Decyzja
DKE.440.72.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r., poz. 1781) oraz art. 12 pkt 2, art. 22 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138), w związku z art. 2 ust. 2 lit. c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana D.D., na przetwarzanie jego danych osobowych za pomocą monitoringu przez Panią K. i Pana P. K., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana D. D. (zwanego dalej: Skarżącym), na przetwarzanie jego danych osobowych za pomocą monitoringu przez Panią K. i Pana P. K. (zwanych dalej: Skarżonymi). Skarżący wniósł o cyt.„ 1. Wypełnienie w stosunku do mnie obowiązku informacyjnego wynikającego z art. 24 ust. 1 ustawy o ochronie danych osobowych 2. Usunięcie moich danych osobowych, które są przechowywane i przetwarzane bez mojej zgody w systemie monitoringu „ oraz cyt. „o udzielnie informacji czy K. P. K. dokonali prawidłowej rejestracji zbioru danych”.
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) ustalił, co następuje.
- Skarżeni oświadczyli, że przetwarzają dane osobowe Skarżącego za pomocą monitoringu do celów prywatnych, dane nie są udostępniane osobom trzecim. Z wyjaśnień Skarżonych wynika, że dane osobowe Skarżącego zostały udostępnione jedynie Sądowi Rejonowemu w Z., Wydział […] w związku z postępowaniem w sprawie o […] o sygn. akt […], sygn. akt […].
- Z załączonych do wyjaśnień Skarżonych dowodów wynika, że monitoring zainstalowany na ich posesji zasięgiem nie obejmuje posesji Skarżącego ani przestrzeni publicznej.
- Skarżeni podkreślili, że wszystkie dane osobowe pozyskane przy użyciu monitoringu „są co kilka dni kasowane (…), jedynie sytuacje wskazujące na łamanie prawa zostają zapisywane na komputerze zabezpieczonym dodatkowym hasłem bez dostępu osób trzecich”.
- W miejscu zainstalowania monitoringu wywieszona została informacja, że teren jest monitorowany, a monitoring jest niemy.
W tym stanie faktycznym Prezes UODO zważył, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019, poz. 1781) zwanej dalej „u.o.d.o.”.
W myśl art. 160 ust. 1-3 ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138), zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „Kpa”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.
Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej: „ustawą” (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i nie zakończonych przed dniem wejścia w życie nowych regulacjiz zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).
W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Postępowanie prowadzone przez Prezesa Urzędu ukierunkowane jest na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy. Według tego przepisu w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.
W sytuacji, gdy Skarżeni cechują się statusem osób fizycznych i przetwarzają dane osobowe Skarżącego wyłącznie w celach osobistych lub domowych, niewątpliwe jest, że w rozpatrywanej sprawie nie miały zastosowania przepisy ustawy a obecnie nie znajdują zastosowania przepisy Rozporządzenia 2016/679. Jak wynikało bowiem z treści art. 3 a ust.1 pkt. 1 ustawy, nie stosowało się jej do osób fizycznych, które przetwarzają dane wyłącznie do celów osobistych i domowych, a jak wynika z treści art. 2 ust. 2 c Rozporządzenia 2016/679, jego przepisy nie mają zastosowania do przetwarzania danych osobowych przez osobę fizycznąw ramach czynności o czysto osobistym lub domowym charakterze. Ww. stanowisko organu wynika ze stwierdzonego w toku postępowania stanu faktycznego w przedmiotowej sprawie. Zainstalowany przez nich monitoring służy poprawie bezpieczeństwa w obrębie ich posesji w związku z powtarzającymi się sytuacjami łamania prawa. Dane osobowe Skarżącego przetwarzane za pośrednictwem monitoringu zostały udostępnione jedynie Sądowi Rejonowemu w Z., w związku z postępowaniami w sprawie o […] o sygn. akt […], sygn. akt […].
Przedstawiona w niniejszym rozstrzygnięciu argumentacja organu jest spójna ze stanowiskiem Trybunału Sprawiedliwości zawartym w wyroku Trybunału Sprawiedliwości z 11 grudnia 2014 roku w sprawie o sygn. akt C-212/13 František Ryneš przeciwko Úřad pro ochranu osobnych údaju, zgodnie z którym art. 2 ust.2 c Rozporządzenia 2016/679 należy interpretować w ten sposób, że wykorzystywanie systemu kamer przechowującego zapis obrazu osób na sprzęcie nagrywającym w sposób ciągły, takim jak dysk twardy, zainstalowanego przez osobę fizyczną na jej domu rodzinnym w celu ochrony własności, zdrowia i życia właścicieli domu, który to system monitoruje przestrzeń publiczną, nie stanowi przetwarzania danych w trakcie czynności o czysto osobistym lub domowym charakterze w rozumieniu tego przepisu. Stanowisko to zostało potwierdzone teza do glosie do wyroku TS z 11 grudnia 2014 roku, C- 212/13 cyt. „cel przetwarzania powinien determinować charakter danej czynności, a przez to być rozstrzygający dla ustalenia czy przetwarzanie danych ma charakter czysto osobisty lub domowy (…) Ochrona nienaruszalności prywatnego domu przed jakąkolwiek bezprawną ingerencją, w szczególności napaścią czy kradzieżą, powinna być uznawana za czynność o charakterze czysto domowym” (Czerniawski, Michał. Glosa do wyroku TS z dnia 11 grudnia 2014 r C-212/13. System Informacji Prawnej LEX, 2015).
Uwzględniając powyższe należy jeszcze raz podkreślić, że stanu faktycznego przedmiotowej sprawy wynika, iż przetwarzanie danych osobowych Skarżącego odbywa się za pomocą zainstalowanego na posesji Skarżonych monitoringu w celu zapewnienia bezpieczeństwa. Monitoring Skarżonych obejmuje teren ich prywatnej posesji, a nie przestrzeni publicznej, w związku z tym należy go oceniać, jako mieszczący się w ramach czynności o charakterze czysto osobistym i domowym. Ponadto w niniejszej sprawie mamy do czynienia ze skargą na osoby fizyczne, które nie przetwarzają danych osobowych Skarżącego w związku z prowadzoną przez siebie działalnością zarobkową czy zawodową. Dlatego też Skarżonych nie można uznać za administratorów danych osobowych zarówno w rozumieniu przepisów ustawy jak i Rozporządzenia 2016/679. Tym samym nie podlegali oni oraz obecnie nie podlegają obowiązkom wynikającym z ww. przepisów, w tym obowiązkowi rejestracji zbiorów danych osobowych.
Z uwagi na fakt, że w przedmiotowej sprawie nie miały zastosowania przepisy ustawy ani obecnie nie mają zastosowania przepisy Rozporządzenia 2016/679, Prezes UODO nie może wydać decyzji nakazującej przywrócenie stanu zgodnego z prawem. Zasadnym jest więc wydanie decyzji odmawiającej uwzględnienia wniosku.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowy.