Zgodnie z treścią art. 38 ust. 4 RODO:
Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.
Podstawowym zagadnieniem wartym analizy jest to, na czym polega obowiązek prawny IOD-a związany z tym przepisem. Bo to, że przepis ten nakłada na IOD-a obowiązek, nie powinno budzić wątpliwości.
Analizę przepisu zacznę od dostrzeżenia, że dotyczy on „spraw związanych z przetwarzaniem ich danych” i „spraw związanych wykonywaniem przysługujących im praw”. Przyjmuję w tym miejscu, że przepis odnosi się wyłącznie do praw określonych w Rozdziale 3 RODO.
W tym miejscu warto zaakcentować dwa elementy. Pierwszy, że przepis nie dotyczy dokonania lub zaniechania przez IOD-a czynności przetwarzania danych, lub wykonania obowiązków wynikających z praw podmiotów danych. Takie czynności wykonywane są przez organy i pracowników administratora lub podmiotu przetwarzającego, które IOD monitoruje, czyli stale kontroluje, i co do których wykonywania doradza lub je opiniuje.
Chodzi więc o to, że w związku z przetwarzaniem lub wykonywaniem swoich praw podmiot danych może „mieć sprawę”, czyli „interes/rzecz do załatwienia”. Przy czym chodzi tylko i wyłącznie o „sprawę” podmiotu danych, a nie o sprawę innych osób lub o interes ogólny. A skoro tak, to IOD ma obowiązek ową indywidualną sprawę załatwić w ramach swojej roli organu ochrony prawa, w tym w szczególności swoich kompetencji wynikających z art. 39 RODO.
IOD może załatwiać powyższe sprawy albo przez wyjaśnienie podmiotowi danych treści i znaczenia norm prawych, albo poprzez przeprowadzenie kontroli, jeśli podmiot danych zgłosi zastrzeżenia. Na skutek kontroli IOD może uznać, że prawo zostało lub nie zostało naruszone. W drugim przypadku IOD powinien wydać poradę administratorowi lub podmiotowi przetwarzającemu. W obu wariantach powinien poinformować podmiot danych o dokonanych ustaleniach i podjętych środkach, do czego jeszcze wrócę.
Wszystko to prowadzi do wniosku, że analizowany tu przepis RODO wdraża znaną w prawie polskim instytucję skargi na działanie organu lub innego podmiotu prawnego. Słusznie zresztą, albowiem nie ma żadnego powodu, aby w kwestiach związanych z przetwarzaniem danych osobowych nie miał zastosowania art. 61 KonstytucjiRP.Wszak administrator danych osobowych wykonuje zadania z zakresu administracji publicznej przez ingerencję w autonomię informacyjną jednostek oraz wykonywanie licznych czynności techniczno-organizacyjnych, mających na celu ochronę praw podmiotu danych. Z tego powodu do IOD-a można i należy stosować niektóre przepisy kodeksu postępowania administracyjnego dotyczące skarg, albowiem ich zastosowanie nie ogranicza się do organów administracji publicznej. Zacznę od art. 240 k.p.a.:
Gdy skarga dotyczy sprawy, która nie podlega rozpatrzeniu według przepisów kodeksu (art. 3 § 1 i 2) albo nie należy do właściwości organów administracji publicznej, przepisy art. 233-239 stosuje się odpowiednio, z zastrzeżeniem, że w miejsce pozostałych przepisów kodeksu stosuje się przepisy postępowania właściwego dla danej sprawy.
Dodam od razu, że sprawy dotyczące przetwarzania danych oraz korzystania z praw podmiotów danych mieszczą się w zakresie powyższej regulacji. Przypomnę w takim razie treść art. 227 k.p.a., który definiuje przedmiot skargi:
Przedmiotem skargi może być w szczególności zaniedbanie lub nienależyte wykonywanie zadań przez właściwe organy albo przez ich pracowników, naruszenie praworządności lub interesów skarżących, a także przewlekłe lub biurokratyczne załatwianie spraw.
Jak była o tym mowa, administrator, podmiot przetwarzający oraz ich organy i pracownicy wykonują zadania publiczne i mogą swoim działaniem lub zaniedbaniem naruszyć praworządność, lub interesy podmiotów danych. A to oznacza, że do IOD-a znajduje zastosowanie np. art. 237 i 238 k.p.a. zgodnie z którymi:
Art. 237. § 1. Organ właściwy do załatwienia skargi powinien załatwić skargę bez zbędnej zwłoki, nie później jednak niż w ciągu miesiąca (…).
§ 3. O sposobie załatwienia skargi zawiadamia się skarżącego (…).
Art. 238. § 1. Zawiadomienie o sposobie załatwienia skargi powinno zawierać: oznaczenie organu, od którego pochodzi, wskazanie, w jaki sposób skarga została załatwiona, oraz podpis z podaniem imienia, nazwiska i stanowiska służbowego osoby upoważnionej do załatwienia skargi. Zawiadomienie o odmownym załatwieniu skargi powinno zawierać ponadto uzasadnienie faktyczne i prawne oraz pouczenie o treści art. 239.
Podsumowując, załatwienie sprawy podmiotu danych przez organ uprawniony do dokonywania kontroli przestrzegania prawa, jakim jest IOD, może mieć miejsce albo przez rozpatrzenie skargi, albo udzielenie informacji. Dodam od razu, że podmiot, który nie jest zadowolony ze stanowiska wyrażonego przez IOD-a, może zawsze złożyć skargę do organu nadzorczego.
Dla czytelnika jest zapewne oczywiste, że zgodnie z art. 57 ust. 1 lit. f RODO, organem kompetentnym do rozpatrywania skarg jest organ nadzorczy. Jednak stwierdzenie, że IOD ma także obowiązek rozpatrywać skargi podmiotów danych nie stoi z tym w sprzeczności.
Po pierwsze analizowany tu przepis dostarcza dostatecznych argumentów z poziomu wykładni literalnej (skoro „jest sprawa podmiotu danych” to musi być załatwiona) oraz systemowej (IOD ma prawny obwiązek kontroli przestrzegania prawa). Po drugie, rozpatrywanie skarg na różnym poziomie organizacji państwa jest spójne z przynależnością IOD-a do sieci organów ochrony prawa, na której czele stoi PUODO. Po trzecie, zaprezentowana wykładnia jest spójna z konstytucyjną zasadą decentralizacji i pomocniczości. Osoby korzystające ze swoich praw powinny mieć łatwość w dostępie do organów publicznych, nawet jeśli są to organy tzw. rozproszonej administracji publicznej, jakim jest IOD. Nadanie IOD-owi statusu organu do kontaktu „w sprawach” podmiotów danych realizuje ten postulat.
