ZSZZS.440.108.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149) oraz art. art. 6 ust. 1 i art. 58 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana K.B. na nieudostępnienie przez Prezesa Urzędu Komunikacji Elektronicznej, z siedzibą w Warszawie przy ul. Giełdowej 7/9, danych osobowych w zakresie informacji o posiadaniu licencji nr […] o znaku wywoławczym […] i ważności do […] października 2024 r. przez jedną ze wskazanych przez niego osób, Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana K.B., dalej: Skarżący, na nieudostępnienie przez Prezesa Urzędu Komunikacji Elektronicznej, z siedzibą w Warszawie przy ul. Giełdowej 7/9, dalej: Prezes UKE, danych osobowych w zakresie informacji o posiadaniu licencji nr […] o znaku wywoławczym […] i ważności do […] października 2024 r. przez jedną ze wskazanych przez niego osób.
W treści skargi Skarżący wskazał, że od 2014 roku prowadzi badania naukowe w Instytucie Pamięci Narodowej nad zagadnieniem […].
W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.
- Skarżący od […] czerwca 2014 r. prowadzi badania naukowe na temat […]. Na podstawie złożonego wniosku udostępniane mu są materiały archiwalne w Instytucie Pamięci Narodowej.
- W dniu […] lutego 2019 r. Skarżący zwrócił się do Prezesa UKE o udostępnienie danych osobowych w zakresie informacji o posiadaniu licencji nr […] o znaku wywoławczym […] i ważności do […] października 2024 r. przez jedną ze wskazanych przez niego osób.
- W dniu […] lutego 2019 r. Skarżący otrzymał wiadomość za pośrednictwem poczty elektronicznej informującą o negatywnym rozpatrzeniu jego wniosku o udostępnienie danych. W uzasadnieniu, jak również w złożonych wyjaśnieniach, wskazano że wniosek został rozpatrzony negatywnie z uwagi na obowiązujące przepisy o ochronie danych osobowych.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Skarżący w trakcie prowadzonych badań w Instytucie Pamięci Narodowej korzystał z zasobów […]. W ich trakcie pozyskał dane osobowe dwóch osób (w zakresie: imion, nazwisk, dat urodzenia oraz imion ojców) oraz informację o licencji […] nr […] o znaku wywoławczym […] ważnej do […] października 2024 r. Na podstawie tych danych zwrócił się do UKE o udostępnienie mu informacji, czy a jeśli tak to która z wskazanych przez niego osób posiada ową licencję. Wskazać należy, że posiadanie przez osobę licencji […] mieści się w zakresie danych zwykłych.
W pierwszej kolejności wskazać należy, że Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), zwane dalej: RODO, co do zasady dopuszcza możliwość udostępnienia danych osobowych na rzecz badań naukowych. Zgodnie z Motywem 50 „dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych powinny być uznawane za operacje przetwarzania zgodne z prawem i z pierwotnymi celami”, wobec czego by powtórnie wykorzystać w celach badań naukowych dane zgromadzone dla realizacji innego celu, nie trzeba posiadać dodatkowej podstawy prawnej. Jednakże, żeby móc żądać udostępnienia danych należy legitymować się przesłankami legalizującymi przetwarzanie danych, tj. w przedmiotowej sprawie przynajmniej jedną z przesłanek zawartych w art. 6 ust. 1 RODO. Co więcej, zgodnie z art. 89 ust. 1 RODO, dane przetwarzane w celach badań naukowych podlegają ochronie i zabezpieczeniom wynikającym z Rozporządzenia, a w szczególności zasadzie minimalizacji danych. W przetwarzaniu danych w celach badań naukowych należy zachować poszanowanie dla praw i wolności osób, których dane dotyczą. Ponadto, ostatnie zdanie art. 89 ust. 1 RODO wskazuje, że jeżeli badania naukowe o ile to możliwe, należy realizować poprzez przetwarzanie danych, które nie pozwalają na identyfikację konkretnej osoby.
Wobec powyższego wskazać należy, że co do zasady przetwarzanie danych osobowych w celach przeprowadzenia badań naukowych jest zgodne z pierwotnym celem, dla którego dane zostały zebrane i przetwarzane. Jednakże nie oznacza to, że przepis ten pozwala na przetwarzanie danych bez zastosowania żadnych zabezpieczeń czy ograniczeń. Również przy przetwarzaniu danych w celach prowadzenia badań naukowych należy stosować przepisy o ochronie danych osobowych. Artykuł 89 ust. 1 i 2 RODO jednoznacznie wskazuje, że na administratorze przetwarzającym dane w celach badań naukowych ciąży obowiązek zabezpieczenia i ochrony danych, a także podejmowania czynności przetwarzania z poszanowaniem prawa do ochrony danych osobowych osób, których dane są przetwarzane. Powyższe oznacza, że sytuacja w której dane osobowe przetwarzane w celach badań naukowych są w formie pozwalającej na identyfikację, jest sytuacją szczególną. Wniosek o udostępnienie danych powinien być zatem uargumentowany w wyczerpujący sposób, tak aby wskazywał na niezbędność ich pozyskania przez osobę prowadzącą badania w formie umożliwiającej identyfikację. Co równie istotne, osoba przeprowadzająca badania powinna dołożyć starań, by dane były bezpieczne poprzez wykorzystanie odpowiednich środków zarówno technicznych jak i organizacyjnych. Ze względu na szczególny charakter sytuacji, w której udostępniane dane pozwalają na identyfikację osób, zamieszczenie takich informacji we wniosku jest konieczne.
Wniosek skierowany do administratora danych, powinien zawierać elementy pozwalające administratorowi na dokonanie oceny czy pozyskanie danych osobowych oraz ich udostępnienie nie naruszy przepisów prawa. Wniosek winien być zatem umotywowany, tj. wskazywać podstawę prawną, zakres żądanych danych osobowych oraz w sposób wiarygodny uzasadniać potrzebę ich pozyskania. To na administratorze danych osobowych ciążą bowiem szczególne obowiązki związane z przetwarzaniem danych osobowych, jak obowiązki wynikające z art. 24 ust. 1 oraz art. 5 ust. 1 RODO, dotyczące dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą i zapewnienia, aby dane te były przetwarzane zgodnie z prawem (art. 5 ust. 1 lit. a) oraz merytorycznie poprawne (art. 5 ust. 1 lit. d) i adekwatne (art. 5 ust. 1 lit. c) w stosunku do celów, w jakich są przetwarzane. Skoro zatem administrator danych osobowych musi czuwać nad tym, w jakim celu dane są przetwarzane, a wiec również udostępniane, cel pozyskania danych przez podmiot występujący o udostępnienie danych musi być sprecyzowany we wniosku o ich udostępnienie.
W przedmiotowej sprawie wniosek złożony do UKE przez Skarżącego zawierał jedynie wskazanie, że prowadzi on badania naukowe w Instytucie Pamięci Narodowej oraz tytuł tych badań. W ocenie organu uzasadnienie interesu prawnego oraz konieczność pozyskania danych było nie wystarczające. Z tak ograniczonym zakresem informacji nie można ustalić wymienionych wyżej elementów, jak chociażby czy przetwarzanie tych danych osobowych jest niezbędne do efektywnego przeprowadzenia badań naukowych czy też ustalenia, że dalsze przetwarzanie tych danych będzie zgodne z prawem. Wskazać należy, że to w interesie Skarżącego jest wskazanie okoliczności przemawiających za pozytywnym rozpatrzeniem jego wniosku. Za poprawną należy uznać decyzję o odmowie udostępnienia danych podjętą przez UKE, w związku z brakiem umotywowania przedstawionego przez Skarżącego związku.
Postępowanie administracyjne prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 58 RODO, na podstawie którego organ nadzorczy może m. in. nakazać administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą (art. 58 ust. 2 lit. c).
W tym stanie faktycznym oraz prawnym Prezes Urzędu Ochrony Danych Osobowych orzekł, jak w sentencji.
Pouczenie: Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) i w zw. z art. 13 § 2, art. 53 § 1 i art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2017 r., poz. 1369 z późn. zm.), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.