Decyzja
ZSOŚS.440.125.2018
Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz art. 12 pkt 2, art. 22 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) w związku z art. 100 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r., poz. 125) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani A. G., zam. w L., na udostępnienie przez X. sp. z o.o. z siedzibą w W. jej danych osobowych na rzecz Prokuratury Rejonowej [...] w L. oraz Komendanta [...] Komisariatu Policji w L.,
umarzam postępowanie
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pani A. G. (zwanej dalej „Skarżącą”) na udostępnienie przez X. sp. z o.o. z siedzibą w W., (zwaną dalej „X.”) danych osobowych Skarżącej na rzecz Prokuratury Rejonowej [...] w L. (zwaną dalej „Prokuraturą”) oraz Komendanta [...] Komisariatu Policji w L., w związku z prowadzonym postępowaniem o sygnaturze [...].
Uzasadniając żądanie Skarżąca podniosła, iż Prokurator Prokuratury Rejonowej [...] w L. postanowieniem sygn. [...] z [...] marca 2015r., zażądał wydania komputera mogącego stanowić dowód w sprawie oraz zlecił wykonanie tych czynności funkcjonariuszom [...] Komisariatu Policji w L., w następstwie uzyskania informacji o adresie IP komputera od operatora sieci internetowej X.
W uzasadnieniu postanowienia przedstawione zostały powody zlecenia tych czynności, a mianowicie fakt nadzorowania przez prokuraturę dochodzenia w sprawie m.in. umyślnego rozpowszechniania bez uprawnienia za pośrednictwem sieci internetowej w roku 2012 w L., przy wykorzystaniu programu torrentowego o nazwie uTorrent2.2, utworu Joanne K. Rowling „Harry Potter i kamień filozoficzny” (audiobook), do których majątkowe prawa autorskie posiada M. sp. z o.o. w P., tj. o czyn z art. 116 ust. 1 ustawy o prawie autorskim i prawach pokrewnych. Podano również, iż z zebranego materiału dowodowego wynika, że numer IP komputera z którego miało miejsce bezprawne rozpowszechnienie utworu, jest przypisany do Pani A. G.
W tym miejscu należy wskazać, iż z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000 ze zm.) tj. 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Zgodnie z art. 160 tej ustawy postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zgodnie z zasadami określonymi w k.p.a. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne. Ponadto w dniu 6 lutego 2019 r. weszła w życie ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125). Zgodnie z art. 100 tej ustawy postępowania wszczęte i niezakończone przed dniem wejścia w życie ustawy prowadzone są na podstawie przepisów dotychczasowych.
W toku przeprowadzonego postępowania administracyjnego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił, co następuje.
Dane osobowe Pani A. G. zostały pozyskane przez Y. Sp. z o.o. (X. sp. z o.o. jest następcą prawnym Y. Sp. z o.o.) w związku z zawarciem umowy o świadczenie usług dostawy sieci Internet z dnia [...] września 2011 r. Realizując postanowienie prokuratora Y. Sp. z o.o. przekazała dane osobowe Skarżącej w związku z treścią art. 159 ust. 4 ustawy z dnia 16 lipca 2004r. Prawo telekomunikacyjne (Dz. U. z 2016 r., poz. 1489 z późn. zm.).
W toku prowadzonego postępowania prokurator zwolnił z zachowania tajemnicy zawodowej Y. z siedzibą w L. na podstawie art. 180 § 1 ustawy z dnia 6 czerwca 1997 r., Kodeks postępowania karnego (Dz. U. z 2018 r., poz. 1987) zwaną dalej „Kpk”, w zakresie danych osobowych w tym danych adresowych abonentów adresów IP, a pozyskane na tej podstawie dane osobowe miały na celu identyfikację osób, które mogły dopuścić się czynów zabronionych i wykonanie w dalszej kolejności z ich udziałem czynności procesowych zmierzających do ustalenia, czy doszło do popełnienia czynu zabronionego. Następnie postanowieniem z [...] marca 2015 r., prokurator Prokuratury Rejonowej [...] w L., na podstawie art. 180, art. 217, art. 219 oraz art. 220 Kpk zażądał wydania rzeczy w postaci komputera od Pani A. G., a w razie odmowy zarządził przeszukanie pomieszczeń mieszkalnych zajmowanych przez Skarżącą. Czynność ta została zrealizowana przez funkcjonariuszy Komisariatu [...] Policji w L. w dniu [...] kwietnia 2015 r., przy czym w jej toku dokonano zabezpieczenia laptopa marki „S.” wraz z kablem zasilającym.
W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2016 r., poz. 922 ze zm.), zwana dalej „ustawą”, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przetwarzanie danych osobowych jest zgodne z prawem jedynie wówczas, gdy ich administrator legitymuje się jedną z materialnych przesłanek dopuszczalności przetwarzania, wymienionych w art. 23 ust. 1 ustawy (przez przetwarzanie, zgodnie z treścią art. 7 pkt. 2 ustawy rozumie się jakiekolwiek operacje wykonywane na tych danych, w tym ich udostępnianie). Każda ze wskazanych w art. 7 pkt. 2 ustawy form przetwarzania danych osobowych powinna znaleźć oparcie w jednej z przesłanek warunkujących legalność procesu przetwarzania danych osobowych, enumeratywnie wymienionych w art. 23 ust. 1 pkt. 1-5 ustawy w przypadku tzw. danych zwykłych lub art. 27 ust. 2 pkt. 1-10 w przypadku danych szczególnie chronionych.
Z uwagi na brzmienie art. 7 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., zgodnie z którym organy władzy publicznej działają na podstawie i w granicach prawa, na uwadze należy mieć w szczególności treść art. 23 ust. 1 pkt 2 ustawy, który stanowi, iż przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Niewątpliwie dane uczestników postępowania karnego przetwarzane są w celu niezbędnym do wypełnienia obowiązku prawnego ciążącego na organach ścigania, jakim jest wykonywanie zadań w zakresie ścigania przestępstw oraz stania na straży praworządności. Zgodnie bowiem z zasadą legalizmu, organy władzy publicznej działają na podstawie i w granicach prawa. W tym przypadku należy wskazać w szczególności przepisy ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz. U. z 2018r., poz. 1987) zwanej dalej „Kpk”.
Zgodnie z treścią art. 10 Kpk, organ powołany do ścigania przestępstw jest obowiązany do wszczęcia i przeprowadzenia postępowania przygotowawczego, a oskarżyciel publiczny także do wniesienia i popierania oskarżenia – o czyn ścigany z urzędu. Istotnym w przedmiotowej sprawie jest również art. 218 Kpk, zgodnie z którym urzędy, instytucje i podmioty prowadzące działalność w dziedzinie poczty lub działalność telekomunikacyjną, urzędy celno-skarbowe oraz instytucje i przedsiębiorstwa transportowe obowiązane są wydać sądowi lub prokuratorowi, na żądanie zawarte w postanowieniu, korespondencję i przesyłki oraz dane, o których mowa w art. 180c i art. 180d ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2017 r. poz. 1907, z późn. zm.), jeżeli mają znaczenie dla toczącego się postępowania. Tylko sąd lub prokurator mają prawo je otwierać lub zarządzić ich otwarcie.
Z kolei zgodnie z treścią art. 180d ustawy Prawo telekomunikacyjne, przedsiębiorcy telekomunikacyjni są obowiązani do zapewnienia warunków dostępu i utrwalania oraz do udostępniania uprawnionym podmiotom, a także sądowi i prokuratorowi, na własny koszt, przetwarzanych przez siebie danych, o których mowa w art. 159 ust. 1 pkt 1 i 3-5, w art. 161 oraz w art. 179 ust. 9, związanych ze świadczoną usługą telekomunikacyjną, na zasadach i przy zachowaniu procedur określonych w przepisach odrębnych.
Istotna jest również treść art. 15 § 1 Kpk, który jednoznacznie stwierdza, iż Policja i inne organy w zakresie postępowania karnego wykonują polecenia sądu, referendarza sądowego i prokuratora oraz prowadzą pod nadzorem prokuratora śledztwo lub dochodzenie w granicach określonych w ustawie.
Należy jednak zaznaczyć, że Prezes Urzędu Ochrony Danych Osobowych w ramach kompetencji przyznanych mu ustawą nie może ingerować w tok ani w sposób postępowań prowadzonych przez inne, uprawnione na podstawie odrębnych przepisów organy. Tym samym nie może ingerować w konkretne decyzje podejmowane przez właściwe organy celem ustalenia stanu faktycznego danej sprawy. Powyższe znajduje potwierdzenie w orzecznictwie Naczelnego Sądu Administracyjnego, który w wyroku z dnia 2 marca 2001 r. (sygn. akt II SA 401/00) stwierdził, że Generalny Inspektor Ochrony Danych Osobowych (obecnie: Prezes Urzędu Ochrony Danych Osobowych) nie jest organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji czy inny sposób określony odpowiednimi procedurami.
Mając powyższe na względzie należy podkreślić, iż organ ochrony danych osobowych nie jest władny do kontrolowania podejmowanych przez inny organ czynności procesowych w postępowaniu z wykorzystaniem danych osobowych, czy to sądowym, czy to prokuratorskim, bądź prowadzonym przez Policję na zlecenie Prokuratury, jak miało to miejsce w niniejszej sprawie (por. wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 lutego 2012 r. sygn. II SA/Wa 2848/11).
W związku z brakiem kompetencji Prezesa Urzędu do merytorycznego rozstrzygnięcia niniejszej sprawy, postępowanie zainicjowane skargą złożoną przez Skarżącą należało umorzyć jako bezprzedmiotowe, stosownie do treści art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego. W doktrynie wskazuje się, że: „bezprzedmiotowość postępowania administracyjnego”, o której stanowi art. 105 § 1 k.p.a., oznacza brak któregoś z elementów stosunku materialnoprawnego skutkującego tym, że nie można załatwić sprawy przez rozstrzygnięcie jej co do istoty. Umorzenie postępowania administracyjnego stanowi orzeczenie formalne, kończące postępowanie, bez jej merytorycznego rozstrzygnięcia (wyrok Naczelnego Sądu Administracyjnego w Warszawie z 21 września 2010 r., II OSK 1393/09). Ustalenie przez organ publiczny zaistnienia przesłanki, o której mowa w art. 105 § 1 k.p.a., zobowiązuje go, jak podkreśla się w doktrynie i orzecznictwie, do umorzenia postępowania, bo nie ma wówczas podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie w takiej sytuacji postępowania stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 9 ust. 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125) od niniejszej decyzji stronie przysługuje prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.