W lutym br. przed Naczelnym Sądem Administracyjnym (NSA) zawisła sprawa dotycząca tego, czy Prezes Urzędu Ochrony Danych Osobowych (UODO) ma kompetencje do rozstrzygania spraw, których przedmiotem są nieprawidłowości w procesie przetwarzania danych osobowych, zaistniałych przed rozpoczęciem stosowania RODO oraz przed wejściem w życie Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r., poz. 1781; dalej: „ustawa z 2018 r.”).

Stan faktyczny

W maju 2020 r. do polskiego organu nadzorczego wpłynęła skarga pracownicy jednego z sądów rejonowych. Kwestionowane zdarzenie miało polegać na udostępnieniu w styczniu 2018 r. pisma zawierającego dane osobowe skarżącej pracownikom tego sądu. Pismo, które skarżąca skierowała do zespołu ds. przeciwdziałania mobbingowi, zostało załączone do zarządzenia wewnętrznego i przekazane pracownikom sądu.

Prezes UODO w czerwcu 2020 r. wydał postanowienie, mocą którego odmówił wszczęcia postępowania w sprawie, wskazując, że kwestionowane zdarzenie zaistniało w czasie obowiązywania Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922; dalej: „ustawa z 1997 r.”).

W wydanym rozstrzygnięciu organ wskazał, że jednym z zadań Prezesa UODO jest prowadzenie postępowań w sprawie stosowania RODO[1] (art. 57 ust. 1 lit. h RODO). Natomiast zgodnie z przepisami przejściowymi zawartymi w obecnie obowiązującej ustawie o ochronie danych osobowych (art. 160 ust. 2 ustawy z 2018 r.) Prezes UODO prowadzi sprawy wszczęte i niezakończone przed wejściem w życie ustawy z 2018 r. na podstawie ustawy z 1997 r. Jednocześnie brak przepisu, który umożliwia prowadzenie postępowania przez ten organ, gdy zdarzenie miało miejsce przed wejściem w życie ustawy z 2018 r., a żądanie wszczęcia postępowania w sprawie zostało złożone po tym terminie.

Wojewódzki Sąd Administracyjny w Warszawie (WSA) w wyroku z dnia 12 grudnia 2020 r., sygn. akt II SA/Wa 1389/20, podzielił powyższe stanowisko, a następnie Naczelny Sąd Administracyjny wyrokiem z dnia 10 lutego 2022 r. w sprawie III OSK 5028/21 oddalił skargę kasacyjną od wyroku WSA. NSA w uzasadnieniu wyroku podniósł, że przepisy ustawy z 1997 r. zachowały swoją moc w zakresie objętym tzw. dyrektywą policyjną do 6 lutego 2019 r., co oznacza, że w pozostałych sprawach nie mają one zastosowania.

Konsekwencje

Orzeczenia wydane w tej sprawie dotyczą wyłącznie sytuacji, w których zdarzenie mające podlegać ocenie się zakończyło. Oznacza to, że jeżeli doszło do jednorazowego udostępnienia danych i proces ten nie jest kontynuowany, to organ nie ma podstaw prawnych do badania legalności tego zdarzenia. Ustawa z 1997 r. została uchylona, a możliwość jej stosowania dotyczy obecnie wyłącznie spraw, które zostały wszczęte na gruncie tej ustawy i nie zostały do tej pory ostatecznie zakończone.

Powyższe nie dotyczy sytuacji, w których kwestionowany proces przetwarzania zaczął się przed rozpoczęciem stosowania RODO i był kontynuowany po jego rozpoczęciu. Przykładowo jeżeli w przedmiotowej sprawie pismo skarżącej zostałoby opublikowane na stronie BIP sądu w okresie od stycznia 2018 r. do czerwca 2018 r., to taki proces podlegałby ocenie organu, nawet gdyby żądanie wszczęcia postępowania zostało złożone do organu w maju 2020 r.

Stanowisko to pośrednio wskazuje też, że organ nie może stosować uprawnień o charakterze sankcyjnym, tj. kary pieniężnej lub upomnienia, do uchybień w procesie przetwarzania danych zaistniałych przed 25 maja 2018 r., jeżeli wszczął postępowanie w sprawie przetwarzania danych po tej dacie. Jeżeli organ wyda rozstrzygnięcie w przedmiocie kary pieniężnej, wskazując, że w ramach jej miarkowania wziął pod uwagę czas trwania naruszenia, które rozpoczęło się przed 25 maja 2018 r., to jest to podstawa do zaskarżenia rozstrzygnięcia.

Jednocześnie podnieść należy, że stanowisko zarówno organu, jak i sądów administracyjnych w tej sprawie zasługuje na aprobatę. Brak jest przepisu umożliwiającego ocenę zgodności postępowania administratora przez Prezesa UODO z przepisami ustawy z 1997 r., chyba że w warunkach art. 160 ust. 2 ustawy z 2018 r. Ustawa z 1997 r. została uchylona i brak jest organu, który mógłby badać prawidłowość stosowania przepisów w niej zawartych.

W kontekście powyższego powstaje jednak pytanie, czy organ, oceniając proces przetwarzania danych, który rozpoczął się przed 25 maja 2018 r. i jest obecnie kontynuowany, może ocenić okoliczności, które zdarzyły się pod rządami poprzednio obowiązujących przepisów. Sama legalność pozyskania danych determinuje przecież możliwość dalszego ich przetwarzania. Jeżeli więc organ nie mógłby dokonać oceny pozyskania danych, nawet jeśli doszło do niego przed wejściem w życie ustawy z 2018 r., to w konsekwencji nie mógłby też dokonać prawidłowej oceny w sprawie.

Prowadzenie każdego postępowania administracyjnego przed organem musi zmierzać do wydania decyzji administracyjnej pozostającej w kompetencji tego organu. Skoro niezależnie od stanu faktycznego brak jest możliwości zastosowania art. 58 ust. 2 RODO do zdarzeń zakończonych przed 25 maja 2018 r., to organ nie może prowadzić postępowania w sprawie, bo każde takie postępowanie musiałoby się zakończyć umorzeniem. Jednocześnie ocena legalności pozyskania danych jest niezbędnym elementem oceny stanu faktycznego w sprawie, dlatego zasadne wydaje się, żeby organ mógł ocenić legalność pozyskania danych zgodnie z przepisami obowiązującymi w chwili pozyskania danych. W konsekwencji organ wyda decyzję odnoszącą się do trwającego już po 25 maja 2018 r. procesu przetwarzania danych, biorąc pod uwagę całą historię procesu ich przetwarzania, w tym m.in. wykonanie obowiązków informacyjnych czy wpływ cofnięcia zgody na przetwarzanie danych przed 25 maja 2018 r.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).