ZSOŚS.440.120.2018
Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz.U. z 2018, poz. 2096) oraz art. 12 pkt 2, art. 22 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), zwanej dalej „ustawą” w związku z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana G. S., zam. w miejscowości J., dotyczącej przetwarzania jego danych osobowych przez Sąd Rejonowy w W. oraz E. sp. z o.o. z siedzibą w W., w związku ze świadczeniem przez tę spółkę w ww. sądzie usług ochrony osób i mienia,
umarzam postępowanie
UZASADNIENIE
W dniu [...] lipca 2015 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pana G. S., zwanego dalej „Skarżącym” w przedmiocie przetwarzania jego danych osobowych przez Sąd Rejonowy w W., zwanego dalej „Prezesem Sądu” oraz E. sp. z o.o. z siedzibą w W., zwaną dalej „E. sp. z o.o.” w związku ze świadczeniem przez tę spółkę w ww. sądzie usług ochrony osób i mienia. Skarżący wniósł o wszczęcie postępowania przez Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Prezesa Urzędu Ochrony Danych Osobowych) w celu cyt. „wyjaśnienia zgodności z przepisami obowiązującego prawa dostępu do danych osobowych pracowników ochrony– w tym konkretnym przypadku firmy E. sp. z o.o. – mających dostęp do danych osobowych poprzez sprawdzanie osób udających się na rozprawy sądowe w Sądzie Rejonowym w W.”
Skarżący wskazał nadto, iż cyt. „obywatel chcący wejść na teren sal rozpraw musi podać pracownikowi ochrony swoje dane osobowe – imię i nazwisko, a dopiero gdy pracownik ochrony sprawdzi zgodność imienia i nazwiska obywatela w leżącej przed nim na biuru – widocznej dla osób postronnych stojących obok, czekających, aż pracownik ochrony sprawdzi zgodność danych z danymi widniejącymi w wokandzie sądowej – wpuszcza obywatela na teren sal rozpraw sądowych”. W ten sposób, zdaniem Skarżącego, osoba nieuprawniona pozyskała jego dane osobowe i przetwarza je w dowolny sposób, co miało miejsce w opisanej przez Skarżącego sytuacji. Jak wskazał Skarżący, w dniu [...] lipca 2015 r., gdy Skarżący przygotowywał się do wykonania zdjęcia aparatem fotograficznym zaparkowanego w niewłaściwym miejscu samochodu osobowego na terenie Sądu Rejonowego w W., z Sądu wybiegł pracownik ochrony zwracając się do niego po nazwisku.
W toku postępowania zainicjowanego skargą, Prezes Urzędu Ochrony Danych Osobowych uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń.
Pismami z [...] maja 2016 r. Generalny Inspektor Ochrony Danych Osobowych poinformował Skarżącego, Prezesa Sądu oraz Prezesa Zarządu E. sp. z o.o. o wszczęciu postępowania w sprawie oraz zwrócił się do Prezesa Sądu oraz Prezesa Zarządu E. sp. z o.o. o ustosunkowanie się do treści skargi oraz złożenie pisemnych wyjaśnień. W dniu [...] maja 2016 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęło pismo Prezesa Sądu ([...]), w którym wyjaśnił, iż Sąd Rejonowy w W. przetwarza dane osobowe Skarżącego w systemie informatycznym o nazwie „[...]” oraz w zbiorach aktowych poszczególnych wydziałów, na postawie zarządzenia Prezesa Sądu Rejonowego w W. z [...] kwietnia 2016 r. nr [...] w sprawie prowadzenia w sądzie wykazu zbiorów danych osobowych w związku z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz zgodnie z ustawą z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych, w celu prowadzenia postępowania sądowego.
Prezes Sądu uszczegółowił, iż Sąd Rejonowy w W. nie udostępnił spółce E. sp. z o.o. z siedzibą w W. danych osobowych Skarżącego. Prezes Sądu wyjaśnił także, iż na mocy umowy zawartej [...] grudnia 2015 r. pomiędzy Sądem Rejonowym w W. a E. sp. z o.o. z siedzibą w W., dotyczącej świadczenia w ww. sądzie usług ochrony osób i mienia, na pracownikach spółki ciąży obowiązek zachowania w tajemnicy wszystkich informacji pozyskanych w trakcie wykonywanych zadań związanych z realizacją zawartej umowy. Szczegółowy sposób wykonywania zadań został określony w umowie oraz planie ochrony Sądu Rejonowego w W., które stanowią załączniki do przesłanych wyjaśnień. Prezes Sądu wyjaśnił nadto, iż wszystkie dane osobowe przetwarzane w Sądzie Rejonowym w W. są chronione na podstawie ustawy o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Prezes Sądu zaprzeczył także twierdzeniom Skarżącego, jakoby pracownicy ochrony mieli pytać osoby przychodzące do sądu o nazwisko i imię. Wyjaśniono, iż osoba udająca się na salę rozpraw ma możliwość skorzystania z pomocy pracownika ochrony, celem uniknięcia błądzenia po wielokondygnacyjnym budynku sądu. Prezes Sądu wskazał nadto, iż przepisy prawa dopuszczają możliwość upublicznienia danych na wokandach sądowych m.in. gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa, zgodnie z rozdziałem 4 rozporządzenia Ministra Sprawiedliwości z dnia 23 grudnia 2015 r. Regulamin urzędowania sądów powszechnych. Prezes Sądu nadmienił również, iż Skarżący jest znany pracownikom Sądu i pracownikom ochrony, gdyż bardzo często pojawia się w sądzie w charakterze świadka lub strony. Prezes Sądu wskazał także, iż nie może odnieść się do zdarzenia opisanego w skardze z uwagi na upływ czasu, a tym samym niemożność zweryfikowania przebiegu ww. zdarzenia w oparciu o relacje osób biorących w nim udział. Prezes Sądu wyjaśnił nadto, iż Skarżący nie zgłaszał tego incydentu bezpośrednio do Prezesa Sądu.
W dniu [...] czerwca 2016 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęło pismo pełnomocnika E. sp. z o.o., w którym wyjaśnił, iż spółka świadczy usługi ochrony osób i mienia na rzecz Sądu Rejonowego w W. Pełnomocnik wskazał także, iż spółka nie przetwarza danych osobowych Skarżącego oraz, że pracownicy ochrony, tak jak wszyscy przebywający w budynku sądu, mają dostęp do wokand sądowych i służą pomocą odpowiadając na pytania osób przybywających do sądu i pomagają w odnalezieniu sali rozpraw, ale nie przechowują tych wokand. Pełnomocnik wyjaśnił nadto, iż Skarżący jest znany pracownikom ochrony, gdyż bardzo często pojawia się w sądzie w charakterze świadka lub strony. W celu udowodnienia przebiegu zdarzenia opisanego w skardze, pełnomocnik spółki przesłał kopię notatki służbowej sporządzonej przez pracownika, który brał udział w zdarzeniu opisanym przez Skarżącego. W ww. notatce pracownik ochrony wyjaśnił, iż w dniu [...] lipca 2015 r. pełnił służbę w budynku Sądu Rejonowego w W. i został powiadomiony, iż przed budynkiem sądu, obok zaparkowanego tam samochodu pracownika ww. sądu, cyt. „kręci się jakiś mężczyzna”. Pracownik ochrony wyjaśnił nadto, iż obok ww. samochodu zauważył Skarżącego oraz funkcjonariusza Policji, którym powiedział, iż jest to samochód służbowy, użytkowany przez pracowników Sądu oraz, że pracownik poruszający się nim zaniósł do budynku materiały i za moment przedstawi ww. pojazd w przeznaczone do tego miejsce parkingowe. Pracownik ochrony nadmienił także, iż Skarżący jest znany pracownikom ochrony jako cyt. „osoba często przebywająca w budynku Sądu Rejonowego w W. w różnym charakterze (świadka, osoby towarzyszącej, osoby pokrzywdzonej).
Prezes Urzędu Ochrony Danych Osobowych poinformował pismami z [...] listopada 2018 r. Skarżącego, Prezesa Sądu oraz pełnomocnika E. sp. z o.o. o przeprowadzeniu postępowania administracyjnego, w wyniku którego został zgromadzony materiał dowodowy wystarczający do wydania decyzji administracyjnej oraz o możliwości wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań zgodnie z treścią art. 10 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, w terminie 7 dni od dnia otrzymania ww. pism.
W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r., poz. 1000 ze zm.) 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne.
Powołana wyżej ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. stwarza prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego. W celu jej realizacji organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Oznacza to, iż organ ochrony danych osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z przesłanek legalizujących przetwarzanie danych osobowych, wskazanej w art. 23 ust. 1 ww. ustawy o ochronie danych osobowych i w zależności od występujących w sprawie ustaleń – albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych.
Ze zgromadzonego materiału dowodowego wynika, iż dane osobowe Skarżącego są przetwarzane wyłącznie w systemie informatycznym „[...]” oraz w zbiorach aktowych poszczególnych wydziałów, na postawie zarządzenia Prezesa Sądu Rejonowego w W. z [...] kwietnia 2016 r. nr [...] w sprawie prowadzenia w sądzie wykazu zbiorów danych osobowych oraz w związku z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz zgodnie z ustawą z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych, w celu prowadzenia postępowania sądowego. Z kolei, jak wyjaśnił pełnomocnik E. sp. z o.o., spółka nie przetwarza danych osobowych Skarżącego. E. sp. z o.o. świadczy usługi ochrony osób i mienia na rzecz Sądu Rejonowego w W. na podstawie zawartej umowy, zaś pracownicy ochrony, na mocy ww. umowy, mają dostęp do wokand sądowych i służą pomocą odpowiadając na pytania osób przybywających do sądu i pomagają w odnalezieniu sali rozpraw, ale nie przechowują tych wokand.
Odnosząc się do kwestii udostępnienia danych osobowych Skarżącego przez Sąd Rejonowy w W. na rzecz E. sp. z o.o. w związku ze świadczeniem przez tę spółkę w ww. sądzie usług ochrony osób i mienia wskazać należy, że z przeprowadzonego w sprawie postępowania wyjaśniającego nie wynika, aby podmiot ten udostępnił ww. dane osobowe na rzecz E. sp. z o.o.
Tym samym stosownie do postanowień art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096), dalej Kpa, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. W doktrynie wskazuje się, że: „bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 kpa, oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty. Przesłanka umorzenia postępowania może istnieć jeszcze przed wszczęciem postępowania, co zostanie ujawnione dopiero w toczącym się postępowaniu, a może ona powstać także w czasie trwania postępowania, a więc w sprawie już zawisłej przed organem administracyjnym” (B. Adamiak, J. Borkowski, „Kodeks postępowania administracyjnego. Komentarz”, 14. wydanie, Wydawnictwo C.H.Beck, Warszawa 2016, s. 491). Wskazać należy nadto na wyrok Naczelnego Sądu Administracyjnego z dnia 21 września 2010 r. , II OSK 1393/09, w którym wyrażone zostało stanowisko, iż bezprzedmiotowość postępowania administracyjnego oznacza brak któregoś z elementów stosunku materialnoprawnego skutkującego tym, iż nie można załatwić sprawy przez rozstrzygnięcie jej co do istoty. Umorzenie postępowania administracyjnego stanowi orzeczenie formalne, kończące postępowanie, bez jego merytorycznego rozstrzygnięcia. Nadto, Naczelny Sąd Administracyjny w wyroku z dnia 15 stycznia 2010 r., I OSK 1167/09, stwierdził, iż przy bezprzedmiotowości postępowania nie można wydać decyzji co do jej istoty.
Ustalenie przez organ publiczny zaistnienia przesłanki, o której mowa w art. 105 § 1 Kpa, zobowiązuje go, jak podkreśla się w doktrynie i orzecznictwie, do umorzenia postępowania, bo nie ma wówczas podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie w takiej sytuacji postępowania stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy. Bezprzedmiotowość postępowania może być także wynikiem zmiany stanu faktycznego sprawy.
Postępowanie prowadzone przez Prezesa Urzędu jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy o ochronie danych osobowych. Według tego przepisu w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych. Warunkiem wydania przez organ rozstrzygnięcia, o którym mowa w ww. przepisie, jest istnienie stanu naruszenia prawa do ochrony danych osobowych w chwili wydania decyzji administracyjnej.
W sytuacji, gdy Prezes Sądu Rejonowego w W. nie udostępnił danych osobowych Skarżącego, badanie legalności, w kontekście ustalenia ewentualnego zaistnienia przesłanek dla sformułowania nakazu, o którym mowa w art. 18 ust. 1 ustawy, byłoby oczywiście bezprzedmiotowe.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.
Na podstawie art. 127 § 3 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096) od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym o zwolnienie od kosztów sądowych.