Realizacja administracyjnych lub cywilnych środków ochrony prawnej
2023-02-24
W obszarze RODO w kontekście zgodności polskiej procedury z wymogami rozporządzenia.
Podmiot, który przetwarza dane osobowe, ma obowiązek stosowania się do obowiązków wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz.UE.L Nr 119, str. 1 ze zm. (dalej: „RODO” lub „Rozporządzenie”). Naruszenie tych przepisów może skutkować dla niego odpowiedzialnością administracyjną, cywilną, a nawet karną.
W niniejszym opracowaniu przedstawione zostaną zagadnienia związane z realizacją środków ochrony prawnej przewidzianej RODO w polskim porządku prawnym, a to w celu potwierdzenia, że mechanizmy ochrony określone w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz.U. t.j. z 2019 r. poz. 1781 ze zm. (dalej: „Ustawa”), są w zgodne z wymogami RODO. W kontekście przyjętych bowiem zasad realizacji praw osoby, której dane osobowe są przetwarzane z naruszeniem RODO, można stawiać zarzut, iż Ustawa ogranicza prawa takiej osoby względem postanowień RODO. Czy zarzut taki jest uzasadniony?
W zakresie postępowania administracyjnego na administratora danych osobowych działającego z naruszeniem przepisów może zostać nałożona kara finansowa, ewentualnie zastosowane łagodniejsze tzw. środki naprawcze. Działalność administracyjnego organu nadzoru – Prezesa Urzędu Ochrony Danych Osobowych (dalej: „Prezes Urzędu”), podlega kontroli sądów administracyjnych.
RODO zastrzega jednocześnie, iż niezależnie od administracyjnych środków ochrony prawnej, każda osoba, której dane dotyczą ma prawo do skutecznego środka ochrony prawnej przed sądem w sprawie przeciwko administratorowi lub podmiotowi przetwarzającemu.
Zgodnie z RODO, bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy RODO zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem Rozporządzenia (art. 79 ust. 1). Jeśli osoba ta poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia Rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (art. 82 ust. 1).
W polskim porządku prawnym ochrona przed sądem powszechnym realizowana jest na zasadach ogólnych prawa cywilnego w postępowaniu cywilnym przy zastosowaniu regulacji związanych z ochroną dóbr osobistych.
Ustawa dookreśla ścieżkę realizacji roszczeń z tytułu naruszenia przepisów RODO w postępowaniu sądowym w rozdziale 10. Sprawy takie rozpoznaje sąd okręgowy, który o wniesieniu pozwu oraz prawomocnym orzeczeniu kończącym postępowanie w sprawie zawiadamia niezwłocznie Prezesa Urzędu. Prezes Urzędu zawiadomiony o toczącym się postępowaniu niezwłocznie informuje sąd o każdej sprawie dotyczącej tego samego naruszenia przepisów o ochronie danych osobowych, która toczy się przed nim lub przez sądem administracyjnym albo została zakończona. Prezes Urzędu niezwłocznie informuje sąd również o wszczęciu każdego postępowania w sprawie dotyczącej tego samego naruszenia.
Co istotne, sąd zawiesza postępowanie, jeżeli sprawa dotycząca tego samego naruszenia przepisów o ochronie danych osobowych została wszczęta przed Prezesem Urzędu oraz umarza je w zakresie, w jakim prawomocna decyzja Prezesa Urzędu o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocny wyrok wydany w wyniku wniesienia skargi do sądu administracyjnego, uwzględnia roszczenie dochodzone przed sądem.
Dodatkowo, ustalenia prawomocnej decyzji Prezesa Urzędu o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocnego wyroku wydanego w wyniku wniesienia skargi do sądu administracyjnego, wiążą sąd w postępowaniu o naprawienie szkody wyrządzonej przez naruszenie przepisów o ochronie danych osobowych co do stwierdzenia naruszenia tych przepisów.
Na zasadach wynikających z Ustawy, Prezes Urzędu za zgodą powoda ma uprawnienie do wytaczania powództw o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych bądź wstępowania do takich postępowań; może także przedstawić sądowi istotny dla sprawy pogląd w sprawie, jeżeli przemawia za tym interes publiczny.
Czy tak ukształtowane w Ustawie mechanizmy ochrony, które niejako podporządkowują przebieg postępowania cywilnego postępowaniu przed Prezesem Urzędu (sądem administracyjnym) i ich decyzjom, odpowiadają regulacjom zawartym w RODO?
W dniu 12 stycznia 2023 r. Trybunał Sprawiedliwości Unii Europejskiej (dalej: „TSUE” lub „Trybunał”) wydał wyrok w trybie prejudycjalnym w sprawie C-132/21 w którym orzekł, iż art. 77 ust. 1, art. 78 ust. 1 i art. 79 ust. 1 RODO w związku z art. 47 Karty praw podstawowych Unii Europejskiej należy interpretować w ten sposób, że zezwalają one na równoczesne i niezależne od siebie wykonywanie środków ochrony prawnej przewidzianych z jednej strony w owych art. 77 ust. 1 i art. 78 ust. 1, a z drugiej strony w owym art. 79 ust. 1. Jednocześnie TSUE wskazał w orzeczeniu, że do państw członkowskich należy, zgodnie z zasadą autonomii proceduralnej, określenie zasad powiązania tych środków ochrony prawnej w celu zapewnienia skuteczności ochrony praw gwarantowanych przez RODO, spójnego i jednolitego stosowania jego przepisów, a także prawa do skutecznego środka prawnego przed sądem, o którym mowa w art. 47 Karty praw podstawowych.
We wniosku o wydanie orzeczenia w trybie prejudycjalnym, węgierski sąd odsyłający słusznie zwrócił uwagę, iż równoległe wykonywanie środków ochrony prawnej przewidzianych w art. 77–79 RODO może prowadzić do wydania sprzecznych ze sobą orzeczeń dotyczących identycznych okoliczności faktycznych. Jednocześnie ze względu na niezależność organów nadzorczych oraz sądów cywilnych, ich własne zadania i kompetencje mogą być zagrożone w prowadzonych odrębnie postepowaniach, jeśli oceny tego samego stanu faktycznego dokonane w postepowaniu wcześniej zakończonym miałyby być wiążące w postępowaniu niezakończonym. Ponieważ przepisy RODO nie przewidują żadnej zasady pierwszeństwa między środkami ochrony prawnej przewidzianymi w art. 77–79 Rozporządzenia, sąd odsyłający zauważył, że do Trybunału należy wyjaśnienie związku istniejącego między dostępnymi środkami ochrony prawnej.
Co do istoty sprawy TSUE wskazał, iż przy dokonywaniu wykładni przepisu prawa Unii należy uwzględnić nie tylko jego brzmienie, ale także jego kontekst i cel aktu prawnego, którego jest on częścią.
RODO wprost przewiduje różne środki ochrony prawnej osobom powołującym się na naruszenie przepisów i każdy z tych środków powinien być wykonywany bez uszczerbku dla pozostałych. Skoro RODO nie zastrzega pierwszeństwa lub wyłączności ani żadnej zasady nadrzędności oceny dokonanej przez organ kontroli lub sąd w odniesieniu do istnienia naruszenia danych praw, środki administracyjne i środki ochrony prawnej przed sądem cywilnym mogą być wykonywane równocześnie i niezależnie od siebie. Trybunał wskazał jednak, iż zasady stosowania tych środków ochrony prawnej równocześnie i niezależnie od siebie nie mogą podważać skuteczności (effet utile) i skutecznej ochrony praw gwarantowanych przez Rozporządzenie, a funkcjonowanie w obrocie dwóch sprzecznych orzeczeń stwarza sytuacje niepewności prawnej, co prowadzi do osłabienia ochrony osób fizycznych w zakresie przetwarzania dotyczących ich danych osobowych. Jest kluczowe stwierdzenie z punktu widzenia analizowanego zagadnienia.
Sąd polski dokonując wykładni prawa krajowego w sposób zapewniający spójność (zgodność) z prawem wspólnotowym jest zobowiązany do uwzględniania przy stosowaniu przepisów także wykładni prawa europejskiego przyjętej w rozstrzygnięciach TSUE. Wynika to z pozycji ustrojowej Trybunału, umocowanego zwłaszcza do zapewnienia poszanowania prawa unijnego w wykładni i stosowaniu.
W świetle przywołanych przepisów RODO i Ustawy należy stwierdzić, że przepisy Ustawy w zakresie realizacji środków ochrony przez Prezesem Urzędu (sądem administracyjnym) lub sądem powszechnym nie korelują z Rozporządzeniem. Jednocześnie na pytanie „czy przyjęte w Ustawie rozwiązanie polegające na przyznaniu postępowaniu przed Prezesem Urzędu (sądem administracyjnym) pierwszorzędnego znaczenia w stosunku do postępowania cywilnego wpisuje się w wymagany RODO wysoki poziom ochrony praw, zagwarantowanej jednostkom przez prawo Unii?”, w prezentowanych warunkach należałoby udzielić odpowiedzi twierdzącej.
Zawieszenie postępowania cywilnego do czasu zakończenia postępowania prowadzonego przez Prezesa Urzędu (sąd administracyjny), jego umorzenie w części zgodnej z uwzględnionym roszczeniem czy związanie sądu w postepowaniu cywilnym ustaleniami prawomocnej decyzji Prezesa Urzędu (prawomocnego wyroku sądu administracyjnego) co do stwierdzenia naruszenia RODO, jest w gruncie uzasadnione potrzebą zapewnienia spójnego i jednolitego w całej Unii stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. Opisany w Ustawie model realizacji środków ochrony prawnej eliminuje ryzyko wydania orzeczeń zawierających różne, nawet przeciwne, rozstrzygnięcia. Przywołane orzeczenie TSUE z dnia 12 stycznia 2023 r. odwołujące się do kontekstu i celu aktu prawnego, którego dana regulacja jest częścią, uzasadnia twierdzenie, że polskie przepisy proceduralne zawarte w Ustawie wpisują się w zasadę skutecznej ochrony przewidzianej RODO nawet jeśli literalnie istnieje niespójność obu tych aktów prawnych.