Decyzja
ZSOŚS.440.136.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 z późn. zm.) oraz art. 12 pkt 2, art. 22 i art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 z późn. zm.) w związku z art. 100 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. 2019 r. poz. 125) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana W. B. (adres do korespondencji: [...]) na udostępnienie przez podległych Komendantowi Powiatowemu Policji w G. funkcjonariuszy Komendy Powiatowej Policji w G.(z siedzibą w G., przy ul. [...]) jego danych osobowych na rzecz osób nieupoważnionych oraz niezgodnego z przepisami o ochronie danych osobowych przetwarzania jego danych osobowych przez Wójta Gminy G., pracowników wydziału komunikacyjnego Starostwa Powiatowego w G. oraz radną gminy G. S. P.,
odmawiam uwzględnienia wniosku
Uzasadnienie
W dniu [...] lutego 2013 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pana W. B. adres do korespondencji: [...]) na udostępnienie przez podległych Komendantowi Powiatowemu Policji w G. funkcjonariuszy Komendy Powiatowej Policji w G. (z siedzibą w G., przy ul. [...]) jego danych osobowych na rzecz osób nieupoważnionych.
W związku z powyższym, Skarżący zwrócił się do Generalnego Inspektora z prośbą o interwencję w celu niezwłocznego usunięcia nieprawidłowości związanych z udostępnieniem przez podległych Komendantowi Powiatowemu Policji w G. funkcjonariuszy Komendy Powiatowej Policji w G. jego danych osobowych na rzecz osób nieupoważnionych oraz niezgodnego z przepisami o ochronie danych osobowych przetwarzania jego danych osobowych przez Wójta Gminy G., pracowników wydziału komunikacyjnego Starostwa Powiatowego w G. oraz radną gminy G., S. P.
W toku postępowania zainicjowanego skargą, Generalny Inspektor Ochrony Danych Osobowych uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń.
Pismami z [...] maja 2013 r. Generalny Inspektor Ochrony Danych Osobowych poinformował Skarżącego o wszczęciu postępowania wyjaśniającego w sprawie oraz zwrócił się do Komendanta Powiatowego Policji w G., dalej jako „Komendant”, o ustosunkowanie się do treści skargi oraz złożenie pisemnych wyjaśnień. W dniu [...] czerwca 2013 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło pismo Komendanta ([...]), w którym wyjaśnił, iż [...] stycznia 2011 r. Komendant Straży Gminnej, otrzymała zgłoszenie dotyczące wycinki drzew oraz zakrzaczenia na działce w miejscowości S., w gminie G. Osoba zgłaszająca przekazała też numer rejestracyjny pojazdu, którym przyjechał mężczyzna dokonujący wycinki drzew. W celu ustalenia właściciela ww. pojazdu, strażnicy udali się do Komendy Powiatowej Policji w G., gdzie dyżurny ustalił w bazie CEPiK właściciela pojazdu, którym okazał się Skarżący. Komendant wyjaśnił nadto, iż po dokonaniu ww. czynności, akta sprawy zostały przekazane zgodnie z właściwością do Referatu Gospodarki Komunalnej i Ochrony Środowiska Urzędu Gminy G. W nadesłanych wyjaśnieniach Komendant wskazał także, iż udostępnienie danych osobowych Skarżącego z bazy CEPiK nastąpiło w zakresie współdziałania z innymi organami na podstawie art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z którym, przetwarzanie danych jest dopuszczalne m.in. wtedy, gdy jest to niezbędne dla zrealizowania uprawnień lub spełnienia obowiązku wynikającego z przepisu prawa. Komendant wyjaśnił również, iż zakres zadań straży gminnych został określony w ustawie z 29 sierpnia 1997 r. o strażach gminnych, zaś zgodnie z art. 10 w w. ustawy do zadań straży gminnych należy wykonywanie zadań w zakresie ochrony porządku publicznego, wynikającego z ustaw i aktów prawa miejscowego. W myśl art. 12 ust. 1 pkt 9 ww. ustawy, straż gminna jest uprawniona do zwracania się w nagłych przypadkach o pomoc do jednostek gospodarczych i każdej osoby o udzielenie doraźnej pomocy na zasadach określonych w ustawie o Policji. Odpowiadając na pismo Generalnego Inspektora Komendant poinformował, iż w postępowaniu w zakresie wniosku o udostępnianie danych osobowych z bazy CEPiK, którego administratorem jest Minister Spraw Wewnętrznych i Administracji, a nie Policja, doszło do naruszenia dyscypliny służbowej przez służbę dyżurną Komendy Powiatowej Policji w G., a przewinienie to polegało na nieprawidłowym sposobie udostępnienia danych osobowych Skarżącego na rzecz Straży Gminnej w G.
Mając na uwadze powyższe wyjaśnienia, Generalny Inspektor Ochrony Danych Osobowych pismem z [...] czerwca 2013 r. zwrócił się do Wójta Gminy G. (dalej jako: „Wójt”) o ustosunkowanie się do treści skargi oraz złożenie pisemnych wyjaśnień. W dniu [...] lipca 2013 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło pismo Wójta Gminy G., w którym wyjaśnił, iż [...] września 2011 r. o 10:15 Straż Gminna otrzymała od właściciela nieruchomości zgłoszenie dotyczące wycinki drzew oraz zakrzaczenia z działki będącej własnością zgłaszającego. W informacji podano numer rejestracyjny pojazdu osoby dokonującej wycinki. Po rozmowie z poszkodowanym właścicielem nieruchomości, z której wycięto drzewa i zakrzaczenia, wystąpiono do Komendy Powiatowej Policji w G. z prośbą o ustalenie właściciela wskazanego przez poszkodowanego samochodu. W nadesłanych wyjaśnieniach Wójt Gminy wskazał, iż podstawą prawną powyższych działań jest ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych oraz porozumienie zawarte w dniu [...] kwietnia 2010 r. pomiędzy Komendantem Powiatowym Policji w G. i Wójtem Gminy G. Wójt wyjaśnił nadto, iż dane sprawcy wycinki zostały wpisane do rejestru interwencji straży gminnej, zaś strażnicy posiadają upoważnienia do przetwarzania ww. danych osobowych nadane przez Wójta Gminy G. Wójt wskazał również, iż pozyskano dane osobowe Skarżącego w postaci imienia, nazwiska oraz adresu zameldowania, a informacje te zostały przekazane zgodnie z właściwością do Referatu Gospodarki Komunalnej i Ochrony Środowiska Urzędu Gminy G. Wójt wskazał jednoznacznie, iż w chwili obecnej Urząd Gminy G. nie przetwarza danych osobowych Skarżącego z uwagi na fakt, iż Referat Gospodarki Komunalnej i Ochrony Środowiska Urzędu Gminy G. prowadzący postępowanie wyjaśniające w sprawie zgłoszonej wycinki drzew i krzewów na działce nr [...] w miejscowości S. dokonanej przez Skarżącego ustalił, iż usunięte zadrzewienie nie wymagało zezwolenia na usunięcie z terenu nieruchomości, zgodnie z art. 83 ust. 1 ustawy z dnia 16 kwietnia 2004 r. o ochronie przyrody (Dz.U. 2018 poz. 1614).
Nadto, w wyjaśnieniach uzupełniających (znak: [...]) Wójt poinformował, iż Straż Gminna G. w zakresie wykonywanych czynności wyjaśniających działała na podstawie art. 54 i art. 17 § 3 ustawy z dnia 24 sierpnia 2001 r. - Kodeks postępowania w sprawach o wykroczenia (Dz.U. 2018 poz. 475) w związku z art. 11 i 12 ustawy z 29 sierpnia 1997 r. o strażach gminnych (Dz.U. 2018 poz. 928). Wskazał jednocześnie, iż do przetwarzania danych osobowych Straż Gminna była uprawniona w oparciu o art. 10a ustawy o strażach gminnych, zgodnie z którym, straż w celu realizacji ustawowych zadań może przetwarzać dane osobowe, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, bez wiedzy i zgody osoby, której dane te dotyczą, uzyskane w wyniku wykonywania czynności podejmowanych w postępowaniu w sprawach o wykroczenia; z rejestrów, ewidencji i zbiorów, do których straż posiada dostęp na podstawie odrębnych przepisów.
Wobec ujawnionych okoliczności, Generalny Inspektor pismem z [...] sierpnia 2013 r. zwrócił się do Komendanta Powiatowego Policji w G. o udzielenie dodatkowych wyjaśnień w przedmiocie udostępnienia danych Skarżącego przez funkcjonariuszy Komendy Powiatowej Policji w G. na rzecz funkcjonariuszy Straży Gminnej w G.
Pismem z [...] sierpnia 2013 r. (data wpływu: [...] sierpnia 2013 r., znak: [...]) Komendant wyjaśnił, iż w przeprowadzonym postępowaniu wyjaśniającym stwierdzono, iż doszło do naruszenia dyscypliny służbowej przez służbę dyżurną Komendy Powiatowej Policji w G., polegającej na nieprawidłowym sposobie udostępnienia danych osobowych Skarżącego, tj. braku pisemnego, umotywowanego wniosku o udzielenie przedmiotowych danych wraz ze wskazaniem zakresu żądanych danych i wskazania ich przeznaczenia. Komendant wskazał nadto, iż w celu zapobieżenia wystąpienia podobnych nieprawidłowości, przeprowadzono szkolenie w zakresie udostępniania i przetwarzania danych osobowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Jednocześnie Komendant wyjaśnił, iż z uwagi na upływ czasu od chwili popełnienia przewinienia dyscyplinarnego, zgodnie z dyspozycją art. 135 ustawy z dnia 6 kwietnia 1990 r. o Policji, nie ma możliwości wszczęcia postępowania dyscyplinarnego i wyciągnięcia konsekwencji dyscyplinarnych.
Pismem z [...] sierpnia 2013 r. Skarżący rozszerzył skargę złożoną w dniu [...] lutego 2013 r. i wniósł o ustalenie zgodności z prawem przetwarzania jego danych osobowych przez cyt.: „wójta gminy G., kierowniczki tejże gminy S. radną gminy P., ich znajomego policjanta i pracowników wydziału komunikacyjnego w G.”.
Wobec tego, działając na podstawie art. 14 pkt 2 ustawy z dnia 29 sierpnia 1997 r. Generalny Inspektor Ochrony Danych Osobowych zwrócił się do Komendanta Powiatowego Policji w G., Burmistrza Miasta G. oraz do Starosty G. o złożenie pisemnych wyjaśnień.
Pismem z [...] października 2013 r. (data wpływu: [...] listopada 2013 r.), Starosta G.wyjaśnił, iż pracownicy Wydziału Komunikacji Starostwa Powiatowego w G. nie udostępnili danych osobowych Skarżącego. Ponadto, pismem z [...] listopada 2013 r., Wójt Gminy G. podtrzymał uprzednio nadesłane wyjaśnienia. Pismem z [...] listopada 2013 r. (data wpływu: [...] listopada 2013 r.), Komendant Powiatowy Policji w G. oświadczył, iż wszystkie podnoszone kwestie zostały już wszechstronnie wyjaśnione w pismach z [...] czerwca 2013 r. oraz w piśmie z [...] sierpnia 2013 r.
W tym miejscu należy wskazać, iż z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Zgodnie z art. 160 tej ustawy postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zgodnie z zasadami określonymi wk.p.a. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne. Jednocześnie obecnie sprawa jest prowadzona przez Zespół ds. Organów Ścigania i Sądów, i została jej nadana sygnatura [...].
W odpowiedzi na pismo Prezesa Urzędu Ochrony Danych Osobowych z [...] marca 2019 r., Starosta Powiatowy w G. wyjaśnił, iż dane osobowe Skarżącego są zabezpieczone przed dostępem osób nieuprawnionych zgodnie z ustawą o ochronie danych osobowych tj. dane papierowe i komputerowe zabezpieczone są w zamkniętych, monitorowanych pomieszczeniach, do których wstęp mają tylko pracownicy. Starosta wyjaśnił nadto, iż wobec okoliczności zasygnalizowanych przez Skarżącego przeprowadzone zostało postępowanie wyjaśniające, które wykazało, iż pracownicy nie udostępnili Pani S. P. i innym osobom wskazanym w skardze danych osobowych Skarżącego.
Prezes Urzędu Ochrony Danych Osobowych poinformował pismami z [...] maja 2019 r. strony o przeprowadzeniu postępowania administracyjnego, w wyniku którego został zgromadzony materiał dowodowy wystarczający do wydania decyzji administracyjnej oraz o możliwości wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań zgodnie z treścią art. 10 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, w terminie 7 dni od dnia otrzymania ww. pism.
W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Powołana wyżej ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. stwarza prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego. W celu jej realizacji organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Oznacza to, iż organ ochrony danych osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z przesłanek legalizujących przetwarzanie danych osobowych, wskazanej w art. 23 ust. 1 ww. ustawy o ochronie danych osobowych i w zależności od występujących w sprawie ustaleń - albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych.
Zgodnie z treścią art. 1 przywołanej ustawy, każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 tej ustawy, dopuszczalne jest tylko ze względu na określone dobra, tj. dobro publiczne, dobro osoby, której dane dotyczą lub dobro osoby trzeciej i tylko w zakresie oraz trybie określonym ustawą. Mając zatem na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw.
Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony prywatności osoby, ma swoje źródło w przepisach ustawy z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej Polskiej. Zgodnie z ustawą zasadniczą każdy ma prawo m.in. do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia (art. 47 Konstytucji), nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (art. 51 ust. 1 Konstytucji), a zasady i tryb gromadzenia oraz udostępniania informacji o osobie określa ustawa (art. 51 ust. 5 Konstytucji). Dyspozycję art. 51 ust. 5 Konstytucji wypełnia ustawa o ochronie danych osobowych, która określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r.).
W przedmiotowej sprawie na uwadze należy również mieć treść art. 23 ust. 1 ustawy o ochronie danych osobowych, który w punktach od 1 do 5 określa materialne przesłanki przetwarzania danych osobowych, wskazując m.in. w treści art. 23 ust. 1 pkt 2, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa i w treści art. 23 ust. 1 pkt 4, że przetwarzanie danych osobowych jest możliwe, gdy jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.
Należy wskazać jednocześnie, iż straż miejska wykonuje określone prawem zadania, które realizuje dla dobra publicznego. Zgodnie z treścią art. 6 ust. 1 ustawy o strażach gminnych, straż gminna (miejska) jest jednostką organizacyjną gminy i stosownie do treści art. 10 ust. 1 lej ustawy wykonuje zadania w zakresie ochrony porządku publicznego wynikające z ustaw i aktów prawa miejscowego. Ponadto, przepis art. 10a pkt 1 ustawy o strażach gminnych stanowi, że straż w celu realizacji zadań ustawowych może przetwarzać dane osobowe, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, bez wiedzy i zgody osoby, której dane te dotyczą, uzyskane w wyniku wykonywania czynności podejmowanych w postępowaniu w sprawach o wykroczenia. Unormowanie to ściśle przy tym koresponduje z art. 10, art. 11 i art. 12 ustawy o strażach gminnych. Zgodnie zaś z treścią art. 10 ust. 1 straż gminna wykonuje zadania w zakresie ochrony porządku publicznego, które przewidziane są przepisami rangi ustawowej i aktami prawa miejscowego.
W niniejszej sprawie decydujące znaczenie ma fakt, iż, zgodnie z wyjaśnieniami Wójta Gminy, w chwili obecnej Urząd Gminy G. nic przetwarza danych osobowych Skarżącego z uwagi na takt, iż Referat Gospodarki Komunalnej i Ochrony Środowiska Urzędu Gminy G. prowadzący postępowanie wyjaśniające w sprawie zgłoszonej wycinki drzew i krzewów na działce nr [...] w miejscowości S. dokonanej przez Skarżącego ustalił, iż usunięte zadrzewienie nic wymagało zezwolenia na usunięcie z terenu nieruchomości, zgodnie z art. 83 ust. 1 ustawy z dnia 16 kwietnia 2004 r. o ochronie przyrody (Dz.U. 2018 poz. 1614). Nadto, wskazać należy, iż Starosta Powiatowy w G. wyjaśnił, iż pracownicy Wydziału Komunikacji Starostwa Powiatowego w G. nie udostępnili danych osobowych Skarżącego Pani S. P., a dane osobowe Skarżącego są zabezpieczone przed dostępem osób nieuprawnionych zgodnie z ustawą o ochronie danych osobowych tj. dane papierowe i komputerowe zabezpieczone są w zamkniętych, monitorowanych pomieszczeniach, do których wstęp mają tylko pracownicy. Starosta wyjaśnił nadto, iż wobec okoliczności zasygnalizowanych przez Skarżącego przeprowadzone zostało postępowanie wyjaśniające, które wykazało, iż pracownicy nie udostępnili pani S. P. i innym osobom wskazanym w skardze danych osobowych Skarżącego.
W zakresie wyjaśnień przedstawionych przez Komendanta Powiatowego Policji wskazać należy, że Komendant wyjaśnił, iż w przeprowadzonym postępowaniu wyjaśniającym stwierdzono, iż doszło do naruszenia dyscypliny służbowej przez służbę dyżurną Komendy Powiatowej Policji w G., polegającej na nieprawidłowym sposobie udostępnienia danych osobowych Skarżącego, tj. braku pisemnego, umotywowanego wniosku o udzielenie przedmiotowych danych wraz ze wskazaniem zakresu żądanych danych i wskazania ich przeznaczenia. Komendant wskazał nadto, iż w celu zapobieżenia wystąpienia podobnych nieprawidłowości, przeprowadzono szkolenie w zakresie udostępniania i przetwarzania danych osobowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Jednocześnie Komendant wyjaśnił, iż z uwagi na upływ czasu od chwili popełnienia przewinienia dyscyplinarnego, zgodnie z dyspozycją art. 135 ustawy z dnia 6 kwietnia 1990 r. o Policji, nie ma możliwości wszczęcia postępowania dyscyplinarnego i wyciągnięcia konsekwencji dyscyplinarnych.
Jak wynika zatem z zebranego w sprawie materiału dowodowego, udostępnienie danych osobowych Skarżącego nastąpiło na podstawie art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w zw. z art. 12 ust. 1 pkt 9, art. 10 i art. 20 ustawy z 29 sierpnia 1997 r. o strażach gminnych. Udostępnienie to odbyło się jednak bez formy wymaganej przepisami prawa, tj. braku pisemnego, umotywowanego wniosku o udostępnienie przedmiotowych danych osobowych wraz ze wskazaniem zakresu żądanych danych i wskazania ich przeznaczenia. Z uwagi jednak na to, iż udostępnienie danych osobowych Skarżącego bez wymaganej prawem formy miało charakter incydentalny oraz to, że podjęte zostały już działania mające na celu wyeliminowanie tego typu uchybień, niecelowym jest wydanie decyzji nakazującej przywrócenie stanu zgodnego z prawem. Ponadto, Prezes Urzędu nie jest władny wydać nakazu dotyczącego ewentualnego nieuprawnionego przetwarzania danych osobowych Skarżącego w przyszłości. Podkreślić bowiem należy, że decyzja administracyjna jest aktem o charakterze konkretnym i indywidualnym i dotyczy zawsze ściśle określonego, ustalonego i aktualnego w chwili orzekania stanu faktycznego. Prezes Urzędu nie jest uprawniony do wydania rozstrzygnięcia w odniesieniu do przyszłych i często hipotetycznych sytuacji.
Dlatego też w tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 9 ust. 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. 2019 r. poz. 125), w związku z art. 15 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 z późn. zm.) od niniejszej decyzji stronic przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego, w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 zł. Strona ma prawo ubiegać się o prawo pomocy, w tym zwolnienie od kosztów sądowych.