Decyzja Prezesa UODO na dzień złożenia wniosku?

W tej sprawie Wojewódzki Sąd Administracyjny w Warszawie zademonstrował jak, w fundamentalnych sprawach, ma odmienne zdanie od organu nadzorczego. Zaprezentowane podejście WSA w Warszawie wydaje się niemożliwe do “wdrożenia”, bo jak organ nadzorczy ma dokonać badania twierdzeń skarżącego, jeśli nie ma już stanu naruszenia?

W tej sprawie WSA w Warszawie mówi tak:

Organ przyjął jednak błędne założenie, iż jest zobowiązany do badania i oceny zgodności z prawem stanu faktycznego z dnia wydania decyzji. Należy w tym miejscu przypomnieć, iż wniosek został skierowany do organu pismem z dnia […] czerwca 2018r. a decyzja w sprawie została wydana w dniu […] września 2020r.

i tak:

Przyjmując wykładnię proponowaną przez Organ, należałoby przyjąć, iż ochrona przewidziana w cytowanych przepisach ma w znacznej mierze charakter czysto iluzoryczny. Podmiot dokonujący naruszeń w zakresie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej “rozporządzeniem 2016/679”, zaprzestając tych naruszeń przed datą wydania decyzji uniknąłby konsekwencji z tego wynikających. Nie taki był jednak zamysł, wynikający z konstrukcji wskazanych regulacji.

Sytuacja w sprawie wyglądała tak:

  1. Osoba składa skargę w czerwcu 2018 r., a Prezes UODO wydaje decyzję we wrześniu 2020 r.
  2. Skarga dotyczy udostępnienia danych osobowych na stronie internetowej, która w dniu wydania decyzji nie zawiera danych osobowych Skarżącego, a dwie podstrony serwisu nieistnieje.
  3. Skarżący twierdził w swoich pismach i pewnie mówił prawdę, że inaczej wyglądała zawartość stron internetowych na dzień składania skargi w czerwcu 2018 r.

Prezes UODO przyjął, jak już wiemy, błędne założenie:

iż wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna “organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012).

Sąd stwierdził następująco:

Należy przy tym szczególną uwagę zwrócić na dyspozycję art. 58 ust. 2, pkt a), c) i e) rozporządzenia 2016/679.

Artykuł 58 ust. 2 pkt a) rozporządzenia wskazuje na potrzebę oceny czasu trwania naruszenia, kolejno art. 58 ust. 2 pkt c), nakazuje wziąć pod rozwagę działania podjęte w celu zminimalizowania szkody. Natomiast art. 58 ust. 2 pkt e) wszelkie wcześniejsze naruszenia ze strony administratora lub pomiotu przetwarzającego.

Konstrukcja przepisu wyraźnie zatem wskazuje, iż organ nadzoru (Prezes UODO) ma obowiązek ocenić zdarzenie lub ciąg zdarzeń od dnia złożenia wniosku do dnia wydania decyzji. Przyjęcie innej wykładni powyższy zapis pozbawiałoby logiki i ograniczało w sposób istotny czynności naprawczo/kontrolne Organu.

Organ w przedmiotowym postępowaniu naruszył podstawowe zasady wynikające z rozporządzenia 2016/679 ograniczając zakres rozpoznania sprawy do oceny stany faktycznego jedynie z daty wydania decyzji. Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej “Kartą praw podstawowych”) oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Ochrona o której mowa wyżej aby była pełna musi obejmować cały okres, od daty złożenia wniosku do daty wydania decyzji przez organ.