Kary GIODO – Ochrona danych osobowych w praktyce

Zapewne nie jeden administrator danych zastanawiał się jakie kary nakłada GIODO. Sprzyjają temu media, w których co jakiś czas pojawia się temat kar nakładanych rzekomo przez Generalnego Inspektora Ochrony Danych osobowych. Warto pamiętać, iż GIODO nie posiada co do zasady kompetencji umożliwiających nakładanie kar finansowych np. w sytuacji wykrycia uchybień podczas kontroli.

Powstaje więc pytanie, czy GIODO może zrobić cokolwiek jeżeli administrator danych nie stosuje się do wymagań nałożonych ustawą o ochronie danych osobowych i czy administrator danych może zostać obciążony jakimiś karami pieniężnymi?

Warto pamiętać, że jednym ze środków jakie może zastosować GIODO jest złożenie zawiadamiania o możliwości popełnienia przestępstwa do prokuratury!

W poniższym artykule skoncentrujemy się na innym narzędziu jakim dysponuje GIODO. Ww. narzędziem jest możliwość nałożenia grzywny w celu wymuszenia wykonania wydanej decyzji administracyjnej. O samej egzekucji pisaliśmy szerzej w artykule Egzekucja decyzji GIODO. Przypomnę tylko, że GIODO od 7 marca 2011 roku może nakładać grzywny w celu przymuszenia na podmioty, które nie będą wykonywały jego decyzji administracyjnych.

Dzisiaj postaram się opisać jak wygląda możliwość miarkowania wysokości i nałożenia przez GIODO grzywny na administratora danych, który nie wykonuje decyzji administracyjnej GIODO. Na samym początku chciałbym zaznaczyć, iż do Zespołu do Spraw Egzekucji Administracyjnej trafia w finale mało spraw. Sam Zespół do Spraw Egzekucji Administracyjnej to jednostka organizacyjna wyodrębniona w strukturze biura GIODO a odpowiedzialna za prowadzenie postępowań egzekucyjnych. Zdecydowana większość administratorów danych decyduje się na dobrowolne wykonanie decyzji GIODO. Ale jak to często w życiu bywa nie wszyscy adresaci decyzji decydują się je wykonywać. GIODO w takiej sytuacji wykorzystuje swoje nowe kompetencje i w efekcie nakłada grzywny. Jak wygląda nałożenie grzywny? W jednym z orzeczeń NSA możemy przeczytać:

Generalny Inspektor podniósł bowiem, że […] […] Zarząd […]: 1) nie wykonał dobrowolnie obowiązku wynikającego z ostatecznej decyzji, 2) zignorował wezwania organu egzekucyjnego do dobrowolnego wykonania tego obowiązku, 3) nie wykonał ciążącego na nim obowiązku, nawet częściowo, mimo że jego wykonanie nie stanowiło dla zobowiązanego żadnej uciążliwości, czy to od strony finansowej czy to od strony organizacyjnej, co uzasadnia nałożenie grzywny w wysokości 25 000 zł.[1]

Widzimy więc, że administrator danych po prostu zignorował GIODO. Gdyby administrator danych zastosował się do decyzji, uniknąłby nałożenia grzywny i całego postępowania sądowego, które w końcu przegrał. W przytoczonym wyroku NSA rozstrzygał, czy grzywna we wskazanej wysokości jest adekwatna. Zdaniem WSA (sygn. II SA/Wa 1804/13) grzywna w wysokości 25 000 zł jest niezasadna z uwagi na okoliczność, iż w postanowieniu nie wyjaśniono dlaczego zasądzono grzywnę w takiej właśnie wysokości. Z argumentacją WSA nie zgodził się NSA twierdząc, że GIODO może nakładać grzywny uznaniowo do 50 000 zł (w przypadku spółek handlowych). Warto pamiętać, że w takim wypadku suma nałożonych grzywn  nie powinna przekroczyć 200 000 zł.- dotyczy to jednak niewykonania konkretnej decyzji administracyjnej. Zatem jeśli nie wykonaliśmy dwóch decyzji, możemy się spodziewać maksymalnie grzywn w wysokości do 400 000 zł.

Na marginesie warto jeszcze wspomnieć o okoliczności, iż GIODO był organem egzekucyjnym w zakresie egzekucji niepieniężnej również przed wejściem w życie nowelizacji  7 marca 2011 roku. Do takich wniosków doszedł NSA[2] :

„Reasumując należy stwierdzić, że zwrot „organy administracji rządowej” użyty w art. 2 § 1 pkt 10 ustawy o postępowaniu egzekucyjnym w administracji należy rozumieć tak jak „organy administracji publicznej” w ustawie Kodeks postępowania administracyjnego. Zatem wbrew stanowisku Sądu I instancji, decyzje Generalnego Inspektora Ochrony Danych Osobowych wydane zarówno przed 7 marca 2011 r., jak też po tej dacie, nakładające obowiązki o charakterze niepieniężnym podlegają egzekucji w trybie określonym w ustawie o postępowaniu egzekucyjnym w administracji. Przyjęcie odmiennego stanowiska prowadzi bowiem do wniosku, że decyzja GIODO nakazująca administratorowi danych ujawnienie zainteresowanej osobie określonych danych byłaby w istocie niewykonalna, a taka sytuacja jest niedopuszczalna w demokratycznym państwie prawnym.”

[1] sygn. I OSK 1466/14

[2] sygn. I OSK 316/13

Egzekucja decyzji GIODO

Nowelizacja ustawy o ochronie danych osobowych z dn. 7 marca 2011 r. zmieniła m.in. ustawę z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2012 r. poz 1015), dalej zwaną „Ustawą”. Choć trudno w to uwierzyć i kłóci się to z logiką, do ww. daty, decyzje GIODO nie podlegały egzekucji, czyli mówić wprost, GIODO nie posiadał narzędzia, które pozwalało wymusić wykonanie prawomocnej decyzji administracyjnej w zakresie usunięcia uchybień w procesie przetwarzania danych osobowych. Z punktu widzenia praktyki, brak egzekucji decyzji GIODO wpływał bardzo negatywnie na zgodność działania administratorów danych z ustawą o ochronie danych osobowych. Znane są mi przypadki, gdy przed wejściem w życie ww. nowelizacji, administrator danych świadomie i umyślnie nie wykonywał decyzji GIODO. Oczywiście zdarzało się tak wtedy, gdy był dobrze poinformowany i zdawał sobie sprawę, że brak działania nie spowoduje nałożenia na niego dodatkowych sankcji (oczywiście w artykule pomijam całkowicie inne reżimy odpowiedzialności prawnej, tj. odpowiedzialność karną i cywilną). Czy wejście w życie nowelizacji poprawiło sytuację? Niestety nie. Same przepisy (poza sporadycznymi wyjątkami) nie kształtują rzeczywistości. Póki więc GIODO nie zacznie korzystać z przysługujących mu uprawnień do egzekucji swoich decyzji, póty administratorzy danych będą posiadali tą furtkę i szansę na uniknięcie odpowiedzialności związanej z niewykonaniem decyzji GIODO.

Pozostawiając powyższe dywagacje, rzućmy okiem jak wyglądają uprawnienia GIODO, o których mowa w ustawie o postępowaniu egzekucyjnym w administracji. Zgodnie z art. 18 ustawy o ochronie danych osobowych, decyzje wydawane przez GIODO dotyczą obowiązku podjęcia lub zaniechania określonej czynności. Są to zatem obowiązki o charakterze niepieniężnym. Dla tego typu decyzji administracyjnych, Ustawa przewiduje następujące środki egzekucyjne:

  1. grzywna w celu przymuszenia,
  2. wykonanie zastępcze
  3. odebranie rzeczy ruchomej,
  4. odebranie nieruchomości, opróżnienia lokali i innych pomieszczeń,
  5. przymus bezpośredni

GIODO w postępowaniu egzekucyjnym jest zarówno wierzycielem (czyli podmiotem uprawnionym do żądania wykonania decyzji) jak i organem egzekucyjnym. W związku z faktem, iż GIODO posiada status wierzyciela i organu egzekucyjnego, GIODO wszczyna postępowanie egzekucyjne z urzędu, na podstawie wystawionego przez siebie tytułu wykonawczego. Tytuł wykonawczy powinien zostać doręczony administratorowi danych, który nie wykonał decyzji, wraz z dowodem doręczenia wcześniej upomnienia, którego celem było skłonienie administratora danych do dobrowolnego wykonania decyzji.

Wydaje się, że z punktu widzenia GIODO będą mogły być stosowane w praktyce środki egzekucyjne o których mowa w pkt 1, 2 i 5. Teraz kilka słów grzywnie. Zgodnie z Ustawą, grzywna w celu przymuszenia wykonania decyzji może być nałożona dopiero w ostateczności, gdy inne środki egzekucyjne nie wchodzą już w grę. Wynieść ona może do 10 000 zł w przypadku osób fizycznych (do 50 000 zł w przypadku wielokrotnego niewykonania decyzji GIODO) i odpowiednio w stosunku do innych podmiotów niż osoby fizyczne 50 000 zł (i 200 000 zł w przypadku wielokrotnego niewykonania decyzji GIODO). Nałożone i nieuiszczone grzywny podlegają ściągnięciu w trybie egzekucji należności pieniężnych. Co istotne, obowiązek uiszczenia nałożonych grzywien nie przechodzi na spadkobierców lub prawnonabywców administratora danych. Zatem można postawić tezę, iż w razie zbycia (udostępnienia) zbioru danych na rzecz innego administratora danych, na odbiorcę danych, nie przechodzi obowiązek zapłaty grzywny. Jeżeli zdarzy się tak, że administrator danych wykona w międzyczasie decyzję GIODO, nałożone a nieuiszczone lub nieściągnięte grzywny podlegają umorzeniu. Administrator danych, który wykonał decyzję, posiada również uprawnienie, do złożenia wniosku o zwrot uiszczonych lub ściągniętych grzywn w wysokości 75% lub 100%. O zwrocie ww. kwot decydować będzie GIODO.

W kolejnych artykułach omówimy kolejne środki egzekucyjne, które może stosować GIODO.