ZSZZS.440.790.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz art. 6 ust. 1, art. 58 ust. 2 lit. b Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani B. S. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Szkołę Podstawową z siedzibą w W., polegające na udostępnieniu jej danych osobowych w zakresie imienia, nazwiska i adresu zamieszkania podmiotom trzecim, Prezes Urzędu Ochrony Danych Osobowych
udziela upomnienia Szkole Podstawowej w W. za nieprawidłowości w procesie przetwarzania danych osobowych, polegające na naruszeniu art. 6 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016) poprzez wywieszenie na tablicy ogłoszeń w pokoju nauczycielskim pisma z dnia […] maja 2018 r., zawierającego dane osobowe Pani B. S. w zakresie imienia, nazwiska i adresu zamieszkania.
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani B. S. (zwanej dalej Skarżącą) na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Szkołę Podstawową w. W. (zwaną dalej Szkołą), polegające na udostępnieniu jej danych osobowych w zakresie imienia, nazwiska i adresu zamieszkania podmiotom trzecim.
W treści przedmiotowej skargi Skarżąca wniosła o podjęcie czynności według kompetencji Prezesa Urzędu Ochrony Danych Osobowych wobec Szkoły z powodu wywieszenia przez jej pracowników na tablicy ogłoszeń w pokoju nauczycielskim korespondencji e-mailowej z dnia […] maja 2018 r. z danymi – imieniem, nazwiskiem i adresem zamieszkania Skarżącej.
W toku przeprowadzonego w niniejszej sprawie postępowania Prezes Urzędu Ochrony Danych Osobowych (zwany dalej Prezesem UODO) ustalił, co następuje:
- Skarżąca jest zatrudniona jako nauczyciel w Szkole.
- Pismem z dnia […] maja 2018 r. Skarżąca wraz z trzema osobami powiadomiła Prokuraturę Krajową, Ministerstwo Sprawiedliwości, Ministerstwo Edukacji Narodowej i […] Urząd Wojewódzki o odniesieniach medialnych dot. prawdopodobnych nadużyć ws. dotacji na dożywianie uczniów. W treści pisma skierowanego do ww. organów zostały zamieszczone dane osobowe Skarżącej w zakresie jej imienia, nazwiska i adresu zamieszkania.
- Dnia […] czerwca 2018 r. ww. pismo zawierające dane osobowe Skarżącej, zostało wywieszone przez dyrektora szkoły na tablicy ogłoszeń w pokoju nauczycielskim.
- Dane osobowe Skarżącej zostały usunięte z tablicy ogłoszeń.
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych (zwany dalej Prezes UODO) zważył, co następuje.
W przedmiotowej sprawie zastosowanie mają obecnie obowiązujące przepisy o ochronie danych osobowych, tj. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), zwanego dalej RODO.
Dodatkowo konieczne jest podkreślenie, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną, zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi się w doktrynie „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012). Ponadto, w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07, Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Zgodnie z art. 4 ust. 7 RODO administratorem danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Na mocy art. 24 ust. 1 RODO administrator danych osobowych uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
W oparciu o zgromadzony materiał dowodowy należy stwierdzić, że Szkoła udostępniła dane osobowe Skarżącej w zakresie imienia, nazwiska i adresu zamieszkania poprzez wywieszenie pisma zawierającego wskazane wyżej dane Skarżącej na tablicy w pokoju nauczycielskim. Skarżąca przedstawiła dowody w postaci wydruku zdjęcia przedstawiającego tablicę, na której znajduje się wywieszone pismo. Szkoła z kolei w złożonych wyjaśnieniach wskazała, że pismo nie jest wywieszone obecnie. W ocenie Prezesa Urzędu Ochrony Danych Osobowych ww. okoliczności podniesione przez Skarżącą należy zatem uznać za udowodnione, tj. że do kwestionowanego udostępnienia danych osobowych Skarżącej we wskazanej formie doszło, jednak nie jest ono obecnie kontynuowane.
Wskazać należy, że RODO określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w RODO. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych, w tym ich udostępniania, jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych (w tym udostępnianie) jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO), gdy jest to niezbędne dla wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO), gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d RODO), gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO), gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).
W niniejszej sprawie nie została spełniona przez Szkołę żadna z ww. przesłanek określonych w art. 6 ust. 1 RODO. W szczególności, co jednoznacznie wynika ze skargi, Szkoła nie dysponowała zgodą Skarżącej na takie działanie, więc podstawy przedmiotowego udostępnienia nie stanowił art. 6 ust. 1 lit. a RODO. Nie zachodzi również sytuacja określona w art. 6 ust. 1 lit. b RODO, bowiem Szkoła nie wykazała, aby udostępnienie to było niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Na Szkole nie ciążył również obowiązek prawny, dla którego wypełnienia konieczne było udostępnienie danych Skarżącej (art. 6 ust. 1 lit. c RODO). W niniejszej sprawie nie znajdują zastosowania również przesłanki określone w lit. d i e art. 6 ust. 1 RODO, ponieważ przetwarzanie to nie było niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, ani do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Przetwarzanie danych osobowych Skarżącej przez Szkołę nie mogło odbywać się także na podstawie przesłanki wskazanej w art. 6 ust. 1 lit. f RODO, ponieważ administrator nie wykazał interesu prawnego, który uzasadniałby przetwarzanie danych we wskazany sposób. Tym samym uznać należy, że udostępnienie danych osobowych Skarżącej poprzez wywieszenie pisma z dnia […] maja 2018 r. na tablicy w pokoju nauczycielskim odbyło się bez podstawy prawnej i naraziło na dostęp do danych osobowych Skarżącej osób nieuprawnionych.
Postępowanie administracyjne prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej. Decyzje Prezesa Urzędu Ochrony Danych Osobowych służą przywróceniu stanu zgodnego z prawem na podstawie art. 58 ust. 2 lit. b RODO między innymi poprzez udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operację przetwarzania. Szkoła udostępniła dane osobowej Skarżącej w zakresie imienia, nazwiska i adresu zamieszkania, naruszając przepisy o ochronie danych osobowych, jednak ww. przetwarzanie nie jest obecnie kontynuowane. W związku z powyższym Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO, zastosował wobec Szkoły upomnienie.
Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) i w zw. z art. 13 § 2, art. 53 § 1 i art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2017 r., poz. 1369 z późn. zm.), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.