Decyzja
ZKE.440.30.2019
Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.) w zw. z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Pana M. K., o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z 20 kwietnia 2016 r. (sygn. DOLiS/DEC-295/16/32477,32453) w przedmiocie skargi Pana M. K. na udostępnienie jego danych osobowych zawartych we wniosku o zapomogę oraz informacji o wypłaconej zapomodze związkowej przez Pana T. M., Przewodniczącego Komisji Zakładowej […] przy W. Sp. z o.o.,
utrzymuje w mocy zaskarżoną decyzję.
Uzasadnienie
Do Generalnego Inspektora Ochrony Danych Osobowych (obecnie Prezesa Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pana M. K. (zwanego dalej „Skarżącym”), na udostępnienie przez Pana T. M., Przewodniczącego Komisji Zakładowej […] przy W. Sp. z o.o. (zwanego dalej „Przewodniczącym Związku”), jego danych osobowych zawartych we wniosku o zapomogę oraz informacji o wypłaconej zapomodze związkowej.
Skarżący wskazał w swojej skardze, że za pośrednictwem byłego zastępcy Przewodniczącego Związku - Pana M. J. - uzyskał informację o rozpowszechnianiu przez Przewodniczącego Związku oraz przez pracownika W. Sp. z o.o., nie będącego członkiem związku zawodowego, Pana Z. R., nieprawdziwych informacji o przywłaszczeniu pieniędzy poprzez wnioskowanie i uzyskanie zapomogi związkowej. Skarżący wskazał, że „informacje o przyznanej decyzji poprzedniej Komisji Zakładowej znajdowały się jedynie na złożonym i zaopiniowanym przez członków Komisji Zakładowej wniosku, znajdującym się w siedzibie KZ […] przy W.”. Skarżący wskazał również, że po wyborach na nową kadencję a przed uprawomocnieniem się wyników wyborów (ich zatwierdzeniem przez Regionalną Komisję Wyborczą), „T. M. wraz z pracodawcą samowolnie weszli do pomieszczenia związkowego pod moją nieobecność - wyjście służbowe związkowe, i przejął bezprawnie, bez przekazania wszystkie dokumenty związkowe, jak i moje dokumenty, rzeczy prywatne”. Zdaniem Skarżącego doszło do naruszenia zasad ochrony danych osobowych poprzez ujawnienie i rozpowszechnienie danych dotyczących jego stanu zdrowia, sytuacji rodzinnej i prawnej z wniosku o zapomogę związkową, co zdaniem Skarżącego narusza przepisy ustawy o ochronie danych osobowych oraz jego dobra osobiste. Skarżący wniósł w związku z powyższym o „przywrócenie stanu zgodnego z prawem poprzez usunięcie uchybień, nieudostępnianie danych osobowych, zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, zabezpieczenie danych zgodnie z art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych”.
W toku postępowania o sygnaturze […], zainicjowanego skargą Skarżącego, Generalny Inspektor Ochrony Danych Osobowych dokonał następujących ustaleń.
- Przewodniczący Związku wskazał, że Komisja Zakładowa […] przy W. Sp. z o.o. pozyskała dane osobowe Skarżącego w formie deklaracji przynależności do […] wypełnionej i podpisanej przez Skarżącego.
- Przewodniczący Związku wskazał, że dane osobowe Skarżącego nie były i nie są udostępniane osobom trzecim, a jedynie wykorzystywane w bieżącej działalności związku.
- Przewodniczący Związku wskazał ponadto, że wniosek o zapomogę Skarżącego nie zawierał jego adresu oraz nr PESEL. We wniosku nie ma żadnych danych dotyczących stanu zdrowia Skarżącego, a tym bardziej opisu jego sytuacji rodzinnej i prawnej, brak również informacji o przyznanej zapomodze. Powyższe znajduje potwierdzenie w materiale dowodowym przekazanym przez Przewodniczącego Związku znajdującym się w aktach sprawy prowadzonej przez Generalnego Inspektora Ochrony Danych Osobowych.
- Przewodniczący Związku wskazał również, że Komisja Zakładowa […] przy W. Sp. z o.o. przechowuje dane osobowe Skarżącego w szafce zamkniętej na klucz w pomieszczeniu również zamkniętym na klucz. Dostęp do w/w pomieszczenia ma Przewodniczący Związku.
Na podstawie zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych uznał, że brak jest dowodów przemawiających za tym aby w sprawie doszło do udostępnienia bez podstawy prawnej danych osobowych Skarżącego. Wobec powyższego, decyzją administracyjną z dnia 20 kwietnia 2016 r. (sygn. DOLiS/DEC-295/16/32447,32453), Generalny Inspektor Ochrony Danych Osobowych odmówił uwzględnienia wniosku Skarżącego o udzielenie ochrony jego danym osobowym, naruszonym – w ocenie Skarżącego – działaniem Przewodniczącego Związku. Decyzja doręczona została zarówno Skarżącemu jak i Przewodniczącemu Związku w dniu [...] kwietnia 2016 r.
W ustawowym terminie Skarżący złożył wniosek o ponowne rozpatrzenie sprawy zakończonej wyżej wskazaną decyzją. W uzasadnieniu wniosku Skarżący zarzucił decyzji, że „została ona oparta na oświadczeniu sprawcy naruszenia moich danych osobowych Przewodniczącego […] T. M.”. Skarżący stwierdził również, że Generalny Inspektor Ochrony Danych Osobowych „ogranicza się tylko do oświadczenia Przewodniczącego naruszającego ustawę o ochronie danych osobowych oraz na przedstawionym przez niego dokumencie. Nie dokonuje jednak przesłuchania świadków, nie zbiera dowodów jednoznacznie pozwalających na ustalenie pochodzenia informacji na temat źródła informacji o Skarżącym, ani dokumentów, które jednoznacznie wskazują, że przedstawione przez Przewodniczącego informacje są nieprawdziwe i niepełne”. Skarżący wskazał ponadto, że:
- Nieprawdą jest, że Przewodniczący Związku pozyskał dane osobowe Skarżącego „w formie deklaracji przynależności do […]”, „ponieważ w deklaracji przystąpienia do związku nie ma informacji dotyczących stanu zdrowia, a także uzyskiwanych w związku z tym zapomóg, jak też sytuacji osobistej”.
- Zgodnie z jego ustaleniami, jego dane osobowe dotyczące stanu zdrowia oraz uzyskanej zapomogi związkowej udostępnione zostały Panu M. J. (który, jak Skarżący wskazał już w treści skargi, pozyskał te dane od Pana Z. R.), Pani M. Z. – Zastępcy Przewodniczącego […] oraz delegatom […]. W jego ocenie „wszystkie tego typu informacje mogą pochodzić tylko z jednego źródła, tj. od […] T. M., który był w posiadaniu wniosku o zapomogę.”
- W dyspozycji Przewodniczącego T. M. były dwa dokumenty dotyczące zapomogi. Na dokumencie zapomogi znajdowały się podpisy członków Komisji Zakładowej […] – Panów M. J. i M. R.
- Nieprawdą jest, że „dokumenty zawierające jego dane osobowe znajdowały się w pomieszczeniu zamkniętym, do którego dostęp ma Przewodniczący T. M.. Jak wskazał Skarżący pomieszczenie związkowe – na skutek „niezgodnego z prawem samowolnego” wejścia do niego Przewodniczącego Związku wraz z przedstawicielami pracodawcy – „było w gestii W. do dnia […] maja 2014 r.”.
W konkluzji swojego wniosku o ponowne rozpatrzenie sprawy Skarżący wniósł o „wezwanie do przedstawienia dokumentu zapomogi z podpisami członków Komisji Zakładowej, a także o uzyskanie od wymienionych osób wszelkich informacji dotyczących sposobu uzyskania i posiadania informacji co do danych osobowych Skarżącego, i dopiero na tej podstawie rozpoznania sprawy”.
W toku postępowania wszczętego wnioskiem Skarżącego o ponowne rozpatrzenie sprawy Generalny Inspektor Ochrony Danych Osobowych uzupełnił materiał dowodowy uzyskując:
- dodatkowe wyjaśnienia Przewodniczącego Związku, z których wynika, że Uchwałą […] przy W. Sp. z o.o. nr […] z […] października 2016 r., Skarżący skreślony został z listy członków tej organizacji związkowej w związku z zaległościami w zapłacie na jej rzecz składek związkowych. Przewodniczący Związku ponownie oświadczył, że dane osobowe Skarżącego „nie były i nie są udostępniane osobom trzecim, a jedynie były wykorzystywane w bieżącej działalności związku”, a w szczególności „dane osobowe Skarżącego objęte jego wnioskiem o zapomogę nie są udostępniane osobom trzecim jaką we wniosku jest Pan Z. R.”;
- wyjaśnienia działających w imieniu […] Przewodniczącego K. K. i Zastępcy Przewodniczącego M. Z., z których wynika, że ta jednostka terytorialna […] przetwarza dane osobowe Skarżącego pozyskane jedynie w związku z pełnieniem przez niego różnych funkcji związkowych (Członka i Przewodniczącego Komisji Zakładowej […] przy W. Sp. z o.o., delegata na […], delegata na […], członka […]). […] nie dysponuje danymi na temat stanu zdrowia Skarżącego, w związku z czym „nie mogły być przetwarzane przez […] żadne dane w tym zakresie”;
- wyjaśnienia Pana Z. R., który oświadczył, że nie są mu znane „jakiekolwiek fakty dotyczące sprawy oraz jej zakończenia” i że nie przypomina sobie sytuacji dotyczących udostępnienia mu jakichkolwiek danych osobowych Skarżącego, „w szczególności danych osobowych dotyczących stanu zdrowia, związanych z członkostwem Skarżącego w Związku”;
- wyjaśnienia Pana M. J. – Zastępcy Przewodniczącego Komisji Zakładowej […] przy W. Sp. z o.o. biorącego udział w rozpatrzeniu wniosku Skarżącego o przyznanie zapomogi związkowej – który przytoczył następujące okoliczności swojej rozmowy z Panem Z. R., mającej miejsce w okresie, którego dotyczy skarga: „Pan Z. R., pracownik W., podszedł do mnie na terenie zakładu pracy i w czasie rozmowy zaczął, w formie pytającej o stan zdrowia M. K. przekazywać mi informacje, które to można było przeczytać w piśmie o zapomogę złożonego przez M. K.”. Pan M. J. zastrzegł, że informacji tych nie może poprzeć dowodami, fakty przywołuje jedynie z pamięci.
Po ponownym rozpatrzeniu sprawy Prezes Urzędu Ochrony Danych Osobowych stwierdza, co następuje.
Z dniem 25 maja 2018 r. w krajach członkowskich Unii Europejskiej zaczęły być stosowane w przedmiocie ochrony danych osobowych przepisy Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z dnia 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”. Również z dniem 25 maja 2018 r. weszła w życie na terytorium Rzeczpospolitej Polskiej ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwana dalej „u.o.d.o. 2018”, wdrażająca na terytorium Rzeczpospolitej Polskiej Rozporządzenie 2016/679 i uzupełniająca regulacje w tym akcie prawnym przewidziane.
W myśl art. 160 ust. 1 i 2 u.o.d.o. 2018, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie tej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), zwanej dalej „u.o.d.o. 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), zwanej dalej „k.p.a.”. Jednocześnie, zgodnie z art. 160 ust. 3 u.o.d.o. 2018, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie jej przepisów, pozostają skuteczne.
Uwzględniając powyższe regulacje prawne stwierdzić zatem należy na wstępie, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest – w zakresie obejmującym przepisy regulujące procedurę postępowania – w oparciu o przepisy u.o.d.o. 1997 oraz k.p.a. Natomiast materialnoprawna ocena legalności i zgodności z prawem procesu przetwarzania danych osobowych powinna nastąpić w oparciu o przepisy Rozporządzenia 2016/679. Powyższe stwierdzenie zgodne jest z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).
W niniejszej sprawie za udowodnione i bezsporne uznać należy, że […] przy W. Sp. z o.o. legalnie pozyskała i przetwarzała dane osobowe w zakresie danych związanych z członkostwem Skarżącego w tej organizacji związkowej i pełnieniem w niej funkcji członka i przewodniczącego Komisji Zakładowej. Przetwarzanie tych danych znajdowało swoją podstawę prawną w art. 23 ust. 1 pkt 5 u.o.d.o. 1997 stanowiącym, że przetwarzanie danych osobowych jest dopuszczalne gdy „jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą” (aktualnie podstawie tej odpowiada art. 6 ust. 1 lit. f) Rozporządzenia 2016/679). Tym prawnie usprawiedliwionym celem było i jest aktualnie reprezentowanie i obrona praw oraz interesów zawodowych i socjalnych ludzi pracy – cel wskazany w definicji związku zawodowego, określonej w art. 1 ust. 1 ustawy z dnia 23 maja 1991 r. o związkach zawodowych (Dz. U. z 2019 r. poz. 263 ze zm.), zwanej dalej „u.z.z.”. Tę samą podstawę prawną miało przetwarzanie danych osobowych Skarżącego zawartych w jego wniosku o przyznanie zapomogi związkowej i związanych z przyznaną mu zapomogą. Prawnie usprawiedliwionym celem przetwarzania tych danych była realizacja statutowego zadania związku zawodowego […] – udzielania pomocy materialnej członkom związku.
Zakreślony przez Skarżącego przedmiot niniejszego postępowania dotyczy ustalenia zaistnienia faktu dokonania przez administratora danych wąsko określonej operacji na danych osobowych Skarżącego (tych zawartych we wniosku o przyznanie zapomogi związkowej i związanych z faktem przyznania mu zapomogi) – ich udostępnienia osobom trzecim, a w przypadku stwierdzenia, że zdarzenie takie miało miejsce – ustalenia czy udostępnienie danych osobowych Skarżącego miało podstawę prawną i uzasadnienie w prawnie usprawiedliwionym celu realizowanym przez administratora lub inną podstawę spośród wskazanych w art. 23 ust. 1 u.o.d.o 1997.
Po powtórnym rozpatrzeniu zgromadzonego w sprawie materiału dowodowego, z uwzględnieniem dowodów przeprowadzonych w postępowaniu z wniosku o ponowne rozpatrzenie sprawy, Prezes Urzędu Ochrony Danych Osobowych stwierdza, że rozstrzygnięcie zawarte w zaskarżonej decyzji jest prawidłowe – wniosek Skarżącego o przywróceniu stanu zgodnego z prawem nie może zostać uwzględniony.
W pierwszej kolejności stwierdzić należy, że przeprowadzone dodatkowo w niniejszym postępowaniu dowody z wyjaśnień Pana K. K. i Pani M. Z. (Przewodniczącego […] i jego Zastępcy), Pana Z. R. (pracownika W. Sp. z o.o., któremu według Skarżącego udostępnione zostały dane Skarżącego pochodzące z wniosku o zapomogę) oraz Pana M. J. (Zastępcy Przewodniczącego Komisji Zakładowej […] przy W. Sp. z o.o., któremu rzekomo Pan Z. R. miał przekazać dane osobowe Skarżącego) nie potwierdziły w sposób jednoznaczny, że doszło do kwestionowanego przez Skarżącego udostępnienia osobom nieuprawnionym jego danych osobowych zawartych we wniosku o zapomogę oraz dotyczących faktu jej przyznania. Pan Z. R. wyjaśnił, że nie przypomina sobie takiego faktu. Takiego wydarzenia nie potwierdziła też Pani M. Z., na rozmowę z którą powołał się Skarżący w treści swojej skargi. Natomiast z wyjaśnień Pana M. J., który potwierdził fakt swojej rozmowy z Panem Z. R., wynika, że w jej trakcie Pan Z. R. przekazał mu (i to „w formie pytającej”) „informacje, które to można było przeczytać w piśmie o zapomogę”, a więc informacje tożsame z informacjami znajdującymi się w tym piśmie, a nie informacje pochodzące z tego pisma. Zważywszy zaś na wysoki stopień ogólności informacji zawartych w piśmie Skarżącego o zapomogą (sprowadzających się do stwierdzenia, że „[…]” i z powodu „[…]” Skarżący zmuszony był „zaciągać pożyczki na bieżące wydatki”, które chciał spłacić z zapomogi związkowej), za wysoce prawdopodobne uznać należy, że informacje wymienione zarówno w rozmowie Pana Z. R. z Panem M. J., jak i prawdopodobnie w wielu innych rozmowach między współpracownikami Skarżącego, miały formę przypuszczeń, domysłów, i zapytań, sprowokowanych chociażby długotrwałą (wg Skarżącego 9-miesięczną) jego nieobecnością w pracy z powodu choroby.
Analiza całości materiału dowodowego, z uwzględnieniem w szczególności wyjaśnień złożonych w toku postępowania przez osoby, które zdaniem Skarżącego pozyskały informacje zawarte w jego wniosku o zapomogę, dokonana zgodnie z zasadami logicznego rozumowania i doświadczenia życiowego, nie daje w związku z powyższym podstaw do stwierdzenia, że pochodziły one z tego właśnie źródła, i że zostały one udostępnione im przez Przewodniczącego Związku. Wydając decyzję administracyjną, Prezes Urzędu Ochrony Danych Osobowych, jak każdy organ administracji publicznej rozstrzygający sprawę administracyjną, może uznać stan faktyczny rozpatrywanej sprawy za ustalony wyłącznie w oparciu o jednoznaczne i niebudzące wątpliwości dowody. Naczelny Sąd Administracyjny w wyroku z dnia 9 lipca 1999 r., sygn. III SA 5417/98 (LEX nr 39706), uznał, że: „Art. 80 k.p.a. stanowi, że organ administracji ocenia na podstawie całokształtu materiału dowodowego czy dana okoliczność została udowodniona. Przepis ten wyraża równocześnie zasadę prawdy obiektywnej jak też zasadę swobodnej oceny dowodów. Organ prowadzący postępowanie musi dążyć do ustalenia prawdy materialnej i według swej wiedzy, doświadczenia oraz wewnętrznego przekonania ocenić wartość dowodową poszczególnych środków dowodowych, wpływ udowodnienia jednej okoliczności na inne okoliczności.”. Po wyczerpaniu możliwości dokonania niezbędnych dla podjęcia rozstrzygnięcia ustaleń faktycznych, organ prowadzący postępowanie jest uprawniony, a nawet zobowiązany do przyjęcia takiej wersji zdarzeń, która logicznie odpowiada zgromadzonemu materiałowi dowodowemu. Tą zasadą kierował się Prezes Urzędu Ochrony Danych Osobowych rozpatrując ponownie niniejszą sprawę.
W tym miejscu stwierdzić należy, że Prezes Urzędu Ochrony Danych Osobowych za bezzasadne i niecelowe uznał wnioski Skarżącego o przeprowadzenie dowodów z wyjaśnień delegatów […] oraz z „dokumentu zapomogi z podpisami członków Komisji Zakładowej”. W ocenie Prezesa Urzędu Ochrony Danych Osobowych osobowe źródła dowodowe z kręgu nie należącego do bliskiego otoczenia Skarżącego, Przewodniczącego Związku i zakładu pracy w którym obydwaj byli zatrudnieni, nie wniosą nic więcej ponad to co uzyskano z wyjaśnień złożonych w postępowaniu, a obarczone będą jeszcze większą dozą niepewności. Z kolei fakt istnienia i treść „dokumentu zapomogi” (dokumentu stwierdzającego przyznanie Skarżącemu zapomogi) nie są istotne w sprawie; dane osobowe Skarżącego dotyczące stanu jego zdrowia i sytuację osobistą – jeśli są w nim zawarte – są siłą rzeczy jedynie pochodne wobec zawartości dokumentu wniosku Skarżącego o zapomogę, znajdującego się w materiale dowodowym. Odmowa uwzględnienia wniosków dowodowych Skarżącego ze względu na ich niecelowość jest dopuszczalna, co potwierdza orzecznictwo sądów administracyjnych. Jak wskazał Naczelny Sąd Administracyjny w uzasadnieniu wyroku z 1 lipca 2016 r., sygn. akt II GSK 470/15 (LEX nr 2142302): „Skład orzekający Naczelnego Sądu Administracyjnego podziela przy tym pogląd, że choć strona - zgodnie z art. 78 kpa - posiada uprawnienie do zgłoszenia żądania przeprowadzenia dowodu, to jednak uprawnienie to podlega ograniczeniom, które pod względem celowości i konieczności zapewnienia szybkości postępowania, organ powinien każdorazowo rozważyć, zwłaszcza w sytuacji, gdy nie ma dostatecznych argumentów przemawiających za zakwestionowaniem dotychczasowych ustaleń”.
Podsumowując powyższe stwierdzić należy, że w ocenie Prezesa Urzędu Ochrony Danych Osobowych, Generalny Inspektor Ochrony Danych Osobowych w postępowaniu zainicjowanym skargą Skarżącego prawidłowo ustalił stanu faktycznego sprawy uznając, że nie doszło do naruszenia przepisów o ochronie danych osobowych polegającego na przetwarzaniu przez Przewodniczącego Związku (polegającym na udostępnieniu osobom trzecim) danych osobowych Skarżącego bez podstawy prawnej.
Prezes Urzędu Ochrony Danych Osobowych dodatkowo zauważa, że nawet jeśli w niniejszej sprawie zostałoby ustalone, że doszło do wskazanego wyżej naruszenia, rozstrzygnięcie sprawy nie mogło być inne – Prezes Urzędu Ochrony Danych Osobowych zobligowany byłby odmówić uwzględnienia wniosku Skarżącego. Opierając się na przedstawionym przez Skarżącego opisie zdarzenia, stanowiącego podstawę jego skargi, należałoby uznać je za incydentalne, trwające w stosunkowo krótkim czasie po konflikcie mającym miejsce w związku ze zmianą na stanowisku Przewodniczącego Komisji Zakładowej […] przy W. Sp. z o.o. (i w związku z tym konfliktem). Nawet jeśli przyjąć, że nowy Przewodniczący Związku udostępnił dane osobowe Skarżącego w celu zdyskredytowania w jakiś sposób Skarżącego w środowisku zainteresowanym konfliktem (w zakładzie pracy, w strukturze zakładowej […] i strukturach wyższego szczebla tego związku zawodowego), to z chwilą osiągnięcia tego celu, sens i potrzeba dalszego rozpowszechniania danych osobowych Skarżącego (istniejąca hipotetycznie po stronie Przewodniczącego Związku) przestałyby istnieć. W toku postępowania (również we wniosku o ponowne rozpatrzenie sprawy) Skarżący nie wskazał na kolejne (mające miejsce po opisanych w skardze) przejawy naruszenia.
W związku z tym, że naruszenie miałoby mieć charakter incydentalny, nie kontynuowany w dacie wydania niniejszej decyzji, i wobec tego, że – jak zostało to wskazane na wstępie uzasadnienia niniejszej decyzji – Prezes Urzędu Ochrony Danych Osobowych orzeka w niniejszej sprawie na podstawie u.o.d.o. 1997 (mając do dyspozycji jedynie środki wskazane w art. 18 ust 1 tej ustawy), organ ochrony danych osobowych nie miałby podstawy do rozstrzygnięcia zgodnego z żądaniami Skarżącego. Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 17 lipca 2015 r., I OSK 2464/13 (LEX nr 2091094): „Zgodnie z tym przepisem [art. 18 ust. 1 u.o.d.o. 1997], w sytuacji, gdy dochodzi do naruszenia przepisów ustawy o ochronie danych osobowych Generalny Inspektor, w razie stwierdzenia tego naruszenia, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, poprzez wydanie określonych nakazów wymienionych w tym przepisie. W literaturze przedmiotu podkreśla się, że decyzja Generalnego Inspektora wydawana na podstawie powyższego przepisu ma służyć przywróceniu stanu zgodnego z prawem. […] Przesłanką wydania nakazu jest stwierdzenie naruszenia przepisów o ochronie danych osobowych, tj. z zebranego w postępowaniu materiału dowodowego musi wynikać, że swoim działaniem lub zaniechaniem administrator naruszył przepisy prawa. Co ważne, stwierdzony przez organ stan naruszenia przepisów o ochronie danych osobowych powinien istnieć w dacie wydania decyzji.” Jak z powyższego wynika, Prezes Urzędu Ochrony Danych Osobowych, w sprawach wszczętych przed 25 maja 2018 r., to jest przed datą rozpoczęcia stosowania przepisów Rozporządzenia 2016/679, nie ma możliwości dokonania oceny naruszeń przeszłych, nie kontynuowanych w chwili orzekania, np. w celach represyjnych – mających na celu wyciągnięcie konsekwencji w związku z takimi naruszeniami. Taką możliwość (kompetencję do nałożenia administracyjnej kary pieniężnej) Prezes Urzędu Ochrony Danych Osobowych otrzymał dopiero na podstawie przepisów Rozporządzenia 2016/679 – w sprawach wszczętych po dacie rozpoczęcia jego stosowania.
W końcu, odnosząc się do wniosku Skarżącego o „zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, zabezpieczenie danych zgodnie z art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych”, Prezes Urzędu Ochrony Danych Osobowych za prawidłową uznaje odmowę uwzględnienia tego wniosku zawartą w zaskarżonej decyzji. Ze zgromadzonego materiału dowodowego wynika, że po zdarzeniu stanowiącym podstawę skargi (przejęciu lokalu związkowego wraz ze znajdującą się tam dokumentacją przez nowo wybranego Przewodniczącego Związku), administrator danych zastosował adekwatne do zagrożeń środki bezpieczeństwa, w szczególności prawno-organizacyjne (nowa umowa najmu lokalu związkowego zawarta z W. Sp. z o.o. w dniu […] lutego 2015 r.) i techniczne (lokal i szafka na dokumenty zawierające dane osobowe zamknięte na klucz, dostępne dla Przewodniczącego Związku). Takie środki bezpieczeństwa Prezes Urzędu Ochrony Danych Osobowych uznaje za prawidłowe i wystarczające w sytuacji prawidłowego, bieżącego funkcjonowania […] przy W. Sp. z o.o., gdy wybór nowego Przewodniczącego Związku został prawnie usankcjonowany zgodnie ze statutowymi rozwiązaniami obowiązującymi w […], a konflikt będący źródłem i podstawą skargi przestał istnieć.
W zaistniałym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Decyzja jest ostateczna. Zgodnie z art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 ze zm.), od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Jednakże w związku z obowiązującym w dniu wydania decyzji stanem epidemii, zgodnie z art. 15zzr ust. 1 pkt 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 374), zwanej dalej „ustawą COVID-19”, bieg tego terminu aktualnie nie rozpocznie się; zacznie on biec:
- - w dniu następującym po ostatnim dniu obowiązywania stanu epidemii lub następującego po nim bezpośrednio ewentualnego stanu zagrożenia epidemicznego
- ewentualnie
- - w dniu następującym po ostatnim dniu obowiązywania przepisu art. 15zzr ust. 1 pkt 1 ustawy COVID-19, w przypadku jego uchylenia przed datą zakończenia stanu epidemii lub stanu zagrożenia epidemicznego.
Wpis od skargi wynosi 200 zł. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.