ZSOŚS.440.135.2018
Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096), art. 22 oraz art. 23 ust. 1 pkt 2 i pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) w związku z art. 160 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Pani K. H. (adres do korespondencji: […]) o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z 12 maja 2016 r. (DOLiS-440-2396) w sprawie skargi na przetwarzanie jej danych osobowych przez Sąd Okręgowy we W.,
utrzymuję w mocy zaskarżoną decyzję
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pani K. H., zwanej dalej „Skarżącą”, na przetwarzanie jej danych osobowych zawartych w dowodzie osobistym przez Sąd Okręgowy we W. W treści przedmiotowej skargi Skarżąca podniosła, iż aby móc wejść do gmachu Sądu Okręgowego we W., policja sądowa - na mocy zarządzenia Nr […] prezesa tamtejszego sądu - pobiera dowody osobiste od osób wchodzących do budynku, a następnie umieszcza je w urządzeniu, które odczytuje ich dane tj. imię i nazwisko, datę urodzenia, numer dowodu osobistego oraz zdjęcie osoby wchodzącej.
Jednocześnie Skarżąca wskazała, iż w jej przekonaniu postanowienia ww. zarządzenia […] Prezesa Sądu Okręgowego we W. z dnia […] maja 2014 r. nie znajdują oparcia w przepisach obowiązującego prawa. W dalszej części skargi Skarżąca wniosła o zweryfikowanie przez Generalnego Inspektora Ochrony Danych Osobowych prawidłowości opisanego przezeń postępowania przez Prezesa Sądu Okręgowego we W. wobec osób wchodzących do budynku sądu. Nadto Skarżąca wskazała, iż zasadnym było by sprawdzenie, czy prezes powołanego powyżej sądu prowadzi odpowiedni zbiór danych i czy poinformował on Generalnego Inspektora Ochrony Danych Osobowych o gromadzeniu i przetwarzaniu danych osobowych oraz wizerunku osób wchodzących do obiektu.
W uzupełnieniu skargi Skarżąca doprecyzowała, iż rzeczona skarga zasadniczo dotyczy procesu przetwarzania jej danych osobowych zamieszczonych w dowodzie tożsamości przez Sąd Okręgowy we W., żądając przy tym ich usunięcia wraz z wizerunkiem, jak również wniosła o „zobowiązanie Prezesa Sądu Okręgowego do zaniechania skanowania dowodów osobistych oraz fotografowania osób wchodzących do sądu, jak również podjęcia wobec Prezes stosownych czynności”.
W toku przeprowadzonego postępowania administracyjnego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych (obecnie: Prezes Urzędu Ochrony Danych Osobowych) ustalił, co następuje.
- Prezes Sądu Okręgowego we W. w wyjaśnieniach złożonych w przedmiotowej sprawie wskazał, że w Sądzie Okręgowym we W. ochroną budynku użyteczności publicznej zajmuje się policja sądowa. Podstawą prawną jej funkcjonowania jest art. 4 ust. 2 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2015 r. poz. 355 ze zm.) oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 16 sierpnia 2007 r. w sprawie szczegółowego zakresu zadań i zasad organizacji policji sądowej (Dz. U. Nr 155, poz. 1093).
- Informacja o legitymowaniu osób wchodzących do sądu i podstawie prawnej takiego działania umieszczona jest w miejscu przy wejściu do budynku Sądu. Wideomonitoring prowadzony na terenie Sądu stanowi element systemu zabezpieczenia budynków i pomieszczeń oraz kontroli ruchu osobowego przy punkcie obsługi interesanta, w ciągach komunikacyjnych, serwerowni, czy też sekretariatach wydziałów i oddziałów oraz przy gabinetach sędziowskich.
- Wyjaśniono także, że sąd nie przetwarza trwale wizerunku osób, a dane z monitoringu po upływie trzech tygodni są cyt. „nadpisywane”.
- Jak wyjaśnił Prezes Sądu Okręgowego we W. w podległej mu jednostce nie dokonuje się czynności skanowania dowodów osobistych, a policja sądowa, zgodnie z posiadanymi uprawnieniami i w celu realizacji zadań do jakich ją powołano dokonuje jedynie czynności legitymowania oraz badania autentyczności dokumentów tj. dowodów osobistych, a działania te podejmowane są ze względu na konieczność zachowania bezpieczeństwa publicznego.
- W Sądzie Okręgowym prowadzona jest elektroniczna księga wejść, a dane o osobach przebywających w obiekcie usuwane są z systemu elektronicznego po 7 dniach.
- W chwili obecnej dane Skarżącej znajdujące się w jej dowodzie osobistym nie są przetwarzane w systemie elektronicznym księgi wejść w związku z przebywaniem Skarżącej w budynku Sądu. Dane te są natomiast przetwarzane w zakresie wynikającym z charakteru uczestniczenia Skarżącej w toczących się postępowaniach sądowych.
- W aktach sprawy znajduje się zarządzenie Nr […] Prezesa Sądu Okręgowego we W. z dnia […] maja 2014 r. w sprawie wprowadzenia zasad bezpieczeństwa i porządku w Sądzie Okręgowym we W.
Na podstawie tak ustalonego stanu faktycznego Generalny Inspektor Ochrony Danych Osobowych wydał decyzję z 12 maja 2016 r. (DOLiS-440-2396), w której odmówił uwzględnienia wniosku.
W ustawowym terminie Skarżąca złożyła wniosek o ponowne rozpatrzenie sprawy zakończonej ww. decyzją.
W tym miejscu należy wskazać, iż z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r. poz. 1000 ze zm.) tj. 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają zatem skuteczne.
Po ponownej analizie zebranego w sprawie materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych podtrzymuje stanowisko wyrażone w zaskarżonym rozstrzygnięciu. We wniosku o ponowne rozpatrzenie sprawy Skarżąca nie przedstawiła bowiem żadnych okoliczności, które mogłyby stanowić podstawę do jego zmiany, zaś argumenty podniesione we wniosku sprowadzają się jedynie do polemiki Skarżącej z prawidłowymi ustaleniami poczynionymi w toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie.
Po powtórnym zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
W pierwszej kolejności należy podkreślić, że Prezes Urzędu Ochrony Danych Osobowych, wydając decyzję administracyjną obowiązany jest rozstrzygać w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Stanowisko to znajduje oparcie w orzecznictwie sądowym. W szczególności należy wspomnieć o wyroku Naczelnego Sądu Administracyjnego z dnia 7 maja 2008 r. (sygn. akt I OSK 761/07), gdzie jednoznacznie stwierdzono, że badając (...) legalność przetwarzania danych osobowych, [Generalny Inspektor] ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem (...)”.
Natomiast rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).
Regulacja dotycząca ochrony danych osobowych zagwarantowana jest co do zasady w art. 51 ustawy z dnia 2 kwietnia 1997 r. Konstytucja Rzeczpospolitej Polskiej (Dz. U. Nr 78 poz. 483 z późn. zm.) jednakże zakres konstytucyjnego unormowania nie rozciąga się na wszelkie przejawy przetwarzania danych osobowych. Stosownie bowiem do ust. 1 i ust. 3 powołanego przepisu Konstytucji RP, nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (ust. 1) i każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych; ograniczenie tego prawa może określić ustawa (ust. 3), jednakże zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa (ust. 5).
Mając na uwadze powyższe, należy stwierdzić, że przepisami prawa, które regulują przetwarzanie danych osobowych jest powołana wyżej ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r., która stwarza podstawy prawne stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego. W celu jej realizacji organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Oznacza to, iż organ ochrony danych osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z przesłanek legalizujących przetwarzanie danych osobowych, wskazanej w art. 23 ust. 1 ww. ustawy o ochronie danych osobowych i w zależności od występujących w sprawie ustaleń - albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych. Zgodnie z treścią art. 1 cytowanej ustawy, każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 tej ustawy, dopuszczalne jest tylko ze względu na określone dobra, tj. dobro publiczne, dobro osoby, której dane dotyczą lub dobro osoby trzeciej i tylko w zakresie oraz trybie określonym ustawą.
Transponując powyższe na grunt niniejszej sprawy zauważyć należy, że Prezes Urzędu Ochrony Danych Osobowych ustalił w toku postepowania wyjaśniającego, iż legitymowanie osób wchodzących do budynku Sądu Okręgowego we W. jest dokonywane przez wyodrębnioną w strukturze organizacyjnej Policji jednostkę tzw. policję sądową. Podstawą prawną jej funkcjonowania jest w szczególności art. 4 ust. 2 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2018 r. poz. 2102), zaś sposób działania określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 16 kwietnia 2007 r. w sprawie szczegółowego zakresu zadań i zasad organizacji policji sądowej (Dz. U. Nr 155, poz. 1093).
W § 3 rzeczonego powyżej rozporządzenia Ministra Spraw Wewnętrznych w sprawie szczegółowego zakresu zadań i zasad organizacji policji sądowej enumeratywnie wymieniono zakres zadań owej formacji, do których należy: 1 ) ochrona bezpieczeństwa i porządku publicznego w budynkach sądów oraz prokuratur; 2) ochrona życia i zdrowia sędziów, prokuratorów oraz innych osób, w związku z wykonywaniem przez nich czynności wynikających z realizacji zadań wymiaru sprawiedliwości; 3) wykonywanie czynności procesowych zlecanych przez sąd lub prokuratora; 4) wykonywanie zarządzeń porządkowych sądu, wydawanych w celu uniemożliwienia zachowania zakłócającego porządek rozprawy lub godzącego w powagę sądu; 5) konwojowanie i doprowadzanie osób na polecenie sądu, prokuratora i właściwego komendanta Policji; 6) ochrona pomieszczeń dla osób konwojowanych lub doprowadzonych do czynności procesowych, usytuowanych w sądach i prokuraturach, w celu uniemożliwienia samowolnego oddalenia się osób tam umieszczonych, bezprawnego wtargnięcia osób postronnych oraz zapobieżenia innym zdarzeniom niebezpiecznym w skutkach dla bezpieczeństwa i porządku publicznego albo zagrażającym uszkodzeniem lub utratą chronionego mienia. Wartym powtórzenia jest również to, że art. 1 ust. 1 ustawy z dnia 6 kwietnia 1990 r. o Policji, statuuje zasadę, iż formacja ta ogólnie rzecz ujmując pełni funkcję służebną wobec ogółu społeczeństwa zapewniając ochronę bezpieczeństwa ludzi oraz utrzymywania bezpieczeństwa i porządku publicznego. Dopełnieniem tej zasady jest art. 14 ust. 1 pkt 1 powoływanej powyżej ustawy, z którego to przepisu wynika, że Policja w granicach swych zadań wykonuje m.in. czynności administracyjno – porządkowe w celu chociażby rozpoznawania, zapobiegania i wykrywania przestępstw i wykroczeń. Z kolei art. 15 ust. 1 pkt 1 ustawy o Policji, wprost wyraża normę, iż funkcjonariusze Policji – w tym także policji sądowej - wykonując ww. czynności uprawnieni są do legitymowania osób w celu ustalenia ich tożsamości, na podstawie m. in. dowodu osobistego (§ 4 pkt 1 rozporządzenia Rady Ministrów z dnia 29 września 2015 r. w sprawie postępowania przy wykonywaniu niektórych uprawnień policjantów (Dz. U. z 2015 r. poz. 1565).
W realiach przedmiotowej sprawy szczegółowe zasady bezpieczeństwa w Sądzie Okręgowym we W. określa zarządzenie Nr […] prezesa tego sądu z dnia […] maja 2014 r. w sprawie wprowadzenia zasad bezpieczeństwa i porządku w Sądzie Okręgowym we W. wydane na podstawie art. 54 § 2 ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz. U. z 2018 r. poz. 23). Zgodnie z powołanym przepisem prezes sądu może zarządzić stosowanie środków zapewniających bezpieczeństwo w budynkach sądowych oraz zapobiegających naruszaniu zakazu, o którym mowa w § 1, czyli zakazu wnoszenia do budynku sądu broni i amunicji, materiałów wybuchowych i innych środków niebezpiecznych. Wskazana powyżej regulacja prezesa sądu w § 4 jednoznacznie wskazuje na obowiązek poddania się czynnościom kontrolnym przez każdego wchodzącego do budynku sądu, który polega na wylegitymowaniu się dowodem osobistym, paszportem lub innym dokumentem ze zdjęciem potwierdzającym tożsamość oraz zeskanowaniu kodu MRZ w specjalnie zainstalowanym do tego celu czytniku. Nadto przepis ten normuję kwestię osób uprawnionych do przeprowadzania wskazanych czynności kontrolnych, którymi są funkcjonariusze Policji. W tym miejscu odnieść należy się także do § 16 zarządzenia […] stwierdzającego, że bezpośrednią ochroną Sądu w godzinach jego urzędowania zajmuje się policja sądowa działająca w oparciu o ww. akty prawne.
W świetle powyższych rozważań należy ponownie stwierdzić, iż działania podjęte przez Prezesa Sądu Okręgowego we W. w celu zapewnienia bezpieczeństwa i porządku w budynku sądu znajdują pełne oparcie w przepisach obowiązującego prawa. Tym samym nie sposób zgodzić się z twierdzeniami Skarżącej, iż wzmiankowane zarządzenie wydane zostało bez podstawy prawnej uregulowanej w ustawie.
Art. 54 § 2 ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych, nadaje bowiem prezesom sądów kompetencje do unormowania kwestii bezpieczeństwa i porządku na terenie jednostek im podległych w formie zarządzenia. Odrębną zaś kwestią jest, jakie zostaną podjęte środki i regulacje służące do realizacji celu wskazanego w ustawie.
Na gruncie niniejszej sprawy prezes sądu wskazał, iż dane o osobach wchodzących do gmachu sądu oraz przebywających w nim, są zapisywane w elektronicznej księdze wejść, które są następnie usuwane z systemu po upływie siedmiu dni. Następnie wyjaśnił, że samo „przeciągnięcie” dowodu osobistego osoby wchodzącej do obiektu przez czytnik kodów nie stanowi czynności skanowania dokumentu tożsamości.
Dopełnieniem powyższego jest udzielona przez Prezesa Sądu Okręgowego we W. informacja publiczna z […] lutego 2015 r. i […] kwietnia 2015 r. Odnosząc się do jej treści należy wskazać, iż Prezes Sądu ponownie zakwestionował jakoby czynności, którym poddawani byli interesanci wchodzący do gmachu sądu stanowiły gromadzenie i przetwarzanie ich danych osobowych. Jedynym zaś celem, jaki wskazano jest zapewnienie bezpieczeństwa publicznego, a samo przeciągnięcie dowodu osobistego przez funkcjonariuszy policji sądowej przez urządzenie skanujące stanowi realizację zadań im powierzonych w powołanym we wcześniejszej części niniejszego wywodu rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 16 sierpnia 2007 r. w sprawie szczegółowego zakresu zadań i zasad organizacji policji sądowej.
Reasumując, należy stwierdzić, iż brak jest podstaw – zgodnie z wnioskiem Skarżącej – do uchylenia decyzji z dnia 12 maja 2016 r. i wydania decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem poprzez nakazanie Prezesowi Sądu Okręgowego we W. zaniechania wg. jej oceny naruszeń opisanych w skardze. Warunkiem bowiem wydania rozstrzygnięcia, o którym mowa w art. 18 ust. 1 u.o.d.o. jest stwierdzenie istnienia stanu naruszenia przepisów o ochronie danych osobowych w dacie wydania decyzji. W kontekście powyższego wskazać należy, iż całokształt okoliczności faktycznych i prawnych w żadnej mierze nie uzasadnia podjęcia przez Prezesa Urzędu Ochrony Danych Osobowych działań wobec skarżonego podmiotu, albowiem jak ustalono przetwarzanie danych osobowych Skarżącej w elektronicznej księdze wejść Sądu Okręgowego we W. jest zgodne z ustawą o ochronie danych osobowych, zarówno ze względu na przesłankę z art. 23 ust. 1 pkt 2, a także w oparciu o usprawiedliwiony cel administratora danych z art. 23 ust. 1 pkt 5 ustawy, jakim jest dokonywanie czynności administracyjno – porządkowych służący zapewnieniu bezpieczeństwa publicznego.
Po dokonaniu powtórnej analizy materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych podtrzymuje stanowisko zajęte w zaskarżonej decyzji administracyjnej.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 2 i art. 22 ustawy o ochronie danych osobowych w związku z art. 13 § 2, art. 53 § 1 i 54 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2018 poz. 1302 ze zm.) od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia niniejszej decyzji za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa).