Krzysztof Rokita
Niezależność organów ochrony danych osobowych w ogólnym rozporządzeniu o ochronie danych
Artykuł pochodzi z miesięcznika Europejski Przegląd Sądowy 7/2016>>
W kwietniu 2016 r. zostało uchwalone ogólne rozporządzenie o ochronie danych osobowych. Roz-porządzenie to zastępuje dotychczas obowiązującą dyrektywę 95/46/WE i będzie stanowić podsta-wowy akt prawny w zakresie ochrony danych osobowych osób fizycznych. Stanowi ono jeden z istotnych elementów na rzecz utworzenia jednolitego rynku cyfrowego w Unii Europejskiej. Jego sukces w dużej mierze będzie zależeć od organów odpowiedzialnych za jego stosowanie. Niniejszy artykuł ma na celu analizę przepisów w zakresie kluczowego atrybutu, jaki nowe rozporządzenie nadaje krajowym organom odpowiedzialnym za wdrażanie jego przepisów – niezależności.
I. Wprowadzenie
27.04.2016 r. Parlament Europejski i Rada (UE) przyjęły rozporządzenie nr 2016/679 – ogólne rozporządzenie o ochronie danych . Rozporządzenie to stanowi kolejny krok w kierunku zabezpieczenia prawa do ochrony danych osobowych, które w Unii Europejskiej cieszy się niezwykle istotnym statusem prawa podstawowego. Zgodnie z art. 8 ust. 1 Karty Praw Podsta-wowych UE każdy ma prawo do ochrony danych osobowych, które go dotyczą. Prawo to podlega ochronie także na mocy art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej . Nowe rozporządzenie jest również jednym z istotnych elementów strategii na rzecz jednolitego rynku cyfrowego w UE . Tym samym dyrektywa 95/46/WE zostanie zastąpiona przez bezpo-średnio obowiązujące rozporządzenie unijne. Rozporządzenie będzie jednak stosowane dopiero od 25.05.2018 r., o czym stanowi art. 99 ust. 2 tego aktu prawnego.
Niezwykle istotnym elementem stworzonego przez Unię systemu ochrony danych osobowych są organy odpowiedzialne za wdrażanie zawartych tam norm prawnych – organy ochrony danych osobowych (ang. data protection authorities). Organy te można zaliczyć do grupy tzw. niezależnych organów administracyjnych, które charakteryzują się kluczowym atrybutem niezależności . Status organów ochrony danych osobowych, w tym ich niezależności, uległ wielu zmianom w nowym rozporządzeniu, co zresztą w bardzo wyraźny sposób podkreślono, nazywając te organy „niezależnymi organami nadzorczymi” (dalej jako organy ochrony danych osobowych lub organy nadzorcze). Organy ochrony danych osobowych nie tylko należą do grupy niezależnych organów administracyjnych, jako pewnej koncepcji wyróżnianej w naukach prawnych, politycznych i ekonomicznych, lecz są także typem organów utworzonych i działających na szczeblu państw członkowskich, których niezależność chroniona jest gwarancjami prawnymi czerpiącymi źródło w prawie UE. Innymi tego typu organami są krajowe organy regulacyjne działające w sektorach łączności elektronicznej, energetyki, transportu kolejowego i pocztowym . Niezależnymi organami staną się wkrótce być może też krajowe organy konkurencji . Pewne gwarancje niezależności w prawie unijnym przysługują także bankom centralnym . Choć do chwili uchwalenia rozporządzenia najbardziej obszerne przepisy dotyczące niezależności obowiązywały w sektorach sieciowych, to jednak do rozwinięcia koncepcji niezależności organów w prawie unijnym najbardziej przyczyniło się orzecznictwo TS dotyczące organów ochrony danych osobowych. Niniejszy artykuł ma na celu analizę przepisów nowego rozporządzenia dotyczących niezależności organów ochrony danych osobowych w świetle dotychczasowego orzecznictwa Trybunału w Luksemburgu. Przy czym niezależność organów nadzorczych będzie tu rozumiana nieco szerzej niż wynikałoby to z przepisów rozporządzenia, albowiem obejmie także relacje tych organów z instytucjami unijnymi, quasi-unijnymi oraz innymi organami ochrony danych osobowych. Przeprowadzona analiza umożliwi także ocenę tego, czy istnieje potrzeba dokonania zmian statusu Generalnego Inspektora Ochrony Danych Osobowych (dalej jako GIODO), tak aby organ ten spełniał wymogi wynikające z prawa unijnego.@page_break@
II. Szczególne znaczenie niezależności organów ochrony danych osobowych w prawie UE
Kategoria niezależnych organów administracyjnych kojarzona jest przede wszystkim z szeroko rozumianymi organami re-gulacyjnymi, tzn. organami wdrażającymi normy prawne w sektorach sieciowych i mającymi na celu przede wszystkim zwiększenie efektywności ekonomicznej poprzez kreowanie warunków dla funkcjonowania mechanizmu konkurencji (tzw. regulacja ekonomiczna), w tym także organami konkurencji. Tezę tę zresztą potwierdza okoliczność, że niezależne organy administracyjne często są określane po prostu mianem niezależnych organów regulacyjnych. Jednymi z pierwszych niezależ-nych organów regulacyjnych były działające w USA (od końca XIX w.) komisje, których niezależność przejawiała się przede wszystkim przez ograniczenie wpływów prezydenta USA i podległej mu administracji federalnej . W Europie pierwsze organy zaliczane do typu niezależnych organów administracyjnych zaczęły się pojawiać w ub. stuleciu. Przykładowo, w 1957 r. w Niemczech utworzono Federalny Urząd Kartelowy (Bundeskartellamt), który jest najstarszym działającym do dzisiaj orga-nem konkurencji , w 1973 r. w Zjednoczonym Królestwie utworzono Office of Fair Trading, a później Office of Telecommu-nications (1984 r.) i organy regulacyjne w innych sektorach . W tym samym czasie, wraz z rozwojem prawa ochrony danych osobowych, w Europie zaczęły się pojawiać pierwsze organy powołane do wdrażania norm prawnych służących tej ochronie. W 1977 r. w Niemczech uchwalono pierwszą federalną ustawę o ochronie danych osobowych i powołano Federalnego Komi-sarza ds. Ochrony Danych Osobowych (Bundesbeauftragter für den Datenschutz) . Dopiero jednak powołany w 1978 r. francuski organ Commission Nationale Informatique et Libertés traktowany jest jako pierwszy niezależny organ ochrony danych osobowych . Zaledwie kilka miesięcy po powołaniu francuskiego organu Austria ustanowiła Komisję ds. Ochrony Danych (Datenschutzkommission) jako niezależny trybunał administracyjny .
W prawie unijnym koncepcja niezależnych organów regulacyjnych podlegała wieloletniej ewolucji. Po raz pierwszy pojęcie krajowych organów regulacyjnych pojawiło się w dyrektywie 92/44/EWG, zgodnie z którą miały to być podmioty prawnie odrębne i funkcjonalnie niezależne od organizacji telekomunikacyjnych . Ten dosyć wąski zakres niezależności utrzymywał się przez wiele lat. W dyrektywie 2002/21/WE, obowiązującej do dzisiaj, pojawiła się definicja pojęcia „krajowy organ regu-lacyjny” i osobny rozdział poświęcony tym organom. Dopiero w dyrektywie 2009/140/WE poszerzono znacznie zakres przy-sługującej organom niezależności poprzez wskazanie, że nie mogą one przyjmować instrukcji od jakichkolwiek innych pod-miotów. Co prawda, same przepisy nie wspominały o niezależności od władz państw członkowskich, to jednak preambuła tej dyrektywy wyraźnie wskazywała, że reforma ma na celu zwiększenie niezależności politycznej . Był to zatem pierwszy krok w kierunku stworzenia ochrony organów regulacyjnych przed wpływem państw członkowskich UE.
W dyrektywie regulującej sektor pocztowy 97/67/WE nie pojawiły się żadne przepisy wprowadzające jakieś nowości w zakresie niezależności organów. To samo odnosi się do dyrektywy 2001/14/WE dotyczącej sektora transportu kolejowego. Natomiast w sektorze energetycznym „pierwsza generacja” organów regulacyjnych pojawiła się w 2003 r. Jednak dopiero po uchwaleniu tzw. trzeciego pakietu energetycznego prawodawca unijny wprowadził bardzo szeroką niezależność nie tylko od przedsiębiorstw regulowanego sektora, lecz także od innych podmiotów, w tym organów władzy. Bardzo istotna reforma z punktu widzenia niezależności krajowych organów regulacyjnych została dokonana w dyrektywie 2012/34/UE, która w znaczący sposób zwiększyła niezależność krajowych organów regulacyjnych w sektorze kolejowym, wprowadzając nieznane dotąd obowiązki prawne . I choć większość zmian przyczyniła się do wzrostu precyzji przepisów dotyczących niezależności, to jednak w niektórych aspektach nowe przepisy w dyrektywie 2012/34/WE wzajemnie się pokrywają, przez co część z nich wydaje się niepotrzebna . Warto jeszcze wspomnieć o tym, że – powszechnie uznawane za niezależne – organy konkurencji nie posiadają żadnych wyraźnych gwarancji niezależności w prawie unijnym, o czym była mowa powyżej .
Kiedy w sektorach sieciowych dokonywano zmian obowiązujących aktów prawnych, w tym też w zakresie niezależności organów regulacyjnych, ochrona danych osobowych na szczeblu unijnym uregulowana była w dyrektywie 95/46/WE. Od początku obowiązywania tego aktu prawnego przewidywał on obowiązek powołania organu, który będzie odpowiedzialny za stosowanie prawa, działając w sposób „całkowicie niezależny” (ang. complete independence) . Te przepisy nie zwracały jednak większej uwagi aż do momentu, kiedy Komisja Europejska (dalej jako Komisja) wszczęła pierwsze postępowanie dotyczące naruszenia niezależności organów ochrony danych osobowych przez państwo członkowskie . Dopiero wtedy okazało się, że być może ta lakoniczna gwarancja prawna, zapewniająca organom ochrony danych osobowych całkowitą niezależność, będzie źródłem bardzo daleko idących obowiązków ciążących na państwach członkowskich i szeroko zakrojonej niezależności przysługującej ich organom. W tej części artykułu zostanie powołany jednak tylko jeden aspekt orzecznictwa TS, a mianowicie szczególne znaczenie niezależności organów ochrony danych osobowych. Wydaje się bowiem, że ustalając zakres niezależności poszczególnych typów niezależnych organów w prawie UE, TS bierze pod uwagę zadania, jakie zostały danym organom powierzone. Z orzecznictwa można wywnioskować, że istota zadań wypełnianych przez organy ochrony danych osobowych skłania TS do przyjmowania bardzo szerokiej interpretacji niezależności organów ochrony danych osobowych.
Należy przypomnieć, że prawo do ochrony danych osobowych jest prawem podstawowym zapisanym w KPP oraz Trakta-cie o funkcjonowaniu UE. Co jednak szczególnie ciekawe, te fundamentalne akty prawne nadają też prawu do ochrony danych osobowych aspekt instytucjonalny. Według Karty każdy ma prawo do ochrony danych osobowych, które go dotyczą, ale co więcej, przestrzeganie zasad ochrony danych osobowych podlega kontroli niezależnego organu (art. 8 ust. 3). To samo wynika z art. 16 ust. 2 TFUE. Oprócz krajowych banków centralnych, żaden organ krajowy nie jest chroniony przed zewnętrznymi wpływami przez przepisy traktatowe. Co więcej, tylko organy ochrony danych osobowych mają zagwarantowaną niezależność przez przepisy Karty . Zatem według prezentowanej tu hipotezy pełną treścią prawa podstawowego z art. 8 KPP do ochrony danych osobowych jest to, że każdy ma prawo do ochrony danych osobowych, które chronione są przez niezależny organ. Innymi słowy, nie można rozdzielać aspektu materialnego tego prawa od jego elementu instytucjonalnego. Takie rozumienie wydaje się potwierdzać orzecznictwo TS, który w dużej mierze spogląda na prawo ochrony danych osobowych przez pryzmat praw podstawowych .
Już w pierwszej sprawie dotyczącej naruszenia niezależności organów ochrony danych osobowych przez system nadzoru w Niemczech TS stwierdził, że organy te są strażnikami prawa podstawowego do ochrony danych osobowych, a ich funkcjo-nowanie w państwach członkowskich jest niezbędnym ogniwem systemu ochrony jednostek w związku z przetwarzaniem ich danych. Co więcej, prawna ochrona niezależności organów ochrony danych osobowych ma na celu zapewnienie skuteczności i wiarygodności nadzoru przestrzegania przepisów dotyczących ochrony danych osobowych osób fizycznych i musi być interpretowana w świetle tego celu. Niezależność nie została ustanowiona po to, aby nadać jakiś szczególny status samym organom albo ich pracownikom, lecz po to, aby wzmocnić ochronę osób i instytucji, których dotyczą wydawane przez organy nadzorcze decyzje . Dlatego też według TS nie do pogodzenia z gwarancjami niezależności organów jest istnienie jakichkolwiek zewnętrznych wpływów, zarówno bezpośrednich, jak i pośrednich . Takie organy powinny działać nawet poza jakimkolwiek podejrzeniem stronniczości, które może być wynikiem choćby istnienia możliwości politycznego wpływu innych organów . Wydaje się to zresztą uzasadnione, bo trudno wyobrazić sobie skuteczność ochrony danych osobowych, jeżeli organ odpowiedzialny za nadzór przestrzegania stosownych przepisów sam byłby postrzegany jako potencjalne źródło zagrożenia. Z drugiej jednak strony, nawet potencjalny polityczny wpływ innych organów może skutkować zaistnieniem po stronie organu ochrony danych osobowych „przewidywanego posłuszeństwa” (ang. prior compliance), czyli dostosowania się stanowiska, jakie prezentuje inny organ mający potencjalny wpływ .
Niezwykle ciekawy problem pojawił się w głośnej sprawie Schrems . Sprawa ta dotyczyła tzw. decyzji stwierdzających odpowiedni stopień ochrony (ang. adequacy decisions), jeszcze na tle dyrektywy 95/46/WE. Tego typu decyzje dotyczą transferu danych osobowych do państw trzecich spoza UE. Transfer danych do państw trzecich może nastąpić tylko w przypadku, jeżeli państwa takie zapewniają poziom ochrony danych ekwiwalentny do poziomu unijnego . Podstawę transferu może stanowić decyzja wydana przez Komisję, stwierdzająca, że dane państwo spełnia taki wymóg. W wyroku w sprawie Schrems TS był skonfrontowany z problemem, który w istocie sprowadzał się do tego, czy organ ochrony danych osobowych związany jest decyzją Komisji stwierdzającą, że Stany Zjednoczone Ameryki zapewniały odpowiedni poziom ochrony , i w związku z tym nie może podjąć postępowania, aby zbadać, czy rzeczywiście taki poziom jest zapewniony, czy też z racji tego, iż do organu napłynęła skarga związana z poziomem ochrony danych w USA, organ powinien podjąć stosowne postępowanie . Ostatecznie w swoim wyroku, co zresztą odbiło się echem po obu stronach Atlantyku, Trybunał Sprawiedliwości unieważnił decyzję Komisji stanowiącą podstawę transferu danych osobowych do USA. Z punktu widzenia niniejszego artykułu istotna jest jednak argumentacja Trybunału w Luksemburgu. Chociaż TS nie oparł jej na naruszeniu niezależności organu przez Komisję, to jednak wydaje się, że argumentacja potwierdza istotę niezależnego nadzoru dla podstawowego prawa ochrony danych.
Przede wszystkim TS po raz kolejny potwierdził znaczenie niezależności organów ochrony danych osobowych dla ochrony praw podstawowych . Następnie stwierdził on, że decyzja Komisji nie może ograniczyć kompetencji przyznanych organom ochrony danych osobowych przez KPP oraz dyrektywę 95/46/WE. Gdyby bowiem taka decyzja skutkowała niemożliwością podjęcia postępowania przez organ nadzorczy, to w efekcie byłoby to pozbawienie osób fizycznych ich prawa fundamental-nego wynikającego z Karty . Jeszcze wyraźniej podkreślał rolę niezależnych organów w swojej opinii rzecznik generalny Y. Bot . Stwierdził on m.in., że nie ma żadnych podstaw, aby wyciągnąć wniosek, iż systemy transferu danych do krajów trze-cich są wyłączone z zakresu zastosowania art. 8 ust. 3 KPP, który podkreśla znaczenie nadzoru niezależnych organów. Zwią-zanie organów ochrony danych osobowych decyzjami Komisji byłoby, według rzecznika generalnego, ograniczeniem ich niezależności , podobnie jak pozbawienie ich uprawnień dochodzeniowych . Według Y. Bota mechanizm kontroli w postaci niezależnego organu jest niezbędnym elementem systemu ochrony danych osobowych, a w Unii znajduje się on nawet w centrum tego systemu . Rzecznik generalny M. Campos Sánchez-Bordon w swojej opinii w sprawie, w której wyrok do-piero zapadnie , również dostrzega ochronę praw podstawowych jako czynnik mający istotne znaczenie dla ochrony nieza-leżności organów ochrony danych osobowych .
W przekonaniu autora niniejszego opracowania, powyższe orzeczenia TS potwierdzają tezę o szczególnym znaczeniu nie-zależności organów ochrony danych osobowych jako elementu prawa podstawowego, które powinno być ujmowane całościowo wraz z jego aspektem instytucjonalnym. To samo zdają się dostrzegać w swoich opiniach rzecznicy generalni Y. Bot oraz M. Campos Sánchez-Bordon. Z kolei praktycznym odzwierciedleniem trafności tej tezy jest szeroka interpretacji gwarancji niezależności organów ochrony danych osobowych.
W nowym rozporządzeniu można odnaleźć wiele norm prawnych o charakterze ustrojowym, nawiązujących do ochrony praw podstawowych. Zgodnie z art. 51 ust. 1 tego aktu prawnego państwa członkowskie powinny zapewnić, aby co najmniej jeden niezależny organ publiczny odpowiadał za monitorowanie stosowania rozporządzenia „w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii”. Ochrona praw podstawowych i wolności osób fizycznych, z jednej strony, oraz ułatwianie swobodnego przepływu danych, z drugiej strony, zostały ustanowione celami organów ochrony danych osobowych, które to cele będą niewątpliwie determinować kierunki działań tych organów. Cele te mogą niekiedy wymagać od organów wyważenia tego, który z nich powinien w danym przypadku przeważyć. Tego typu konieczność wyważania wspomnianych celów była zresztą wielokrotnie podkreślana w orzecznictwie TS . Prawne gwarancje niezależności powinny służyć temu, aby organ mógł dokonywać oceny realizacji ustanowionych celów w ramach poszczególnych stanów faktycznych, które przyjdzie mu badać w czasie swojej działalności bez zewnętrznych nacisków ze strony podmiotów trzecich. Można teraz przyjrzeć się konkretnym rozwiązaniom w nowym rozporządzeniu unijnym.@page_break@
III. Relacja organy – państwa członkowskie
W literaturze naukowej zwykło się wyróżniać dwa rodzaje niezależności szeroko pojętych niezależnych organów admini-stracyjnych (regulacyjnych). Są to niezależność od przedsiębiorstw (adresatów działań organu) oraz niezależność od innych organów władzy publicznej . Wyróżnienie niezależności od przedsiębiorstw jest przydatną konstrukcją analityczną, zwłaszcza wobec organów, które wypełniają swoje zadania w jednym sektorze gospodarki, ale nie przystaje już do nowych rozwiązań unijnych, które coraz częściej ujmują niezależność bardzo szeroko, wskazując, że organy te powinny być niezależne od jakichkolwiek podmiotów publicznych oraz prywatnych . Co więcej, niezależność od przedsiębiorstw nigdy nie była w prawie UE kontestowana i nie wykształciło się tu zbyt bogate orzecznictwo . A zatem kategorią, która wzbudza najwięcej zainteresowania i która zresztą jest źródłem wielu problemów prawnych, jest niezależność od organów władzy publicznej. Ujmując to nieco bardziej precyzyjnie, można powiedzieć, że gwarancje niezależności służą ochronie organów regulacyjnych przed wpływem państw członkowskich, który materializuje się poprzez działania organów państwowych. Mowa jest tu nie tylko o organach władzy wykonawczej, lecz także o władzy ustawodawczej. W wyroku Komisja przeciwko Węgrom to właśnie przez przyjęcie określonych aktów prawnych i zmiany konstytucyjne państwo węgierskie naruszyło niezależność organu ochrony danych osobowych . Większość gwarancji prawnych niezależności można zatem postrzegać przez pryzmat układu organ ochrony danych osobowych – państwo członkowskie.
W rozdziale 6. rozporządzenia, poświęconym niezależnym organom nadzorczym, w tym w sekcji pierwszej dotyczącej nie-zależnego statusu tych organów, znalazły się przepisy, które skierowane są do organów nadzorczych i mogą być bezpośrednio stosowane. Prawodawca unijny zamieścił tam również przepisy skierowane do państw członkowskich, przyznające im pewien zakres swobody w zorganizowaniu swoich organów nadzorczych. Jest to ciekawe rozwiązanie umożliwiające państwom członkowskim dokonanie określonych wyborów, związanych z ostatecznym ukształtowaniem statusu omawianych organów. Wydaje się, że takie pozostawienie swobody, mimo iż ostatecznie będzie skutkować nieco odmiennymi rozwiązaniami prawnymi w poszczególnych państwach, może przyczynić się do tego, aby państwa członkowskie rzetelnie i lojalnie podeszły do ukonstytuowania instytucjonalnego aspektu ochrony praw podstawowych, jednocześnie zmniejszając, dające się zauważyć w dotychczasowych sprawach, poczucie, że prawo unijne narzuca wszystkim jednolite rozwiązania, nie zważając na specyficzne cechy systemów organów władzy w poszczególnych państwach.
Może nieco dziwić zachowanie w nowym rozporządzeniu generalnej klauzuli niezależności. Jak stanowi bowiem art. 52 ust. 1 rozporządzenia, każdy organ działa w sposób „w pełni niezależny”. To właśnie ta klauzula była przedmiotem sporów między Komisją a państwami członkowskimi w świetle dyrektywy 95/46/WE . Trudno zresztą dziwić się takiemu stanowi rzeczy. Niezależność jakichkolwiek organów, nie wyłączając z tego niezależności organów władzy sądowniczej, nie jest jednolitą koncepcją, lecz raczej zbiorem instytucji prawnych, które w różnych państwach mogą być rozmaicie ukształtowane . Może być też tak, że rozwiązania akceptowane z punktu widzenia niezależności w jednym państwie członkowskim będą nieakceptowane w innym, a jednak każde z państw będzie postrzegało swoje organy jako niezależne. Co więcej, rozwiązania prawne mające na celu zabezpieczenie niezależności mogą działać w sposób synergiczny – wzajemnie się wzmacniając – lecz mogą także mieć odwrotny efekt . Warto przypomnieć, że w dotychczasowym orzecznictwie skutki klauzuli całkowitej niezależności nie ograniczały się jedynie do niezależności operacyjnej czy też funkcjonalnej, rozumianej – przykładowo – jako brak możliwości ingerencji innych organów w decyzje organu ochrony danych osobowych, ale miały też wpływ na ocenę przez TS sposobu zorganizowania organów ochrony i ich miejsca w systemie organów administracji. To było widoczne zwłaszcza w wyroku Komisja przeciwko Austrii, gdzie TS uznał, że wspomniane państwo naruszyło niezależność organów właśnie poprzez różnego rodzaju rozwiązania organizacyjne . Z tego względu, że w nowym rozporządzeniu państwom członkowskim pozostawiono pewien zakres swobody w organizacji ich organów, efekt klauzuli pełnej niezależności będzie nieco zneutralizowany. Nie będzie można bowiem orzec, że państwa członkowskie naruszyły niezależność organu, jeżeli przyjęte przez nie rozwiązania prawne będą się mieścić w zakresie dozwolonym przez rozporządzenie . Tego typu klauzule jak „całkowita niezależność” mogą być bardzo różnie interpretowane i nie sprzyjają precyzji norm prawnych, zwłaszcza z punktu widzenia państw członkowskich odpowiedzialnych za wdrożenie norm unijnych. Wydaje się, że lepszym rozwiązaniem, pozwalającym osiągnąć cel w postaci precyzji norm prawnych, która przekłada się zresztą na późniejszą niezależność faktyczną organów, byłoby inkorporowanie do przepisów orzecznictwa TS (co w istocie zostało poczynione) i ewentualnie przewidzenie innych, ale precyzyjnych rozwiązań prawnych. Natomiast pozostawienie klauzuli całkowitej niezależności może powodować rozszerzenie niezależności poza przewidziane w rozporządzeniu rozwiązania prawne. Z drugiej jednak strony, być może prawodawcy unijnemu właśnie chodziło o dodatkowe pokreślenie szerokiego zakresu niezależności organów ochrony danych osobowych i pozostawienie wspomnianego przepisu jako swoistej wskazówki interpretacyjnej, która mogłaby rozstrzygać pojawiające się ewentualnie wątpliwości interpretacyjne. Jednak w przekonaniu autora tego artykułu, skoro nowe rozporządzenie przewiduje osobne przepisy związane z aspektem organizacyjnym organów ochrony danych osobowych, to zastosowanie klauzuli całkowitej niezależności powinno zostać ograniczone do niezależności funkcjonalnej.
Również kolejny przepis rozporządzenia wydaje się przede wszystkim mieć implikacje dla niezależności funkcjonalnej w podanym powyżej rozumieniu. Zgodnie z art. 52 ust. 2 rozporządzenia członek lub członkowie organu podczas wykonywania zadań są wolni od bezpośrednich i pośrednich wpływów zewnętrznych, a ponadto nie przyjmują ani nie zwracają się do nikogo o instrukcje. Przez pojęcie członka organu należałoby rozumieć osobę powołaną do wypełniania zadań organu w przypadku organów monokratycznych lub, w przypadku organów kolegialnych, wszystkie osoby wchodzące w skład gremium decyzyjnego organu, które może być określane mianem komisji czy też rady. Pojęcie członka organu nie obejmuje natomiast innych pracowników organu, choćby mieli wpływ na jego decyzje, bo są oni w rozporządzeniu określani mianem personelu. Ten personel może być instruowany wyłącznie przez członków organu nadzorczego, co wynika z art. 52 ust. 5 rozporządzenia. Z racji charakteru omawianego aktu prawnego, jako bezpośrednio stosowanego rozporządzenia, i z racji tego, że normy o zakazie jakichkolwiek wpływów zewnętrznych skierowane są do samych osób działających jako organ, osoby te będą mogły, a właściwie będą prawnie zobligowane, odmówić zastosowania się do jakichkolwiek instrukcji ingerujących w sposób wykonywania przez nie zadań przewidzianych w rozporządzeniu. Na tle niezależności od organów państw członkowskich prawdopodobnie największą praktyczną implikacją zakazu związania instrukcjami będzie to, że organy ochrony danych osobowych nie mogą być podporządkowane ani nawet nadzorowane przez inne organy państwowe. Innymi słowy, nie mogą one być powiązane z innymi organami więziami kierownictwa lub nadzoru .
Powyższe normy stanowią zresztą pewnego rodzaju „kodyfikację” tez orzeczniczych TS, który podkreślał, że niezależność organów ochrony danych osobowych wyklucza istnienie jakichkolwiek bezpośrednich lub pośrednich wpływów na ich dzia-łalność ze strony podmiotów trzecich. Kwestia nadzoru nad organami ochrony była przedmiotem orzeczenia TS w sprawie Komisja przeciwko Niemcom. Rozpatrywany we wspomnianej sprawie nadzór państwowy przyznawał rządowi krajowemu lub organowi podległemu temu rządowi możliwość ingerencji, w sposób bezpośredni lub pośredni, w decyzje organów ochrony danych, a niekiedy nawet dopuszczał uchylanie lub zastępowanie tych decyzji . Powołując się na wskazywane już wcześniej okoliczności, tzn. na to, że sama możliwość politycznego wpływu organów nadzoru może być przeszkodą w niezależnym wykonywaniu zadań oraz na to, iż w niektórych przypadkach sam rząd może mieć interes w nieprzestrzeganiu przepisów o ochronie danych osobowych, zwłaszcza, gdy istnieją związki personalne i majątkowe między rządem a sektorem prywat-nym, TS stwierdził, że tego typu nadzór państwa nad organami ochrony danych osobowych jest niezgodny z wymogiem ich niezależności . Natomiast w wyroku Komisja przeciwko Austrii nawet nieco łagodniejsza forma wpływu na organ ochrony została uznana za sprzeczną z przepisami prawnymi. W tym przypadku chodziło o bezwarunkowe prawo kanclerza do uzyskania informacji dotyczących wszelkich aspektów zarządzania organem . Wśród norm skierowanych bezpośrednio do członków organu nadzorczego znalazł się również zakaz podejmowania czynności sprzecznych z powierzonymi im obowiązkami oraz zakaz podejmowania zajęć zarobkowych i niezarobkowych sprzecznych z obowiązkami organu (art. 52 ust. 3 rozporządzenia).
Jednym z najistotniejszych aspektów niezależności jakichkolwiek organów jest aspekt finansowy. Można by powiedzieć, że organ niezależny finansowo to taki, który ma środki finansowe umożliwiające efektywne wykonywanie powierzonych mu zadań. Organ może mieć również osobny, specjalnie dla niego przeznaczony budżet. Państwo może się starać wywierać wpływ na organ, np. redukując przeznaczone dla niego środki finansowe. Zabezpieczeniem przed tego typu działaniem może być dywersyfikacja źródeł finansowania organu, w tym zapewnienie, aby część środków finansowych pochodziła od podmiotów podlegającym normom stosowanym przez określony organ. Tego typu rozwiązanie może mieć różne formy, takie jak nałożenie opłat na określoną kategorię podmiotów bądź przeznaczenie dla organu części nałożonych przez niego kar finansowych, chociaż z tym ostatnim przypadkiem też wiążą się określone niebezpieczeństwa . W kwestiach szeroko pojętej niezależności finansowej rozporządzenie nakazuje, aby państwa członkowskie zapewniły organom zasoby kadrowe, techniczne, finansowe, pomieszczenia oraz infrastrukturę niezbędną do wypełniania zadań, w tym uczestnictwa organu w Europejskiej Radzie Ochrony Danych (art. 52 ust. 4). Ponadto, nową normą, niespotykaną w dotychczasowych aktach prawnych dotyczących niezależnych organów w Unii, jest zakaz kontroli finansowej naruszającej niezależność. Organ powinien dysponować „odrębnym, publicznym budżetem rocznym, który może być częścią ogólnego budżetu państwowego lub krajowego”. Jak widać powyżej, normy dotyczące niezależności finansowej połączone zostały częściowo z normami dotyczącymi niezależności w zakresie wewnętrznego zarządzania, której istotą jest to, aby organ samodzielnie organizował swoją działalność, w tym samodzielnie zatrudniał personel czy też decydował o wydatkowaniu przeznaczonych dla niego środków. Rozporządzenie potwierdza, że organ nadzorczy powinien samodzielnie wybierać personel (art. 52 ust. 5).
Wskazane powyżej normy wydają się inkorporować orzecznictwo TS. Chodzi tu zwłaszcza o sprawę Komisja przeciwko Austrii, w której za naruszenie niezależności organu ochrony danych osobowych TS uznał następujące okoliczności: członek zarządzający organu był urzędnikiem federalnym podlegającym daleko idącemu wpływowi przełożonego, który zgodnie z przepisami ustawowymi mógł nadzorować działalność podległych mu pracowników z punktu widzenia zgodności z prawem, wydajności, gospodarności, mógł także wydawać im polecenia, miał wpływ na awans służbowy oraz wyznaczenie wykonywanych przez nich zadań ; pomiędzy urzędem kanclerskim a organem ochrony danych istniało powiązanie organizacyjne, w tym sensie, że to urząd kanclerski miał zapewnić organowi niezbędne wyposażenie i personel. Trybunał Sprawiedliwości zauważył m.in., że zapewnienie organowi odpowiedniego personelu i środków materialnych nie może podważać jego niezależności, a takim podważeniem jest sytuacja, kiedy personel organu to pracownicy urzędu federalnego, który to urząd sam podlega kontroli ze strony organy ochrony danych. Według TS sposób organizacji urzędu organu ochrony danych może mieć wpływ na jego niezależność .
Kolejnym istotnym aspektem niezależności są kwestie związane z powoływaniem i odwoływaniem osób działających jako organ, co określa się niezależnością personalną albo wewnętrzną. Związane z tym aspektem niezależności to przede wszystkim zabezpieczenia przed nieuzasadnionym odwołaniem ze stanowiska, ustanowienie określonej długości kadencji organu oraz uregulowanie możliwości ponownego wyboru. Nowe rozporządzenie nakazuje, aby organ ochrony danych był powoływany w przejrzystej procedurze przez jeden ze wskazanych tam podmiotów: parlament, rząd, głowę państwa bądź też specjalny niezależny organ. Ponadto, członkowie organu powinni mieć odpowiednie kwalifikacje, doświadczenie i umiejętności w dziedzinie ochrony danych osobowych, a mogą być odwołani ze stanowiska tylko w razie dopuszczenia się poważnego uchybienia lub gdy przestaną spełniać warunki niezbędne do pełnienia obowiązków. Na tym polu rozporządzenie daje państwom członkowskich swobodę ukształtowania niektórych instytucji prawnych. Zgodnie z art. 54 ust. 1 rozporządzenia do państw członkowskich należy, poza samym ustanowieniem organu nadzorczego, ustalenie kwalifikacji i warunków wyboru członków organu; ustalenie zasad i procedur wyboru członków organu; ustalenie okresu kadencji, który jednak nie może być krótszy niż 4 lata, z wyjątkiem pierwszej kadencji, która może być krótsza, jeżeli prawo państwa członkowskiego przewiduje rotacyjną wymianę członków organu; możliwość ponownego wyboru członków organu ze wskazaniem liczby dopuszczalnych kadencji; oraz zasady dotyczące wykonywania obowiązków przez członków organu oraz personel, w tym działalność niekompatybilna z obowiązkami organów ochrony danych w trakcie, jak i po zakończeniu kadencji.
Warto podkreślić, że ewentualne zmiany w organizacji i statusie organów ochrony danych muszą respektować ich nieza-leżność, a w szczególności niedopuszczalne jest, aby w związku z przekształceniami organu państwo członkowskie przed-wcześ- nie odwołało osoby aktualnie wykonujące zadania jako organ ochrony. Teza ta wynika z wyroku w sprawie Komisja przeciwko Węgrom, w którym TS oceniał zmiany instytucjonalne dokonane przez państwo węgierskie z punktu widzenia niezależności organów ochrony danych, jeszcze na gruncie dyrektywy 95/46/WE. W sprawie tej Węgry dokonywały instytucjonalnego przekształcenia organu ochrony danych będącego częścią szerzej zakrojonych reform konstytucyjnych. W związku z utworzeniem w nowej konstytucji nowego organu ochrony danych przyjęto ustawę przejściową, której przepisy przewidziały zakończenie kadencji dotychczasowego organu. Warto wskazać, że przepisy te uważane były za część ustawy zasadniczej . Trybunał Sprawiedliwości uznał, że zagrożenie przedwczesnym odwołaniem ze stanowiska, wbrew zabezpieczeniom ustanowionym w prawie krajowym, nawet jeżeli byłoby rezultatem zmiany modelu instytucjonalnego, może prowadzić do posłuszeństwa względem władzy politycznej . W związku z tym nawet zmiany instytucjonalne organów ochrony muszą być dokonywane z poszanowaniem ich niezależności, której częścią jest obowiązek umożliwienia organowi pełnienia funkcji pełną kadencję, której okres jest wcześniej ustanowiony przez prawo . O ile więc państwo członkowskie może samodzielnie ustalić okres kadencji organu i przypadki, w których organ może zostać odwołany przez zakończeniem kadencji (które same w sobie muszą być zgodne z prawem UE), o tyle państwo członkowskie jest później związane ustanowionymi przez siebie przepisami.@page_break@
IV. Relacja organy – instytucje unijne, quasi-unijne, inne krajowe organy nadzorcze
Podczas gdy prawo unijne zawiera szerokie gwarancje chroniące niezależność krajowych organów ochrony danych osobowych, a także krajowych organów regulacyjnych, prawo to zezwala na daleko idący wpływ na działalność niezależnych organów instytucji unijnych, quasi-unijnych, a pośrednio także innych organów krajowych. Ten wpływ jest wynikiem osadzenia organów w sieciach skupiających różnego rodzaju podmioty. Sieci organów administracyjnych już od pewnego czasu istnieją w prawie konkurencji oraz sektorach sieciowych, a nowe rozporządzenie wprowadza istotne zmiany w tym właśnie zakresie .
Zasadniczą rolą wspomnianych sieci jest utworzenie warunków współpracy dla krajowych organów, co ostatecznie przy-czynić ma się do bardziej efektywnego i przede wszystkim jednolitego stosowania prawa unijnego na terenie całej Unii . W sektorach sieciowych na działalność krajowych organów regulacyjnych mogą wpływać Komisja, agencje unijne, takie jak Agencja ds. Współpracy Organów Regulacji Energetyki (ACER) oraz Urząd (organ utoworzony przez rozporządzenie nr 1211/2009) , a także quasi-unijne struktury, takie jak Organ Europejskich Regulatorów Łączności Elektronicznej (BEREC) albo też po prostu inne organy regulacyjne w ramach sieci o bardzo niskim stopniu sformalizowania. Wymienione podmioty mogą wpływać na projektowane albo też na podjęte już przez krajowe organy regulacyjne decyzje, a wpływ ten może mieć charakter wiążący lub niewiążący . W przypadku wpływu wiążącego oznacza to, że krajowy organ regulacyjny zobowiązany jest zmienić bądź wycofać projektowaną lub podjętą już decyzję . W tym drugim przypadku wpływ podmiotów zewnętrznych ma charakter opinii lub rekomendacji, które nie są wiążące, ale muszą być przez organ uwzględnione . Także i w prawie konkurencji organy krajowe oraz Komisja współpracują w ramach Europejskiej Sieci Konkurencji . Najdalej posuniętym środkiem ingerencji Komisji w działanie krajowych organów konkurencji jest wszczęcie postępowania przez Komisję w sprawie, w której toczy się postępowanie przed organem krajowym, co pozbawia tego ostatniego kompetencji w zakresie stosowania przepisów art. 101 i 102 TFUE .
Tak jak była o tym mowa, nowe rozporządzenie kładzie znaczący nacisk na spójność stosowania prawa ochrony danych osobowych i tym samym ustanawia mechanizmy mające przyczynić się do osiągnięcia tej spójności. Spójność jest zresztą jednym z celów organów ochrony danych osobowych, które w art. 51 ust. 2 rozporządzenia zostały zobowiązane do przyczy-niania się do spójnego stosowania przepisów rozporządzenia. Najistotniejszymi zmianami, jakie przewiduje rozporządzenie, z punktu widzenia wpływu na działania podejmowane przez niezależne organy, jest utworzenie Europejskiej Rady Ochrony Danych (dalej jako Rada) odpowiedzialnej za spójne stosowanie rozporządzenia w ramach mechanizmu spójności. Zgodnie z art. 68 rozporządzenia Rada jest organem UE i posiada osobowość prawną, a w jej skład wchodzą przewodniczący jednego organu ochrony danych z każdego państwa członkowskiego oraz Europejski Inspektor Ochrony Danych (lub ich przedstawi-ciele). Komisja ma prawo udziału w działaniach Rady, aczkolwiek nie ma ona prawa głosowania (art. 68 ust. 5 rozporządze-nia). Z kolei utworzony przez rozporządzenie mechanizm spójności powinien mieć przede wszystkim zastosowanie w przypadkach, gdy jeden z organów ochrony danych zamierza przyjąć środek, który może wywołać skutki prawne w kilku państwach członkowskich . W związku z tym, w określonej kategorii spraw, organy ochrony danych są zobowiązane zgłaszać Radzie projekty swoich decyzji (art. 61 ust. 1 rozporządzenia). Oprócz tego każdy z organów nadzorczych, Europejski Inspektor Ochrony Danych lub Komisja mogą wystąpić do Rady o wydanie opinii w sprawach o charakterze ogólnym lub wywołujących skutki w więcej niż jednym państwie (art. 64 ust. 2 rozporządzenia). Z punktu widzenia wpływu na organy ochrony danych można wyróżnić dwa rodzaje środków wydawanych przez Radę – są to opinie oraz decyzje. Opinie nie mają wiążącego charakteru, a organ nadzorczy, który zgłosił projektowany środek, zobowiązany jest zaledwie uwzględnić opinię w jak największym stopniu (art. 64 ust. 7–8 rozporządzenia). Jednak niezastosowanie się do opinii może prowadzić do wydawania przez Radę decyzji, a ta ma już dla organów ochrony charakter prawnie wiążący (art. 65 ust. 2, ust. 6 rozporządzenia). Oprócz sytuacji, w których organ nie uwzględnił opinii Rady, decyzja może być wydana w przypadku, gdy organ nadzorczy zwyczajnie nie wystąpił o wydanie opinii, a także w przypadkach sporów pomiędzy organami ochrony danych w zakresie stosowania rozporządzenia (art. 65 ust. 1 rozporządzenia).@page_break@
V. GIODO w świetle przepisów nowego rozporządzenia
Jeżeli chodzi o ocenę zgodności statusu i organizacji polskiego organu ochrony danych osobowych – Generalnego Inspek-tora Ochrony Danych Osobowych – to wydaje się, że prawo polskie już teraz spełnia niemal wszystkie wymogi wynikające z rozporządzenia. Zgodnie z przepisami ustawy o ochronie danych osobowych GIODO powoływany i odwoływany jest przez Sejm RP za zgodą Senatu (art. 8 ust. 2 rozporządzenia). Polska ustawa wskazuje, jakie warunki należy spełniać, aby zostać powołanym na stanowisko organu (art. 8 ust. 3). Przewidziano też czteroletnią kadencję i możliwość ponownego wy-boru, a także okoliczności, w których GIODO może zostać odwołany (art. 8 ust. 5–8). GIODO nie może zajmować innego stanowiska, za wyjątkiem stanowiska profesora szkoły wyższej, nie może też wykonywać innych zajęć zarobkowych. Zakazane jest przynależenie przez GIODO do partii politycznej, związków zawodowych i prowadzenie działalności publicznej niedającej się pogodzić z godnością urzędu (art. 10). Poza tym GIODO, w zakresie wykonywania zadań, podlega tylko ustawie (art. 8 ust. 4). Ta ostatnia gwarancja jest szczególnie istotna z punktu widzenia szczególnego nacisku prawa UE na zakaz jakichkolwiek wpływów pośrednich czy też bezpośrednich na organ ochrony danych. Istotne jest również to, że GIODO, inaczej niż Prezes Urzędu Komunikacji Elektronicznej, Prezes Urzędu Regulacji Energetyki, Prezes Urzędu Transportu Kolejowego oraz Prezes Urzędu Ochrony Konkurencji i Konsumentów, nie jest centralnym organem administracji rządowej, lecz co najwyżej organem administracji państwowej . Jest to bardzo istotne, ponieważ wymienione polskie organy regulacyjne oraz organ konkurencji, jako mające wspomniany status centralnych organów administracji rządowej, podlegają nadzorowi organów naczelnych (ministrów i Prezesa Rady Ministrów). Co więcej, w polskich ustawach ustrojowych nadal obowiązują, dosyć niespójne ze współczesnym rozumieniem nadzoru w nauce prawa administracyjnego, przepisy umożliwiające wydawanie centralnym organom administracji rządowej (w tym organom regulacyjnym i organowi konkurencji) wiążących wytycznych oraz poleceń . Jest to w przekonaniu autora sprzeczne z gwarancjami niezależności w prawie unijnym, niemniej nie dotyczy GIODO.
Jedyne zastrzeżenia, jakie można mieć w stosunku do aktualnie obowiązującej ustawy o ochronie danych osobowych, do-tyczą powoływania zastępcy GIODO przez Marszałka Sejmu (art. 12a) oraz nadawania biuru GIODO statutu przez Prezydenta RP (art. 13 ust. 3). Zastępca GIODO może być uważany za personel organu ochrony danych osobowych w rozumieniu rozporządzenia, dlatego powinien być powoływany przez sam organ. Zgodnie z omawianym już orzecznictwem TS organizacja urzędu organu może mieć wpływ na jego niezależność i nie wydaje się uzasadnione, aby to Prezydent RP decydował o statucie biura GIODO. Prawdą jest, że Prezydent RP nadając biuru statut zasięga opinii Generalnego Inspektora Ochrony Danych Osobowych, ale ta nie jest dla Prezydenta RP wiążąca i może wystąpić sytuacja, w której biuro zostanie zorganizowane w sposób sprzeczny z wolą niezależnego organu.@page_break@
VI. Zakończenie
Nowe rozporządzenie o ochronie danych rozbudowuje prawne gwarancje dotyczące niezależności organów ochrony da-nych. Większość z tych nowych gwarancji wydaje się być formą inkorporacji orzecznictwa Trybunału Sprawiedliwości. Prze-pisy rozporządzenia zapewniają daleko idącą ochronę organów ochrony danych de facto przed działaniami ze strony organów państw członkowskich. Z drugiej strony, prawodawca unijny pozostawił państwom członkowskim pewien zakres swobody, w ramach którego państwa będą mogły zorganizować organy według swojego uznania. Nowe rozporządzenie, na wzór rozwiązań przyjętych w unijnym prawie sektorów sieciowych, formalizuje współpracę pomiędzy organami nadzorczymi z poszczególnych państw członkowskich. Powołuje ono do życia organ unijny – Europejską Radę Ochrony Danych – która uzyska wpływ na działania organów ochrony, przede wszystkim w celu zapewniania spójności stosowania unijnego prawa ochrony danych osobowych w ramach tzw. mechanizmu spójności.
Summary
Independence of data protection authorities in the General Data Protection Regulation
Independence of data protection authorities forms an element of the right to the protection of personal data, which in the EU constitutes a fundamental right enshrined in the Charter of Fundamental Rights of the European Union. Therefore, in judgements of the Court of Justice rendered to date, the scope of independence of the said authorities has been defined very broadly. The new regulation incorporates several key theses from the judicature of the Court and, on top of that, it contains provisions which may potentially broaden the scope of independence of data protection authorities even further. This article analyses the independence of data protection authorities vis-à-vis the Member States, EU and quasi-EU institutions as well as other data protection authorities. It also contains an assessment of the conformity of Polish laws with the new Regulation.
Krzysztof Rokita
Autor jest asystentem w Instytucie Nauk Administracyjnych oraz doktorantem w Zakładzie Prawa Konkurencji i Regulacji Sektorowej na Wydziale Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego.
Artykuł pochodzi z miesięcznika Europejski Przegląd Sądowy 7/2016>>