The lack of adequate measures to protect ‘redundant’ personal data
in a public registry, based on the example of the PRS RAR system
The digitalisation of proceedings before the registry courts and the accompanying digitalisation of the registry files kept within the Polish National Court Register (“NCR”) has revealed the inadequate level of protection of processed personal data. There is “redundant” personal data available within the public register, the processing of which is not justified by any legal basis.
The law does not provide effective and adequate measures implementing the right to protection of personal data processed in the NCR system. Courts, being the controllers of the personal data processed within the digitalised NCR, are excluded from the supervision exercised by the public administration body appointed for this purpose – the President of the Personal Data Protection Office. The provisions of the Act on the common courts system introduce separate complaint proceedings and supervisory authorities in this respect. However, these solutions should be assessed critically, as they do not ensure effective protection.
Keywords: personal data protection, public registry, digitalisation of justice, public authority, judicial control of public authority
Słowa kluczowe: ochrona danych osobowych, rejestr publiczny, informatyzacja sądownictwa, organ władzy publicznej, sądowa kontrola władzy publicznej
1. Wprowadzenie
Cyfryzacja Krajowego Rejestru Sądowego (dalej: KRS) jest przykładem na to, jak nie przeprowadzać rewolucji elektronicznej w działaniu sądów, rejestrów publicznych, administracji publicznej. Przepisy, które wprowadziły elektroniczne postępowanie rejestrowe oraz elektroniczne akta rejestrowe, weszły w życie trzy lata temu, a ochrona danych osobowych w tym zakresie nadal pozostaje problemem bez rozwiązania.
Dnia 1 lipca 2021 r. weszły w życie zmiany przepisów ustawy o Krajowym Rejestrze Sądowym[1], ustawy – Kodeks postępowania cywilnego[2] oraz niektórych innych ustaw[3]. Wynikiem tych zmian jest informatyzacja postępowania rejestrowego, a także cyfryzacja akt rejestrowych KRS. Od dnia 1 lipca 2021 r. akta rejestrowe prowadzone w formie elektronicznej, w systemie teleinformatycznym, udostępnia się zgodnie z nowym brzmieniem przepisu art. 10 ust. 1a uKRS „za pośrednictwem ogólnodostępnych sieci teleinformatycznych” lub „w siedzibie sądu rejestrowego, z wykorzystaniem systemu teleinformatycznego”[4]. Funkcję systemu teleinformatycznego pełni udostępniana przez Ministerstwo Sprawiedliwości witryna „repozytorium akt rejestrowych”[5], będąca oficjalnie częścią Portalu Rejestrów Sądowych (dalej: PRS RAR). Akta rejestrowe, prowadzone do dnia 1 lipca 2021 r. w postaci papierowej, nie podlegają przetworzeniu na akta elektroniczne[6], ale wszelkie dokumenty składane do akt rejestrowych w postępowaniach wszczętych po dniu 1 lipca 2021 r. lub jako załączniki do wniosków złożonych po tej dacie mają postać elektroniczną i podlegają utrwaleniu w ramach systemu PRS RAR. Powszechnie dostępne, za pośrednictwem Internetu, są dane osobowe, które nigdy nie powinny być ujawnione.
Rezultatem wprowadzonych zmian jest niepokojący z punktu widzenia prawa ochrony danych osobowych stan, w którym np. w ramach akt rejestrowych spółki z ograniczoną odpowiedzialnością o nr KRS 0000XXXXXX, w sprawie o sygnaturze BB.VIII Ns-Rej.KRS XXXX/22/XXX każdy może przeglądnąć dokument wypisu aktu notarialnego, z treści którego oprócz imion i nazwiska oraz numeru PESEL osoby fizycznej: A.S.G. – jednego ze wspólników spółki, można także znaleźć imiona rodziców tej osoby: S. i J., adres jej zamieszkania w B., numer dowodu osobistego: YYYXXXXXX oraz wzmiankę o tym, że osoba ta jest znana notariuszowi osobiście[7]. Ćwiczenie takie może przeprowadzić każdy, wystarczy tylko w wyszukiwarce systemu PRS RAR wpisywać przypadkowe ciągi sześciu cyfr (numery KRS) i w ciągu kilku minut można bez trudu znaleźć „nadmiarowe” dane osobowe w aktach rejestrowych. Odpowiednio napisany program komputerowy byłby w stanie samodzielnie odnajdywać i filtrować utrwalone w systemie PRS RAR dokumenty w poszukiwaniu danych osobowych.
2. Legalność przetwarzania przez sądy danych osobowych w systemie PRS RAR
Rozważania na temat ochrony danych osobowych w Krajowym Rejestrze Sądowym (dalej: KRS lub rejestr) należy rozpocząć od analizy przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz w sprawie uchylenia dyrektywy 95/46/WE[8]. W motywach do RODO prawodawca unijny wskazał, że sądy oraz inne organy wymiaru sprawiedliwości, nawet w zakresie sprawowania wymiaru sprawiedliwości, podlegają regulacjom RODO[9]. Przepisy RODO nie zawierają wyłączenia sądów z zakresu obowiązywania przepisów o ochronie danych osobowych.
Przepis art. 5 RODO zawiera katalog zasad dotyczących przetwarzania danych osobowych. Na potrzeby niniejszego artykułu należy skupić uwagę na pierwszych czterech zasadach: zgodności z prawem przetwarzania danych, ograniczenia przetwarzania danych wyłącznie do realizacji prawnie uzasadnionych celów, minimalizacji ilości przetwarzanych danych i prawidłowości przetwarzanych danych[10].
Zasada zgodności z prawem znajduje swój wyraz w przepisie art. 6 RODO. Przepis ten zawiera zamknięty katalog podstaw, spośród których co najmniej jeden musi być spełniony, aby przetwarzanie danych było zgodne z prawem. Jak wynika z jednolitego w tym zakresie orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej (dalej: TSUE)[11], działalność podmiotu władzy publicznej polegająca na przechowywaniu danych przekazanych na podstawie ustawowych obowiązków, udzielaniu zainteresowanym osobom wglądu do tych danych zalicza się do prerogatyw władzy publicznej.
W doktrynie przyjmuje się, że istotą istnienia KRS jest wzmacnianie bezpieczeństwa obrotu prawnego[12]. Związane z tym są funkcje rejestru, m.in. funkcja ewidencyjna i informacyjna. Wyrazem funkcji informacyjnej KRS jest zasada jawności rejestru, która zgodnie z wyrażanym w doktrynie poglądem rozciąga się także na akta rejestrowe[13]. Nie ulega wątpliwości, że przetwarzanie danych osobowych w ramach KRS dokonywane jest w celu zapewnienia bezpieczeństwa obrotu prawnego, a więc także w interesie publicznym. To właśnie ochrona obrotu prawnego, dokonywana w interesie publicznym, stanowi podstawę i warunek sine qua non funkcjonowania zasady jawności KRS. Należy zatem przyjąć, że przetwarzanie danych osobowych w KRS jest zgodne z prawem, gdy spełnia warunek z przepisu art. 6 ust. 1 lit. e RODO: „przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi”.
Przepis art. 6 ust. 3 RODO zawiera doprecyzowanie: podstawa prawna przetwarzania danych osobowych zgodnie z warunkami zawartymi w przepisach art. 6 ust. 1 lit. c i e musi być zawarta w prawie Unii Europejskiej (dalej: UE) lub w prawie państwa członkowskiego, któremu podlega administrator. Musi zatem istnieć w przepisach prawa krajowego lub w przepisach prawa UE odpowiednia podstawa prawna, wskazująca, jakie dane powinny znajdować się w KRS. Jednocześnie przepisy takie wyznaczają zakres przedmiotowy danych osobowych, których przetwarzanie w ramach KRS jest zgodne z prawem. W mojej ocenie nie można uznać, że przepis art. 10 ust. 1 uKRS gwarantujący każdemu prawo do przeglądania akt rejestrowych stanowi samoistnie wystarczającą podstawę prawną dla przetwarzania danych osobowych w ramach akt rejestrowych. Samo udostępnianie danych osobowych nie może być uznane za zadanie realizowane w interesie publicznym. Dopiero połączone z ochroną bezpieczeństwa obrotu prawnego, której służyć ma jawność rejestru, przetwarzanie danych osobowych w KRS zyskuje przymiot zadania realizowanego w interesie publicznym.
W tym zakresie wskazać należy przepisy, które regulują, jakie i czyje dane osobowe podlegają wpisowi do rejestru, a także jakie i czyje dane osobowe podlegają zgłoszeniu do sądu rejestrowego zgodnie z przepisem art. 9 ust. 2 uKRS[14]: przepisy art. 35 pkt 1, art. 38, art. 39, art. 43 i art. 44, a także art. 19a ust. 5 uKRS. Przepisy te wskazują wprost, jakie dane osobowe są przedmiotem przetwarzania przez sądy rejestrowe w ramach KRS. Nie należy także pomijać celu istnienia KRS oraz interesu publicznego chronionego dzięki obowiązywaniu zasady jawności KRS – bezpieczeństwa obrotu prawnego.
Prawodawca UE przewidział w motywie 73 do RODO, że w prawie UE lub w prawie państwa członkowskiego mogą zostać wprowadzone ograniczenia dotyczące określonych zasad oraz praw wynikających z przepisów RODO, o ile jest to niezbędne i proporcjonalne w społeczeństwie demokratycznym dla ochrony ważnych celów leżących w ogólnym interesie publicznym, a prowadzenie rejestrów publicznych z uwagi na względy ogólnego interesu publicznego jest jedną z przesłanek, które mogą uzasadniać te ograniczenia[15]. W doktrynie wyrażono pogląd, że spełnienie obowiązków określonych w RODO nie jest konieczne, jeżeli utrwalenie lub ujawnienie danych, wyraźnie przewidziane prawem państwa członkowskiego, np. przepisami uKRS, jest konieczne dla ochrony ważnych interesów publicznych[16]. Należy podzielić pogląd, że takie wyłączenie może dotyczyć jedynie tych danych, które rzeczywiście stanowią podstawę wpisu w rejestrze.
O ile zatem, na użytym już powyżej przykładzie, zasadny jest dostęp w ramach akt rejestrowych do danych takich, jak imiona, nazwisko, numer PESEL osoby fizycznej – jednego ze wspólników spółki z ograniczoną odpowiedzialnością (dane te podlegają obowiązkowi wpisu do rejestru), o tyle ujawnianie w aktach rejestrowych imion rodziców jednego ze wspólników, numeru dowodu osobistego tej osoby i adresu jej zamieszkania nie ma żadnego znaczenia z punktu widzenia ochrony obrotu prawnego i nie daje się uzasadnić żadnym ważnym interesem publicznym. Zwłaszcza że istnieją inne narzędzia, dzięki którym można, w razie konieczności, niektóre z tych danych uzyskać – np. wniosek do rejestru PESEL o udzielenie informacji o adresie zameldowania osoby na pobyt stały lub czasowy (wymagane jednak jest wykazanie interesu prawnego)[17]. Wyrażam pogląd, że podstawa prawna przetwarzania danych osobowych nie może być dorozumiana. Jeżeli za przetwarzaniem konkretnych kategorii danych osobowych nie przemawia interes publiczny, a także wobec braku podstawy prawnej do przetwarzania ewentualnych „nadmiarowych” danych osobowych znajdujących się w aktach rejestrowych KRS, uznać należy, że takie przetwarzanie jest niezgodne z prawem.
3. Administrator danych osobowych w systemie PRS RAR i jego obowiązki
Definicję pojęcia „administrator” zawarto w przepisach RODO[18]. Zgodnie z treścią przepisu art. 175da § 5 ustawy – Prawo o ustroju sądów powszechnych[19]: „współadministratorami danych osobowych przetwarzanych w systemach teleinformatycznych są sądy w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej, prezesi właściwych sądów, dyrektorzy właściwych sądów oraz Minister Sprawiedliwości w ramach realizowanych zadań”. System teleinformatyczny utworzony na podstawie przepisów art. 1–3a uKRS jest utrzymywany przez Ministra Sprawiedliwości, ale to sądy rejestrowe prowadzą rejestr w systemie teleinformatycznym. Zgodnie z przepisem art. 3a ust. 3 uKRS Minister Sprawiedliwości jest administratorem danych osobowych wyłącznie użytkowników systemu teleinformatycznego, a przepis art. 175da § 4 p.u.s.p. przewiduje, że minister jako administrator sądowych systemów teleinformatycznych nie ma dostępu do akt postępowania.
Takie rozbudowane brzmienie przepisu art. 175da p.u.s.p. jest skutkiem zmiany, która weszła w życie dnia 14 marca 2024 r. W poprzednim brzmieniu przepis art. 175da p.u.s.p. nie posługiwał się pojęciem „współadministratorzy”, lecz „administratorzy”. W treści uzasadnienia projektu zmian projektodawca wskazywał, że celem proponowanych zmian ma być wyraźne rozróżnienie ról, jakie odgrywają poszczególne podmioty będące współadministratorami danych osobowych w systemach teleinformatycznych. Projektodawca uznaje, że cele i sposoby przetwarzania danych osobowych przez kilku współadministratorów nie muszą być tożsame, lecz jedynie wspólnie ustalane. W ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej administratorem danych osobowych są sądy[20]. Minister jest zatem administratorem danych osobowych przetwarzanych w systemie PRS RAR wyłącznie w zakresie realizowanych zadań, w szczególności związanych z informatyzacją sądownictwa[21].
Nie ulega wątpliwości, że prowadzenie KRS oraz rozpatrywanie spraw z zakresu związanego z KRS należy do zadań z zakresu sprawowania wymiaru sprawiedliwości lub ochrony prawnej. Sądy rejestrowe jako administratorzy danych osobowych są odpowiedzialne za ochronę danych osobowych w systemie PRS RAR. Z przepisu art. 24 RODO wynika obowiązek administratora danych osobowych do wdrażania odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych odbywało się zgodnie z przepisami RODO. Sądy rejestrowe będące współadministratorami danych osobowych przetwarzanych w ramach systemu teleinformatycznego PRS RAR są obowiązane do wdrażania odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych odbywało się zgodnie z przepisami RODO, czyli także zgodnie z zasadami określonymi w art. 5 RODO, w tym w szczególności z zasadą minimalizacji danych – adekwatnie dla celów, dla których dane są przetwarzane. Celem tym jest prowadzenie rejestru, zatem danymi osobowymi przetwarzanymi adekwatnie dla jego realizacji są dane podlegające wpisowi do rejestru.
Minister Sprawiedliwośći, w szczególności w związku z realizacją zadań z zakresu informatyzacji sądownictwa: wdrażaniem, integracją, utrzymywaniem, rozwojem, zabezpieczaniem danych osobowych przetwarzanych w sądowych systemach teleinformatycznych[22], jest jako współadministrator współodpowiedzialny za budowę i funkcje systemu PRS RAR oraz funkcjonalne możliwości ochrony danych osobowych przetwarzanych w ramach tego systemu. Wskazać należy na przepis art. 25 RODO, który w doktrynie uznawany jest za wyraz dwóch zasad: privacy by design i privacy by default. Zasada privacy by design, tj. zasady ochrony danych osobowych już w fazie projektowania systemów używanych przez administratora w celu przetwarzania danych osobowych, nakłada na administratora obowiązki jeszcze przed rozpoczęciem przetwarzania danych. Oznacza to, że już na etapie projektowania systemu PRS RAR współadministratorzy, tj. sąd rejestrowy oraz Minister Sprawiedliwości, obowiązani byli zapewnić istnienie środków technicznych i organizacyjnych służących zapewnieniu skutecznej ochrony danych osobowych. Zasada privacy by default, tj. zasada domyślnej ochrony danych osobowych, znajduje zastosowanie w procesie przetwarzania danych przez sąd rejestrowy. Zasada ta przewiduje, że w odniesieniu do danych osobowych przetwarzanych w ramach jakiegokolwiek systemu „domyślnym ustawieniem” ma być ochrona danych. Administrator danych obowiązany jest wdrożyć takie środki techniczne i organizacyjne, aby przetwarzaniu podlegały wyłącznie dane osobowe niezbędne do realizacji celu przetwarzania[23].
Minister oraz sądy, na mocy przepisu art. 175da § 5 p.u.s.p. będące współadministratorami danych osobowych – sąd w zakresie sprawowania wymiaru sprawiedliwości i realizacji zadań z zakresu ochrony prawnej, a minister w zakresie projektowania, wdrażania, eksploatacji, utrzymania, rozwoju systemu teleinformatycznego, a także w zakresie zabezpieczania danych osobowych przetwarzanych w tym systemie, współodpowiedzialni są za wykonanie obowiązków administratorów wynikających z przepisów prawa ochrony danych osobowych, w tym RODO. Ponownie, odwołując się do uzasadnienia projektu zmiany w p.u.s.p., wskazać można, że Minister Sprawiedliwości realizuje zadania związane wyłącznie z technicznym i administracyjnym utrzymaniem i zachowaniem ciągłości działania systemu PRS, a sądy odpowiedzialne są za obszar funkcjonalny systemu i danych w nim przetwarzanych.
TSUE w niedawnym wyroku w sprawie C-231/22 État belge przeciwko Autorité de protection des données utrwalił dotychczasową linię orzeczniczą sprzyjającą rozszerzającemu interpretowaniu pojęcia administratora danych osobowych[24], stwierdzając, że za administratora danych osobowych mogą być uznane nawet jednostka lub podmiot prowadzące dziennik urzędowy państwa członkowskiego, pod warunkiem że prawo krajowe państwa członkowskiego określa cele i sposoby przetwarzania danych osobowych przez ten dziennik urzędowy. Ponadto TSUE orzekł, że jednostka uznana za administratora danych osobowych w rozumieniu RODO jest wyłącznie odpowiedzialna za przestrzeganie zasad określonych w przepisie art. 5 ust. 1 RODO, w odniesieniu do operacji przetwarzania danych osobowych, do których wykonywania jest zobowiązana na mocy prawa krajowego, chyba że z prawa tego wynika wspólna odpowiedzialność z innymi podmiotami w odniesieniu do tych operacji[25]. Stosując analogiczne zasady do omawianego problemu, należy uznać, że sądy rejestrowe są odpowiedzialne za przestrzeganie zasad określonych w przepisie art. 5 ust. 1 RODO w odniesieniu do przetwarzania danych osobowych w ramach KRS, w tym także akt rejestrowych i akt postępowania dostępnych w systemie PRS RAR. Odpowiedzialność ta jest jednak współdzielona przez sądy rejestrowe z ministrem, który na mocy nowych przepisów p.u.s.p. jest odpowiedzialny m.in. za zabezpieczanie danych osobowych przetwarzanych w sądowych systemach teleinformatycznych[26].
4. Ochrona danych osobowych w KRS
Przepisy art. 12 do art. 22 RODO zawierają katalog praw przysługujących osobom fizycznym, których dane są przetwarzane, oraz korespondujących z nimi obowiązków nakładanych na administratorów. Prawa te zapewniają osobom fizycznym szerokie uprawnienia związane z uzyskiwaniem informacji o trybie, sposobie, celu itp. przetwarzania ich danych osobowych, a także możliwości reagowania na sytuacje, w których bezpieczeństwo danych osobowych jest lub może być zagrożone. Ochrona ta nie jest jednak bezwzględna. Zgodnie z przytoczonym już wcześniej motywem 73 do RODO przepis art. 23 ust. 1 RODO zawiera przyzwolenie na ograniczenie prawem krajowym państw członkowskich zakresu obowiązków i praw przewidzianych w art. 12–22 RODO. W odniesieniu do KRS ograniczenia takie znajdują się w przepisie art. 175dc § 1 p.u.s.p. W myśl tego przepisu do przetwarzania danych osobowych w postępowaniach sądowych, w rejestrach sądowych albo w sądowych systemach teleinformatycznych nie stosuje się przepisów art. 15, art. 16 (w zakresie odrębnego trybu sprostowania), art. 18 i art. 19 RODO. Skutkiem tego jedynymi mającymi zastosowanie w odniesieniu do KRS przepisami pozostają art. 12, art. 13 i art. 17 RODO. Artykuły 12 i 13 RODO dotyczą obowiązków administratora w zakresie informowania o przetwarzaniu danych, zaś artykuł 17 RODO ustanawia tzw. prawo do bycia zapomnianym – prawo żądania przez osobę fizyczną, od administratora, niezwłocznego usunięcia dotyczących jej danych osobowych oraz obowiązek administratora do usunięcia takich danych bez zbędnej zwłoki. Prawo to jest uwarunkowane spełnieniem jednej z przesłanek wymienionych w przepisie, m.in. jeśli dane osobowe były przetwarzane niezgodnie z prawem lub jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane[27].
Uprawnienie z przepisu art. 17 ust. 1 RODO może co prawda podlegać wyłączeniu, m.in. jeżeli przetwarzanie danych jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa UE lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi[28]. Jak jednak zostało wskazane wcześniej, część danych osobowych dostępnych publicznie w ramach akt rejestrowych w systemie PRS RAR nie jest w żaden sposób związana z realizowanym przez sąd rejestrowy (w ramach prowadzenia rejestru) zadaniem, którego celem jest ochrona interesu publicznego poprzez ochronę bezpieczeństwa obrotu. Nie ma zatem podstaw, tak w prawie UE, jak i w prawie krajowym, do odmowy przez sąd rejestrowy wykonania obowiązku odpowiadającego prawu osoby fizycznej do żądania usunięcia danych osobowych, które są przetwarzane niezgodnie z prawem lub których przetwarzanie nie jest już niezbędne do realizacji celów, w których dane te zostały zebrane.
Niemniej nie jest mi znana żadna sytuacja, w której sąd rejestrowy usunął jakiekolwiek dane osobowe z akt rejestrowych. Nie jest też jasne, w jaki sposób takie usunięcie danych miałoby się odbyć. Najczęściej „nadmiarowe” dane osobowe niepotrzebne dla celów prowadzenia rejestru są zawarte w tych samych dokumentach co dane wymagane przepisami prawa. Akta rejestrowe zgodnie z przepisem art. 9 ust. 1 uKRS obejmują w szczególności dokumenty stanowiące podstawę wpisu do rejestru. Ingerencja przez sąd rejestrowy w integralność takich dokumentów, a tym bardziej całkowite usunięcie dokumentu, nie jest możliwa na gruncie obowiązujących przepisów. Sąd rejestrowy prowadzący daną sprawę jest natomiast władny ograniczyć dostęp do konkretnych dokumentów zamieszczanych w systemie PRS RAR poprzez zamknięcie tych dokumentów za barierą logowania. Dostęp do dokumentu wymaga wtedy uzyskania od sądu odpowiedniego loginu i hasła.
Warto rozważyć, że skoro zasada jawności rejestru z przepisu art. 8 uKRS ma zastosowanie także do akt rejestrowych, to podobnie rozszerzająco można zastosować przepis art. 12 ust. 3 uKRS, i w sytuacji zamieszczenia w rejestrze (a więc także w aktach rejestrowych) danych niedopuszczalnych ze względu na obowiązujące przepisy prawa (niezgodność danych z przepisami art. 5 i art. 6 RODO), sąd rejestrowy po wysłuchaniu zainteresowanych osób powinien wykreślać takie dane z urzędu. Ponownie powstaje jednak problem tego, jak wykreślić dane bez naruszenia integralności dokumentów stanowiących podstawy wpisów do rejestru.
Poza przepisami RODO również prawo krajowe zawiera przepisy mające zapewnić ochronę danych osobowych w KRS. Do rozporządzenia Ministra Sprawiedliwości – Regulamin urzędowania sądów powszechnych[29], w ślad za zmianami w uKRS w 2021 r., dodano przepis § 198 ust. 5, który stanowi: „dokumenty składane do sądu rejestrowego podlegają przed ich udostępnieniem ocenie przez ten sąd w celu ochrony danych osobowych”.Brak jednak jakichkolwiek dalszych zaleceń co do formy takiej oceny i potencjalnych sposobów działania w sytuacji, gdy w ocenie sądu udostępnienie dokumentu może prowadzić do naruszenia prawa do ochrony danych osobowych.
Potencjalne rozwiązanie trudności związanych z brakiem możliwości ingerencji w dokumenty składane do akt rejestrowych znalazło się w przepisach prawa wewnętrznego – w zarządzeniu ministra w sprawie organizacji i zakresu działania sekretariatów sądowych oraz innych działów administracji sądowej[30]. Przepis § 181a zarządzenia przewiduje możliwość anonimizacji danych osobowych zawartych w dokumencie znajdującym się w aktach, na podstawie zarządzenia prezesa sądu lub upoważnionego przez niego sędziego, asesora sądowego lub referendarza sądowego. Anonimizacja w przypadku dokumentów elektronicznych następuje poprzez anonimizację wydruku dokumentu, sporządzenie i dołączenie do akt kopii zanonimizowanego wydruku oraz zastrzeżenie dostępu do oryginału tylko dla sądu oraz uczestników postępowania. W przypadku akt papierowych anonimizacji dokonuje się na kopii, którą dołącza się do akt w miejsce oryginału i opatruje adnotacją „kopia anonimizowana”. Oryginał zamieszcza się w oddzielnej okładce na końcu danego tomu akt, a udostępnienie oryginału następuje jedynie na zarządzenie[31]. Procedura ta jest wyłącznie częścią prawa wewnętrznego, nadal konieczne jest wprowadzenie odpowiedniej procedury w ramach przepisów prawa powszechnie obowiązującego, a przynajmniej doprecyzowanie procedury oceny dokumentów wprowadzonej do regulaminu.
W doktrynie wyrażono pogląd, że omawiane powyżej przepisy regulaminu i zarządzenia, choć wątpliwe pod względem efektywności, mogą dostarczyć skutecznych środków prawnych pozwalających na ochronę „nadmiarowych” danych osobowych[32]. Zgodzić należy się z tym poglądem, w szczególności co do nieefektywności procedury „ręcznej” jednostkowej anonimizacji danych osobowych w dokumentach (procedura z zarządzenia). Zwłaszcza fakt, że każda anonimizacja wymaga ingerencji prezesa sądu w postaci wydania zarządzenia lub upoważnienia sędziego, asesora lub referendarza do wydania takiego zarządzenia sprawia, że anonimizacja zgodnie z taką procedurą nie jest możliwa na skalę potrzebną w kontekście danych „nadmiarowych” znajdujących się w PRS RAR. Odpowiednio dostosowana do realiów i potrzeb, wprowadzona do przepisów prawa powszechnie obowiązującego, potencjalnie możliwa na wniosek osoby, której dane osobowe dotyczą, procedura anonimizacji dokumentów utrwalanych w systemie PRS RAR stwarzałaby możliwość ochrony „nadmiarowych” danych osobowych bez konieczności ingerencji w integralność dokumentów składanych do akt rejestrowych.
Warto w tym zakresie wskazać także na dorobek sądownictwa administracyjnego. Naczelny Sąd Administracyjny w wyroku z dnia 11 kwietnia 2017 r., I OSK 2170/15, wyraził pogląd, że anonimizacja danych osobowych poprzez ich „zaczernienie” – zamazanie, uniemożliwienie odczytu, jest równoznaczna z ich usunięciem. Efektem usunięcia danych ma być uniemożliwienie identyfikacji określonej osoby, a uniemożliwienie odczytania danych ma właśnie taki skutek[33].
W doktrynie wskazano na problem braku podstawy prawnej jakiejkolwiek ingerencji w dokumenty podlegające udostępnieniu w ramach akt rejestrowych[34], w szczególności w odniesieniu do regulaminu, który jako rozporządzenie nie może wykraczać poza ramy ustawowe, a przepis art. 10 uKRS nie przewiduje ograniczenia jawności akt rejestrowych ze względu na ochronę danych osobowych. Nie sposób jednak zgodzić się z takim poglądem. Przepisy RODO zgodnie z przepisem art. 288 traktatu o funkcjonowaniu Unii Europejskiej[35] wiążą w całości i stosowane są bezpośrednio we wszystkich państwach członkowskich UE. Ponadto, zgodnie z utrwaloną w orzecznictwie TSUE zasadą pierwszeństwa prawa UE, uznawaną za jedną z zasad ogólnych prawa UE[36], w sytuacji konfliktu prawa krajowego z prawem unijnym należy stosować prawo unijne, a odmówić stosowania prawa krajowego, które powinno zostać zmienione. Zgodnie natomiast z zasadą skutku bezpośredniego[37] przepisy zawarte w rozporządzeniach Parlamentu Europejskiego i Rady nie powinny być powtarzane w przepisach prawa krajowego. Należy zatem przyjąć, że przepisy RODO są wystarczającą podstawą prawną dla ograniczenia prawa dostępu do akt rejestrowych, także zgodnie z procedurą oceny dokumentów przewidzianą przepisem § 198 ust. 5 regulaminu, i nie jest w tym celu wymagane wprowadzenie żadnego nowego wyłączenia w treści przepisu art. 10 uKRS. Ponadto, jak wskazano powyżej, to nie dane osobowe rzeczywiście stanowiące podstawy wpisów do rejestru budzą kontrowersje, ale dane „nadmiarowe”, których przetwarzanie następuje bez żadnej podstawy prawnej. W zakresie takich danych „nadmiarowych” nie może zatem nawet być mowy o konflikcie pomiędzy prawem do ochrony danych osobowych a bezpieczeństwem obrotu chronionym przez zasadę jawności rejestru.
5. Nadzór nad przetwarzaniem danych osobowych w ramach PRS RAR
Treść motywu 20 do RODO oraz przepisu art. 55 § 3 RODO nie pozostawiają wątpliwości, że przetwarzanie danych osobowych przez sądy nie podlega właściwości organów nadzorczych ustanawianych w państwach członkowskich na podstawie przepisów RODO. W tym zakresie niezawisłość organów wymiaru sprawiedliwości stanowi wartość nadrzędną nad ujednoliceniem nadzoru nad ochroną danych osobowych. Prawodawca unijny doprecyzowuje jednak, że nadzór nad operacjami przetwarzania danych osobowych w ramach wykonywania wymiaru sprawiedliwości powinien istnieć, ale właściwym organem do sprawowania tego nadzoru powinien zostać ustanowiony specjalny organ będący częścią wymiaru sprawiedliwości w państwie członkowskim.
Sposób sprawowania nadzoru nad przetwarzaniem danych osobowych, których administratorami są sądy, uregulowany został w przepisie art. 175dd p.u.s.p. Zgodnie z treścią tego przepisu nadzór sprawują odpowiednio:
1) nad działalnością sądu rejonowego – prezes sądu okręgowego;
2) nad działalnością sądu okręgowego – prezes sądu apelacyjnego;
3) nad działalnością sądu apelacyjnego – Krajowa Rada Sądownictwa.
W ramach nadzoru właściwe organy rozpatrują skargi osób, których dane osobowe są przetwarzane niezgodnie z prawem, a także m.in. podejmują działania mające na celu upowszechnianie wśród nadzorowanych administratorów wiedzy o obowiązkach wynikających z RODO oraz współpracują z innymi organami nadzorczymi w celu zapewnienia spójnego stosowania RODO[38]. Przy założeniu, że przepisy RODO oraz przepisy ustawy o ochronie danych osobowych[39] wyznaczają minimalny standard ochrony danych osobowych, w tym także poprzez wskazanie kompetencji organów nadzorczych, krytycznie, jako niewystarczający, należy ocenić katalog uprawnień organów nadzorczych w wymiarze sprawiedliwości. Najbardziej stanowczym działaniem, które może przedsięwziąć organ nadzorczy, jest bowiem „nakazanie” administratorowi, aby dostarczył organowi wszelkie informacje potrzebne do realizacji zadań organu. Organ może także uzyskać dostęp do pomieszczeń administratora i sprzętów używanych do przetwarzania danych, uzyskać od administratora dostęp do danych osobowych, a także zawiadomić administratora o podejrzeniu naruszenia przepisów o ochronie danych osobowych. W zakresie działań o charakterze bardziej zdecydowanym, w reakcji na potencjalne naruszenia, organ nadzorczy może wydawać administratorowi ostrzeżenia dotyczące możliwości naruszenia przepisów, udzielać upomnień administratorowi w przypadku naruszenia przepisów, a także wezwać administratora do dostosowania przetwarzania danych do przepisów o ochronie danych osobowych (w tym RODO)[40]. W porównaniu z możliwościami działania Prezesa Urzędu Ochrony Danych Osobowych organ nadzorczy w ramach wymiaru sprawiedliwości jest wyjątkowo „bezzębny”.
Wskazać trzeba także, że procedura przyjmowania i rozpatrywania skarg związanych z przetwarzaniem danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej następuje zgodnie z przepisami działu I rozdziału 5A p.u.s.p.[41] oraz z przepisami rozporządzenia Ministra Sprawiedliwości w sprawie skarg i wniosków dotyczących działalności sądów powszechnych[42]. Porównanie z postępowaniem przed Prezesem UODO jest naturalne, zarówno Prezes UODO, jak i organy nadzorcze z art. 175dd § 1 p.u.s.p. są organami nadzorczymi w zakresie ochrony danych osobowych. Nie ulega też wątpliwości, że potencjalne naruszenia przepisów o ochronie danych osobowych w trakcie postępowań sądowych oraz w związku z prowadzeniem przez sądy rejestrów sądowych (w tym omawianego KRS) mogą być równie doniosłe w skutkach jak naruszenia, co do których właściwym organem nadzorczym jest Prezes UODO. Skutkiem porównania jest krytyczna ocena uregulowania nadzoru w ramach wymiaru sprawiedliwości. Postępowanie w sprawie skarg i wniosków przed sądami powszechnymi jest możliwie odformalizowane, nie jest konieczne wydanie żadnego aktu kończącego takie postępowanie. Przepisy art. 41a–41e p.u.s.p. w większości określają tryby i przesłanki przekazywania skargi do rozpoznania właściwym organom, zaś przepisy rozporządzenia Ministra Sprawiedliwości w sprawie skarg i wniosków dotyczących działalności sądów powszechnych zawierają wprawdzie przepisy wskazujące na sposób przyjęcia skargi oraz termin jej rozpatrzenia, ale nie określają sposobu ani formy rozpatrzenia skargi. Wobec braku formalnego wyrazu rozpatrzenia skargi wątpliwe jest istnienie dalszej procedury odwoławczej, prawo takiej nie przewiduje. Prowadzi to do wniosku, że w obecnym stanie prawnym nadzór nad przetwarzaniem danych osobowych, których administratorami są sądy, zgodnie z art. 175da i art. 175db p.u.s.p. nie zapewnia środków prawnych pozwalających na skuteczną ochronę danych osobowych przetwarzanych przez sądy powszechne.
Wskazać należy, że procedura skarg i wniosków, wywodząca się z przepisu art. 63 Konstytucji RP[43], a najszerzej uregulowana w przepisach działu VIII Kodeksu postępowania administracyjnego[44], uznawana jest w doktrynie za wyraz ochrony prawnej interesu faktycznego[45]. Osoba wnosząca skargę nie musi wykazywać swojego interesu prawnego. Na gruncie przepisów k.p.a., najszerzej regulujących postępowanie w sprawie skarg, potwierdzenie znajduje zasada jednoinstancyjności postępowania skargowego oraz jego uproszczony charakter. Co do sposobu zakończenia postępowania w sprawie skargi w doktrynie prawa administracyjnego oraz w orzecznictwie sądów administracyjnych funkcjonuje utrwalony pogląd, że zawiadomienie o sposobie rozpatrzenia skargi stanowi wyłącznie czynność faktyczną, materialno-techniczną, organu rozpatrującego skargę[46]. Wyrażam pogląd, że postępowanie skargowe, w szczególności uregulowane tak skąpo jak w p.u.s.p. oraz rozporządzeniu Ministra Sprawiedliwości w sprawie skarg i wniosków dotyczących działalności sądów powszechnych, jest niewystarczające do zapewnienia skutecznych środków ochrony prawnej w sprawach o naruszenia prawa do ochrony danych osobowych, tak dokładnie i szczegółowo uregulowanej w przepisach prawa materialnego[47].
Sądy rejestrowe przetwarzające dane osobowe dokonują tego przetwarzania w ramach wykonywania zadań z zakresu wymiaru sprawiedliwości i ochrony prawnej. Należy jednak wskazać, że działalność sądowych organów nadzorczych nad przetwarzaniem danych nie należy już do zadań z zakresu wymiaru sprawiedliwości. W istocie obecne przepisy dotyczące kompetencji organów nadzorczych i postępowania w tym zakresie bardziej przypominają quasi-postępowanie administracyjne. Sądy nie są organami administracji publicznej, ale są organami władzy publicznej[48]. W kontekście zapewnienia ochrony danych osobowych organy sądów (prezesi sądów) wypełniają zadania łudząco podobne do zadań powierzonych organowi administracji publicznej – Prezesowi UODO. Wyrażam pogląd, że w celu zapewnienia skutecznej ochrony danych osobowych zasadne byłoby poddanie działań organów sądowych (sądowych organów nadzoru nad przetwarzaniem danych osobowych) kontroli sprawowanej przez sądy administracyjne.
Sądy są jedynie współadministratorem danych osobowych przetwarzanych w sądowych systemach teleinformatycznych. Drugim współadministratorem jest Minister Sprawiedliwości, który nie podlega już wyłączeniu z przepisu art. 55 ust. 3 RODO, a zatem organem nadzorczym w stosunku do ministra w zakresie przetwarzania danych osobowych w sądowych systemach teleinformatycznych jest Prezes UODO. Nawet gdyby przyjąć, że minister w tym zakresie odpowiada wyłącznie za realizację ustawowych zadań, to jednym z tych zadań jest właśnie zabezpieczanie danych osobowych przetwarzanych w sądowych systemach teleinformatycznych. Równie doniosłe, zwłaszcza w kontekście wcześniejszych rozważań na temat obowiązków administratora, w tym zasad privacy by design i privacy by default, są inne ustawowe zadania ministra – projektowanie, wdrażanie, utrzymanie, rozwój sądowych systemów teleinformatycznych. Obowiązkiem ministra, na mocy przepisu art. 25 RODO, jest wdrożenie odpowiednich środków technicznych i organizacyjnych, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych, w tym także zapewnienia, że przetwarzane są wyłącznie te dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania. W aktualnym stanie prawnym obowiązek ten nie wydaje się spełniony.
6. Podsumowanie
Szczątkowe regulacje, wprowadzone wraz z cyfryzacją akt rejestrowych oraz postępowania rejestrowego, należy ocenić pozytywnie. W szczególności przepis regulaminu pozwalający sądowi rejestrowemu na dokonanie oceny dokumentów udostępnianych w aktach rejestrowych pod względem ochrony danych osobowych uznać należy za dobry początek szerzej zakrojonej procedury, w ramach której należałoby sformalizować i dookreślić procedurę anonimizacji „nadmiarowych” danych osobowych w ramach prowadzenia przez sądy akt rejestrowych. Niezbędne jest jednak rozbudowanie procedury oceny dokumentów, sformułowanie konkretnych obowiązków oraz ugruntowanie wśród sędziów wiedzy o obowiązkach administratorów danych osobowych.
W kontekście zagwarantowania skutecznej ochrony danych osobowych należy także poważnie rozważyć całkowite przemodelowanie nadzoru nad przetwarzaniem danych osobowych w ramach sprawowania wymiaru sprawiedliwości przez sądy. Obecnie obowiązujące przepisy w tym zakresie nie przystają do potrzeb. Osoba fizyczna chcąca dochodzić swoich praw z zakresu ochrony danych osobowych nie ma właściwie żadnych formalnych możliwości działania oprócz jednokrotnego złożenia skargi, której rozpatrzenie może, ale nie musi, zostać w jakikolwiek sposób zakomunikowane. Z oczywistych przyczyn nie jest możliwe poddanie sądów nadzorowi organu administracji publicznej, jakim jest Prezes UODO. Nie znaczy to jednak, że nie należy zapewnić odpowiednich procedur dla dochodzenia przez obywateli ochrony ich praw. Szczególnie ważne może się w tym zakresie okazać wprowadzenie środków kontroli nad sądowymi organami nadzorczymi, np. poprzez włączenie spraw z zakresu kontroli przetwarzania danych osobowych do właściwości sądów administracyjnych.
W zakresie odpowiedzialności administratorów danych osobowych za przetwarzanie danych w ramach systemu PRS RAR przeprowadzona analiza prowadzi do następującego wniosku. Codzienne funkcjonowanie systemu i jego obsługa oraz nadzór nad przetwarzaniem danych osobowych należą do zadań sądów i ich odpowiednich organów. Natomiast stworzenie w ramach systemu możliwości technicznych, których istnienie jest niezbędne do umożliwienia przetwarzania danych osobowych zgodnie z prawem, należy do zadań Ministra Sprawiedliwości i powinno być uznane za priorytetowe.
Bibliografia
Barta P., Kawecki M., Litwiński P., Komentarz do art. 25 RODO,[w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, Warszawa 2021.
Kuca G., [w:] Ustawa o dostępie do informacji publicznej. Komentarz, red. E. Gudowska--Natanek, G. Kuca, 2024, Legalis.
Nowak D., Podejście oparte na ryzyku w RODO w praktyce – wnioski po dwóch latach stosowania RODO,„Monitor Prawniczy” 2020, nr 23.
Popardowski P., [w:] Ustawa o Krajowym Rejestrze Sądowym. Komentarz, red. K. Osajda,2024, wyd. 10, Warszawa 2024.
Wojciechowska K., [w:] Kodeks Postępowania Administracyjnego. Komentarz, red. R. Hauser, M. Wierzbowski, wyd. 8, Warszawa 2023.
Zamojski Ł., Elektronizacja postępowania rejestrowego przed sądem prowadzącym Krajowy Rejestr Sądowy – zagadnienia wybrane (cz. 2),„Monitor Prawniczy” 2022, nr 18.
Ziółkowska-Majkowska A., Ochrona danych osobowych w Krajowym Rejestrze Sądowym, „Kwartalnik Prawa Międzynarodowego” 2023, nr 1.
[1] Ustawa z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (t.j. Dz.U. z 2023 r. poz. 685 z późn. zm.), dalej: uKRS.
[2] Ustawa z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (t.j. Dz.U. z 2023 r. poz. 1550 z późn. zm.).
[3] Ustawa z dnia 7 lipca 2023 r. o zmianie ustawy – Kodeks postępowania cywilnego, ustawy – Prawo o ustroju sądów powszechnych, ustawy – Kodeks postępowania karnego oraz niektórych innych ustaw (Dz.U. z 2023 r. poz. 1860).
[4] Przepis art. 10 ust. 1a uKRS.
[5] Repozytoria Akt, https://rar.ms.gov.pl/ [dostęp: 17 sierpnia 2024 r.].
[6] Co wynika z przepisu art. 9 ust. 1 zdanie 3 uKRS.
[7] Dane zarówno spółki, jak i wspólnika tej spółki zostały zanonimizowane na potrzeby niniejszego artykułu.
[8] Dz.Urz. UE L z 2016 r. nr 119/1, dalej: RODO.
[9] Zob. motyw 20 do RODO.
[10] Zob. przepis art. 5 ust. 1 lit. a–d RODO.
[11] Zob. wyrok TSUE z dnia 12 lipca 2021 r. w sprawie C-138/11; także wyrok TSUE z dnia 9 marca 2017 r. w sprawie C-398/15.
[12] Por. P. Popardowski, [w:] Ustawa o Krajowym Rejestrze Sądowym. Komentarz,red. K. Osajda,2024, Legalis, komentarz do art. 1 uKRS; także uzasadnienie rządowego projektu ustawy o zmianie ustawy o Krajowym Rejestrze Sądowym oraz niektórych innych ustaw, https://sejm.gov.pl/Sejm8.nsf/druk.xsp?nr=2067 [dostęp: 19 kwietnia 2024 r.].
[13] Por. P. Popardowski, [w:] Ustawa o Krajowym Rejestrze Sądowym. Komentarz, red. K. Osajda, 2024, Legalis, komentarz do art. 10 uKRS.
[14] Przepis art. 9 ust. 2 uKRS – „Jeżeli przepis szczególny nakazuje zgłoszenie określonych danych sądowi rejestrowemu lub wpisanie ich do rejestru, a dane te nie podlegają według przepisów ustawy wpisowi do określonego działu rejestru, dokumenty zawierające te dane oraz dokumenty wymienione w art. 47a ust. 2 składa się do akt rejestrowych”.
[15] Zob. motyw 73 do RODO.
[16] Por. Ł. Zamojski, Elektronizacja postępowania rejestrowego przed sądem prowadzącym Krajowy Rejestr Sądowy – zagadnienia wybrane (cz. 2), „Monitor Prawniczy” 2022, nr 18, s. 942–950.
[17] Zob. przepis art. 46 ust. 2 pkt 1 ustawy z dnia 24 września 2010 r. o ewidencji ludności (t.j. Dz.U. z 2022 r. poz. 1191 z późn. zm.).
[18] Zob. przepis art. 4 pkt 7 RODO.
[19] Ustawa z dnia 27 lipca 2001 r. – Prawo o ustroju sądów powszechnych (t.j. Dz.U. z 2024 r. poz. 334 z późn. zm.), dalej: p.u.s.p.
[20] Por. uzasadnienie projektu ustawy o zmianie ustawy – Kodeks postępowania cywilnego, ustawy – Prawo o ustroju sądów powszechnych, ustawy – Kodeks postępowania karnego oraz niektórych innych ustaw, s. 40–43, https://www.sejm.gov.pl/Sejm9.nsf/druk.xsp?nr=3216 [dostęp: 13 kwietnia 2024 r.].
[21] Zob. przepis art. 175da § 6 p.u.s.p.
[22] Zob. przepis art. 175da § 1 p.u.s.p.
[23] Por. P. Barta, M. Kawecki, P. Litwiński, Komentarz do art. 25 RODO,[w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, 2021, Legalis; także D. Nowak, Podejście oparte na ryzyku w RODO w praktyce – wnioski po dwóch latach stosowania RODO, „Monitor Prawniczy” 2020, nr 23, Legalis.
[24] Zob. wyrok TSUE z dnia 13 maja 2014 r., C-131/12, ECLI:EU:C:2014:317.
[25] Zob. wyrok TSUE z dnia 11 stycznia 2024 r., C-231/22, ECLI:EU:C:2024:7.
[26] Zob. przepis art. 175da § 1 p.u.s.p.
[27] Zob. przepis art. 17 ust. 1 RODO.
[28] Zob. przepis art. 17 ust. 3 RODO.
[29] Zob. rozporządzenie Ministra Sprawiedliwości z dnia 18 czerwca 2019 r. – Regulamin urzędowania sądów powszechnych (t.j. Dz.U. z 2022 r. poz. 2514 z późn. zm.), dalej: regulamin.
[30] Zob. zarządzenie Ministra Sprawiedliwości w sprawie organizacji i zakresu działania sekretariatów sądowych oraz innych działów administracji sądowej (Dz.Urz.MS z 2019 r. poz. 138 z późn. zm.), dalej: zarządzenie.
[31] Zob. przepis § 181a zarządzenia.
[32] Por. A. Ziółkowska-Majkowska, Ochrona danych osobowych w Krajowym Rejestrze Sądowym, „Kwartalnik Prawa Międzynarodowego” 2023, nr 1, s. 165–179.
[33] Zob. wyrok NSA z dnia 11 kwietnia 2017 r. w sprawie I OSK 2170/15.
[34] Por. Ł. Zamojski, Elektronizacja postępowania rejestrowego…, s. 942–950.
[35] Dz.Urz.UE C 202 z dnia 7 czerwca 2016 r.
[36] Zob. wyrok TSUE z dnia 5 lutego 1963 r., C-26/62, ECLI:EU:C:1963:1, także wyrok TSUE z dnia 15 lipca 1964 r., C-6/64, ECLI:EU:C:1964:66, wyrok TSUE z dnia 9 marca 1978 r., C-106/77, ECLI:EU:C:1978:49.
[37] Zasada skutku bezpośredniego wywodzona z przepisu art. 288 TFUE i rozbudowana przez TSUE m.in. w wyroku z dnia 14 grudnia 1971 r., C-43/71, ECLI:EU:C:1971:122 oraz z wyroku z dnia 17 września 2002 r., C-253/00, ECLI:EU:C:2002:497.
[38] Zob. przepis art. 175dd § 2 p.u.s.p.
[39] Zob. ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781 z późn. zm.).
[40] Zob. przepis art. 175dd § 3 p.u.s.p.
[41] Zob. przepisy art. 41a–41e p.u.s.p.
[42] Rozporządzenie Ministra Sprawiedliwości z dnia 9 maja 2012 r. w sprawie skarg i wniosków dotyczących działalności sądów powszechnych (Dz.U. z 2012 r. poz. 524 z późn. zm.).
[43] Zob. przepis art. 63 Konstytucji RP (Dz.U. z 1997 nr 78, poz. 483 z późn. zm.): „Każdy ma prawo składać petycje, wnioski i skargi w interesie publicznym, własnym lub innej osoby za jej zgodą do organów władzy publicznej oraz do organizacji i instytucji społecznych w związku z wykonywanymi przez nie zadaniami zleconymi z zakresu administracji publicznej. Tryb rozpatrywania petycji, wniosków i skarg określa ustawa”.
[44] Ustawa z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t.j. Dz.U. z 2024 r. poz. 572 z późn. zm.), dalej: k.p.a.
[45] Por. K. Wojciechowska, [w:] Kodeks Postępowania Administracyjnego. Komentarz, red. R. Hauser, M. Wierzbowski, wyd. 8, Warszawa 2023, komentarz do art 221 k.p.a.
[46] Ibidem, także: wyrok NSA z dnia 15 maja 2009 r., I OZ 520/09, Legalis nr 1257469.
[47] Przepisy RODO, przepisy ustawy o ochronie danych osobowych.
[48] Por. G. Kuca, [w:] Ustawa o dostępie do informacji publicznej. Komentarz, red. E. Gudowska-Natanek, G. Kuca, 2024, Legalis, komentarz do art. 4, nb 2.