Stanowisko w sprawie stosowania administracyjnych kar pieniężnych i innych zagadnień związanych ze stosowaniem przepisów ochrony danych osobowych przez przedsiębiorców

Stanowisko

w sprawie stosowania administracyjnych kar pieniężnych

i innych zagadnień związanych ze stosowaniem przepisów

ochrony danych osobowych przez przedsiębiorców

Uchwalone przez Parlament Europejski i Radę (UE) 2016/679 Rozporządzenie w sprawie ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych, zwane ogólnym rozporządzeniem o ochronie danych z dnia 27 kwietnia 2016 r. (RODO), wprowadziło nieznane wcześniej w prawie krajowym, nie obowiązujące w poprzedniej ustawie, regulacje dotyczące administracyjnych kar pieniężnych. W następstwie wejścia w życie RODO ustawodawca krajowy wypracował i uchwalił ustawę o ochronie danych osobowych (10 maja 2018 r.). W tej ustawie ustawodawca krajowy wprowadził nowe przepisy określające stosowanie administracyjnych kar pieniężnych wobec wybranych podmiotów. W Rozporządzeniu (RODO) w art. 83 ustawodawca europejski, w ogólnych warunkach nakładania administracyjnych kar pieniężnych określił, aby w każdym indywidualnym przypadku kary były skuteczne, proporcjonalne i odstraszające. Nie w każdym przypadku został określony przymus nakładania kary pieniężnej, Ustawodawca nie nałożył przymusu stosowania każdorazowo kar pieniężnych i wskazał, iż organ nadzorczy może stosować oprócz lub zamiast kar pieniężnych środki, o których mowa w art. 58 RODO. W przepisach Rozporządzenia przyjęto rozwiązanie, iż w przypadku gdy administrator danych lub podmiot przetwarzający w sposób umyślny lub nieumyślny naruszą wskazane w przepisach regulacje, to naruszenie takie podlega administracyjnej karze pieniężnej do 20 000 000 euro, a w przypadku przedsiębiorstwa do wysokości 4% jego całkowitego światowego obrotu lub w przypadku innych wskazanych sytuacji do 10 000 000 euro lub w przypadku przedsiębiorstwa do 2% jego całkowitego światowego obrotu. Ustawodawca europejski wskazał w art. 83 ust. 7 , iż każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie. W ust. 9 tegoż artykułu wskazano, że jeżeli ustrój prawny państwa członkowskiego nie przewiduje administracyjnych kar pieniężnych, to przepis wprowadzający kary pieniężne można stosować w ten sposób, iż o zastosowanie kary pieniężnej wnosi właściwy organ, a nakłada sąd krajowy. Ustawodawca krajowy w przepisach ustawy o ochronie danych osobowych w art. 101 wyłączył, z przewidzianych w art. 83 RODO możliwości nakładania administracyjnych kar pieniężnych na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt . od 1 – 12 i 14, instytuty badawcze i Narodowy Bank Polski. Ponadto naruszenia przepisów RODO, przez podmioty wskazane w art. 9 ust.3 FINPub. czyli na państwowe (podległe finansom publicznym) jednostki zgodnie z art. 102 ust. 1 ustawy o ochronie danych osobowych, zagrożone są karą do 100 000 zł, a samorządowe instytucje kultury zagrożone są karami pieniężnymi do wysokości 10 000 zł.

Ustawodawca określił w Preambule RODO, motywie (151), iż mimo tego ,że w systemach prawnych Danii i Estonii nie przewiduje się administracyjnych kar pieniężnych określonych w przepisach RODO, to można przepisy o administracyjnych karach pieniężnych zastosować. W Danii właściwy sąd krajowy będzie nakładać grzywnę jako sankcje karną, a w Estonii organ nadzorczy będzie nakładać grzywnę w ramach postępowania o wykroczenie. W każdym z tych przypadków nakładane grzywny muszą być skuteczne proporcjonalne i odstraszające.

W krajowym systemie prawnym, w ustawie o ochronie danych osobowych, zastosowano rozwiązanie umożliwiające organowi nadzorczemu nakładanie, na podmioty szeroko rozumianej sfery publicznej, kary pieniężne rażąco niskie w stosunku do podmiotów sfery rozumianej jako prywatna. Podmioty prywatne są narażone na wielomilionowe kary pieniężne.

Za ten sam czyn popełniony w identyczny sposób, czy w warunkach, zapadają lub mogą zapadać administracyjne kary pieniężne o rażąco różnej wysokości.

Stanowi to naruszenie przepisów art. 32 Konstytucji RP. Art. 32 mówi iż : „Wszyscy są wobec prawa równi. Wszyscy mają prawo do równego traktowania przez władze publiczne”, a także „Nikt nie może być dyskryminowany w życiu politycznym, społecznym lub gospodarczym z jakiejkolwiek przyczyny.”

Przedstawiona w art. 32 Konstytucji zasada równości, oznacza równość w odniesieniu do praw i wolności wszystkich podmiotów prawa. Jednakże ustawodawca polski arbitralnie wprowadził zasady nierówności w wielu aktach prawnych. Wymienić można zapisy w ustawie o ochronie danych osobowych, w której między innymi wprowadza rozróżnienie w stosowaniu administracyjnych kar pieniężnych do podmiotów szeroko pojętej sfery publicznej, wyłączając te podmioty z zakresu wysokości administracyjnych kar pieniężnych określonych w przepisach Rozporządzenia (RODO).

Naruszenie zasady równości, czy zasady niedyskryminacji wynika z wielu innych aktów prawa międzynarodowego, w tym z ratyfikowanego przez Polskę, Międzynarodowego Paktu praw obywatelskich i politycznych. Jest to Traktat uchwalony w wyniku Konferencji ONZ w Nowym Jorku, na mocy Rezolucji Zgromadzenia Ogólnego z dnia 16 grudnia 1966 r.(w życie wszedł dnia 23 marca 1976 r.). Również i z innych aktów, w tym Deklaracji Praw Człowieka, Paktu Praw Politycznych czy Paktu Praw Gospodarczych wynika bezspornie, iż: „odmienne traktowanie pewnej kategorii podmiotów prawa jest dopuszczalne jedynie w celu wyrównania różnic w możliwości korzystania z przysługujących im praw i wolności.” Zastosowanie w systemie prawa polskiego podziału na podmioty tzw. „prywatne” i „publiczne” to wyraz dyskryminacji wywodzący się z poprzedniego systemu politycznego. Przewidziane w ustawie o ochronie danych osobowych, w stosunku do kar przewidzianych w RODO, powodują wielkie zróżnicowanie w wysokości nakładanych kar, czyniąc je niesprawiedliwymi i naruszającymi ich charakter przewidziany w RODO, a także w Konstytucji RP.

Przewidziane we wspomnianej ustawie kary pieniężne, np. w sferze kultury, za ten sam czyn danego podmiotu, np. brak zabezpieczeń technicznych i organizacyjnych w zapewnieniu bezpieczeństwa przetwarzanych danych ( art. 31 RODO) powoduje zagrożenie karą (wymierzenie) dla podmiotów sfery kultury do 10 000 zł, dla innych podmiotów sfery publicznej do 100 000 zł, zaś podmioty tzw. inne, w tym prywatne, do odpowiednio 10 lub 20 milionów euro. Charakter i skutek naruszeń przepisów prawa wszystkich stosujących jest taki sam i wynika z regulacji RODO.

Omawiając przypadek zróżnicowania stosowania wysokości administracyjnych kar pieniężnych dla podmiotów na podmioty sfery publicznej i prywatnej, należy zwrócić uwagę na zarzut podniesiony przez stronę w sprawie III OSK 3945/21 wyrok NSA z 09.02.2023 r., w sprawie powszechnie znanej jako Morele.net, w której podmiotowi zarzucono między innymi brak zabezpieczeń technicznych i organizacyjnych skutkujące wypływem danych osobowych (naruszenie przepisów art. 32 RODO). Zarzut dotyczy faktu, iż w danym przypadku w prawie administracyjnym brak jest, dla strony skarżącej decyzję Prezesa Urzędu Ochrony Danych osobowych, pełnej możliwości do obrony swoich praw między innymi gwarantowanymi przez Konstytucje RP jak i przepisy RODO.

W tym miejscu nasuwa się pytanie, czy podmioty zagrożone wynikającymi z przepisów RODO administracyjnymi karami pieniężnymi powinny podlegać stosowanymi przez organ nadzorczy przepisom prawa administracyjnego. W ostatnich spotykanych przypadkach np.Morel.Net (wysokość poprzedniej kary około 2 mln. zł.) Strona podniosła, iż stosowanie przepisów prawa administracyjnego i podleganiu sądownictwu administracyjnemu uniemożliwia skuteczną obronę procesową i dochodzenie do prawdy, a także równości stron w postępowaniu sądowym.

We wszystkich postępowaniach (wyrokach i decyzjach), w których przedmiotem było nałożenie administracyjnej kary pieniężnej, nie zwrócono uwagi iż postępowania opierają się na postępowaniu sankcyjnym i jednoinstancyjnym, w których następuje ingerencja w sferę wolności jednostki.

Przyjęty model, iż to na prawie administracyjnym opiera się postępowanie prowadzone przez Prezesa UODO (art. 7 ustawy o O.D.O.), wcześniej Generalnego Inspektora Ochrony Danych Osobowych, a orzekanie w sądownictwie administracyjnym może powodować pozbawienie strony prawa do pełnej obrony .

Zostało to jednoznacznie wskazane w stanowisku NSA, zaprezentowanym w wyroku III OSK 3954/Wyrok NSA z 09.02.2023 cyt. :” … Niezależnie od przyjętego modelu orzekania, jednostce powinien przysługiwać pewien minimalny standard proceduralny, realizujący zasadę sprawiedliwości proceduralnej. ….Trafnie wskazuje się w doktrynie, że „ przy określeniu standardów, których niezbędność w sprawach administracyjnych zmierzających do wymierzenia kary pieniężnej trudno zakwestionować, należy kierować się prawem do sądu oraz prawem do rzetelnego postępowania, które zapewnia art. 6 ust.1-3 Konwencji o ochronie praw człowieka podstawowych wolności.( L. Staniszewska, Materialne i proceduralne zasady stosowane przy wymierzaniu administracyjnych kar pieniężnych”).

W powyżej przedstawionej sprawie Mrele.net strona, w skardze na decyzję Prezesa UODO, wniosła o zwrócenie się przez Sąd z wnioskiem do Trybunału Sprawiedliwości UE o wydanie orzeczenia w trybie prejudycjalnym, czy sądy administracyjne w Polsce zapewniają skuteczną ochronę prawną przeciwko prawnie wiążącej decyzji organu nadzorczego t.j. wykonując pełną jurysdykcję w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy, o której mowa w art. 78 ust.1 oraz w motywie (143) preambuły RODO, w sytuacji w której postępowanie przed Prezesem UODO jest jednoinstancyjne i brak jest organu lub sądu, który merytorycznie oceni rozstrzygniecie Prezesa UODO lub ma kompetencje do dokonywania ustaleń faktycznych, podczas gdy art. 6 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności oraz art. 47 Karty Praw Podstawowych gwarantuje podmiotowi ukaranemu prawo do rozstrzygnięcia sprawy przez Sąd mający pełną jurysdykcję w sprawie.

Ustawa o ochronie danych osobowych wprowadzająca wyżej wymienione, kontrowersyjne zapisy dotyczące administracyjnych kar pieniężnych została opracowana w ówczesnym Ministerstwie Cyfryzacji (lata 2017/2018), w odpowiednim merytorycznie departamencie. Rozwiązaniem tego problemu jest nowelizacja kontrowersyjnych przepisów, naruszających art. 32 Konstytucji RP.

Druga sprawa, dotycząca adekwatności zastosowanego postępowania przed sadami administracyjnymi do rozstrzygania spraw związanych z nałożonymi administracyjnymi karami pieniężnymi, wymaga również dokonania zmian w ustawie o ochronie danych osobowych, w kierunku zapewnienia każdej osobie fizycznej i prawnej prawa do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej, zgodnie z art. 78 RODO.

Obydwie przedstawione sprawy mogą być uregulowane przez Ministerstwo Cyfryzacji, odpowiadające za politykę Państwa w zakresie ochrony danych osobowych, w sposób zapewniający zarówno równość podmiotów wobec prawa, jak i dający ukaranym podmiotom prawo do pełnej ochrony prawnej.

Andrzej Lewiński
Przewodniczący Komitetu

Warszawa, 18 kwietnia 2024 roku

Opinia KIG >>> do pobrania