Decyzja
ZSPU.440.512.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. nr 2096 ze zm.) oraz art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. poz. 1000 ze zm.) w zw. z art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz art. 5 ust. 1, art. 57 ust. 1 lit a) i f) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ogólne rozporządzenie o ochronie danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana W.S., zam. w […], na przetwarzanie jego danych osobowych przez Naczelnika Urzędu Skarbowego w L. […] (aktualnie: Dyrektora Izby Administracji Skarbowej w W. […]), Prezes Urzędu ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana W.S., zam. w […] (dalej: Skarżący), na przetwarzanie jego danych osobowych przez Naczelnika Urzędu Skarbowego w L., z siedzibą w L. […] (aktualnie: Dyrektora Izby Administracji Skarbowej w W., z siedzibą przy […]; dalej: US).
Skarżący w treści swojej skargi wskazał, że był pełnomocnikiem w postępowaniu podatkowym, w trakcie którego złożył stosowne pełnomocnictwo do akt sprawy ze wskazaniem adresu do korespondencji (adres prowadzonej kancelarii). Ponadto wyjaśnił, że w dniu […] stycznia 2015 r. wpłynął do jego kancelarii protokół z kontroli. W treści protokołu został wskazany jego adres zamieszkania, którego Urzędowi nie udostępniał.
W związku z powyższym wniósł o wydanie decyzji nakazującej przywrócenie stanu zgodnego z prawem i usunięcie jego danych osobowych (adresu zamieszkania) z akt sprawy.
W celu rozpatrzenia przedmiotowego wniosku organ ochrony danych osobowych przeprowadził postępowanie wyjaśniające, w toku którego ustalił następujące okoliczności faktyczne.
- Skarżący prowadzi działalność gospodarczą (Kancelaria Doradztwa Podatkowego […] (wydruk z CEiDG znajduje się w aktach sprawy).
- W aktach przedmiotowej sprawy znajduje się kopia wyciągu protokołu kontroli podatkowej przeprowadzonej przez Naczelnika Urzędu Skarbowego w L., w treści którego został wskazany adres podmiotu prowadzącego księgi podatkowe – XYZ. (dana kwestionowana przez Skarżącego).
- US w złożonych wyjaśnieniach wskazał, że w Skarżący w prowadzonym przez ww. Urząd postępowaniu występował jako pełnomocnik kontrolowanego podmiotu oraz jako podmiot prowadzący jego księgi podatkowe. W wyniku generowania protokołu kontroli z podsystemu A, który korzysta z danych zgromadzonych o podatniku w systemie B, automatycznie zostały „przemigrowane” dane podmiotu prowadzącego księgi podatkowe oraz jego adres: XYZ. Dane o podmiocie prowadzącym księgi podatkowe kontrolowanego podmiotu pochodzą z wniosku CEIDG-1 z dnia […].01.2014 r. (poz. 21 rzeczonego wniosku). Ponadto US wyjaśnił, że w części protokołu kontroli znajdują się informacje dotyczące danych rejestracyjnych i adresów prowadzenia działalności gospodarczej, informacje o pozostałych adresach miejsc prowadzenia działalności gospodarczej przez wskazaną osobę fizyczną, dowiązanych wprost do tej osoby (moduł C), a w pozostałych częściach informacje o pełnomocnikach oraz podmiotach prowadzących księgi podatkowe kontrolowanego. Natomiast w części D.3 protokołu „Księgi podatkowe” jako osobę odpowiedzialną za prowadzenie ksiąg podatkowych kontrolujące wpisały ręcznie imię i nazwisko Skarżącego. Jako adres miejsca przechowywania ksiąg podatkowych system automatycznie przemigrował „ABC”, natomiast jako „podmiot prowadzący księgi podatkowe” system automatycznie przemigrował dane rejestracyjne w zakresie imienia, nazwiska, NIPu daty od kiedy podmiot prowadzi księgi podatkowe oraz adresu rejestracyjnego (będącego jednocześnie adresem zamieszkania).
- W aktach przedmiotowej sprawy znajduje się kopia pisma US z dnia […] lutego 2014 r. skierowanego do mocodawcy Skarżącego (za pośrednictwem Skarżącego), z treści którego wynika, że „w protokole kontroli organ bezprawnie ujawnił miejsce zamieszkania Pełnomocnika jest zasadne. Pomimo zaistnienia tej nieprawidłowości, w odniesieniu do kontroli prowadzonej u Pana […] nie doszło do ujawnienia danych osobowych pełnomocnika. Wynika to z faktu, że protokół z kontroli został przesłany tylko i wyłącznie na adres pełnomocnika i nikt inny nie miał dostępu do tych danych. Jednocześnie Kontrolujące informują, że zostały podjęte działania mające na celu ochronę Pana danych osobowych i w przypadku, gdy Pan […] będzie chciał skorzystać z uprawnień wynikających z art. 178 § 1 ustawy Ordynacja podatkowa, tj. wglądu w akta sprawy, sporządzania z nich notatek, kopii lub odpisów dane dot. Pana adresu zamieszkania zostaną wyłączone z akt sprawy w drodze postanowienia (…)”.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
W pierwszej kolejności wskazać należy, że z dniem wejścia w życie ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 ze zm.), tj. z dniem 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Na podstawie art. 160 ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych (zwanego też Prezesem Urzędu), na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne.
W świetle powyższego do spraw rozstrzyganych przez Prezesa Urzędu w zakresie prawa materialnego zastosowanie mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, ogólne rozporządzenie o ochronie danych (Dz. Urz. UE z dnia 4 maja 2016 r. L 119/1 z późn. zm.), zwanego dalej RODO, a w zakresie proceduralnym przepisy ustawy o ochronie danych osobowych z 1997 r.
W tym miejscu wskazać należy, że na podstawie z art. 160 ust. 4 i 5 ustawy z dnia 16 listopada 2016 r. Przepisy wprowadzające ustawę o Krajowej Administracji Skarbowej (Dz. U. z 2016 r. poz. 1948 ze zm.) izbę administracji skarbowej łączy się z mającymi siedzibę w tym samym województwie, izbą celną i urzędem kontroli skarbowej (ust. 4). Izba administracji skarbowej wstępuje we wszelkie prawa i obowiązki łączonych jednostek, bez względu na charakter stosunku prawnego, z którego te prawa i obowiązki wynikają (ust. 5). Art. 162 ust. 2 ww. ustawy Naczelnicy urzędów skarbowych stają się organami Krajowej Administracji Skarbowej.
Zgodnie zaś art. 232 ww. ustawy w tej sprawie Dyrektor Izby Administracji Skarbowej stał się administratorem danych osobowych, których administratorem był Dyrektor Urzędu Kontroli Skarbowej.
Odnosząc powyższe na grunt sprawy wskazać należy, iż administratorem danych Skarżącego aktualnie jest Dyrektor IAS w W.
Na administratorze danych spoczywają określone obowiązki wynikające z przepisów dotyczących ochrony danych osobowych. Jest nim nie tylko obowiązek legalnego przetwarzania danych (zgodnie z art. 6 RODO, uprzednio art. 23 ustawy), zgodnie z zasadami wskazanymi w RODO (art. 5 RODO), ale również prawidłowego zabezpieczenia tych danych.
Administrator danych ma obowiązek przetwarzać dane zgodnie z prawem, rzetelnie i przejrzyście, stosownie do celu pozyskania, ale także w sposób prawidłowy (art. 5 ust. 1 lit d RODO).
W tym miejscu wskazać należy, że celem przetwarzania prywatnego adresu Skarżącego powinna być jego identyfikacja jako osoby fizycznej (podatnika), a nie osoby prowadzącej działalność gospodarczą i występującej jako pełnomocnik w sprawie o sygnaturze akt […].
W związku z przesłanką art. 6 ust. 1 lit. c) RODO zbieranie danych osobowych powinno być dokonywane dla celów oznaczonych, nie jest więc dozwolone ich dalsze przetwarzanie niezgodnie z tymi celami. Dotyczy to także przypadków, gdy owo dalsze przetwarzanie dokonywane jest przez tego samego administratora. Wspomniany cel wyznacza zakres przetwarzania danych. W powyższym przypadku pozyskanie prywatnego adresu Skarżącego z systemu D, w którym zdefiniowany jest jako podatnik, a nie jako przedsiębiorca, wykroczyło poza cel administratora realizowany za pomocą ww. systemu. W ocenie Prezesa Urzędu korespondencja ta powinna była zostać wysłana na adres przez Skarżącego wskazany jako adres do korespondencji (adres prowadzonej przez niego Kancelarii), a nie na jego prywatny adres. Takie działanie US stanowiło naruszenie zasady prawidłowości przetwarzania danych (art. 5 lit d RODO) i nie było ku niemu podstaw prawnych.
W ocenie organu, w świetle otrzymanych wyjaśnień od US, ww. zdarzenie miało charakter incydentalny i nie ma obecnie przesłanek do uznania, że w przedmiotowej sprawie w chwili rozstrzygania przez organ ochrony danych osobowych stan naruszenia przepisów o ochronie danych osobowych istnieje i zachodzi konieczność nakazania przywrócenia stanu zgodnego z prawem.
Odnosząc się natomiast do żądania Skarżącego usunięcia jego danych osobowych z akt sprawy prowadzonej przez US, wskazać należy, że stosownie do treści art. 76 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej Kpa, dokumenty urzędowe sporządzone w przypisanej formie przez powołane do tego organy państwowe w ich zakresie działania stanowią dowód tego, co w nich urzędowo stwierdzone.
Przenosząc powyższe na grunt sprawy, wskazać należy, że protokół kontroli sporządzony przez US stanowi dokument urzędowy oraz dowód na to, co zostało w nim zaświadczone. Stanowi pewną całość i ingerencja w jego treść, poprzez usunięcie fragmentu danych, pozbawiłaby go cech takiego dokumentu. Dokument urzędowy korzysta bowiem z domniemania prawdziwości (autentyczności) oraz domniemania zgodności z prawdą tego, co zostało w nim urzędowo zaświadczone. Usunięcie jakichkolwiek elementów z protokołu kontroli US stanowiłoby zmianę jego treści, a więc podważałoby jego wiarygodność. Powyższe oznacza, że nie możliwe jest nakazanie US przez Prezesa Urzędu usunięcia danych osobowych Skarżącego z ww. protokołu, ani dokumentów zawartych w aktach sprawy prowadzonej przez US.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych.