ZKE.440.10.2019
Na podstawie art. 104 § 1 oraz art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w związku z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) w związku z art. 28, art. 32 ust. 1 oraz art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani A.S. oraz Pana M.S., na nieprawidłowe zabezpieczenie oraz udostępnianie ich danych osobowych osobom nieupoważnionym przez Pana K.B., jako zarządcę Wspólnoty Mieszkaniowej […], prowadzącego działalność pod firmą Przedsiębiorstwo Produkcyjno Handlowo Usługowe A., Prezes Urzędu Ochrony Danych Osobowych:
1. Umarza postępowanie w zakresie wniosku złożonego przez Pana M. S.;
2. W pozostałym zakresie odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Prezesa Urzędu Ochrony Danych Osobowych (dawniej: Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pani A. S. oraz Pana M. S. (zwanych dalej: „Skarżącymi”) na nieprawidłowe zabezpieczenie oraz udostępnianie ich danych osobowych osobom nieupoważnionym przez Pana K. B., Zarządcę Wspólnoty Mieszkaniowej […], prowadzącego działalność pod firmą Przedsiębiorstwo Produkcyjno Handlowo Usługowe A., (zwane dalej: PPHU A.).
W treści skargi Skarżący wskazali, że Zarządca wezwał ich do przedłożenia w swojej siedzibie odpisu aktu notarialnego, dotyczącego lokalu mieszkalnego zlokalizowanego w B., stanowiącego własność Skarżących. Powyższe wynikało z faktu, iż w lokalu wykryto błąd dotyczący pomiaru jego powierzchni, w efekcie czego sporządzona została korekta do umowy notarialnej z 2000 r., której kopię Skarżący dostarczyli Zarządcy w celu przeliczenia zaliczek wpłacanych na poczet: opłat eksploatacyjnych, funduszu remontowego oraz mediów. W chwili wystąpienia z żądaniem zwrotu ww. dokumentu, Skarżący zostali poinformowani o jego zagubieniu. W ocenie Skarżących powyższe wskazuje, że stosowane przez Zarządcę środki zabezpieczenia dotyczących ich danych osobowych są niewystarczające, przez co dane te narażone są na udostępnienie osobom nieuprawnionym. Zdaniem Skarżących, Zarządca dopuszcza się naruszenia przepisów o ochronie danych osobowych, albowiem jego pracownicy przetwarzają dane osobowe nie posiadając stosownych upoważnień. Nadto, umowa powierzenia danych osobowych zawarta pomiędzy Wspólnotą Mieszkaniową […] a Zarządcą jest wadliwa, gdyż nie podpisała jej osoba uprawniona do reprezentowania Zarządcy.
W związku z podniesionymi zarzutami, Skarżący wnieśli do Prezesa Urzędu Ochrony Danych Osobowych o wydanie decyzji administracyjnej zakazującej Panu K. B. udostępniania ich danych osobowych innym podmiotom czy osobom fizycznym, jak również zatrudnionym w PPHU A. pracownikom oraz zarządowi Wspólnoty, a jednocześnie nakazującej właściwe zabezpieczenie przetwarzanych danych osobowych oraz wyjaśnienie, co stało się z kserokopią korekty aktu notarialnego przekazaną do rąk własnych zarządcy w listopadzie 2007 r.
W celu ustalenia okoliczności faktycznych istotnych dla rozstrzygnięcia niniejszej sprawy, Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie administracyjne. Na podstawie zebranego w sprawie materiału dowodowego ustalił następujący stan faktyczny:
- Administratorem danych osobowych Skarżących jest Wspólnota Mieszkaniowa […], zwana dalej: „Wspólnotą Mieszkaniową”.
- Na podstawie umowy z dnia […] marca 2005 r. o zarządzenie nieruchomością wspólną, Wspólnota Mieszkaniowa ustanowiła K. B., prowadzącego działalność pod firmą Przedsiębiorstwo Produkcyjno Handlowo Usługowe A., Zarządcą nieruchomości wspólnej.
- W dniu […] lutego 2016 r. Wspólnota Mieszkaniowa zawarła z Zarządcą umowę powierzenia przetwarzania danych osobowych (zaktualizowaną następnie w dniu […] maja 2018 r.), w celu realizacji ustawowych i umownych obowiązków wynikających z art. 29 ust. 1b ustawy z dnia 24 czerwca 1994 r. o własności lokali (Dz. U. z 2020 r., poz. 532) na podstawie której Zarządca został uprawniony do przetwarzania danych posiadanych przez Wspólnotę, tj. danych właścicieli zawartych w spisach właścicieli, danych wynikających z treści ksiąg wieczystych lokali oraz danych z kartotek rozliczeniowych, wyłącznie w celu wynikającym z umowy i ustawy o własności lokali – w okresie od dnia […] marca 2005 r. do chwili rozwiązania umowy o zarzadzanie nieruchomością wspólną. Zgodnie z zapisami umowy powierzenia Zarządca, jako podmiot przetwarzający, zobowiązał się do zabezpieczenia przetwarzanych danych osobowych poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2). Ponadto, wyżej wymieniony zobowiązał się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. W szczególności oświadczył, że nadał upoważnienia do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji przedmiotowej umowy (§ 3 pkt 1 i 2 zaktualizowanej umowy powierzenia).
- Zarządca zatrudnia trzech pracowników: Panią B. J. na stanowisku księgowej, Pana K. B. na stanowisku asystenta zarządcy oraz Panią B. P. na stanowisku kierownika sekretariatu. Wszyscy wyżej wymienieni posiadają upoważnienia do przetwarzania danych osobowych w celach związanych z wykonywaniem obowiązków służbowych (kopia upoważnień w aktach sprawy).
- W złożonych przed Prezesem Urzędu Ochrony Danych Osobowych wyjaśnieniach Zarządca wskazał, iż (cyt.): „z art. 29 ust. 1b [ustawy o własności lokali] wynika, że zarząd lub zarządca, któremu zarząd nieruchomością wspólną powierzono (…), jest obowiązany sporządzić protokół przejęcia nieruchomości i jej dokumentacji technicznej (budowlanej, powykonawczej i książki obiektu budowlanego) w imieniu wspólnoty mieszkaniowej przechowywać dokumentację techniczną budynku oraz prowadzić i aktualizować spis właścicieli lokali i przypadających im udziałów w nieruchomości wspólnej. (…) W celu prawidłowego wykonania swoich obowiązków (…) zarząd lub zarządca wspólnoty musi posiadać dostęp do dokumentów dotyczących lokali wchodzących w jej skład, jak również do danych osobowych ich właścicieli. Zarządca nieruchomości wspólnej jest zatem nie tylko upoważniony, ale i zobowiązany do gromadzenia danych osobowych dotyczących właścicieli lokali. Zgoda współwłaścicieli na przetwarzanie danych w tym przypadku nie jest wymagana, ponieważ przetwarzanie ich danych osobowych odbywa się na podstawie szczególnych przepisów prawa i jest niezbędne do zarządzania nieruchomością wspólną”. Jednocześnie Zarządca zapewnił, że PPHU A. nie prowadzi żadnego rejestru ani zbioru aktów notarialnych i nie przechowuje takich dokumentów w żadnym zbiorze, albowiem jest to całkowicie zbędne wobec powszechnego dostępu do udostępnionego przez Ministerstwo Sprawiedliwości systemu teleinformatycznego – Elektronicznych Ksiąg Wieczystych, w którym to po wpisaniu numeru księgi wieczystej nieruchomości wspólnej, znaleźć można odnośniki do numerów ksiąg wieczystych poszczególnych lokali mieszkalnych. Tym sposobem Zarządca może samodzielnie pozyskać dane o numerach lokali, ich powierzchni, imionach i nazwiskach właścicieli, ich numerach PESEL oraz imionach ich rodziców.
- Zarządca zapewnił również, iż stosuje wystarczające środki bezpieczeństwa w celu ochrony prowadzonych list właścicieli i rozliczeń poszczególnych lokali mieszkalnych przed nieuprawnionym ujawnieniem lub udostępnieniem. Stosownie do przyjętej przez Zarządcę Polityki Bezpieczeństwa z dnia […] września 2015 r. (kopia dokumentu w aktach sprawy), dane osobowe, które PPHU A. przetwarza w zakresie wynikającym z czynności zarządu nieruchomością, są gromadzone i przetwarzane wyłącznie w siedzibie Zarządcy oraz w biurze obsługi klienta. Dane te są przechowywane […].
- W udzielonych wyjaśnieniach Zarządca wskazał, iż nigdy nie udostępnił danych osobowych Skarżących jakimkolwiek podmiotom czy osobom trzecim. Nie zaistniało również niebezpieczeństwo przekazania takich danych lub ich nienależytego zabezpieczenia. Odnosząc się natomiast bezpośrednio do twierdzeń Skarżących, wyżej wymieniony argumentował, że (cyt.): „zarzuty skarżących, iż został skopiowany ich akt notarialny są nieprawdziwe. W sytuacji gdy faktycznie we wspólnocie […] następowała korekta udziałów, właściciele sami z własnej inicjatywy przychodzili do biura zarządcy w celu uaktualnienia prowadzonego spisu właścicieli i udziałów. Państwo S. nie zostawili aktu, a jednie okazali go dla potwierdzenia, iż mają zmienioną powierzchnię lokalu. Obecne zarzuty o rzekomym skopiowaniu aktu i jego przetrzymywaniu lub udostępnianiu osobom nieupoważnionym są bezpodstawne i wpisują się jedynie w całokształt działań tych osób, które nieustannie zawiadamiają wszelkie możliwe instytucje i organy o różnych sytuacjach dot. zarządcy które okazują się nieuzasadnione.”
W toku postępowania Prezes Urzędu Ochrony Danych Osobowych pozyskał z urzędu informację o śmierci Skarżącego, Pana M. S. Powyższą okoliczność potwierdził dołączony do akt sprawy skrócony odpis aktu zgonu z dnia […] grudnia 2019 r., wystawiony przez Urząd Stanu Cywilnego w B. W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także: „Prezesem UODOO”) zważył, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.”.
W myśl art. 160 ust. 1-3 u.o.d.o., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej także „ustawą 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256), zwanej dalej „k.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm. oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”.
Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na jego mocy, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).
Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający z przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i niezakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071), M. Jaśkowska, A. Wróbel, Lex., el/2012).
Na wstępie, tj. przed dokonaniem merytorycznej analizy skargi będącej przedmiotem niniejszego postępowania należy wskazać, iż w jego toku zaistniała okoliczność mająca istotny wpływ na wydane w sprawie rozstrzygnięcie. Prezes UODO powziął bowiem informację o śmierci Pana M. S., będącego jednym ze Skarżących. Okoliczność ta jest bezsporna i została potwierdzona znajdującym się w aktach sprawy odpisem skróconym aktu zgonu.
Mając na względzie obowiązujące przepisy z zakresu procedury administracyjnej, wobec ww. ustaleń, Prezes UODO zobligowany był umorzyć postępowanie administracyjne w zakresie złożonego przez Skarżącego wniosku. Zgodnie bowiem z art. 105 § 1 k.p.a., gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części.
Jak wskazał w uzasadnieniu wyroku z dnia 7 czerwca 2019 r. (sygn. akt II FSK 2113/16) Wojewódzki Sąd Administracyjny w Krakowie: „Bezprzedmiotowość postępowania administracyjnego, o której stanowi ww. przepis, oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty. Bezprzedmiotowość postępowania wynikać może z przyczyn, które można podzielić na podmiotowe, np. śmierć strony (osoby fizycznej) w toku postępowania, które zmierzało do konkretyzacji uprawnień lub obowiązków o charakterze ściśle osobistym i niedziedzicznym (…) oraz przedmiotowe – gdy dana sprawa nie podlegała i nie podlega załatwieniu w drodze decyzji administracyjnej.”
W świetle powołanego orzecznictwa przyjąć należy, że istotną przesłanką umorzenia postępowania jest niewątpliwie utrata przez podmiot biorący udział w postępowaniu (w tym wypadku przez Skarżącego) cech określonych w art. 28 k.p.a., w myśl którego stroną jest każdy, czyjego interesu prawnego lub obowiązku dotyczy postępowanie albo kto żąda czynności organu ze względu na swój interes prawny lub obowiązek. Skutek w postaci umorzenia postępowania wywołuje zatem śmierć Skarżącego, jeżeli sprawa administracyjna dotyczy praw bezpośrednio z nim związanych. W doktrynie i orzecznictwie jednolicie podnosi się, że śmierć osoby fizycznej powoduje utratę zdolności prawnej, czego konsekwencją jest to, że w stosunku do osoby zmarłej nie można wszcząć i prowadzić postępowania administracyjnego, a także wydać decyzji we wszczętym już postępowaniu. Decyzja taka rażąco naruszałaby bowiem prawo (por. uchwała NSA z dnia 22 września 1997 r. o sygn. akt FPS 6/97, publ. ONSA 1998/1/1; wyroki NSA: z dnia 20 września 2002 r. o sygn. akt I SA 428/01; z dnia 11 marca 2008 r. o sygn. akt I OSK 1959/06; z dnia 30 września 2009 r. o sygn. akt I OSK 1429/08; z dnia 1 lipca 2011 r. o sygn. akt I OSK 1261/10). Nie ulega wątpliwości, iż postępowanie administracyjne prowadzone w niniejsze sprawie, zainicjowane m.in. skargą Pana M. S., dotyczyło praw bezpośrednio związanych z jego osobą, w związku z czym organ miał obowiązek umorzenia postępowania w odniesieniu do wniosku tego właśnie Skarżącego.
Odnosząc się natomiast do treści zarzutów podniesionych w przez drugą ze Skarżących, Panią A. S., Prezes UODO stanął na stanowisku, iż zgromadzony w sprawie obszerny materiał dowodowy nie zezwolił na potwierdzenie ich słuszności. Podkreślić należy, że zgodnie z zasadą prawdy obiektywnej, wyrażoną w art. 7 k.p.a., w toku postępowania organy administracji publicznej stoją na straży praworządności i podejmują wszelkie kroki niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Wydając decyzję administracyjną, organ administracji publicznej może uznać stan faktyczny rozpatrywanej sprawy za ustalony wyłącznie w oparciu o jednoznaczne i niebudzące wątpliwości dowody. Naczelny Sąd Administracyjny w wyroku z dnia 9 lipca 1999 r., sygn. III SA 5417/98, uznał, że: „organ prowadzący postępowanie musi dążyć do ustalenia prawdy materialnej i według swej wiedzy, doświadczenia oraz wewnętrznego przekonania ocenić wartość dowodową poszczególnych środków dowodowych, wpływ udowodnienia jednej okoliczności na inne okoliczności”. Po wyczerpaniu możliwości dokonania niezbędnych dla podjęcia rozstrzygnięcia ustaleń faktycznych, organ prowadzący postępowanie jest uprawniony, a nawet zobowiązany do przyjęcia takiej wersji zdarzeń, która odpowiada logicznie zgromadzonemu materiałowi dowodowemu.
Zdaniem Prezesa UODO, wszechstronna analiza zgromadzonych w sprawie dowodów, w tym zwłaszcza stanowisk stron oraz dokumentacji przedstawionej na ich poparcie, nie dała podstaw by sądzić, że Zarządca nieruchomości zlokalizowanej w B. dopuścił się naruszenia przepisów o ochronie danych osobowych, polegającego na niewłaściwym zabezpieczeniu oraz bezprawnym udostępnieniu danych osobowych Skarżącej podmiotom lub osobom nieupoważnionym do ich przetwarzania. Jakkolwiek bowiem Skarżąca wskazywała, że złożyła w biurze Zarządcy kopię korekty aktu notarialnego dotyczącego lokalu mieszkalnego stanowiącego jej własność, powyższe pozostaje w sprzeczności z logicznymi i spójnymi z pozostałym materiałem dowodowym wyjaśnieniami Zarządcy, który stanowczo zaprzeczył temu, ażeby dokonywał kopii danych zawartych w wyżej wymienionym dokumencie. Jak wskazał Pan K. B., w chwili gdy we Wspólnocie Mieszkaniowej […] następowała korekta udziałów, właściciele lokali mieszkalnych, w tym Skarżąca, z własnej inicjatywy stawiali się w biurze Zarządcy w celu okazania aktu notarialnego, z którego wynikała zmiana powierzchni lokalu, co zezwalało na szybkie uaktualnienie prowadzonego spisu właścicieli i udziałów. Zarządca nie pobierał jednak od zainteresowanych okazywanych mu dokumentów, nie wykonywał ich kopii, ani nie przechowywał lub udostępniał ich osobom nieupoważnionym.
Zdaniem Prezesa UODO, przedstawiona przez Zarządcę argumentacja pozostaje w zgodzie z faktem, iż wszelkie informacje dotyczące spisu właścicieli oraz przypadających ich udziałów w nieruchomości wspólnej, których gromadzenie przez Zarządcę legalizują przepisy ustawy z dnia 24 czerwca 1994 r. o własności lokali, dostępne są w Elektronicznych Księgach Wieczystych, brak jest zatem konieczności gromadzenia tychże danych w wersji papierowej. Takie działanie Zarządcy nie znajdowałoby żadnego uzasadnienia faktycznego.
Jak wynika natomiast z niebudzących wątpliwości ustaleń faktycznych, Wspólnota Mieszkaniowa […], będąc administratorem danych osobowych należących do niej mieszkańców, powierzyła Zarządcy na podstawie pisemnej umowy z dnia […] lutego 2016 r., w celu realizacji ustawowych i umownych obowiązków wynikających z art. 29 ust. 1b ustawy z dnia 24 czerwca 1994 r. o własności lokali, przetwarzanie danych osobowych posiadanych przez Wspólnotę, tj. danych właścicieli zawartych w spisach właścicieli, danych wynikających z treści ksiąg wieczystych lokali oraz danych z kartotek rozliczeniowych. Strony ustaliły, iż umowa obowiązywać miała z mocą wsteczną od dnia […] marca 2005 r. (tj. od chwili zawarcia przez strony umowy o zarządzanie nieruchomością wspólną) aż do momentu jej rozwiązania – co nie nastąpiło jednak do dnia wydania niniejszej decyzji.
Powierzenie przetwarzania danych osobowych nastąpiło zgodnie z przepisami o ochronie danych osobowych, w oparciu o normę wynikającą z art. 31 ustawy 1997. Obecnie, znajduje zaś ono umocowanie w art. 28 Rozporządzenia 2016/679, w myśl którego administrator może powierzyć innemu podmiotowi w drodze zawartej umowy, bądź innego instrumentu prawego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Podmiot przetwarzający zobowiązany jest przy tym zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą.
Konkretyzacja wyżej wspomnianego obowiązku materializuje się w treści art. 32 Rozporządzenia 2016/679, zgodnie z którym administrator danych i podmiot przetwarzający uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Jako przykład takiego działania unijny prawodawca wskazał m.in. na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
Zdaniem Prezesa UODO, zebrany w niniejszej sprawie materiał dowodowy wykazał, iż Zarządca, jako podmiot przetwarzający, zadbał o kwestię należytego zabezpieczenia przetwarzanych danych osobowych. Zgodnie z obowiązującą i stosowaną przez niego Polityką Bezpieczeństwa, dane zgromadzone w formie papierowej oraz elektronicznej przechowywane są […]. Wszyscy zatrudnieni przez Zarządcę pracownicy posiadają aktualne upoważnienia do przetwarzania danych osobowych powierzonych mu przez Wspólnotę Mieszkaniową. Jednocześnie zobowiązani są oni do zachowania w tajemnicy informacji pozyskanych w toku zatrudnienia, zarówno w czasie trwania stosunku pracy, jak i po jego ustaniu.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowane przez Zarządcę środki są wystarczające i dają gwarancję należytego zabezpieczenia przetwarzanych danych osobowych Skarżącej. W związku z powyższym – wobec braku wiarygodnych dowodów świadczących przeciwnie – nie sposób jest przyjąć, aby zgromadzony materiał dowodowy wskazywał na możliwość nieodpowiedniego zabezpieczenia przetwarzanych danych przez podmiot przetwarzający, bądź też ich udostępnienia osobom nieuprawnionym.
Za niewystarczające w tym kontekście organ nadzorczy uznał załączone do akt postępowania pisemne oświadczenie Pani W. G., właścicielki lokalu mieszkalnego położonego w B., w którym wyżej wymieniona stwierdziła, że w listopadzie bądź grudniu 2007 r. jej sąsiadka, Pani A. S. w jej obecności przekazała Panu K. B. w biurze PPHU A. kopię korekty aktu notarialnego w celu sprostowania informacji o powierzchni lokal oraz przysługujących udziałach w nieruchomości wspólnej. Wskazać należy, iż twierdzenia Pani W. G. były już bowiem przedmiotem analizy i oceny, dokonanej przez Prezesa UODO w postępowaniu administracyjnym zainicjowanym skargę tejże na nieprawidłowe zabezpieczenie oraz udostępnienie jej danych osobowych (a nadto danych jej męża, J. G.) osobom nieupoważnionym przez Pana K. B., zarządcę Wspólnoty Mieszkaniowej […], prowadzącego działalność gospodarczą pod firmą PPHU A. Prawomocną decyzją z dnia […] czerwca 2019 r., sygn. […] opierając się na analogicznym co w sprawie niniejszej stanie faktycznym, Prezes UODO odmówił uwzględnienia wniosku.
W związku z poczynionymi ustaleniami wskazać należy, że dalsze prowadzenie przez Prezesa Ochrony Danych Osobowych postępowania administracyjnego, zainicjowanego skargą na nieprawidłowości w przetwarzaniu danych osobowych Skarżącej prze Zarządcę nieruchomości w B., ukierunkowanego na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy 1997 jest niezasadne.
Stosownie do brzmienia ww. przepisu, w przypadku naruszenia przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień (1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (4), zabezpieczenie danych lub przekazanie ich innym podmiotom (5) lub usunięcie danych osobowych (6). Z brzmienia art. 18 ust. 1 ustawy 1997, a zarazem z definicji decyzji administracyjnej – jako aktu rozstrzygającego w sposób władczy o prawach i obowiązkach stron postępowania w ustalonym i aktualnym na chwilę jego wydania stanie faktycznym i prawnym – wynika, że organ ochrony danych osobowych nie dokonuje oceny zdarzeń przeszłych, nie kontynuowanych w chwili orzekania. Decyzja Prezesa UODO jest bowiem instrumentem służącym przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych, realizowanym w chwili wydania decyzji.
Biorąc pod uwagę powyższe, należy stwierdzić, iż brak jest podstaw dla sformułowania nakazu, o którym mowa w art. 18 ust. 1 ustawy, albowiem dane osobowe Skarżącej przetwarzane są przez Zarządcę nieruchomości zgodnie z prawem, zaś w toku postępowania nie ujawniono żadnych nieprawidłowości wskazujących na możliwość ich bezprawnego udostępnienia bądź ujawnienia osobom nieupoważnionym. Z uwagi na powyższe, postępowanie administracyjne w niniejszej sprawie należało zakończyć decyzją o odmowie uwzględnienia wniosku Skarżącej.
Prezes UODO wskazuje natomiast, iż ewentualną regulacją na gruncie, której Skarżąca może poszukiwać ochrony prawnej oraz dochodzić swych roszczeń jest ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2019 r., poz. 1145) zwana dalej „k.c.”. Stosownie bowiem do treści art. 23 k.c. niezależnie od ochrony przewidzianej w innych przepisach, dobra osobiste człowieka, w tym również prawo do prywatności, pozostają pod ochroną prawa cywilnego. Przepis z art. 24 k.c. gwarantuje osobie, której dobro osobiste zostało zagrożone, uprawnienie do wystąpienia z żądaniem zaniechania działania naruszającego dobro osobiste, a w razie już dokonanego naruszenia żądania, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków. Jednocześnie w myśl art. 448 k.c., w razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro zostało naruszone odpowiednią sumę tytułem zadośćuczynienia za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia. Dlatego też, jeżeli w ocenie Skarżącej doszło do naruszenia jej dóbr osobistych przez Pana K. B., może ona dochodzić swoich roszczeń z tego tytułu w drodze powództwa cywilnego wytoczonego przed właściwy miejscowo sąd powszechny.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Jednakże w związku z obowiązującym w dniu wydania decyzji stanem epidemii, zgodnie z art. 15zzr ust. 1 pkt 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 374), bieg tego terminu aktualnie nie rozpocznie się; zacznie on biec w dniu następującym po ostatnim dniu obowiązywania stanu epidemii lub następującego po nim bezpośrednio ewentualnego stanu zagrożenia epidemicznego.
Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.