Z punktu widzenia Administratora Danych bardzo ważne jest określenie instrumentów prawnych, za pomocą których może on zwalczać negatywne skutki przeprowadzonej kontroli przez Generalnego Inspektora Ochrony Danych Osobowych. Kluczowe znaczenie ma tutaj określenie reżimu prawnego w ramach którego działa GIODO. W odniesieniu do spraw związanych z ochroną danych osobowych oraz w postępowaniu przed Generalnym Inspektorem Ochrony Danych Osobowych należy stosować przepisy kodeksu postępowania administracyjnego. Art. 22 ustawy o ochronie danych osobowych stwierdza, iż
Postępowanie w sprawach uregulowanych w niniejszej ustawie prowadzi się według przepisów Kodeksu postępowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej.
Z powyższego wynika, że co do zasady w postępowaniu związanym z ustawą o ochronie danych osobowych należy stosować przepisy kodeksu postępowania administracyjnego. Wyjątkowo, możliwe jest jednak stosowanie do postępowania przepisów ustawy o ochronie danych osobowych.
Dzieje się tak w przypadku, gdy odbiegają one od postanowień kodeksu postępowania administracyjnego (Lex specialis derogat legi generali).
Można w tym momencie zadać pytanie, czy skoro postępowanie przed GIODO toczy się na podstawie przepisów kodeksu postępowania administracyjnego, to te same przepisy należy stosować do postępowania prowadzonego przed Administratorem Danych? (np. w sprawach związanych z prawem do informacji osób, których dane dotyczą). Odpowiedź jest negatywna. Doktryna oraz orzecznictwo opowiedziało się niestosowaniem co do zasady przepisów kodeksu postępowania administracyjnego do postępowania toczącego się przed Administratorem Danych. Przemawia za tym natura stosunku prawnego jak i umiejscowienie odesłania do stosowania przepisów kodeksu postępowania administracyjnego (art. 22 ustawy o ochronie danych osobowych).
Co powyższe oznacza dla Administratora Danych, w sprawie którego GIODO wdrożył postępowanie? Do postępowania o którym mowa będą miały zastosowanie przepisy kodeksu postępowania administracyjnego dotyczące dotyczące m.in. strony postępowania, przepisy o załatwianiu spraw, o przebiegu postępowania oraz o wznowieniu postępowania, uchyleniu, zmianie oraz stwierdzeniu nieważności decyzji. Ważne jest by pamiętać, że powyższe przepisy nie są stosowane wprost, lecz odpowiednio. Wynika stąd konieczność zachowania ostrożności w ich wykładni.
Prześledzimy teraz hipotetyczny stan faktyczny, który pozwoli zrozumieć mechanizm i tryb postępowania administracyjnego prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. Załóżmy, że spółka X została skontrolowana przez GIODO. W wyniku kontroli, GIODO wydał decyzję administracyjną skierowaną do X, w której nakazał przywrócenie stanu zgodnego z prawem, poprzez usunięcie określonych w treści decyzji uchybień w procesie przetwarzania danych osobowych. Nasz X może w tym momencie pogodzić się z wydaną decyzją i usunąć uchybienia, lub jeśli nie zgadza się z zapadłym rozstrzygnięciem, może złożyć do GIODO wniosek o ponowne rozpatrzenie sprawy. Wniosek można złożyć w ciągu 14 dni od skutecznego doręczenia decyzji.
Art. 21. 1. Strona może zwrócić się do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie sprawy.
Warto pamiętać o dwóch kwestiach związanych z wnioskiem o ponowne rozpatrzenie sprawy. Po pierwsze GIODO nie może zgodnie z treścią art. 139 kodeksu postępowania administracyjnego, wydać decyzji na niekorzyść strony wnoszącej o ponowne rozpatrzenie sprawy. Taka możliwość istnieje wyjątkowo, gdy zaskarżona decyzja rażąco narusza prawo lub interes społeczny. Mamy tutaj oczywiście klauzule generalne, które same w sobie są tematem na oddzielny wpis. Druga sprawa dotyczy wykonalności decyzji. Jeśli X złoży w ciągu 14 dni przed uprawomocnieniem się decyzji GIODO wniosek o ponowne rozpatrzenie sprawy, to decyzja nie będzie podlegała wykonaniu. Jest to bardzo ważne, gdyż X dzięki takiemu zabiegowi wydłuża sobie czas na usunięcie wykrytych podczas kontroli uchybień.
GIODO w postępowaniu wszczętym wnioskiem o ponowne rozpatrzenie sprawy może uchylić swoja decyzję, zmienić ją, lub utrzymać w mocy. Niestety jak pokazuje praktyka najczęściej – nie bacząc na argumenty strony przeciwnej – GIODO utrzymuje swoją poprzednią decyzję w mocy. Decyzja taka jest ostateczna. X w tym momencie będzie mógł już tylko w ciągu 30 dni od doręczenia decyzji, skierować skargę do Wojewódzkiego Sądu Administracyjnego. Należy pamiętać o tym, że skargę do Wojewódzkiego Sądu Administracyjnego można wnieść tylko i wyłącznie wtedy, gdy złożyło się wcześniej wniosek do GIODO o ponowne rozpatrzenie sprawy. Sądem właściwym do wniesienia skargi jest zgodnie z brzmieniem art. 13 par. 2 prawa o postępowaniu przed sądami administracyjnymi Wojewódzki Sąd Administracyjny w Warszawie. Skargę należy wnieść za pośrednictwem GIODO.
Jeśli Wojewódzki Sąd Administracyjny nie przychyli się do żądania X, jedyną deską ratunku będzie skarga kasacyjna do Naczelnego Sądu Administracyjnego. To już jednak zupełnie inny temat…
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.