Kompetencje GIODO

Bardzo często spotykam się z pytaniem dotyczącym tego, jakie kompetencje przysługują GIODO. Jakie uprawnienia posiada GIODO? Jestem przekonany, że większość osób, która nie zajmuje się tematem ochrony danych osobowych, myśli, że GIODO posiada uprawnienie do nakładania kar finansowych na podmioty, które niezgodnie z ustawą przetwarzają dane osobowe. Wydawałoby się to całkowicie naturalne. Skoro GIODO zajmuje się kontrolą prawidłowości przetwarzania danych osobowych to automatycznie powinien mieć możliwość „karania” administratora za wykryte uchybienia.

Kompetencje GIODO określa art. 18 ustawy o ochronie danych osobowych i zasadniczo jest to uprawnienie do nakazania przywrócenia stanu zgodnego z prawem. W dalszej części przywołanego przepisu ustawodawca podaje nam przykłady na czym może polegać to przywrócenie stanu zgodnego z prawem i są to następujące nakazy:

1) usunięcie uchybień,

2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,

5) zabezpieczenie danych lub przekazanie ich innym podmiotom,

6) usunięcie danych osobowych.

W żadnym z wyżej wymienionych punktów nie została zawarta kompetencja do nakładania kar finansowych przez GIODO. Wydaje się to dużym błędem ustawodawcy. Wiele zachodnich systemów prawnych dotyczących ochrony danych osobowych przewiduje możliwość nakładania kar finansowych. Ten środek karny wydaje się jedynym, z którego może skorzystać państwo w celu zdyscyplinowania administratorów danych osobowych do zagwarantowania odpowiedniego poziomu ochrony danych osobowych. Co prawda nasza ustawa daje GIODO możliwość nałożenia bardzo dotkliwej kary – może nawet surowszej od wielkiej kary finansowej – czyli usunięcia danych osobowych. Jednak GIODO bardzo rzadko z tej możliwości korzysta. Cieszyć może w tym kontekście, że projekt rozporządzenia unijnego przewiduje zmianę podejścia do sankcji nakładanych na administratorów. Odwraca tą niezdrową proporcję, którą obserwujemy w naszej ustawie, czyli przewagę sankcji karnych, nad karami cywilnymi. Wynika to prawdopodobnie z niezrozumienia, kto potencjalnie może podlegać ww. karom, czyli podmiotom prowadzącym działalność gospodarczą.

Warto na koniec jeszcze wspomnieć, że GIODO posiada jeszcze dodatkowe uprawnienie, które wynika z art. 48 ustawy o ochronie danych osobowych czyli możliwość wyrażenia zgody przez GIODO na transfer danych osobowych do Państwa trzeciego. Administratorzy danych coraz częściej występują o takie zgody. Postępowanie w tego typu sprawach prowadzone jest w oparciu o przepisy kpa. W jednym z kolejnych artykułów z pewnością poruszymy ten temat.