A skoro wczoraj w Dzienniku Ustaw opublikowano nowe przepisy o ochronie danych osobowych — ale tych przetwarzanych przez służby i policję w celach związanych z realizacją ich kompetencji w zakresie zapewnienia bezpieczeństwa (ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, Dz.U. z 2019 r. poz. 125), to dziś chyba nadarza się dobry moment żeby skreślić kilka akapitów o tym czy można było domagać się od GIODO ustalenia kto jest administratorem danych osobowych — na przykład ujawnionych w „raporcie Macierewicza”? (wyrok NSA z 24 stycznia 2018 r., I OSK 305/16).
Sprawa dotyczyła wniosku obywatela, który wystąpił do GIODO o „ustalenie administratora danych osobowych przetwarzanych (w szczególności udostępnianych) w Raporcie o działaniach żołnierzy i pracowników WSI oraz wojskowych jednostek organizacyjnych realizujących zadania w zakresie wywiadu i kontrwywiadu wojskowego przed wejściem w życie ustawy z dnia 9 lipca 2003 r. o Wojskowych Służbach Informacyjnych wykraczających poza sprawy obronności państwa i bezpieczeństwa Sił Zbrojnych Rzeczypospolitej Polskiej” (chodzi o tzw. „raport Macierewicza” dot. działań WSI, opublikowany jako postanowienie Prezydenta RP, M.P. z 2007 r. nr 11 poz. 110).
Zdaniem wnioskodawcy treść dokumentu była niezgodna z ustawą, a ponieważ doszło do ujawnienia jego danych osobowych, wezwał GIODO do ustalenia kto jest administratorem danych osobowych przetwarzanych w raporcie oraz „oceny prawidłowości” postanowienia prezydenta.
GIODO odmówił wszczęcia postępowania w sprawie: przepisy ustawy o ochronie danych osobowych (chodzi o obowiązującą wówczas ustawę z 1997 r.) nie przewidują ani kompetencji do podejmowania czynności ustalających kto jest administratorem danych osobowych, ani też uprawnienia do oceny aktów normatywnych wydawanych przez inne organy (np. prezydenta RP).
art. 32 ust. 1 pkt 1ustawy o ochronie danych osobowych z 1997 r.
Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna — jej miejsca zamieszkania oraz imienia i nazwiska;
Bezskuteczna okazała się skarga do sądu administracyjnego: jeśli wniosek o wszczęcie postępowania administracyjnego zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ wydaje postanowienie o odmowie jego wszczęcia (art. 61a par. 1 kpa).
W niniejszej sprawie zachodzi druga przesłanka odmowy wszczęcia postępowania. Po wpłynięciu indywidualnej skargi na naruszenie przepisów o ochronie danych osobowych GIODO ma możliwość nakazania przywrócenia stanu zgodnego z prawem (art. 18 ust. 1 d.uodo) — ale brak przepisu pozwalającego ustalić kim jest administrator danych osobowych (obowiązkiem skarżącego jest wskazać administratora, który naruszył jego dane osobowe). GIODO „nie jest organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji czy inny sposób określony odpowiednimi procedurami” (wyrok WSA w Warszawie z 23 października 2015 r., II SA/Wa 117/15).
W skardze kasacyjnej na to orzeczenie obywatel powołał się m.in. na ustawowe prawo do kontroli przetwarzania jego danych osobowych — skoro przepis mówi, że każdy ma m.in. prawo do ustalenia administratora danych, to GIODO nie może uchylać się od wykonania tego obowiązku (art. 32 ust. 1 pkt 1 d.uodo). Nadto zarzucił, iż ustawa będąca podstawą przygotowania „raportu Macierewicza” nie dawała podstawy do jego ogłoszenia, co stanowi naruszenie art. 23 ust. 1 pkt 2 d.uodo.
NSA ocenił skargę kasacyjną jako bezpodstawną, a część zarzutów jako wadliwie sformułowane. Warunkiem powołania się na naruszenie przepisów postępowania jest wykazanie, iż owo naruszenie mogło mieć istotny wpływ na wynik sprawy — tymczasem w skardze ograniczono się do wskazania naruszonych przepisów i stwierdzenia, że naruszenie taki wpływ, ale nie sprecyzowano na czym ten wpływ ma polegać (strona ma obowiązek nie tylko wskazać podstawy kasacyjne, ale też je uzasadnić, art. 176 ppsa). Stąd też zarzucając np. błędną odmowę dopuszczenia dowodu nie wystarczy gołosłowna teza, iż jego przeprowadzenie mogło skutkować wydaniem innego wyroku — należy przede wszystkim uprawdopodobnić ową ocenę.
Niezależnie od tego NSA podzielił pogląd wyrażony w zaskarżonym wyroku: postępowanie administracyjne prowadzone przez GIODO powinno zmierzać do doprowadzenia do usunięcia nieprawidłowości w procesie przetwarzania danych osobowych — zaś strona może żądać wyłącznie podjęcia działań określonych w art. 18 ust. 1 d.uodo. Osoba, która zarzuca, iż administrator danych osobowych nie dopełnił obowiązków informacyjnych, może żądać nakazania „wskazanemu” [podkr. moje] administratorowi spełnienia wszystkich powinności wynikających z ustawy — ale GIODO nie jest zobligowany do ustalenia tożsamości administratora danych osobowych. Wynika to także z utrwalonego orzecznictwa, w którym podkreśla się, iż można skutecznie domagać się udzielenia informacji w trybie art. 32 d.uodo jedynie od administratora danych, który potencjalnie dane te przetwarza (wyrok NSA 31 lipca 2014 r., I OSK 2930/12).
Niezależnie od tego GIODO nie jest uprawniony do przeprowadzenia kontroli czy weryfikacji aktów wydawanych przez inne organy państwa w ramach prowadzonych postępowań (por. m.in. wyrok NSA z 2 marca 2001 r., sygn. II SA 401/00; wyrok NSA z dnia 11 stycznia 2010 r., sygn. akt I OSK 1453/09; wyrok NSA z 6 grudnia 2011 r., sygn. akt I OSK 268/11).
Zamiast komentarza: muszę przyznać, że taką koncepcję — że GIODO nie ma prawnych narzędzi do ustalenia administratora danych osobowych, zatem art. 32 ust. 1 d.uodo jest „pusty” — chyba przegapiłem, w konsekwencji czego uporczywie prosiłem i przekonywałem, że ado musi się przedstawić, bo jak nie, to „przyjdzie GIODO i cię zje”.
Cóż, człowiek uczy się całe życie, dobrze, że w tym przypadku na cudzych błędach (a z wyrażonymi przez sąd konkluzjami nie zgadzam, biorąc rzecz jasna pod uwagę także to, że GIODO miał uprawnienie do występowania do organów państwowych z wystąpieniami zmierzającymi do zapewnienia skutecznej ochrony danych osobowych (art. 19a ust. 1 d.uodo), a to właśnie w ramach kompetencji do „inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych osobowych” (art. 12 pkt 6 uodo) — tyle, że nie w trybie skargowym).