Decyzja
ZSOŚS.440.93.2018
Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz art. 12 pkt 2, art. 22 i art. 23 ust. 1 pkt 2 i pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) w związku z art. 100 ust. 1 ustawy z dnia 14 grudnia 2018 r. ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana J. P., zam. w Ł. o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z [...] marca 2018 r. (sygn. […]) odmawiającą uwzględnienia wniosku z […] stycznia 2016 r.,
utrzymuję w mocy zaskarżoną decyzję z [...] marca 2018 r., sygn. […]
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: „Urząd Ochrony Danych Osobowych”) wpłynęła skarga Pana J. P. zamieszkałego w Ł. (zwanego dalej: „Skarżącym”) na przetwarzanie jego danych osobowych przez Centralne Biuro Antykorupcyjne (zwane dalej: „CBA”), polegających na udostępnieniu jego danych osobowych zawartych w piśmie z [...] stycznia 2015 r. skierowanym do Dyrektora Delegatury Centralnego Biura Antykorupcyjnego w [...] na rzecz Pana A. K. - funkcjonariusza CBA (zwanego dalej: „funkcjonariuszem”). Skarżący zażądał nakazania usunięcia uchybień w procesie przetwarzania jego danych osobowych.
W toku prowadzonego postępowaniu Generalny Inspektor Ochrony Danych Osobowych ustalił następujący stan faktyczny:
1) Skarżący pismem z […] stycznia 2015 r. złożył skargę na zachowanie funkcjonariusza CBA do Dyrektora Delegatury Centralnego Biura Antykorupcyjnego w [...]. (kopia pisma w aktach sprawy);
2) Szef CBA [...] w piśmie z […] maja 2016 r. wyjaśnił, iż w toku prowadzonych czynności weryfikacyjnych, mających na celu ustalenie zasadności podjęcia ewentualnych dalszych działań o charakterze dyscyplinarnym, funkcjonariuszowi została przedstawiona treść pisma z […] stycznia 2015 r. wraz z danymi osobowymi Skarżącego (pismo CBA w aktach sprawy);
3) Szef CBA [...] w ww. piśmie wskazał, że udostępnienie funkcjonariuszowi treści pisma Skarżącego miało na celu umożliwienie ustosunkowanie się do przedstawionych w piśmie zarzutów;
4) Skarżący w związku z udostępnieniem jego danych osobowych w postaci imienia, nazwiska i adresu złożył skargę do Generalnego Inspektora Ochrony Danych Osobowych wskazując, że było to działanie nieuprawnione.
Po przeprowadzeniu postępowania administracyjnego w sprawie Generalny Inspektor Ochrony Danych Osobowych wydał [...] marca 2018 r. (znak: […]) decyzję administracyjną, mocą której odmówił uwzględnienia wniosku Skarżącego z […] stycznia 2015 r. Decyzja została doręczona stronom postępowania w dniu [...] marca 2018 r. (zwrotne potwierdzenia odbioru w aktach sprawy). W uzasadnieniu Generalny Inspektor powołał się na przepisy art. 23 ust. 1 pkt 2 i art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych jako przesłanki warunkujące legalność przetwarzania danych osobowych przez CBA. Ponadto przywołano przepisy ustawy z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym (Dz. U. z 2018 r. poz. 2104 ze zm.), zwana dalej: „ustawą o CBA”, regulujące zasady i tryb prowadzenia postępowania dyscyplinarnego wobec funkcjonariuszy CBA. Generalny Inspektor podkreślił, że udostępnienie funkcjonariuszowi treści pisma Skarżącego miało na celu umożliwienie mu ustosunkowania się do przedstawionych zarzutów, co było związane z wypełnieniem przez CBA obowiązku wynikającego z przepisu prawa, polegającego na należytym przeprowadzeniu postępowania zainicjowanego przez Skarżącego w przedmiocie naruszenia dyscypliny służbowej. W ocenie Generalnego Inspektora nie doszło do naruszenia przepisów dotyczących ochrony danych osobowych przez CBA, w związku z tym skargę złożoną przez Skarżącego uznał za niezasadną.
W dniu […] kwietnia 2018 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek Skarżącego o ponowne rozpatrzenie sprawy rozstrzygniętej ww. decyzją. Skarżący podniósł, że przywołany w podstawie prawnej decyzji art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie znajduje uzasadnienia dla działań podejmowanych przez CBA w związku ze złożoną przez niego skargą. Podkreślił, że treść przywołanego powyżej przepisu obliguje administratora do szczególnej ochrony interesów osoby, której dane gromadzi, polegającej m.in. na nieudostępnianiu tych danych osobom, które administratorami nie są. W niniejszej sprawie według Skarżącego doszło do nieuprawnionego udostępnienia jego danych osobowych na rzecz funkcjonariusza, który nie jest ani administratorem danych, ani ich odbiorcą. Ponadto Skarżący wskazał, że podanie jego adresu nie było konieczne do ustosunkowania się do zarzutów podniesionych w złożonej przez niego skardze. Skarżący podniósł, że CBA naruszyło przepisy o ochronie danych osobowych również poprzez udostępnienie jego danych osobowych funkcjonariuszowi, pomimo braku złożenia przez tę osobę jakiegokolwiek wniosku w tym zakresie. Wskazał także, że przepisy ustawy o CBA nie wskazują na możliwość pobierania kserokopii akt, czy robienia notatek na etapie postępowania sprawdzającego.
W celu uzupełnienia materiału dowodowego Prezes Urzędu Ochrony Danych osobowych pismem z […] października 2018 r. zwrócił się do Szefa CBA o złożenie dodatkowych wyjaśnień w zakresie podstawy prawnej przeprowadzonych czynności weryfikacyjnych, udostępnienia danych osobowych Skarżącego i formy złożenia wniosku o udostępnienie tych danych przez funkcjonariusza, a także wskazanie kręgu osób, które mogły zapoznać się z treścią pisma Skarżącego z […] stycznia 2015 r. W dniu […] listopada 2018 r. do Urzędu Ochrony Danych Osobowych wpłynęło pismo Zastępcy Szefa CBA, w którym wyjaśnił, że ówczesny Dyrektor Delegatury CBA w [...]. polecił przeprowadzenie czynności weryfikacyjnych, mających na celu ustalenie zasadności podjęcia ewentualnych dalszych kroków o charakterze dyscyplinarnym. Jako podstawę prawną tych działań wskazał art. 110 ust. 2 oraz art. 120 ust. 1 ustawy o CBA. Ponadto Zastępca Szefa CBA zwrócił uwagę, że przepisy ustawy o CBA nie przewidują szczególnej podstawy prawnej dla udostępniania pracownikom treści złożonych na nich skarg, jednak kierownik jednostki organizacyjnej musi mieć możliwość żądania ustosunkowania się podwładnych do wniesionych na piśmie uwag co do ich pracy. W związku z tym przeprowadzenie czynności weryfikacyjnych, jak i udostępnienie treści skargi funkcjonariuszowi CBA należy uznać za mieszczące się w kompetencjach przełożonego dyscyplinarnego, wynikającego z art. 110 ust. 2 w zw. z art. 120 ust. 1 ustawy o CBA.
Zastępca Szefa CBA w ww. piśmie wyjaśnił również, że wniosek funkcjonariusza o wyrażenie zgody na wykonanie kopii pisma skarżącego z […] stycznia 2015 r. oraz sama zgoda udzielona przez ówczesnego Dyrektora CBA w [...]. zostały wyrażone w formie ustnej. Udostępnienie funkcjonariuszowi treści skargi zwierającej dane osobowe Skarżącego było niezbędne do wszczęcia postępowania karnego, które miało na celu ochronę dobrego imienia tego funkcjonariusza. Na skutek złożonego aktu oskarżenia Sąd Rejonowy w Ł. wyrokiem z […] stycznia 2016 r. uznał Skarżącego winnego popełnienia przestępstwa z art. 212 § 1 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. z 2018 r. poz. 1600 ze zm.).
W tym miejscu należy wskazać, iż z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, tj. 25 maja 2018 r. Generalny Inspektor Ochrony Danych Osobowych stał się Prezesem Urzędu Ochrony Danych Osobowych. Zgodnie z art. 160 tej ustawy postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zgodnie z zasadami określonymi w k.p.a. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne.
W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Stosownie do brzmienia art. 7 pkt 2 ustawy pod pojęciem przetwarzania danych rozumieć należy jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Każda ze wskazanych w art. 7 pkt 2 ustawy form przetwarzania danych osobowych powinna znaleźć oparcie w jednej z przesłanek warunkujących legalność procesu przetwarzania danych osobowych, enumeratywnie wymienionych w art. 23 ust. 1 ustaw o ochronie danych osobowych. Z uwagi na brzmienie art. 7 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., zgodnie z którym organy władzy publicznej działają na podstawie i w granicach prawa, na uwadze należy mieć treść art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Zgodnie z art. 110 ust. 1 ustawy o CBA szef CBA posiada władze dyscyplinarną wobec wszystkich funkcjonariuszy. Z kolei ust. 2 tego przepisu stanowi, że kierownik jednostki organizacyjnej CBA posiada władzę dyscyplinarną wobec funkcjonariuszy pełniących służbę w podległej jednostce organizacyjnej. Oznacza to, że kierownik będący przełożonym dyscyplinarnym, w przypadku uzasadnionego przypuszczenia popełnienia przez funkcjonariusza przewinienia dyscyplinarnego ma obowiązek wszcząć postępowanie dyscyplinarne na wniosek bezpośredniego przełożonego funkcjonariusza, na żądanie sądu lub prokuratora, a także z własnej inicjatywy. Natomiast, gdy wniosek taki zostanie złożony przez pokrzywdzonego wszczęcie tego postępowania ma charakter fakultatywny (art. 120 ust. 1 pkt 1 i 2 ustawy o CBA). Ponadto należy wskazać na regulację art. 120 ust. 3 ww. ustawy, który stanowi, że jeżeli zachodzą wątpliwości co do popełnienia przewinienia dyscyplinarnego, jego kwalifikacji prawnej albo tożsamości sprawcy, przed wszczęciem postępowania dyscyplinarnego przełożony dyscyplinarny zleca przeprowadzenie czynności wyjaśniających. Szczegółowe zasady i tryb przeprowadzania czynności wyjaśniających w CBA określa zarządzenie Szefa CBA nr [...] z dnia [...] października 2015 r. Rzecznik dyscyplinarny na podstawie zlecenia przełożonego dyscyplinarnego przeprowadza czynności zmierzające do ustalenia stanu faktycznego i w tym celu może żądać udzielenia ustnych bądź pisemnych oświadczeń od funkcjonariuszy i pracowników CBA oraz sporządzać notatki urzędowe (§ 5 ust. 2 pkt 3, § 6 ust. 2, § 9 ww. zarządzenia). W niniejszej sprawie wobec powziętych wątpliwości co do popełnienia przez funkcjonariusza zarzucanego czynu, rzecznik dyscyplinarny w ramach niesformalizowanego postępowania wstępnego i przysługujących mu uprawnień zażądał złożenia przez funkcjonariusza wyjaśnień. W związku z powyższym udostępnienie funkcjonariuszowi treści pisma Skarżącego miało na celu umożliwienie ustosunkowania się do treści zarzutów zawartych w piśmie. Mając na uwadze powyższe przepisy należy stwierdzić, że czynności podejmowane przez CBA na skutek złożonej skargi, w ramach których doszło do przetwarzania danych osobowych Skarżącego, mieściło się w granicach przesłanki określonej w art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, legalizującej proces przetwarzania jego danych osobowych.
Ponadto przetwarzanie danych osobowych jest także dopuszczalne wtedy, gdy jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. pkt 5 ww. ustawy). W doktrynie i orzecznictwie podkreśla się, iż cyt.: „(…) termin usprawiedliwione cele, o którym mowa w przytoczonym wyżej przepisie art. 23 ust. 1 pkt 5 ustawy, jest zwrotem niedookreślonym i stanowi klauzulę generalną w znaczeniu funkcjonalnym. Daje w szczególności pewnego rodzaju luz decyzyjny, dzięki któremu organ stosujący prawo, może przy podejmowaniu decyzji, kierować się ocenami indywidualnymi konkretnej sytuacji, a także pewnymi zasadami postępowania niesformułowanymi w przepisach prawa (…)” (P. Barta, P. Litwiński. Ustawa o ochronie danych osobowych. Komentarz. Warszawa 2009, str. 228). Jednocześnie należy mieć na uwadze, że przetwarzanie nie może naruszać praw i wolności osoby, której dane dotyczą. W niniejszej sprawie nieusprawiedliwione jest przyjęcie, że przetwarzanie (udostępnienie) danych osoby, wobec której chce się zainicjować postępowanie sądowe miałoby godzić w jej prawa i wolności, gdyż prowadziłoby do nieuzasadnionej ochrony takiej osoby przed ewentualną odpowiedzialnością za swoje działania, zwłaszcza że może ona w trakcie takiego postępowania sądowego w pełni korzystać ze swoich praw zagwarantowanych, w tym przypadku przepisami kodeksu postępowania karnego.
Przenosząc powyższe na grunt niniejszej sprawy należy wskazać, że udostępnienie danych, wobec stwierdzenia niezasadności podniesionych przez Skarżącego zarzutów oraz złożenia przez funkcjonariusza w formie ustnej wniosku do Dyrektora Delegatury CBA w [...]. w przedmiocie udostępnienia danych osobowych Skarżącego było uzasadnione dochodzeniem praw przed sądem. Wyrazem tego było wniesienie do sądu prywatnego aktu oskarżenia przeciwko Skarżącemu, w konsekwencji czego sąd po przeprowadzeniu postępowania uznał Skarżącego za winnego zarzucanego mu czynu z art. 212 § 1 kodeksu karnego.
Ponadto wskazać należy, że ustawa o ochronie danych osobowych nie określa sposobu udostępniania danych osobowych. Kwestia ta jest pozostawiona uznaniu konkretnego administratora, który w zakresie swego działania może przyjąć dowolną, najdogodniejszą dla siebie i podmiotów, którym dane mają być udostępnione formę, uwzględniając w szczególności charakter gromadzonych danych. Administrator udziela odpowiedzi w dowolnej, ustalonej przez siebie formie, w tym również ustnej.
Po dokonaniu ponownej analizy materiału dowodowego zgromadzonego w sprawie i stwierdzeniu braku naruszenia przepisów dotyczących ochrony danych osobowych przez CBA, Prezes Urzędu Ochrony Danych Osobowych podtrzymuje swoje stanowisko wyrażone w decyzji z [...] marca 2018 r. (sygn. […]).
Niezależnie od powyższego rozstrzygnięcia informuję, że z dniem 6 lutego 2019 r. przetwarzanie danych osobowych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących poddane zostało regulacji ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125). Jednakże na podstawie art. 3 tej ustawy wyłączono jej stosowanie w odniesieniu do danych osobowych przetwarzanych w związku z zapewnieniem bezpieczeństwa narodowego, w tym w ramach realizacji zadań ustawowych Centralnego Biura Antykorupcyjnego.
Od wydanej decyzji stronie przysługuje prawo do wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.