Decyzja

Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096, ze zm., dalej: k.p.a.) oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 i pkt 5 ustawy z dnia  29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922, ze zm., dalej: ustawa o ochronie danych osobowych) w związku z art. 100 ust. 1 i 2 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. 2019 poz. 125), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana P. C., zam. w W. na przetwarzanie jego danych osobowych zebranych w toku postępowania wyjaśniającego w sprawie o wykroczenie drogowe, przez Straż Gminną w K., Straż Miejską Miasta S. oraz Straż Miejską w W.,

umarzam postępowanie

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pana P. C., zwanego dalej także „Skarżącym”, na przetwarzanie jego danych osobowych, tj. adresu zamieszkania w postępowaniu w sprawie o wykroczenie przez Urząd Gminy w K., Straż Miejską w W. oraz Straż Miejską Miasta S.

W tym miejscu należy wskazać, że z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, tj. 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Zgodnie zaś z art. 100 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, postępowania prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy (tj. przed 6 lutego 2019 r.) prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego (dalej: k.p.a.).

Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają zatem skuteczne.

W toku postępowania zainicjowanego skargą, Generalny Inspektor Ochrony Danych Osobowych (obecnie: Prezes Urzędu Ochrony Danych Osobowych) uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń.

Skarżący pismem z [...] marca 2014 r. zgłosił Prezesowi Urzędu, iż Straż Miejska w W., Straż Miejska w S. oraz Straż Gminna w K. pozyskały jego dane osobowe w postaci prywatnego adresu zamieszkania oraz celowo kierowały na ten adres korespondencję w związku z popełnionymi wykroczeniami przez pracowników [...] Bank Polska S.A., w której Skarżący był Prezesem Zarządu. Wyjaśnił, że potencjalne popełnienie wykroczenia przeciwko porządkowi i bezpieczeństwu w komunikacji przez użytkownika jednego z pojazdów leasingowanych przez Bank i żądanie przez uprawnione organy informacji o tym, kto był użytkownikiem  pojazdu w chwili popełnienia wykroczenia zawsze skutkują udzieleniem przez Bank  precyzyjnej odpowiedzi w tym zakresie. Działanie takie należy do obowiązków jednej z jednostek organizacyjnych Banku. Wskazał również, że nieuzyskanie oczekiwanych informacji przez straż gminną/miejską powinno każdorazowo skutkować ponownym zwróceniem się o informacje bezpośrednio do Zarządu Banku, na adres siedziby, ujawniony w Krajowym Rejestrze Sądowym. Pan P. C. zwrócił uwagę, że jego adres zamieszkania nie figuruje w Krajowym Rejestrze Sądowym i został pozyskany nielegalnie. W rezultacie w ocenie Skarżącego w/w podmioty nie miały podstaw kierowania korespondencji w sprawie dotyczącej Banku na jego adres zamieszkania, który nie jest ujawniony w publicznie dostępnych źródłach.  

Pismami z [...] sierpnia 2014 r. Generalny Inspektor Ochrony Danych Osobowych zwrócił się do Komendanta Straży Miejskiej w S., Komendanta Straży Miejskiej w W. oraz Komendanta Straży Gminnej w K. o ustosunkowanie się do treści skargi oraz złożenie pisemnych wyjaśnień, załączając kopię skargi.

W wyjaśnieniach złożonych przed Generalnym Inspektorem Ochrony Danych Osobowych, Komendant Straży Miejskiej w W., ustosunkowując się do treści skargi Pana P. C. wskazał, że podstawą przetwarzania danych osobowych Skarżącego pozyskanych ze zbioru „Powszechny Elektroniczny System Ewidencji Ludności”  jest art. 44h ust. 1 pkt 2 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (Dz.U. 2006 r. poz.139 ze zm., dalej: ustawa o ewidencji ludności i dowodach osobistych), zaś podstawą prawną przetwarzania danych osobowych pozyskanych ze zbioru: „Centralna Ewidencja Pojazdów i Kierowców” jest art. 80c ust. 1 pkt 10a oraz 100c ust. 1 pkt 8a ustawy z dnia 20 czerwca 1997 r. Prawo o ruchu drogowym (Dz.U. 2012 r. poz. 1137 ze zm.). Wskazał także, iż w toku czynności wyjaśniających w związku z ujawnieniem wykroczenia polegającego na parkowaniu pojazdu marki F. nr rej. [...] w odległości mniejszej niż 10 m od skrzyżowania stwierdzono, że użytkownikiem pojazdu jest [...] Bank Polska S.A. Podkreślił, iż Straż Miejska w W. zwróciła się pisemnie na adres w/w podmiotu o wskazanie osoby, której w okresie czasu, w jakim stwierdzono wskazane wykroczenie, powierzono do kierowania lub używania w/w samochód, jednak wezwania pozostały bez odpowiedzi. W konsekwencji zwróciła się bezpośrednio na adres zamieszkania Pana P. C. jako kierownika podmiotu, do którego należy pojazd, celem złożenia stosownych wyjaśnień.

Pismem z [...] sierpnia 2014 r. Komendant Straży Gminnej w K. poinformował, iż dane Skarżącego zostały pozyskane na podstawie art. 44h ust. 1 i 5 ustawy o ewidencji ludności i dowodach osobistych, w zakresie: numeru PESEL, nazwiska, imienia, nazwiska rodowego, imienia ojca, imienia matki, nazwiska rodowego matki, miejsca urodzenia, adresu, serii i numeru dowodu osobistego. Podniósł, iż Straż Gminna w K. zwróciła się do [...] Bank Polska S.A. o wskazanie, komu został powierzony pojazd będący we władaniu w/w podmiotu do kierowania lub używania w oznaczonym czasie. Podkreślił, że wobec braku odpowiedzi, Straż Gminna w K. po uprzednim pozyskaniu danych osobowych, zwróciła się do Skarżącego, jako prawnego reprezentanta podmiotu [...] Bank Polska S.A., o wskazanie, komu został powierzony pojazd będący we władaniu w/w podmiotu do kierowania lub używania w oznaczonym czasie.

Jak ustalono, [...] września 2015 r. Rada Gminy w K. podjęła uchwałę nr [...] w sprawie rozwiązania Straży Gminnej w K. ze skutkiem na [...] grudnia 2015 r.

Natomiast Komendant Straży Miejskiej Miasta S. w piśmie z [...] sierpnia 2014 r. wyjaśnił, iż w związku z popełnieniem wykroczenia drogowego, Straż Miejska w S. zwróciła się do właściciela pojazdu – [...] Bank Polska S.A. z wnioskiem o udzielenie informacji o użytkowniku pojazdu, którym popełniono wykroczenie. Zwrócił uwagę, iż [...] Bank Polska S.A. nie zareagował na wezwanie Straży Miejskiej Miasta S., dlatego skierował wezwanie na adres miejsca zamieszkania Skarżącego, jako kierownika podmiotu, do którego należy pojazd, celem złożenia stosownych wyjaśnień. W ocenie Komendanta Straży Miejskiej w S., pozyskanie i przetwarzanie danych osobowych Pana P. C. w postaci jego adresu zamieszkania nastąpiło przy spełnieniu przesłanek przetwarzania danych osobowych wskazanych w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych oraz właściwej decyzji i porozumienia.

Pismami z [...] listopada 2015 r. Skarżący, Komendant Straży Miejskiej Miasta S., Komendant Straży Miejskiej w W. oraz Komendant Straży Gminnej w K. zostali powiadomieni, iż na podstawie zgromadzonego materiału dowodowego zostanie wydana decyzja administracyjna. Strony zostały poinformowane, iż w terminie 7 dni od doręczenia im niniejszego pisma mają możliwość wypowiedzenia się do co zebranych dowodów i materiałów oraz zgłoszonych żądań. Do dnia podjęcia niniejszej decyzji żadna ze stron nie ustosunkowała się do zebranego materiału dowodowego.

W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

W niniejszej sprawie przedmiotem skargi był zarzut bezprawnego pozyskania i przetwarzania  adresu zamieszkania Skarżącego, w sytuacji, gdy adres ten nie jest ujawniony w publicznie dostępnych rejestrach. Dane te zostały pozyskane w związku z prowadzonymi postępowaniami wykroczeniowymi.

W pierwszej kolejności należy podkreślić, iż ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2016 r. poz. 922, ze zm.), zwana dalej „ustawą”, stwarza prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego. W celu jej realizacji organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Oznacza to, iż organ ochrony danych osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z przesłanek legalizujących przetwarzanie danych osobowych, wskazanej w art. 23 ust. 1 ww. ustawy o ochronie danych osobowych i w zależności od występujących w sprawie ustaleń, albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych.

Zgodnie z treścią art. 1 przywołanej ustawy, każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 cytowanej ustawy, dopuszczalne jest tylko ze względu na określone dobra, tj. dobro publiczne, dobro osoby, której dane dotyczą lub dobro osoby trzeciej i tylko w zakresie oraz trybie określonym ustawą. Mając zatem na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 ustawy). W myśl art. 3 ust. 1 ww. ustawy stosuje się ją do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Z tego względu do przestrzegania jej przepisów zobowiązana jest m.in. straż gminna. Jednocześnie należało mieć w polu widzenia zasadę legalności (art. 26 ust. 1 pkt 1 ustawy), zgodnie z którą administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić aby dane te były przetwarzane zgodnie z prawem. Ponadto administrator danych osobowych powinien przetwarzać je dla oznaczonych zgodnych z prawem celów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami (art. 26 ust. 1 pkt 2 ustawy). W ocenie Prezesa Urzędu Ochrony Danych Osobowych w omawianej sprawie wskazane powyżej przesłanki zostały spełnione.

Przede wszystkim należy podnieść, iż jak wynika z uchwały Nr [...] Rady Gminy w K. z [...] września 2015 r., Rada Gminy rozwiązała Straż Gminną w K. ze skutkiem na [...] grudnia 2015 r. Nadto ustalono, iż rozwiązana Straż nie posiada następcy prawnego, a dokumentacja związana z jej działalnością została zarchiwizowana przez Gminę w K.

Zgodnie z art. 105 § 1 k.p.a. gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części.

W doktrynie wskazuje się, że „bezprzedmiotowość postępowania administracyjnego”, o której mowa w art. 105§1 k.p.a., oznacza brak któregoś z elementów stosunku materialnoprawnego skutkującego tym, że nie można załatwić sprawy przez rozstrzygnięcie jej co do istoty. Umorzenie postępowania administracyjnego stanowi orzeczenie formalne, kończące postępowanie, bez jej merytorycznego rozstrzygnięcia (wyrok Naczelnego Sądu Administracyjnego w Warszawie z 21 września 2010 r., II OSK 1393/09). Ustalenie przez organ publiczny zaistnienia przesłanki, o której mowa w art. 105§1 k.p.a., zobowiązuje go, jak podkreśla się w doktrynie i orzecznictwie, do umorzenia postępowania, bo nie ma wówczas podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie w takiej sytuacji postępowania stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.

Mając na uwadze okoliczność, iż Straż Gminna w K. została rozwiązana, wobec bezprzedmiotowości postępowania – braku podmiotu, na którego działania wniesiono skargę, należało rozstrzygnąć jak we wstępie.  

Ponadto kluczowe znaczenie dla rozstrzygnięcia niniejszej sprawy ma przepis art. 78 ust. 4 ustawy z dnia 20 czerwca 1997 r. prawo o ruchu drogowym (Dz.U. z 2018 r., poz. 1990 ze zm., dalej: prawo o ruchu drogowym), zgodnie z którym właściciel lub posiadacz pojazdu jest obowiązany wskazać na żądanie uprawnionego organu, komu powierzył pojazd do kierowania lub używania w oznaczonym czasie, chyba że pojazd został użyty wbrew jego woli i wiedzy przez nieznaną osobę, czemu nie mógł zapobiec. Nadto w myśl ust. 5 gdy właścicielem lub posiadaczem pojazdu jest osoba prawna – do udzielenia informacji, o której mowa w ust. 4, obowiązana jest osoba wyznaczona przez organ uprawniony do reprezentowania tego podmiotu na zewnątrz, a w przypadku niewyznaczenia takiej osoby – osoby wchodzące w skład tego organu zgodnie z żądaniem organu, o którym mowa w ust. 4, oraz sposobem reprezentacji podmiotu.

W świetle powyższych przepisów zarówno Straż Miejska w W.  jak i Straż Miejska w S. były uprawnione do pozyskiwania danych o użytkowniku pojazdu w związku z postępowaniem wykroczeniowym. Wskazuje na to również art. 10 pkt 1 ustawy o strażach gminnych, w myśl którego straż wykonuje zadania w zakresie ochrony porządku publicznego wynikające z ustaw i aktów prawa miejscowego.

Zgodnie z art. 10a ust. 1 tej ustawy straż w celu realizacji ustawowych zadań może przetwarzać dane osobowe, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, bez wiedzy i zgody osoby, której dane te dotyczą, uzyskane: 1) w wyniku wykonywania czynności podejmowanych w postępowaniu w sprawach o wykroczenia; 2) z rejestrów, ewidencji i zbiorów, do których straż posiada dostęp na podstawie odrębnych przepisów.

W tym miejscu wymaga podkreślenia, iż Komendant Straży Miejskiej Miasta S. i Komendant Straży Miejskiej w W. są administratorami danych, w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

[...] Bank S.A. jako posiadacz pojazdów, których kierujący nimi naruszyli przepisy prawa o ruchu drogowym, miał prawny obowiązek udzielić informacji na temat danych pracowników kierujących pojazdami w okresach, w których doszło do potencjalnych wykroczeń. Z obowiązkiem tym skorelowane było uprawnienie jednostek straży miejskich do skutecznego żądania danych indywidualizujących sprawców tych wykroczeń.

Z materiału dowodowego zebranego w sprawie jasno wynika, że mimo starań Straży Miejskiej w S. oraz Straży Miejskiej w W., odbiorca wezwań – [...]  Bank S.A. nie podjął żadnych kroków celem zadośćuczynienia żądaniom w/w organów. W konsekwencji zarówno Straż Miejska w S. jak i Straż Miejska w W. zwróciły się bezpośrednio do Prezesa Zarządu [...] Bank S.A. z wezwaniem do udzielenia niezbędnych informacji celem dalszego prowadzenia postępowania w sprawie wykroczeń. Wskazują na to dokumenty zgromadzone w toku postępowania, tj. wniosek z [...] kwietnia 2013 r. Straży Miejskiej w S. do [...] Bank S.A., wniosek z [...] maja 2013 r. Straży Miejskiej w S.do [...] Bank S.A., wezwanie z [...] lipca 2013 r. Straży Miejskiej w W. kierowane do Pana P. C., wezwanie z [...] września 2013 r. Straży Miejskiej w S. kierowane do Pana P. C. W związku z tym pozyskały adres zamieszkania Skarżącego. Podstawą przetwarzania danych jak i ich żądania są przepisy art. 44h ust. 1 pkt 2 ustawy z 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (Dz.U. 2006 Nr 139, poz. 993 ze zm.) oraz art. 78 ust. 5 prawa o ruchu drogowym.

W świetle powyższego, pozyskanie przez Straż Miejską w S. oraz Straż Miejską w W., danych osobowych Pana P. C. w postaci adresu zamieszkania miało podstawę prawną w w/w przepisach. Wymaga podkreślenia, iż celem  pozyskania i przetwarzania danych osobowych Skarżącego było ustalenie sprawców wykroczeń drogowych w postępowaniach prowadzonych przez w/w straże miejskie. Zatem przetwarzanie danych osobowych Pana P. C. nastąpiło z uwagi na dobro publiczne, którym w tym kontekście jest utrzymanie porządku publicznego oraz egzekwowanie przepisów prawa powszechnie obowiązującego.

Przeprowadzona analiza zebranego materiału dowodowego dowodzi, że dane osobowe Skarżącego były przetwarzane jedynie w związku z prowadzonymi postępowaniami w sprawie wykroczenia drogowego. Należy podnieść, iż wszczęcie postępowania było zasadne z uwagi na prowadzone postępowanie wyjaśniające, tj. ustalenie osób prowadzących samochody z floty znajdującej się w posiadaniu [...] Bank S.A. Przyjęcie innego poglądu uniemożliwiałoby wykonywanie przez straże miejskie ich ustawowych zadań.

W rezultacie powyższych ustaleń i rozważań organ uznał, iż nie doszło do naruszenia przepisów o ochronie danych osobowych. Zarówno Straż Miejska Miasta S. jak i Straż Miejska w W., realizując prawny obowiązek wynikający z przepisów ustawy o strażach gminnych we właściwy i adekwatny sposób dokonały zebrania i przetwarzania danych osobowych Skarżącego. Dlatego w niniejszej sprawie od samego początku nie miało miejsce naruszenie danych osobowych, co czyniło postępowanie bezprzedmiotowym w całości.

Z powyższych względów, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 9 ust. 2 ustawy z dnia  6 grudnia 2018 r. o ochronie danych osobowych  przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. 2019 r. poz. 125) od niniejszej decyzji stronie przysługuje prawo do wniesienia skargi na decyzję Prezesa Urzędu Ochrony Danych Osobowych do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie.