95 46 we RODO po terminie - skutki prawne w praktyce prawnej

Wejście w życie ogólnego rozporządzenia o ochronie danych (RODO) w dniu 25 maja 2018 roku zakończyło epokę obowiązywania Dyrektywy 95/46/WE, która przez ponad dwie dekady kształtowała ramy prawne ochrony prywatności w Europie. Choć od tej daty minęło już kilka lat, w praktyce kancelarii prawnych oraz organów nadzorczych wciąż pojawiają się skomplikowane zagadnienia na styku starego i nowego reżimu prawnego. Szczególne emocje budzą sytuacje, w których określone czynności, wnioski lub decyzje zostały podjęte lub sfinalizowane po terminie wejścia w życie RODO, choć ich źródło tkwiło jeszcze w epoce Dyrektywy 95/46/WE. Jakie są rzeczywiste skutki prawne takich opóźnień? Jak sądy administracyjne i Prezes Urzędu Ochrony Danych Osobowych (PUODO) podchodzą do spraw, które utknęły na przełomie dwóch epok legislacyjnych?

1. Przejście z Dyrektywy 95/46/WE na RODO – kontekst normatywny

Dyrektywa 95/46/WE była instrumentem harmonizacji prawa, co oznaczało, że wymagała implementacji do krajowych porządków prawnych przez poszczególne państwa członkowskie. W Polsce jej bezpośrednim odzwierciedleniem była ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. RODO, jako rozporządzenie unijne, zaczęło obowiązywać bezpośrednio i w całości we wszystkich państwach członkowskich bez potrzeby dokonywania pełnej implementacji ustawowej. Spowodowało to natychmiastowe uchylenie mocy prawnej przepisów krajowych sprzecznych z rozporządzeniem.

Problem pojawił się w momencie, gdy okazało się, że setki postępowań administracyjnych wszczętych przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) na podstawie przepisów wdrażających Dyrektywę 95/46/WE nie zostały zakończone przed 25 maja 2018 roku. Powstało pytanie: według jakich przepisów – starych czy nowych – należy oceniać zdarzenia, które miały miejsce przed tą datą, ale decyzja w ich sprawie zapada po terminie?

2. Losy postępowań wszczętych pod rządami Dyrektywy 95/46/WE

W polskim porządku prawnym kwestię tę rozstrzygnął art. 158 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z tym przepisem, postępowania wszczęte i niezakończone przed dniem wejścia w życie RODO były prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych (następcę prawnego GIODO) na podstawie przepisów dotychczasowych (czyli ustawy z 1997 roku, realizującej założenia Dyrektywy 95/46/WE). Choć proceduralnie stosowano stare przepisy, to w zakresie merytorycznym sprawa mocno się komplikowała.

W praktyce orzeczniczej wypracowano stanowisko, zgodnie z którym organ nadzorczy, wydając decyzję po 25 maja 2018 roku, musi brać pod uwagę stan prawny obowiązujący w chwili orzekania. Oznacza to, że nakazanie określonego zachowania (np. usunięcia danych lub dopełnienia obowiązku informacyjnego) musi być zgodne z RODO, ponieważ nakaz ten będzie realizowany już pod rządami nowego prawa. Jeśli jednak organ ocenia legalność przetwarzania danych w przeszłości (np. na potrzeby nałożenia kary lub stwierdzenia naruszenia), ocena ta musi nastąpić według przepisów obowiązujących w momencie zaistnienia tego zdarzenia – czyli Dyrektywy 95/46/WE i starej ustawy krajowej.

Warto w tym miejscu przywołać kluczowe orzecznictwo Naczelnego Sądu Administracyjnego (NSA), który wielokrotnie wypowiadał się w kwestii intertemporalnej. NSA podkreślał, że choć przepisy proceduralne nakazują dokończenie spraw według dawnej procedury, to ocena legalności nakazu określonego zachowania na przyszłość musi bezwzględnie uwzględniać przepisy RODO. Oznacza to, że Prezes UODO nie może wygłosić decyzji nakazującej dostosowanie procesu przetwarzania do wymogów starej ustawy z 1997 roku, jeśli ta ustawa już nie obowiązuje, a jej miejsce zajęło RODO. Taka decyzja byłaby bowiem bezprzedmiotowa i niemożliwa do wykonania w nowym stanie prawnym.

Z drugiej strony, jeśli chodzi o odpowiedzialność deliktową czy administracyjną za naruszenia, które miały miejsce i zakończyły się przed 25 maja 2018 roku, zastosowanie znajduje zasada tempus regit actum (czas rządzi czynem). Organ nie może nałożyć kary finansowej przewidzianej w art. 83 RODO za naruszenie, które ustało przed wejściem w życie tego rozporządzenia. W takich przypadkach zastosowanie mają dawne przepisy karne lub administracyjne, o ile ich egzekwowanie jest jeszcze prawnie możliwe i nie uległo przedawnieniu.

3. Uchybienie terminom dostosowawczym przez administratorów

Wielu administratorów danych osobowych (ADO) nie zdążyło dostosować swoich procesów przetwarzania do wymogów RODO przed 25 maja 2018 roku. Skutki prawne takiego spóźnienia są wieloaspektowe i mogą obejmować:

  • Nieważność uprzednio zebranych zgód: Zgody zebrane pod rządami Dyrektywy 95/46/WE zachowały ważność tylko wtedy, gdy spełniały surowsze warunki określone w RODO. Jeśli administrator kontynuował przetwarzanie danych po terminie na podstawie wadliwych zgód, dopuszczał się naruszenia prawa.
  • Brak realizacji rozszerzonego obowiązku informacyjnego: RODO znacznie rozszerzyło katalog informacji, które należy przekazać osobie, której dane dotyczą (art. 13 i 14 RODO). Niedopełnienie tego obowiązku po terminie wejścia w życie rozporządzenia stanowi bezpośrednie naruszenie przepisów.
  • Ryzyko wysokich administracyjnych kar pieniężnych: Dyrektywa 95/46/WE nie przewidywała tak drastycznych sankcji finansowych, jakie wprowadziło RODO (do 20 milionów euro lub 4% globalnego obrotu). Administrator, który spóźnił się z wdrożeniem RODO, narażał się na kary liczone już według nowych, niezwykle surowych stawek.

4. Status wniosków i skarg obywateli złożonych po terminie

Obywatele, których prawa zostały naruszone w czasie obowiązywania starej ustawy (wdrażającej Dyrektywę 95/46/WE), ale którzy złożyli wniosek lub skargę do organu nadzorczego po 25 maja 2018 roku, znaleźli się w specyficznej sytuacji. Ich wnioski były już rozpatrywane w pełni na podstawie nowych przepisów proceduralnych i merytorycznych RODO.

W takich przypadkach kluczowe znaczenie ma instytucja przedawnienia oraz ocena ciągłości naruszenia. Jeśli naruszenie miało charakter ciągły (rozpoczęło się pod rządami starej dyrektywy i trwało po wejściu w życie RODO), organ nadzorczy bez przeszkód mógł zastosować pełne spektrum instrumentów naprawczych i sankcyjnych przewidzianych przez RODO. Jeśli jednak naruszenie miało charakter jednorazowy i zakończyło się przed 25 maja 2018 roku, nałożenie administracyjnej kary pieniężnej na podstawie RODO za to konkretne zdarzenie przeszłe budzi poważne wątpliwości z punktu widzenia konstytucyjnej zasady niedziałania prawa wstecz.

Kolejnym istotnym aspektem jest kwestia roszczeń odszkodowawczych dochodzonych przed sądami powszechnymi. Art. 82 RODO wprowadził bezpośrednią odpowiedzialność odszkodowawczą administratora za szkodę majątkową lub niemajątkową spowodowaną naruszeniem rozporządzenia. Pod rządami Dyrektywy 95/46/WE i starej ustawy o ochronie danych osobowych dochodzenie zadośćuczynienia za naruszenie dóbr osobistych opierało się na ogólnych przepisach Kodeksu cywilnego. Wejście w życie RODO ułatwiło poszkodowanym dochodzenie roszczeń, wprowadzając autonomiczne ramy odpowiedzialności odszkodowawczej. Jeżeli jednak uchybienie i szkoda miały miejsce przed 25 maja 2018 roku, powództwo musi opierać się na reżimie kodeksowym, co wiąże się z innymi wymogami dowodowymi i terminami przedawnienia.

5. Procedura naprawcza dla podmiotów spóźnionych z wdrożeniem RODO

Jeśli podmiot zorientuje się, że jego procedury wciąż opierają się na założeniach dawnej Dyrektywy 95/46/WE, powinien niezwłocznie podjąć kroki naprawcze. Procedura ta powinna przebiegać według następujących etapów:

  1. Inwentaryzacja zasobów danych: Identyfikacja wszystkich procesów przetwarzania danych, ich podstaw prawnych oraz celów.
  2. Weryfikacja podstaw prawnych: Szczegółowa analiza zgód marketingowych i innych przesłanek legalizujących przetwarzanie pod kątem zgodności z art. 6 i art. 9 RODO.
  3. Aktualizacja klauzul informacyjnych: Dostosowanie treści przekazywanych użytkownikom i klientom do wymogów art. 13 i 14 RODO.
  4. Wdrożenie podejścia opartego na ryzyku: Przeprowadzenie analizy ryzyka oraz, w razie potrzeby, oceny skutków dla ochrony danych (DPIA).
  5. Powołanie Inspektora Ochrony Danych (IOD): Jeśli zachodzą przesłanki z art. 37 RODO, wyznaczenie osoby odpowiedzialnej za nadzór nad przestrzeganiem przepisów.

6. Najczęstsze błędy w interpretacji przepisów przejściowych

W praktyce prawnej można spotkać się z kilkoma mitami dotyczącymi relacji między Dyrektywą 95/46/WE a RODO:

  • Mit 1: Skoro zgoda była legalna w 2015 roku, to jest legalna zawsze. To błąd. Zgoda musi spełniać kryteria RODO. Brak jasnego, aktywnego działania ze strony użytkownika (np. domyślnie zaznaczone checkboxy) dyskwalifikuje dawną zgodę.
  • Mit 2: Organ nie może nałożyć kary za działania sprzed 2018 roku. Choć sama kara nie może być wymierzona na podstawie RODO za zamknięte zdarzenia z przeszłości, to jeśli stan bezprawny trwa nadal po 25 maja 2018 roku, kara jak najbardziej może zostać nałożona za okres po tej dacie.
  • Mit 3: Stare rejestry zbiorów danych zgłoszone do GIODO zwalniają z obowiązku prowadzenia rejestru czynności przetwarzania. RODO zniosło obowiązek rejestracji zbiorów u organu, wprowadzając w to miejsce wewnętrzny rejestr czynności przetwarzania (art. 30 RODO). Stare zgłoszenia nie mają już żadnego znaczenia prawnego.

Szczególną uwagę należy zwrócić na warunki wyrażenia zgody. Dyrektywa 95/46/WE dopuszczała w pewnych okolicznościach zgody dorozumiane lub wynikające z braku sprzeciwu, o ile były one wyraźne w danym kontekście. RODO kategorycznie odrzuciło taką możliwość, wymagając, aby zgoda była jednoznacznym okazaniem woli w formie oświadczenia lub wyraźnego działania potwierdzającego. Ponadto, RODO nakłada na administratora obowiązek wykazania, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania (zasada rozliczalności z art. 5 ust. 2 RODO). Brak możliwości wykazania faktu pozyskania prawidłowej zgody po terminie 25 maja 2018 roku automatycznie czyni przetwarzanie nielegalnym, nawet jeśli w rzeczywistości użytkownik kiedyś taką zgodę wyraził.

7. Praktyczny przykład (Case Study)

Spółka Alfa prowadziła bazę newsletterową zarejestrowaną w GIODO w 2012 roku na podstawie przepisów implementujących Dyrektywę 95/46/WE. Zgody użytkowników były zbierane za pomocą metody zakładającej milczącą akceptację (brak sprzeciwu wobec zapisanego w regulaminie zapisu). Spółka nie dostosowała formularzy ani nie wysłała nowych klauzul informacyjnych przed 25 maja 2018 roku. W 2021 roku jeden z użytkowników złożył skargę do PUODO, wskazując na brak rzetelnej informacji oraz nielegalne przetwarzanie jego danych po terminie wejścia w życie RODO.

Rozstrzygnięcie i skutki: PUODO uznał, że przetwarzanie danych po 25 maja 2018 roku odbywało się bez ważnej podstawy prawnej, ponieważ zgoda zebrana metodą pasywną nie spełniała wymogów RODO (art. 4 pkt 11 i art. 7 RODO). Fakt, że baza była legalna pod rządami starej dyrektywy, nie miał znaczenia dla oceny stanu faktycznego po wejściu w życie nowego rozporządzenia. Na spółkę nałożono administracyjną karę pieniężną oraz nakazano usunięcie danych wszystkich osób, od których nie pozyskano zgody zgodnej z RODO.

8. Podsumowanie

Uchybienie terminom przejściowym między Dyrektywą 95/46/WE a RODO niesie za sobą poważne i realne konsekwencje prawne. Praktyka pokazuje, że organy nadzorcze oraz sądy administracyjne bezkompromisowo egzekwują przepisy RODO wobec wszelkich czynności przetwarzania, które mają miejsce po 25 maja 2018 roku, bez względu na to, kiedy dany proces się rozpoczął. Dla prawników i administratorów danych kluczowe jest zrozumienie, że dawna legalność nie chroni przed współczesną odpowiedzialnością, a każdy dzień zwłoki w pełnym dostosowaniu procedur zwiększa ryzyko dotkliwych kar finansowych.