ZKE.440.89.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zw. z art. 12 pkt 2, art. 22, art. 18 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) oraz art. 15 ust. 1 w zw. z art. 12 i art. 57 ust. 1 lit. a) i f) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 1 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana I. K., na niewypełnienie wobec niego obowiązku informacyjnego przez T. S.A., Prezes Urzędu Ochrony Danych Osobowych:
1) nakazuje T. S.A., spełnienie obowiązku informacyjnego wobec Pana I. K. poprzez podanie mu na piśmie informacji, o których mowa w art. 15 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 ze zm.)
2) w pozostałym zakresie odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pana I. K., zwanego dalej ,,Skarżącym”, na niewypełnienie wobec niego obowiązku informacyjnego, przez T. S.A., zwanego dalej ,,T.”. Pan I. K. w treści skargi wniósł o cyt.: ,,nakazanie T […] (…) usunięcie uchybień w procesie przetwarzania danych osobowych poprzez wypełnienie (…) obowiązku informacyjnego, o którym mowa w art. 33 ust. 1-2 w zw. z art. 32 ust. 1 pkt 1-5 i art. 2 ust. 1-2 ustawy o ochronie danych osobowych w sposób przewidziany w niniejszej ustawie umożliwiający sprawowanie kontroli na przetwarzanymi (…) danymi” oraz o cyt.: ,,zawiadomienie prokuratora na podstawie art. 304 § 2 kpk” w przypadku braku przedstawienia dowodów na potwierdzenie wypełnienia wobec niego obowiązku informacyjnego.
Na podstawie materiału dowodowego zgromadzonego w przedmiotowej sprawie ustalono następujący stan faktyczny.
Pismem z dnia […] października 2017 r. Skarżący działając na podstawie art. 33 ust. 1-2 w zw. z art. 32 ust. 1 pkt 1-5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), zwanej dalej ,,ustawą z 1997 r.”, zwrócił się do T. z wnioskiem o udzielenie mu informacji, o których mowa w art. 32 ust. 1-5 (dowód: kopia pisma Skarżącego z […] października 2010 r. wraz ze zwrotnym potwierdzeniem jego odbioru). W związku z nieudzieleniem przez T. odpowiedzi na zgłoszony w trybie art. 33 ust. 1 ustawy z 1997 r. wniosek, Skarżący skierował do Generalnego Inspektora Ochrony Danych Osobowych skargę, w której zażądał: usunięcia uchybień w procesie przetwarzania danych osobowych poprzez wypełnienie wobec niego obowiązku informacyjnego, o którym mowa w art. 33 ust. 1-2 w zw. z art. 32 ust. 1 pkt 1-5 i art. 2 ust. 1-2, jak również zawiadomienia prokuratury w przypadku braku dowodów na spełnienie wobec niego ww. obowiązku.
Do wyjaśnień z […] kwietnia 2018 r. T. załączył pisma realizujące obowiązek informacyjny wobec Skarżącego jednakże bez dowodu skutecznego ich doręczenia. Wobec powyższego T. pismem z […] października 2019 r. (znak: ZKE.440.89.2019.[…]) został wezwany do uzupełnienia ww. informacji, a w odpowiedzi na to wezwanie poinformował, że cyt.:,,Z uwagi na to że pisma z dnia […] marca 2018 r. oraz z dnia […] kwietnia 2018 r. zostały wysłane do Skarżącego listami zwykłymi (…) Spółka nie posiada kopii nadania ww. listów poleconych”.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
I. Na wstępie wskazać należy, że z dniem 25 maja 2018 r., wraz z wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) zwana dalej „u.o.d.o.”, Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 1997 r. zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.), zwanego dalej Kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
W przedmiotowej sprawie – w odniesieniu do skargi Skarżącego na niespełnienie obowiązku informacyjnego przez T. – na wstępie należy wskazać, że chociaż Skarżący wystąpił w 2017 r. o spełnienie obowiązku informacyjnego, a więc w oparciu o przepisy ustawy z 1997 r., to organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania, czyli po 25 maja 2018 r. na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 ze zm.), zwanego dalej RODO.
Stosownie do art. 33 ust. 1 ustawy z 1997 r. na wniosek osoby, której dane dotyczą administrator danych był obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1 – 5a ustawy, a w szczególności podać w formie zrozumiałej: jakie dane osobowe zawierał zbiór, w jaki sposób zebrano dane, w jakim celu i zakresie dane były przetwarzane, w jakim zakresie oraz komu dane zostały udostępnione. Komentowany przepis pozostawał w związku z art. 32 ustawy, który przewidywał, iż osoba, której dane dotyczą mogła domagać się od administratora danych udzielenia jej określonych informacji. Zgodnie, z ust. 1 tego przepisu, każdej osobie przysługiwało prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska (pkt 1), uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze (pkt 2), uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych (pkt 3), uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, i służbowej lub zawodowej (pkt 4), uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane (pkt 5). Podkreślenia wymaga, że administrator jest zobowiązany do udzielenia odpowiedzi na wniosek z art. 33 o zrealizowanie obowiązku informacyjnego, nawet wówczas gdy nie przetwarza danych, przy czym będzie to oczywiście odpowiedź informująca o tym fakcie.
Obowiązek informacyjny przewidziany w art. 33 ustawy miał na celu zapewnienie osobom, których dane osobowe są przetwarzane, dostępu do informacji o okolicznościach ich przetwarzania. Prawidłowe i rzetelne wypełnienie przez administratora danych tego obowiązku było niezbędne do zapewnienia osobie, której dane osobowe dotyczą, kontroli prawidłowości procesu przetwarzania danych osobowych. Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 30 lipca 2009 r. (sygn. akt I OSK 1049/08): „Nie powinno ulegać wątpliwości, że niewykonanie tego obowiązku [informacyjnego określonego w art. 33 ustawy jest naruszeniem przepisów tej ustawy [o ochronie danych osobowych] w rozumieniu jej art. 18, uprawniającym i zobowiązującym Generalnego Inspektora Ochrony Danych Osobowych do wydania decyzji administracyjnej w przedmiocie nakazania przywrócenia stanu zgodnego z prawem, a więc w sytuacji określonej w art. 33 ust.1 i 2 tej ustawy - w przedmiocie nakazania administratorowi danych osobowych spełnienia obowiązku informacyjnego, o którym mowa w tym artykule”.
Obecnie należy stwierdzić, że spełnienie obowiązku informacyjnego na wniosek osoby, której dane dotyczą znajduje swoje odzwierciedlenie w art. 15 ust. 1 RODO. Przepis ten stanowi, że osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich.
Dla prawidłowej interpretacji przepisów dotyczących powyżej wskazanego obowiązku istotne znaczenie ma Motyw 63 Preambuły RODO, który stanowi, że „Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem (…)”. Art. 15 ust. 1 RODO ma na celu zapewnienie osobom, których dane osobowe są przetwarzane, dostępu do informacji o okolicznościach ich przetwarzania. Prawidłowe i rzetelne wypełnienie przez administratora danych tego obowiązku jest niezbędne do zapewnienia osobie, której dane osobowe dotyczą, kontroli prawidłowości procesu przetwarzania danych osobowych. Złożenie wniosku, zależnie od jego treści, zobowiązuje administratora danych do udzielenia pełnych informacji o procesie przetwarzania danych w zakresie nie węższym niż przewiduje powołany przepis art. 15 RODO. Przepis ten określa minimum informacji, jakie administrator danych musi przekazać wnioskodawcy, istotne jest jednak by informacje, o których udostępnienie Skarżący w trybie tego przepisu wnioskuje, odnosiły się do jego osoby i swą definicją odpowiadały zdefiniowanemu w RODO pojęciu danych osobowych.
Jednocześnie wskazać należy, że zgodnie z art. 12 RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem - w szczególności gdy informacje są kierowane do dziecka - udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 RODO, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 RODO w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach - elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
W toku postępowania zgromadzony materiał dowodowy wykazał, iż T. nie dysponuje dowodem na to, że skutecznie udzielił Skarżącemu informacji wskazanych w art. 32 ust. 1 pkt 1-5 ustawy z 1997 r. realizując tym samym wobec Skarżącego obowiązek informacyjny. W szczególności za dowód dostarczenia korespondencji nie można uznać kopii pism zawierających dane adresowe Skarżącego, jak również wygenerowane z systemu potwierdzenie jego adresu do korespondencji. Kopie pism przedstawione przez T. w wyjaśnieniach z […] października 2019 r. świadczą jedynie o fakcie ich sporządzenia, nie stanowią natomiast dowodu na okoliczność, że Skarżący skutecznie zapoznał się z ich treścią. Wobec braku przedstawienia przez T. niebudzących wątpliwości dowodów potwierdzających wysyłkę zaadresowanych do Skarżącego pism, należy uznać, że obowiązek informacyjny przewidziany w art. 33 ust. 1 ustawy z 1997 r. nie został wykonany. Tym samym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w pkt 1 sentencji decyzji.
II. Odnosząc się natomiast do złożonego przez Skarżącego wniosku o zawiadomienie prokuratora na podstawie art. 304 § 2 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz.U. 2020 poz. 30), wskazać należy, że strona postępowania administracyjnego może domagać się od Prezesa Urzędu Ochrony Danych Osobowych wyłącznie wydania decyzji administracyjnej, a nie zawiadomienia o popełnieniu przestępstwa, o konieczności złożenia którego Prezes Urzędu Ochrony Danych Osobowych decyduje z urzędu. Powyższe stanowisko Prezesa Urzędu Ochrony Danych Osobowych potwierdził Naczelny Sąd Administracyjny, który w wyroku z dnia 21 listopada 2002 r. (sygn. akt II S.A. 1682/01) stwierdził, że „w świetle ustawy naruszenie jej przepisów staje się więc źródłem odpowiedzialności administracyjnej, prowadzącej w istocie jedynie do obowiązku przywrócenia stanu zgodnego z prawem oraz odpowiedzialności karnej. Przy czym jedynie ten pierwszy rodzaj odpowiedzialności realizowany jest w formie decyzji administracyjnej”. NSA stwierdził także, i „w przypadku gdy wyniki działania kontrolnego będą wskazywać, iż działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych nosi znamiona przestępstwa, GIODO ma obowiązek skierowania zawiadomienia o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw (...). Nie dokonuje tego jednak, jak w przypadku art. 18 w drodze decyzji administracyjnej, lecz w drodze wystąpienia, które stanowi realizację jego kompetencji w tej sprawie. Wskazuje na to zarówno wyraźne określenie formy decyzji w art. 18 ustawy z 1997 roku, a brak tego określenia w art. 19, jak i istota i znaczenie decyzji administracyjnej. Nakłada ona bowiem na stronę pewne uprawnienia lub obowiązek lub odmawia jego przyznania. Tymczasem wystąpienie do prokuratury z informacją o podejrzeniu przestępstwa nie ma takiego charakteru. Co do zasady nie nadaje się więc do rozstrzygnięcia w formie decyzyjnej.” Również w wyroku z dnia 19 listopada 2001 r. (sygn. akt II SA 2702/00) Naczelny Sąd Administracyjny w Warszawie wskazał, że „osoba dochodząca ochrony swych spraw w trybie w/w ustawy o ochronie danych osobowych nie jest podmiotem postępowania obliczonego na wydanie decyzji o zawiadomieniu stosownego organu o przestępstwie w zakresie przetwarzania danych osobowych i nie może się tego domagać od GIODO w administracyjno-prawnych formach tego postepowania. (...) GIODO może podejmować czynności tylko na zasadzie i w formach przewidzianych ustawą. Sposób załatwienia sprawy co do meritum reguluje w/w art. 18 ustawy z 1997 roku, przyznając GIODO uprawnienia w zakresie nakazania administratorowi winnemu naruszenia przywrócenia stanu zgodnego z prawem”.
Mając na uwadze powyższe Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w pkt. 2 sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200,00 zł. Strona ma prawo ubiegać się o prawo pomocy, w tym zwolnienie od kosztów sądowych.