Pomimo działania w tych samych ramach prawnych, okazuje się, że podejście oraz interpretacja organów krajowych różni się od siebie w znaczący sposób. W 2020 roku Komisja Europejska, oceniając dwa lata funkcjonowania RODO, mówiła o różnorodności interpretacji organów krajowych na wielu polach – w szczególności w zakresie wysokiego ryzyka w rozumieniu art. 35 RODO. O ile harmonizacja dotknęła przepisów materialnych, to poza jej zakresem znalazły się przepisy postępowania administracyjnego w kolejnych państwach. Jednocześnie wiele spraw dotyczących ochrony danych posiada charakter międzynarodowy, co czasem prowadzi do sporów pomiędzy organami – w tym także związanymi z różnym charakterem i strukturą postępowań oraz odmiennymi interpretacjami przepisów.
Czytaj w LEX: Kiedy zgłaszać naruszenie przepisów o ochronie danych osobowych? >
Co kraj, to inne podejście do RODO
Różnice dotyczą bardzo szerokiego zakresu zagadnień. Na przykład:
- czy organ nadzorczy akceptuje zawiadomienie złożone wyłącznie w formie wiadomości e-mail czy jednak wymaga również podpisanego pisma
- czy organy mogą odrzucić skargę bez badania sprawy w niezaskarżalnej decyzji
- jaką rolę w postępowaniu przed organem nadzorczym odgrywa postępowanie przygotowawcze.
Nawet kwestie postępowania dowodowego czy egzekucji decyzji nie są w żaden sposób ujednolicone. Prowadzi to do niepewności w postępowaniach przed organami, w szczególności, kiedy skarga złożona w jednym państwie jest przekazana do organu nadzorczego innego. Dochodziło wtedy do sytuacji, w której skarga dopuszczalna w jednym państwie była niedopuszczalna w innym. Podobnie brak jest ujednoliconych terminów na dokonanie kolejnych czynności w postępowaniach administracyjnych.
Czytaj w LEX: Analiza sprawozdania z działalności UODO za 2020 - przegląd wskazówek dla administratorów danych >
Nowe przepisy mają pomóc interpretować RODO
W związku z tym Komisja Europejska podjęła w ostatnim czasie prace nad propozycją rozporządzenia, które zmieniłoby kwestie proceduralne związane ze współpracą organów nadzorczych w obszarze ochrony danych. Podstawowymi obszarami, które wymagają regulacji jest:
- określenie proceduralnych terminów dla współpracy pomiędzy organami nadzorczymi w sprawach transgranicznych
- stworzenie narzędzi, które pozwolą organom nadzorczym współpracować na etapie dochodzenia stanu faktycznego,
- wyjaśnienie pozycji składającego skargę w postępowaniach przed organami nadzorczymi, w tym zapewnienie im możliwości wypowiedzenia się,
- uproszczenie metod zbierania zeznań,
- wyjaśnienie, w jaki sposób informacja będzie dzielona pomiędzy różnymi organami nadzorczymi.
Czytaj w LEX: Publiczny rejestr umów a ochrona danych osobowych >
Nowy akt prawny nie ma na celu zastąpienia RODO, ma jedynie pełnić funkcję pomocniczą w celu uproszczenia współpracy organów nadzorczych. Nie ma jeszcze projektu ustawy, mimo że 24 marca 2023 r. minął termin konsultacji.
Czytaj w LEX: Kontrola pracowników na obecność w ich organizmach alkoholu lub środków działających podobnie do alkoholu a RODO >
Łącznie złożonych zostało 73 komentarzy do jego założeń - od entuzjastycznych do mocno sceptycznych. Spośród komentarzy merytorycznych o negatywnym wydźwięku na uwagę zasługuje szczególnie ten złożony przez Polską Federację Lewiatan. Organizacja zwróciła uwagę na zagrożenie dla mechanizmu One Stop Shop w przypadku implementacji propozycji. Zgodnie z tym mechanizmem, w przypadku, kiedy organizacja funkcjonowała w kilku państwach członkowskich miała możliwość wskazania organu wiodącego. W oczywisty sposób ułatwiało to prowadzenie postępowań i usprawniało postępowanie z punktu widzenia administratorów danych. W opinii Konfederacji, stworzenie rozwiązań regulujących współpracę organów nadzorczych w zamierzonym zakresie musi gwarantować przejrzystość postępowania dla administratora i umożliwić efektywny kontakt pomiędzy organami nadzorczymi. W każdym przypadku należy pamiętać, że RODO posiada dwa cele – zarówno ochronę praw i wolności osób, jak i umożliwienie swobodnego przepływu informacji.
Czytaj w LEX: Praca zdalna a ochrona danych osobowych >
Obecnie administratorzy danych mogą jedynie czekać na dalszy proces i działania organów unijnych oraz śledzić postępy we wdrażaniu nowych regulacji. Z deklaracji Komisji Europejskiej wynika, że propozycja nowego aktu prawnego może pojawić się w drugim kwartale 2023 roku, a więc już w najbliższym czasie.
Autor: Krzysztof Kaźmierczak, data protection specialist.
Czytaj w LEX: Procesor jako podmiot weryfikowany – czyli o co może pytać i co może sprawdzać administrator danych? >
