Wdrożenie Data Act w Polsce: UODO postuluje doprecyzowanie kompetencji nadzorczych

Etap legislacyjny i przedmiot regulacji

Projekt UC114 znajduje się na etapie prac rządowych i ma na celu stworzenie krajowych ram instytucjonalnych, proceduralnych i organizacyjnych umożliwiających pełne stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13.12.2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych) (Dz.Urz. UE L z 2023 r. Nr 300, s. 2854; dalej: DataAct). Rozporządzenie ustanawia zharmonizowane zasady dostępu do danych oraz ich ponownego wykorzystywania, obejmujące zarówno dane osobowe, jak i nieosobowe generowane przez urządzenia oraz powiązane usługi cyfrowe.

Stan prawny przed projektowaną ustawą nie przewidywał jednolitego modelu nadzoru nad wykonywaniem praw i obowiązków wynikających z Data Act, w szczególności w zakresie wyznaczenia organów właściwych, koordynatora danych oraz trybu rozpatrywania sporów i skarg. Kompetencje Prezesa UODO wynikały dotychczas z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), natomiast Data Act wprowadza odrębne, uzupełniające podstawy nadzorcze, które – zdaniem UODO – wymagają jednoznacznego przełożenia na poziomie ustawy krajowej.

Projektowany model nadzoru: koncentracja kompetencji po stronie Prezesa UKE

Projekt ustawy UC114 zakłada wyznaczenie UKE jako organu właściwego do stosowania i egzekwowania przepisów DataAct. W tym modelu Prezes UKE miałby pełnić funkcję koordynatora danych w rozumieniu art. 37 ust. 2 DataAct, a także wykonywać zadania związane z certyfikacją podmiotów rozstrzygających spory pozasądowe (ADR), o których mowa w art. 10 ust. 5 tego rozporządzenia. Tym samym projekt koncentruje zasadnicze kompetencje egzekucyjne po stronie jednego organu administracji, odpowiedzialnego za instytucjonalne stosowanie DataAct na poziomie krajowym.

Równocześnie projekt przewiduje przepis, zgodnie z którym ustawa „nie narusza kompetencji Prezesa UODO” w zakresie monitorowania stosowania DataAct w obszarze ochrony danych osobowych. Zdaniem Organu takie sformułowanie ma jednak charakter wyłącznie deklaratywny i nie realizuje standardu wynikającego z rozporządzenia unijnego. Projekt nie określa bowiem ani zakresu właściwości Prezesa UODO w sprawach dotyczących DataAct, ani trybu wykonywania przez ten organ kompetencji nadzorczych, ani też relacji proceduralnych pomiędzy Prezesem UODO a Prezesem UKE w sytuacjach, w których dochodzi do styku przepisów DataAct z regulacjami o ochronie danych osobowych. W konsekwencji model nadzoru oparty na samej klauzuli „nienaruszania kompetencji” nie zapewnia realnych gwarancji ich wykonywania.

Art. 37 ust. 3 DataAct jako samodzielna podstawa kompetencyjna UODO

Kluczowym elementem stanowiska Prezesa UODO jest wykładnia art. 37 ust. 3 DataAct, zgodnie z którym organy nadzorcze odpowiedzialne za monitorowanie stosowania RODO są jednocześnie odpowiedzialne za monitorowanie stosowania DataAct w zakresie ochrony danych osobowych, przy odpowiednim stosowaniu rozdziałów VI i VII RODO. Zdaniem UODO przepis ten przyznaje organom ochrony danych osobowych realne, własne i odrębne kompetencje nadzorcze, które nie mogą zostać zredukowane do roli pomocniczej lub konsultacyjnej wobec innego organu wyznaczonego jako „organ właściwy” do stosowania DataAct.

Prezes UODO podkreśla, że art. 37 ust. 3 DataAct wymaga zapewnienia organom ochrony danych pełnego instrumentarium nadzorczego znanego z RODO, obejmującego zarówno uprawnienia dochodzeniowe, jak i naprawcze oraz sankcyjne. Oznacza to konieczność stworzenia na poziomie krajowym takich ram proceduralnych, które umożliwią faktyczne wykonywanie tego mandatu, a nie jedynie jego formalne potwierdzenie.

Na poparcie tej tezy Prezes UODO powołuje się na stanowisko bawarskiego organu ochrony danych, tj. BayLDA, który wskazał, że w niemieckiej wersji językowej DataAct użyto sformułowania „auch”, jednoznacznie sugerującego rozszerzenie zakresu zadań organów ochrony danych, a nie jedynie ich powtórzenie. Zdaniem BayLDA interpretacja ograniczająca kompetencje DPA wyłącznie do mandatu wynikającego z RODO prowadziłaby do naruszenia standardu niezależności organów ochrony danych, wynikającego z art. 8 ust. 3 KPP oraz utrwalonego orzecznictwa TSUE.

Argumenty porównawcze: Holandia, Niemcy, Słowacja

Stanowisko Prezesa UODO zostało wsparte analizą rozwiązań przyjmowanych w innych państwach członkowskich.

W Holandii wyodrębniono dwa organy właściwe: Autoriteit Consument & Markt odpowiada za stosowanie Data Act, natomiast Autoriteit Persoonsgegevens zachowuje wyłączną właściwość w zakresie danych osobowych. Ustawa holenderska przewiduje ponadto obowiązkowy mechanizm współpracy, obejmujący wymianę informacji oraz możliwość zawarcia i publikacji protokołu współpracy.

Prezes UODO wskazuje również na rozwiązania niemieckie, w których wyraźnie określono centralną rolę Federalnej Agencji ds. Sieci przy jednoczesnym zachowaniu wyłącznej roli Federalnego Pełnomocnika ds. Ochrony Danych i Wolności Informacji w zakresie RODO, oraz na projektowane regulacje słowackie, gdzie organ koordynujący ma obowiązek przekazywania spraw dotyczących danych osobowych do właściwego DPA.

Sprawy „mieszane”: konieczność ustawowego mechanizmu rozdziału kompetencji

Prezes UODO poświęca także uwagę sprawom, w których egzekwowanie DataAct wymaga jednoczesnej oceny zgodności z RODO. W takich przypadkach – zdaniem Organu – niezbędne jest:

Takie rozwiązanie miałoby zapobiec sporom kompetencyjnym, rozbieżnym rozstrzygnięciom oraz osłabieniu ochrony praw osób, których dane dotyczą.

Współpraca organów jako obowiązek ustawowy

Prezes UODO wskazuje, że art. 37 ust. 5 lit. g DataAct nakłada na państwa członkowskie obowiązek zapewnienia, aby zadania i uprawnienia organów obejmowały współpracę z organami ochrony danych osobowych. Tymczasem projekt UC114 ogranicza się do ogólnej możliwości „zasięgania opinii”, co, w ocenie UODO nie spełnia wymogu efektywnej i wiążącej współpracy.

Organ postuluje wprowadzenie do ustawy:

Argumentacja ta została wzmocniona odwołaniem do skutków wyroku TSUE w sprawie C-252/21 Meta Platforms przeciwko Bundeskartellamt, który podkreśla konieczność spójnego stosowania różnych reżimów prawa UE przy poszanowaniu autonomii ochrony danych osobowych.

Zasoby i finansowanie nowych zadań

Odrębną kwestią podniesioną w piśmie jest potrzeba zapewnienia Prezesowi UODO odpowiednich środków finansowych i zasobów kadrowych. Zdaniem Organu realizacja nowych kompetencji wynikających z DataAct nie może odbywać się kosztem dotychczasowych zadań, a ustawodawca powinien uwzględnić ten aspekt na etapie projektowania regulacji.

Znaczenie dla praktyki stosowania prawa

Stanowisko Prezesa UODO wskazuje, że bez ustawowego doprecyzowania modelu nadzoru istnieje ryzyko osłabienia skutecznej ochrony danych osobowych oraz utrudnienia dochodzenia praw przez osoby fizyczne i przedsiębiorców. Projekt UC114 w obecnym kształcie może prowadzić do niejasności kompetencyjnych i rozproszenia odpowiedzialności, co pozostaje w sprzeczności z celem DataAct oraz konstytucyjnym i unijnym standardem ochrony danych osobowych.

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →