Decyzja
ZSOŚS.440.53.2018
Na podstawie art. 104 § 1 ustawy ia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2018 poz. 2096), art. 12 pkt 2, art. 18, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016,r. poz. 922 ze zm.) w zw. z art. 160 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000 ze zm.) po przeprowadzeniu postępowania administracyjnego w sprawie ze skargi Pana M. N. zam. w miejscowości I., na Komendanta Powiatowego Policji w S., w związku z udostępnieniem osobom nieuprawnionym sprawozdania z czynności wyjaśniających prowadzonych w związku z postępowaniem dyscyplinarnym, zawierającego dane osobowe Skarżącego,
odmawiam uwzględnienia wniosku
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pana M. N. zam. w miejscowości I., zwanego dalej „Skarżącym”, na Komendanta Powiatowego Policji w S., zwanego dalej „Komendantem”, w związku z udostępnieniem osobom nieuprawnionym sprawozdania z czynności wyjaśniających prowadzonych w związku z postępowaniem dyscyplinarnym, zawierającego dane osobowe Skarżącego.
W tym miejscu należy wskazać, że z dniem 25 maja 2018 r. w miejsce dotychczasowej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), zgodnie z art. 166 ust. 1 tej ustawy z dniem wejścia jej w życie Generalny Inspektor Ochrony Danych Osobowych stał się Prezesem Urzędu. Stosownie zaś do art. 167 ust. 1 obecnie obowiązującej ustawy o ochronie danych osobowych z dniem wejścia jej w życie Biuro Generalnego Inspektora Ochrony Danych Osobowych staje się Urzędem.
W treści swojej skargi Skarżący wskazał, że w sprawozdaniu z czynności wyjaśniających prowadzonych w związku z postępowaniem dyscyplinarnym zawarto szereg informacji dotyczących jego danych osobowych, tj. danych dotyczących stanu zdrowia, rzekomych nałogów czy preferencji seksualnych. Skarżący wyjaśnił nadto, iż prowadzący postępowanie dyscyplinarne podinspektor A. K. na polecenie Komendanta Powiatowego Policji w S. w listopadzie 2016 r. udostępnił pełną treść wskazanego wyżej dokumentu funkcjonariuszom Komendy Powiatowej Policji w S. celem zapoznania się z jego treścią. Mając powyższe na uwadze Skarżący w treści skargi zażądał podjęcia przez Prezesa Urzędu działań mających na celu ochronę jego danych osobowych poprzez usunięcie uchybień i podjęcia ewentualnie dodatkowych środków zabezpieczających jego dane osobowe przed dalszym udostępnianiem osobom nieuprawnionym.
W toku postępowania zainicjowanego skargą, Prezes Urzędu Ochrony Danych Osobowych uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń.
Pismami z [...] września 2018 r. Prezes Urzędu Ochrony Danych Osobowych poinformował Skarżącego oraz Komendanta o wszczęciu postępowania w sprawie oraz zwrócił się do Komendanta o ustosunkowanie się do treści skargi oraz złożenie pisemnych wyjaśnień. W dniu [...] października 2018 r. do Urzędu Ochrony Danych Osobowych wpłynęło pismo Komendanta ([...]), w którym wyjaśnił, iż dane osobowe Skarżącego, będącego policjantem Komendy Powiatowej Policji w S., były przetwarzane przez Komendanta Powiatowego w S., m.in. w postępowaniu oznaczonym sygnaturą [...], z uwagi na fakt, iż Komendant był w 2016 r. przełożonym Skarżącego właściwym do spraw osobowych. Jako podstawę przetwarzania danych osobowych Komendant wskazał rozdział 10 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz.U. z 2017 r. poz. 2067 ze zm.) oraz Rozporządzenie Ministra Spraw Wewnętrznych z dnia 13 lutego 2014 r. w sprawie szczegółowego trybu wykonywania czynności związanych z postępowaniem dyscyplinarnym w stosunku do policjantów (Dz.U. 2014 poz. 306). Komendant wyjaśnił także, iż dane osobowe Skarżącego były przetwarzane w celu zapewnienia właściwego toku czynności wyjaśniających i postępowania dyscyplinarnego w zakresie, jaki był niezbędny do osiągnięcia celów tych postępowań. Komendant zaprzeczył jednocześnie, jakoby doszło do sytuacji w której dane osobowe Skarżącego zostałyby udostępnione przez niego na rzecz osób nieuprawnionych. Nie wydawał również poleceń, aby ww. dane były udostępnione przez inne osoby. W nawiązaniu do sytuacji opisanej w skardze, Komendant wyjaśnił, iż w Komendzie Powiatowej Policji w S. prowadzone były czynności wyjaśniające, które dotyczyły szeregu niewłaściwych zachowań policjantów, w tym również Skarżącego. Jednym z poleceń Komendanta Powiatowego Policji w S. znajdującym się w sprawozdaniu, stanowiącym załącznik do skargi, a skierowanym do naczelnika Wydziału Prewencji Komendy Powiatowej Policji w S. - podinspektora A. H. było wykorzystanie ww. sprawozdania i opisanych w nim okoliczności do celów szkoleniowych. Jak wyjaśnił Komendant, podinsp. A. H. niewłaściwie zinterpretował to polecenie i z treścią sprawozdania zapoznał policjantów z Zespołu Dyżurnych wraz z rezerwą kadrową oraz osoby funkcyjne (kierowników). Komendant wyjaśnił nadto, iż osobom, którym zostało udostępnione ww. sprawozdanie są doskonale znane problemy Skarżącego. Komendant wskazał także, iż opisana powyżej sytuacja była przedmiotem odrębnego postępowania, które wykazało, iż podinsp. H. nieprawidłowo wykonał polecenie i w związku z tym wyciągnięto wobec niego konsekwencje służbowe.
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
W niniejszej sprawie Skarżący przedmiotem swojej skargi uczynił zarzut udostępnienia osobom nieuprawnionym sprawozdania z czynności wyjaśniających zawierającego jego dane osobowe w prowadzonym wobec niego postępowaniu dyscyplinarnym.
Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. stwarza prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego. W celu jej realizacji organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Oznacza to, iż organ ochrony danych osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdzą, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z przesłanek legalizujących przetwarzanie danych osobowych, wskazanej w art. 23 ust. 1 ww. ustawy o ochronie danych osobowych i w zależności od występujących w sprawie ustaleń - albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych.
Zgodnie z treścią art. 1 przywołanej ustawy, każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 tej ustawy, dopuszczalne jest tylko ze względu na określone dobra, tj. dobro publiczne, dobro osoby, której dane dotyczą lub dobro osoby trzeciej i tylko w zakresie oraz trybie określonym ustawą.
Mając zatem na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 ustawy). W myśl art. 3 ust. 1 ww. ustawy stosuje się ją m.in. do organów państwowych. Z tego względu do przestrzegania jej przepisów zobowiązane są także sądy powszechne, prokuratury czy komisariaty policji. W tym miejscu należy wskazać na zasadę legalności (art. 26 ust. 1 pkt 1 ustawy), zgodnie z którą administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić aby dane te były przetwarzane zgodnie z prawem. Ponadto administrator danych osobowych powinien przetwarzać je dla oznaczonych zgodnych z prawem celów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami (art. 26 ust. 1 pkt 2 ustawy). Aby udostępniać dane osobowe, co stanowi jedną z form prawnych przetwarzania danych osobowych w rozumieniu ustawy, potrzebne jest wystąpienie jednej z przesłanek wymienionych w art. 23 ustawy. W ocenie Prezesa Urzędu w omawianej sprawie warunek ten nie został spełniony.
W tym miejscu podkreślić należy, że odpowiedzialność administratora danych osobowych za niewłaściwe ich przetwarzanie rozciąga się nie tylko na jego osobiste zachowania wobec tych informacji, ale także na zachowania osób u niego zatrudnionych. Naczelny Sąd Administracyjny w wyroku z dnia 4 kwietnia 2003 r. (sygn. II SA 2935/02) wskazał, iż „administrator odpowiada (...) za czyny swoich pracowników w zakresie naruszenia ustawy o ochronie danych osobowych. Nie może się przy tym ekskulpować, w oparciu o art. 26, że dołożył szczególnej staranności w celu ochrony tych danych ”.
Z kolei, zgodnie z art. 36 ustawy, Komendant jako administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ustawodawca nie podaje, jakie konkretnie środki mają być zastosowane przez administratora danych. Obowiązki administratora wynikają z postawionych mu zadań. Zadania te ujęte są bardzo szeroko i ogólnie: administrator ma - jak zaznaczono w art. 36 - zapewnić ochronę przetwarzanych danych osobowych.
Z materiału dowodowego zgromadzonego w sprawie wynika, że sprawozdanie z czynności wyjaśniających w sprawie ustalenia okoliczności nieprzestrzegania zasad etyki zawodowej przez Skarżącego, a ściślej mówiąc - okoliczności w nim opisane, miały zostać wykorzystane do celów szkoleniowych. Jak wyjaśnił Komendant, podinsp. A. H. niewłaściwie zinterpretował to polecenie i z treścią sprawozdania zapoznał policjantów z Zespołu Dyżurnych wraz z rezerwą kadrową oraz osoby funkcyjne (kierowników), wobec czego doszło do ujawniania danych osobowych Skarżącego osobom nieuprawnionym. Bez znaczenia pozostaje fakt, iż osobom, którym zostało udostępnione ww. sprawozdanie były doskonale znane problemy Skarżącego.
Niezależnie od powyższego wskazać należy, że postępowanie prowadzone przez Prezesa Urzędu jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy o ochronie danych osobowych. Według tego przepisu w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.
W myśl art. 18 ustawy Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, jedynie w przypadku, gdy stwierdzi, iż doszło do naruszania jej przepisów. Z powyższego wynika zatem, iż organ może nakazać usunięcie uchybień poprzez nakazanie udostępnienia żądanych danych, jedynie po uprzednim dokonaniu oceny zachowania administratora tych danych, który wcześniej ich uaktualnienia niezasadnie odmówił, bądź pozostał w bezczynności mimo kierowanych do niego żądań.
Należy wyjaśnić, iż w okolicznościach rozpatrywanej sprawy brak jest podstaw do formułowania jakiegokolwiek nakazu pod adresem Komendanta. Po pierwsze, Prezes Urzędu nie dysponuje instrumentami prawnymi, które umożliwiałyby zniwelowanie skutków dokonanego już, nieuprawnionego udostępnienia danych osobowych Skarżącego. Udostępnienie to jest faktem nieodwracalnym w tym sensie, że nie jest możliwe doprowadzenie do takiej sytuacji, jaka miałaby miejsce, gdyby do kwestionowanego naruszenia nie doszło. Ponadto, warunkiem wydania przez organ rozstrzygnięcia, o którym mowa w art. 18 ustawy, jest istnienie stanu naruszenia prawa do ochrony danych osobowych w chwili wydania decyzji administracyjnej. Tymczasem w rozpatrywanej sprawie udostępnienie danych miało charakter incydentalny, wobec tego brak jest podstaw by przyjąć, że kwestionowane przez Skarżącego działania powtórzą się w przeszłości. Prezes Urzędu nie jest władny wydać w niniejszej sprawie nakazu dotyczącego ewentualnego nieuprawnionego przetwarzania danych osobowych Skarżącego w przyszłości. Podkreślić bowiem należy, że decyzja administracyjna jest aktem o charakterze konkretnym i indywidualnym i dotyczy zawsze ściśle określonego, ustalonego i aktualnego w chwili orzekania stanu faktycznego. Prezes Urzędu nie jest uprawniony do wydania rozstrzygnięcia w odniesieniu do przyszłych i często hipotetycznych sytuacji.
Niezależnie od powyższego informuję, iż jeżeli w ocenie Skarżącego doszło do naruszenia jego dóbr osobistych, którymi zgodnie z art. 23 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. z 2018 r., poz. 1025) są w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, może on dochodzić swych roszczeń z tego tytułu w drodze powództwa cywilnego wytoczonego przed właściwy miejscowo sąd powszechny. Zgodnie bowiem z treścią art. 24 § 1 i 2 ww. ustawy, ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.
Na podstawie art. 127 § 3 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz.U. z 2018 poz. 2096) od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.