekonanie urzędnika prowadzącego postępowanie, z którego wynikać będzie, że w jego ocenie istnieje określne prawdopodobieństwo, stanowić ma podstawę do wydania postanowienia daleko idących skutkach. Skutki gospodarcze takiego postanowienia mogą być dla przedsiębiorcy w praktyce nieodwracalne. Pewnym złagodzeniem ww. rygorów będzie możliwość złożenia skargi na tego typu postanowienie.
Podsumowanie
W tej krótkiej publikacji zwrócono uwagę na niektóre jedynie nowe rozwiązania, które zgodnie z projektem ustawy (jeszcze nie uchwalonej) przewidziano z zakresie procedury postępowania przed Prezesem Urzędu Ochrony Danych Osobowych. Jak widać, przedstawione rozwiązania nie są przyjazne dla przedsiębiorców. Jest to zatem kolejny argument, aby dobrze przygotować się do wejścia w życie nowych przepisów, tak aby uniknąć w praktyce surowych sankcji i rygorów przewidzianych w ramach postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych.