PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 18 kwietnia 2019 r.

Decyzja

ZSPU.440.99.2018

Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.) oraz art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) w zw. z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000 ze zm.) w zw. z art. 9 ust. 2 lit. d), art. 12 ust. 6, art. 15 ust. 1 lit. a) - c) i lit. g) i art. 58 ust. 2 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.UE.L.2018.127.2), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Związku Wyznaniowego […], z siedzibą w N. […] o ponowne rozpatrzenie sprawy skargi Stowarzyszenia […] w K. […], na przetwarzanie danych osobowych Pani K. Z. […] i Pana J. Z. […], oboje zam. w G. […], przez Związek Wyznaniowy […], rozstrzygniętej decyzją administracyjną Prezesa Urzędu Ochrony Danych Osobowych z dnia 20 grudnia 2018 r. (znak: ZSPU.440.99.2018.[...]), Prezes Urzędu Ochrony Danych Osobowych

utrzymuje w mocy zaskarżoną decyzję.

UZASADNIENIE

Do Urzędu Ochrony Danych Osobowych wpłynął wniosek Stowarzyszenia […] w K. […], zwanego dalej Stowarzyszeniem, o podjęcie interwencji w związku z działaniami związku wyznaniowego […], zwanego dalej również Związkiem, ograniczającymi prawa do informacji na temat posiadanych i przetwarzanych przez Związek danych osobowych byłych i obecnych członków tej społeczności wyznaniowej.

Pismem z dnia […] maja 2015 r. Wiceprezes Zarządu Stowarzyszenia doprecyzował, że występuje w imieniu Pani K. Z. i Pana J. Z., oboje zam. w G. […]. Wskazał również, że Związek odmawia udzielenia odpowiedzi na pisemne wnioski dotyczące informacji o posiadanych i przetwarzanych danych osobowych będących w jego posiadaniu i żąda przesłania kserokopii urzędowego dokumentu stwierdzającego tożsamość wnioskodawców. Stwierdził, że domaga się zaprzestania przez […] stosowania praktyk ograniczających prawo dostępu do danych osobowych przysługujące osobom, których dane są przetwarzane.

W toku postępowania administracyjnego zainicjowanego w powyższy sposób Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również Prezesem UODO, ustalił następujący stan faktyczny sprawy:

1) Związek jest wpisany pod pozycją […] w dziale […] Rejestru kościołów i innych związków wyznaniowych prowadzonego przez Ministra Spraw Wewnętrznych i Administracji i - zgodnie z art. 34 ust. 2 ustawy z dnia 17 maja 1989 r. o gwarancjach wolności sumienia i wyznania (Dz. U. z 2005 r. Nr 231, poz. 1965 ze zm.) - posiada osobowość prawną.

2) W dniu […] marca 2014 r. Pani K. Z. i Pan J. Z. skierowali do Związku pisma, w treści których zażądali spełnienia wobec nich obowiązku informacyjnego, o którym mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.UE.L.2018.127.2), zwanego dalej RODO (przed dniem rozpoczęcia stosowania RODO, tj. przed dniem 25 maja 2018 r.: art. 33 w zw. z art. 32 ust. 1 pkt 1-5a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.)) poprzez udzielenie odpowiedzi od kiedy i jakie dane osobowe Pani K. Z. i Pana J. Z. posiada Związek Wyznaniowy […]; z jakiego źródła zostały pozyskane ich dane osobowe; w jakim celu, zakresie i w jaki sposób przetwarzane są ich dane; czy ich dane osobowe zostały przekazane innemu administratorowi danych, a jeśli tak, to komu (pełna nazwa i adres) i w jakim zakresie. Zażądali również udostępnienia im informacji zawartych w treści formularza […] sporządzonego w związku z ich wykluczeniem/odłączeniem. (dowód: pisma Pani K. Z. i Pana J. Z. stanowiące załączniki do uzupełniających wyjaśnień Związku z dnia […] lipca 2018 r.)).

3) W odpowiedzi na wnioski Pani K. Z. i Pana J. Z., pismami z dnia […] kwietnia 2014 r. Związek zażądał przesłania kserokopii urzędowego dokumentu stwierdzającego tożsamość, zawierającego podpis i zdjęcie każdego w wnioskodawców celem ich weryfikacji. (dowód: pisma Związku stanowiące załączniki do uzupełniających wyjaśnień Związku z dnia […] lipca 2018 r.).

4) W dniu […] maja 2014 r. Pani K. Z. i Pan J. Z. przesyłając kserokopie dowodów tożsamości, ponownie zwrócili się do Związku o spełnienie wobec nich obowiązku informacyjnego (dowód: pisma Pani K. Z. i Pana J. Z. stanowiące załączniki do uzupełniających wyjaśnień Związku z dnia […] lipca 2018 r.).

5) W odpowiedzi na powyższe, pismami z dnia […] czerwca 2014 r. Związek poinformował Panią K. Z. i Pana J. Z., że obecnie nie są oni już […], ponieważ złożyli podpisane listy o rezygnacji. Jednocześnie Związek odmówił udostepnienia kopii druku […], o co m.in. ww. wnioskowali uzasadniając cyt.: „(…) szacunkiem dla prawa prywatności innych osób, których nazwiska pojawiają się na właściwym formularzu (…)” (dowód: pisma Związku stanowiące załączniki do uzupełniających wyjaśnień Związku z dnia […] lipca 2018 r.).

6) W piśmie z dnia […] września 2018 r. dodatkowo wyjaśniono, że Związek nie stosuje szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem ich danych na podstawie art. 91 rozporządzenia RODO.

7) Związek w dalszym ciągu przetwarza dane osobowe Pani K. Z. i Pana J. Z. w związku z ich wykluczeniem/odłączeniem z grona jego członków.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, decyzją administracyjną z dnia 20 grudnia 2018 r. (znak: ZSPU.440.99.2018.[...]) Prezes Urzędu Ochrony Danych Osobowych nakazał Związkowi spełnienie obowiązku informacyjnego wynikającego z art. 15 ust. 1 lit. a) - c) i lit. g) RODO wobec Pani K. Z. i Pana J. Z., poprzez udzielnie im odpowiedzi na pytania zawarte w ich pismach z dnia […] marca 2014 r. i […] maja 2014 r., tj. poinformowanie ich: 1) od kiedy i jakie dane osobowe ww. osób posiada Związek Wyznaniowy […]; 2) z jakiego źródła zostały pozyskane powyższe dane; 3) w jakim celu, zakresie i w jaki sposób przetwarzane są dane ww. osób; 4) czy dane osobowe ww. osób zostały przekazane innemu administratorowi danych, a jeśli tak, to jakiemu (pełna nazwa i adres); 5) udostępnienie ww. osobom kopii ich danych osobowych zawartych w formularzu […].

Pismem z dnia […] stycznia 2018 r., które do Urzędu Ochrony Danych Osobowych wpłynęło w dniu […] stycznia 2019 r. (pismo złożone w ustawowym terminie), Związek wniósł o ponowne rozpatrzenie przedmiotowej sprawy. Przedmiotem zaskarżenia stała się ww. decyzja w zakresie obejmującym jedynie fragment jej uzasadnienia, wskazujący na brak uzasadnienia dla takiej weryfikacji tożsamości Pani K. Z. i Pana J. Z. – jako osób żądających od Związku spełnienia obowiązku informacyjnego z art. 15 RODO - która wiązała się z pozyskaniem dalszych ich danych osobowych, zbędnych w kontekście realizacji celu sprowadzającego się do spełnienia tego obowiązku. Jak bowiem wskazał Związek cyt.: „(…) W przedmiotowej decyzji Prezes nakazał Związkowi spełnienie obowiązku informacyjnego wobec K. i J. Z. wskazując dokładny zakres tego obowiązku. Związek nie kwestionuje decyzji w tym zakresie (…)”. Jednocześnie jednak Związek podniósł cyt.: „(…) wnosimy o zmianę fragmentu uzasadnienia poprzez wskazanie, iż w celu upewnienia się czy żądanie rzeczywiście pochodzi od podpisanej pod nim osoby, Związek upoważniony i zobowiązany jest do skorzystania z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby, zaś w sytuacji, gdy pojawią się uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, to Związek może zażądać dostarczenia dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą, co jest zgodne z art. 12 ust. 6 RODO (…)”. Związek zwrócił przy tym uwagę, że przetwarzane przez niego informacje na temat jego obecnych i byłych członków – jako dane ujawniające przekonania religijne – podlegają szczególnej ochronie statuowanej w art. 9 RODO, co wiąże się zdaniem Związku z obowiązkiem zachowania szczególnej ostrożności w obszarze spełniania obowiązków informacyjnych cyt.: „(…) by osoby nieuprawnione nie uzyskały dostępu do tego rodzaju danych (…)”.

Po ponownym zapoznaniu się z całością zgromadzonego w przedmiotowej sprawie materiału dowodowego Prezes UODO zważył, co następuje.

Kwestionowana decyzja administracyjna z dnia 20 grudnia 2018 r. (znak: ZSPU.440.99.2018.[...]) jest prawidłowa.

Na wstępie ponownie wskazać należy, iż z dniem 25 maja 2018 r., wraz z wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.), Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa UODO na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r., poz. 922 ze zm.) zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.), zwanej dalej również Kpa. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 – 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych). Z kolei stosownie do brzmienia art. 99 RODO, wskazane rozporządzenie weszło w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej (ust. 1), natomiast ma zastosowanie od dnia 25 maja 2018 r. Powołany przepis stanowi zarazem, że ww. rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich (art. 99 ust. 2 RODO in fine).

Inicjując postępowanie w pierwszej instancji przed organem właściwym w sprawie ochrony danych osobowych Stowarzyszenie sformułowało zarzut nieprawidłowości w procesie przetwarzania przez Związek danych osobowych Pani K. Z. i Pana J. Z. polegających na niewykonaniu ciążącego na Związku – jako administratorze danych osobowych ww. osób – obowiązku informacyjnego z art. 15 rozporządzenia RODO (dawniej art. 33 w zw. z art. 32 ust. 1 pkt 1-5a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych) oraz na odmowie udostępnienia Pani K. Z. i Panu J. Z. treści formularza […] sporządzonego w związku z ich wykluczeniem/odłączeniem z grona członków Związku, zawierającego treść komunikatu wygłoszonego na […].

Rozpatrując ponownie przedmiotową sprawę powtórzyć należy, że ustawa z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej Polskiej (Dz. U. z 1997 r., nr 78, poz. 483 ze zm.) w art. 25 stanowi, iż Kościoły i inne związki wyznaniowe są równouprawnione (art. 25 ust. 1). Władze publiczne w Rzeczypospolitej Polskiej zachowują bezstronność w sprawach przekonań religijnych, światopoglądowych i filozoficznych, zapewniając swobodę ich wyrażania w życiu publicznym (art. 25 ust 2 Konstytucji). Stosunki między państwem a kościołami i innymi związkami wyznaniowymi są kształtowane na zasadach poszanowania ich autonomii oraz wzajemnej niezależności każdego w swoim zakresie, jak również współdziałania dla dobra człowieka i dobra wspólnego (art. 25 ust. 3 Konstytucji). Stosunki między Rzeczpospolitą Polską a innymi kościołami oraz związkami wyznaniowymi określają ustawy uchwalone na podstawie umów zawartych przez Radę Ministrów z ich właściwymi przedstawicielami (art. 25 ust. 5 Konstytucji).

Zgodnie z treścią motywu 165 rozporządzenia RODO, niniejsze rozporządzenie nie narusza statusu przyznanego kościołom oraz związkom lub wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich i nie narusza tego statusu - jak uznano w art. 17 Traktatu o funkcjonowaniu Unii Europejskiej (Dz.U.UE.C.2016.202.47).

Trybunał Sprawiedliwości UE stwierdził z kolei, że obowiązku dostosowania się do zasad prawa Unii dotyczących ochrony danych osobowych nie można uznać za ingerencję w autonomię organizacyjną wspólnot religijnych, która wynika z art. 17 TFUE (zob. wyrok Trybunału Sprawiedliwości UE z dnia 17 kwietnia 2018 r., Egenberger, C 414/16, EU:C:2018:257, pkt 58, opublikowany w LEX 2476520).

Zgodnie z art. 91 ust. 1 RODO, jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia (ust. 1). Kościoły i związki wyznaniowe, które stosują szczegółowe zasady zgodnie z ust. 1 niniejszego artykułu, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym (ust. 2).

Jak wynika ze zgromadzonego w niniejszej sprawie materiału dowodowego, Związek jest instytucją wpisaną do rejestru kościołów i innych związków wyznaniowych prowadzonego przez ministra właściwego do spraw wyznań religijnych i nie stosuje szczegółowych zasad ochrony osób fizycznych w związku z przetwarzaniem ich danych na podstawie art. 91 rozporządzenia RODO. Ponadto niespornym jest, że Pani K. Z. i Pan J. Z. nie należą obecnie do ww. Związku (zostali wykluczeni/odłączeni). Oznacza to, że Prezes UODO w przedmiotowej sprawie jest właściwym organem nadzorczym do rozpoznania skargi Stowarzyszenia dotyczącej działań ww. Związku w obszarze przetwarzania danych osobowych Pani K. Z. i Pana J. Z.

Stosownie do art. 57 ust. 1 RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym (lit. f). Instrumentami realizacji zadań przewidzianych w art. 57 ust. 1 RODO są w szczególności określone w art. 58 ust. 2 RODO, uprawnienia naprawcze, w tym możliwość nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia (art. 58 ust. 2 lit. c)).

Organ może nakazać usunięcie uchybień poprzez nakazanie spełnienia obowiązku informacyjnego, jedynie po uprzednim dokonaniu oceny zachowania administratora tych danych, który wcześniej jego spełnienia odmówił, bądź pozostał w bezczynności mimo kierowanych do niego żądań. Rolą organu jest zatem zbadanie, czy administrator danych osobowych (Związek), do którego zwrócono się z konkretnym żądaniem, właściwie się do niego ustosunkował. To administrator danych osobowych jest bowiem obowiązany do zbadania, czy istnieją podstawy prawne do uwzględnienia skierowanego do niego żądania, natomiast Prezes UODO kontroluje prawidłowość decyzji administratora w tym zakresie.

Art. 15 ust. 1 RODO gwarantuje osobie, której dane dotyczą prawo do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, do uzyskania dostępu do nich oraz następujących informacji: a) cele przetwarzania; b) kategorie odnośnych danych osobowych; c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych; d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu; e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania; f) informacje o prawie wniesienia skargi do organu nadzorczego; g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle; h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Powołany przepis stanowi odpowiednik obowiązujących uprzednio (przed rozpoczęciem stosowania RODO i wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych - tj. przed dniem 25 maja 2018 r.): art. 33 w zw. z art. 32 ust. 1 pkt 1-5a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Elementem prawa dostępu do danych osobowych jest uprawnienie osoby, której dane dotyczą, do otrzymania od administratora danych kopii danych osobowych (zob.: P. Litwiński (red.), P. Barta, M. Kawecki: „Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz” Wydawnictwo C.H. Beck, Warszawa 2018, s. 394).

W niniejszej sprawie Pani K. Z. i Pan J. Z. wystąpili prawidłowo do administratora danych – Związku o spełnienie wobec nich obowiązku informacyjnego, o którym mowa w art. 15 rozporządzenia RODO, natomiast Związek wezwał ich do przesłania czytelnej kserokopii urzędowego dokumentu stwierdzającego ich tożsamość, zawierającego podpis oraz zdjęcie wnioskodawcy, nie przekazał im natomiast żądanej informacji we wnioskowanym zakresie.

Organ właściwy w sprawie ochrony danych osobowych ocenił powyższe działanie Związku jako niedopełnienie spoczywającego na nim obowiązku informacyjnego z art. 15 ust. 1 RODO, skargę w podanym zakresie jako zasadną, a w konsekwencji, decyzją z dnia 20 grudnia 2018 r. (znak: ZSPU.440.99.2018.[...]), nakazał Związkowi spełnienie rzeczonego obowiązku w określony sposób. Związek nie zanegował prawidłowości powyższej oceny Prezesa UODO, ani zasadności sformułowanego pod jego adresem nakazu, ograniczając swoje zarzuty wyłącznie do fragmentu uzasadnienia decyzji organu, w której zawarte były uwagi na temat kwestii dokonanej przez Związek weryfikacji tożsamości wnioskujących o spełnienie obowiązku informacyjnego – Pani K. Z. i Pana J. Z.

Powtórzyć należy zatem, podobnie jak uczyniono to w kwestionowanej decyzji, że zgodnie z motywem 57 preambuły RODO, jeżeli dane osobowe przetwarzane przez administratora nie pozwalają mu zidentyfikować osoby fizycznej, nie powinien on mieć obowiązku uzyskania dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do przepisów niniejszego rozporządzenia. Administrator nie powinien jednak odmawiać przyjęcia dodatkowych informacji od osoby, której dane dotyczą, by ułatwić jej wykonywanie jej praw. Weryfikacja tożsamości powinna obejmować cyfrową identyfikację osoby, której dane dotyczą, na przykład poprzez mechanizm uwierzytelniania, taki jak te same dane uwierzytelniające, których osoba, której dane dotyczą, używa, by zalogować się do usług internetowych oferowanych przez administratora. Motyw 63 preambuły RODO stanowi z kolei, że w miarę możliwości administrator powinien mieć możliwość udzielania zdalnego dostępu do bezpiecznego systemu, który zapewni osobie, której dane dotyczą, bezpośredni dostęp do jej danych osobowych. Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji. Z kolei zgodnie z motywem 64 preambuły RODO, administrator powinien skorzystać z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby, której dane dotyczą.

W myśl art. 12 ust. 6 RODO, bez uszczerbku dla art. 11, jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15-21, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

Dokonując wszelkich działań w obszarze przetwarzania danych osobowych, ich administrator powinien zarazem mieć na uwadze wyrażoną wyrażona w art. 5 ust. 1 lit. c) RODO zasadę minimalizacji danych, zgodnie z którą dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

W świetle powyższych regulacji niewątpliwą jest konieczność maksymalnego ograniczenia zakresu przetwarzanych danych osobowych na każdym etapie tego procesu. Intencją Prezesa UODO było i pozostaje zaakcentowanie doniosłości tej reguły w szczególności w sytuacji, gdy – jak miało to miejsce w przedmiotowej sprawie – weryfikacja tożsamości dokonana jest poprzez pozyskanie pełnego zakresu danych osobowych utrwalonego w dokumencie tożsamości. Tymczasem, jak przyznał sam Związek w treści wniosku o ponowne rozpatrzenie sprawy cyt.: „(…) wymóg ten {z art. 12 ust. 6 w zw. z art. 5 ust. 1 lit c) RODO} może zostać zrealizowany na przykład przez uzyskanie kopii dokumentu stwierdzającego tożsamość zawierającej jedynie wybrane informacje, niezbędne dla weryfikacji czy wniosek złożyła uprawniona osób, a w pozostałym zakresie zaczernionej. To (…) umożliwiłoby Związkowi potwierdzenie tożsamości przy zachowaniu zasady adekwatności oraz minimalizacji przetwarzanych danych (…) Dodatkowym przykładem zastosowania art. 12 ust. 6 RODO podczas procesu weryfikacji wnioskodawcy jest, w niektórych przypadkach, prośba ze strony Związku o podanie przez wnioskodawcę daty chrztu oraz […], do którego należy/ należał. Tego typu informacja ma również praktyczne znaczenie dla możliwości terminowego udzielenia odpowiedzi na żądanie (…)”.

W przedmiotowej sprawie poczynione uwagi miały jednak i mają nadal charakter wyłącznie poboczny i pozostają bez wpływu na treść wydanego w niej rozstrzygnięcia, a to z uwagi na okoliczność, iż jej przedmiot sprowadzał się do weryfikacji zasadności zarzutu wskazującego na niedopełnienie przez Związek wobec Pani K. Z. i Pana J. Z., obowiązku informacyjnego. W sprawie o tak ustalonym zakresie bezspornym jest natomiast, że Związek nie ma wątpliwości, odnośnie tego, że osobami, które zwróciły się do niego o spełnienie obowiązku informacyjnego z art. 15 RODO są istotnie – jak podano w treści tych wniosków - Pani K. Z. i Pan J. Z. I ta właśnie okoliczność jest decydująca w kontekście oceny prawidłowości reakcji Związku na podane wnioski.

Mając na uwadze powyższe, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji

Decyzja jest ostateczna. Na podstawie art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000 ze zm.) w zw. z art. 21 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) i w zw. z art. 13 § 2, art. 53 § 1 oraz art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r., poz. 1302 ze zm.), stronie niezadowolonej z niniejszej decyzji przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (na adres: Urząd Ochrony Danych Osobowych, 00 – 193 Warszawa, ul. Stawki 2). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych.

Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację:
user dr Edyta Bielak–Jomaa
date 2019-04-18
Wprowadził informację:
user Ewa Kosińska
date 2019-05-24 12:19:38
Ostatnio modyfikował:
user Edyta Madziar
date 2020-04-17 12:08:35