Konflikt, który coraz widoczniej zarysowuje się na linii Naczelny Sąd Administracyjny – UODO, może prowadzić do osłabienia jednego z praw podstawowych, jakim jest prawo każdego do ochrony danych osobowych. Obniża bowiem zaufanie obywateli do obydwu instytucji - pisze Piotr Liwszic, prawnik i autor serwisu Judykatura.pl.
Jedna instytucja, czyli prezes Urzędu Ochrony Danych Osobowych, podejmując takie, a nie inne decyzje procesowe, oraz w taki, a nie inny sposób je uzasadniając w jednym z postępowań, o których będzie później, doprowadziła do sytuacji, w której po upływie ponad czterech lat od stwierdzenia naruszenia ochrony danych osobowych postępowanie to jest w tym samym miejscu, czyli zaczyna się od początku.
Druga instytucja, a więc Naczelny Sąd Administracyjny, sięga w treści uzasadnienia jednego z orzeczeń do niespotykanych dotychczas porównań. Nie widzę żadnego merytorycznego czy pozamerytorycznego argumentu usprawiedliwiającego użycie przez sąd takich określeń jak „państwo autorytarne i faszystowskie”. Może są one przejawem ogólnie panujących nastrojów społecznych i pogłębiających się w niebezpiecznie szybkim tempie głębokich podziałów politycznych, ale nie powinny jednak paść.
Rozwijając niezbyt może wyszukane sportowe porównanie, na jakie pozwoliłem sobie w tytule – wymiana ciosów nie jest technicznie na wysokim poziomie, padają ciosy poniżej pasa, ale przede wszystkim padać w ogóle nie powinny, gdyż zawodnicy nie prezentują tej samej kategorii wagowej. Dla każdego prawnika jest jasne, że polemikę z orzeczeniem sądu przeprowadza się wyłącznie za pomocą przysługujących w danej sprawie środków odwoławczych, a nie innego rodzaju pism. Z każdego orzeczenia sądowego warto wyciągnąć wnioski, które nie zawsze będą pozytywne dla organu nadzorczego.
Runda pierwsza
Źródłami tej wymiany ciosów nie są orzeczenia sądów administracyjnych, a więc wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 30 września 2020 r. (sygn. akt II SA/Wa 2559/19) oraz wyrok Naczelnego Sądu Administracyjnego z 9 lutego 2023 r. (sygn. akt III OSK 3945/21), które uchyliły karę 2,8 mln zł nałożoną decyzją prezesa UODO z 10 września 2019 r. (decyzja nr ZSPR.421.2.2019).
Uważam, że są nimi dwa błędne założenia poczynione przez organ nadzorczy. Pierwsze założenie widzę w braku dystansu organu do opinii sądu drugiej instancji wyrażonej w konkretnej sprawie administracyjnej, a nie ogólnie dotyczące każdego innego postępowania przeprowadzanego przez ten organ.
Drugie błędne założenie widzę w niewłaściwym przypisywaniu wiedzy organu nadzorczego, w zakresie technicznych i organizacyjnych środków bezpieczeństwa ze względu na „długoletnią” pracę w danym urzędzie. Zapoznając się na bieżąco ze szczątkowo publikowanymi decyzjami organu nadzorczego stwierdzającymi czy to naruszenia zasady integralności i poufności, braku uwzględnienia ochrony danych osobowych w fazie projektowania, czy naruszenia wymogów bezpieczeństwa przetwarzania, nie mogę oprzeć się wrażeniu, że odmieniane przez wszystkie przypadki są zestawy tych samych ogólnych środków technicznych czy organizacyjnych, jak np. wdrożenie norm ISO czy aktualizacja oprogramowania antywirusowego.
Trudno te krótkie i zdecydowanie nietechniczne stanowiska porównać choćby z analizami programistycznymi dokonywanymi przez europejskiej organy nadzorcze – np. belgijski organ nadzorczy w sprawie dotyczącej IAB Europe (case number: DOS-2019-01377 z 2.02.2022 r.). Organ ten przeprowadził własną analizę zastosowanych środków i przygotował oddzielny raport (ponad 75 stron). Sama decyzja administracyjna liczy ponad 120 stron. Oczywiście liczba stron nie przekłada się bezpośrednio na merytoryczny poziom analizy czy decyzji, ale na pewno pokazuje stopień zaangażowania organu nadzorczego co do zebrania jak najszerszego materiału dowodowego.
Niejednokrotnie sądy administracyjne wypowiadały się co do braku wiedzy specjalistycznej przez organ prowadzący postępowanie administracyjnej (zobacz np. prawomocny wyrok WSA w Gliwicach z 16 grudnia 2022 r., sygn. akt II SA/GI 1331/22, czy też prawomocny wyrok NSA z 9 grudnia 2021 r., sygn. akt II GSK 1594/21). Dokonywane przez sądy administracyjne oceny nie budziły impulsu do dalszego działania organu, a co dopiero do takiego działania, jakim jest pismo prezesa UODO do prezesa NSA z 29 marca 2023 r. Dlatego ze dziwieniem przyjąłem wiadomość o samym pomyśle organu nadzorczego co do skomentowania wskazanego orzeczenia NSA. Z każdym kolejnym zdaniem pisma prezesa UODO zastanawiałem się, gdzie znajduje się koniec „interpretacji kompetencji i poziomu ustrojowego organu”. Niezależnie od tego, jak bardzo chciałbym być przychylny wobec organu nadzorczego, nie widzę w orzeczeniu NSA „niezaprzeczalnego i precedensowego kwestionowania niezależności organu”.
Trzeba powiedzieć wprost, że Naczelny Sąd Administracyjny nie wyraził wątpliwości co do posiadania przez organ nadzorczy „wiadomości specjalnych”, ale uznał, że „twierdzenia organu (co do stopnia skomplikowania sprawy – red.) są zbyt ogólne i niepozwalające na merytoryczną weryfikację posiadanej przez organ wiedzy specjalnej”.
Jeśli już poszukiwać przejawów „zagrożenia w niezależności” organu nadzorczego, to można przywołać stanowisko WSA w Warszawie dotyczące uzależnienia wydania decyzji administracyjnej prezesa UODO od „uzyskania stanowiska KNF” (nieprawomocny wyrok z 28 września 2021 r., sygn. akt II SA/Wa 474/21). Takie zobowiązanie organu właściwego w sprawach ochrony danych osobowych uważam rzeczywiście za zbyt daleko idące i realnie ingerujące w niezależność organu.
Efektem tej „rundy” nie powinna być reakcja organu w postaci pisma, a wyciągnięcie lekcji na przyszłość na temat tego, w jaki sposób uzasadniać postanowienia dotyczące odmowy uwzględniania wniosku dowodowego.
Runda druga
W kolejnej „rundzie” każdy sędzia przerwałby walkę i odgwizdał przewinienie. Nie widzę innej oceny dla twierdzenia NSA o sprzeniewierzeniu się złożonemu przez prezesa UODO ślubowaniu, co według sądu jest „charakterystyczne dla państw autorytarnych i faszystowskich”. Takie stwierdzenie znalazło się w uzasadnieniu orzeczenia NSA z 6 kwietnia 2023 r. (III OSK 2991/21) oddalającego, w części, skargę kasacyjną prezesa UODO od wyroku WSA w Warszawie z 24 stycznia 2020 r. (sygn. akt. II SA/Wa 1927/19).
Obydwa orzeczenia dotyczyły wydanych w lipcu 2019 r. przez prezesa UODO postanowień w przedmiocie czasowego ograniczenia przetwarzania danych osobowych. To nie miejsce do analizy braku podstaw do wydania takich postanowień, ograniczę się do wskazania, że w mojej opinii brak jest jakichkolwiek argumentów przemawiających za skorzystaniem przez organ nadzorczy z uprawnienia przewidzianego w art. 70 ust. 1 obowiązującej obecnie ustawy o ochronie danych osobowych w sytuacji, w której w obrocie prawnym znajduje się prawomocne orzeczenie sądu zobowiązujące administratora danych do pewnego działania.
Działaniem wynikającym ze wskazanych orzeczeń sądów administracyjnych powinno być udostępnienie informacji publicznej przez Kancelarię Sejmu RP. Nie doszło do tego, bo na drodze do wykonania orzeczenia NSA stanęły postanowienia prezesa UODO z 29 lipca 2019 r.
Prezes UODO wskazał w jednym z postanowień, że udostępnienie danych osobowych w postaci imienia, nazwiska, miejsca służbowego i własnoręcznie złożonych podpisów na liście poparcia kandydatów do KRS może spowodować poważne i trudne do usunięcia skutki dla ochrony danych osobowych, gdyż „może dojść do naruszenia prawa do prywatności”.
Powyższe twierdzenie nie uzyskało aprobaty sądów. Sąd pierwszej instancji wskazał między innymi, że organ nadzorczy, wydając wskazane postanowienie, „dopuścił się istotnego naruszenia zasady praworządności” oraz naruszenia przepisów konstytucji RP (art. 184), a także ustawy – Prawo o postępowaniu przed sądami administracyjnymi (art. 170).
NSA wyprowadził kilka „ciosów” więcej niż WSA w Warszawie, wskazując, że prezes UODO postawił się w roli swego rodzaju „superrecenzenta” wyroków sądowych, naruszając zawartą w art. 10 ust. 1 konstytucji RP zasadę podziału władzy, jednocześnie postępowanie prezesa UODO jako bezprawne łamało również zasadę wyrażoną w art. 2 konstytucji RP, tj. zasadę demokratycznego państwa prawnego.
Nadto NSA wskazał, odwrotnie niż to w pierwszej „rundzie” podnosił prezes UODO, że to właśnie „organ nadzoru nie może zatem ingerować w działania sądów (w tym także sądów administracyjnych), gdy wykonują one swoje główne zadanie, tj. sprawowanie wymiaru sprawiedliwości, a więc rozstrzyganie sporów”.
Takie argumenty skłoniły NSA do wskazania, że prezes UODO sprzeniewierzył się złożonemu ślubowaniu. Stwierdzenie takie jest jednym z pięciu przypadków, w których Sejm za zgodą Senatu może odwołać prezesa Urzędu Ochrony Danych Osobowych przed upływem kadencji (art. 34 ust. 9 pkt 3 ustawy o ochronie danych osobowych).
Nie powinno znikać z pola widzenia też to, że obecna czteroletnia kadencja prezesa UODO upływa w połowie maja br., a po dacie publikacji tego tekstu marszałek sejmu będzie wiedzieć, czy obecny prezes urzędu ponowił swoją zgodę na kandydowanie i zebrał wymaganą liczbę podpisów posłów. ©℗