Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) w zw. z art. 7 ust. 1 oraz z art. 57 ust. 1 pkt f i art. 6 ust. 1 lit. c i lit. e Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1 ze zm.) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana G. G., zamieszkałego w K., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Komendanta Miejskiego Policji w K. polegające na bezprawnym udostępnieniu jego danych osobowych osobie nieuprawnionej, tj. Panu J. K. - Zastępcy Prezesa Spółdzielni „[...]” w K.,

odmawiam uwzględnienia wniosku

Uzasadnienie

W dniu [...] lipca 2018 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana G. G.(zwanego dalej: „Skarżącym”) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Komendanta Miejskiego Policji w K. (zwanego dalej: „Komendantem”), polegające na udostępnieniu jego danych osobowych w postaci numeru telefonu i adresu zamieszkania osobie nieuprawnionej, tj. Panu J. K. - Zastępcy Prezesa Spółdzielni „[...]” w K. Skarżący wskazał również, że Komendant nie wypełnił ciążących na nim, jako na administratorze danych, obowiązków informacyjnych określonych w art. 12 i art. 13 ogólnego rozporządzenia o ochronie danych osobowych. W związku z powyższym Skarżący wniósł o nakazanie Komendantowi wypełnienia wobec niego wyżej wskazanych obowiązków informacyjnych, usunięcia jego danych osobowych zgodnie z art. 58 ust. 2 pkt f ogólnego rozporządzenia o ochronie danych osobowych oraz zastosowanie pieniężnej kary administracyjnej wobec Komendanta. W uzasadnieniu skargi Skarżący wyjaśnił, iż swoje dane osobowe udostępnił podczas przesłuchiwania go w charakterze świadka w postępowaniu prowadzonym przez organy Policji. Pouczono go, że jego dane osobowe nie będą ujawnione w aktach sprawy, a jedynie zamieszczone w załączniku adresowym, dostępnym dla organu prowadzącego postępowanie. Jednakże, jak twierdzi Skarżący, jego dane osobowe zostały udostępnione przez administratora danych na rzecz osoby nieuprawnionej - Pana J. K., z którym pozostaje w konflikcie, a ponadto nie jest on stroną prowadzonego przez organy Policji postępowania. W związku z powyższym Skarżący wskazuje, iż administrator danych bezprawnie udostępnił jego dane osobowe, gdyż uczynił to bez jego zgody, co stanowiło naruszenie jego prawa do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia.

W pismach z [...] lipca 2018 r. oraz [...] września 2018 r. zatytułowanych „uzupełnienie skargi z [...] lipca 2018 r. na bezprawne udostępnienie danych osobowych i nieprawidłowości w przetwarzaniu danych osobowych” Skarżący podniósł, iż nadal nie posiada wiedzy, kto jest w rzeczywistości jest administratorem jego danych osobowych, gdyż na stronie internetowej Komisariatu Policji w zakładce „kontakt” widniej informacja, że administratorem danych osobowych jest Komendant Miejski Policji w K., zaś w zakładce „załatw sprawę”, w pliku PDF zawierającym informację dotyczącą przetwarzania i ochrony danych osobowych wskazano, że administratorem danych jest Komendant Wojewódzki Policji w K. Na potwierdzenie powyższego Skarżący załączył wydruki ze stron internetowej Komisariatu Policji w K. Ponadto wskazał na bezzasadność powołania się przez Komendanta na art. 156a ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. z 2018 r. poz. 1600 ze zm.), zwaną dalej: „k.p.k.”, jako podstawę udostępnienia jego danych osobowych na rzecz Spółdzielni Mieszkaniowej „[...]”, zwaną dalej: „Spółdzielnią”, z uwagi na brak interesu prawnego w pozyskaniu tych danych, tym bardziej, że lokal mieszkalny stanowi odrębną własność. Skarżący zaznaczył również, że brak było zgody Prokuratora na udostępnienie jego numeru telefonu. Skarżący podniósł także, że Komendant w sposób nieuprawniony udostępnił Panu J. K. dane dotyczące śmierci jego zmarłej matki.

W toku postępowania zainicjowanego skargą, Prezes Urzędu Ochrony Danych Osobowych uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń.

Prezes Urzędu Ochrony Danych Osobowych poinformował Skarżącego oraz Komendanta o wszczęciu postępowania wyjaśniającego w sprawie oraz zwrócił się do Komendanta o ustosunkowanie się do treści skargi oraz złożenie pisemnych wyjaśnień. W dniu [...] sierpnia 2018 r. do Urzędu Ochrony Danych Osobowych wpłynęło pismo Komendanta ([...]), w którym wyjaśnił, iż funkcjonariusze Wydziału Kryminalnego Komisariatu Policji w K., pod nadzorem Prokuratury Rejonowej [...] w K., wykonywali czynności w ramach powierzonego śledztwa w sprawie nieumyślnego spowodowania śmierci matki Skarżącego. W toku czynności ustalono, iż zwłoki leżały w mieszkaniu prawdopodobnie przez okres od [...] do [...] 2018 r. W związku z zaistniałą sytuacją Spółdzielnia zwróciła się do Komisariatu Policji w K. o umożliwienie kontaktu ze spadkobiercą, synem denatki - Skarżącym w celu przeprowadzenia dezynfekcji lokalu. Jak wskazał Komendant w ww. piśmie, po rozmowie telefonicznej z referentem postępowania Skarżący zobowiązał się skontaktować ze Spółdzielnią, jednak oświadczył, iż czynność dezynfekcji powinna zostać wykonana przez Spółdzielnię. Jak wynika z treści pisma z [...] sierpnia 2018 r. Komendanta ([...]), Skarżący nie wykonał jednak powyższego zobowiązania. W dniu [...] lipca 2018 r. Zastępca Komendanta Komisariatu Policji w K. odpowiadając na pismo z [...] lipca 2018 r. Zarządu Spółdzielni Mieszkaniowej [...] ([...]), podpisane przez dwóch członków zarządu: Prezesa Zarządu, Kierownika Spółdzielni [...] i Zastępcę Prezesa Zarządu, Kierownika GZM [...], na podstawie art. 156a k.p.k. i za zgodą Prokuratora Prokuratury Rejonowej [...], przekazał Spółdzielni adres Skarżącego celem realizacji jej ustawowych zadań związanych z przeprowadzenie dezynfekcji lokalu mieszkalnego, który stanowił zagrożenie sanitarno-epidemiologiczne.

W ww. piśmie Komendant wskazał również, że pismem z [...] lipca 2018 r. ([...]) Skarżący został poinformowany o podstawach faktycznych i prawnych przekazania jego danych osobowych na rzecz Spółdzielni Mieszkaniowej (pismo w aktach sprawy). Odrębnym pismem z [...] sierpnia 2018 r. ([...]) Skarżący został poinformowany o przeprowadzeniu czynności sprawdzających, które nie potwierdziły naruszenia przepisów ogólnego rozporządzenia o ochronie danych osobowych. Do ww. pism zostały załączone klauzule informacyjne dotyczące przetwarzania danych osobowych wraz z danymi administratora danych - Komendanta Miejskiego Policji w K.

Komendant odniósł się również do błędnych informacji na temat klauzul informacyjnych dotyczących przetwarzania danych osobowych, wskazując, że użycie zakładki „załatw sprawę” na stronach internetowych Komendy Miejskiej Policji w K. oraz Komisariatu Policji w K. powoduje przekierowanie do formularzy Komendy Wojewódzkiej Policji w K.

W piśmie z [...] października 2018 r. ([...]), stanowiącym odpowiedź na zarzuty Skarżącego zawarte w przywołanym powyżej piśmie z [...] września 2018 r., Komendant ponownie przytoczył podstawę prawną udostępnienia danych osobowych Skarżącego, tj. art. 156a k.p.k. Wskazał, iż przywołany przepis zezwala na udostępnienie danych lub oryginałów dokumentów znajdujących się w załączniku adresowym, przy czym nie zawęża danych do miejsca zamieszkania, czy imienia i nazwiska. W niniejszej sprawie numer telefonu Skarżącego przechowywany był w załączniku adresowym do akt sprawy, a sam Skarżący, jak twierdzi Komendant, wyraził zgodę na kontakt telefoniczny z przedstawicielami Spółdzielni w tej sprawie.

Ponadto wyjaśnił, że Spółdzielnia dążąc do przeprowadzenia dezynfekcji lokalu mieszkalnego miała na celu ochronę zdrowia mieszkańców budynku przed negatywnymi konsekwencjami postępującego rozkładu ciała w jednym z lokali mieszkalnych. Wskazał także, że złożone zostało zawiadomienie o popełnieniu przestępstwa z art. 165 § 1 k.k., tj. sprowadzenie niebezpieczeństwa dla życia lub zdrowia wielu osób poprzez spowodowanie zagrożenia epidemiologicznego w związku z postawą Skarżącego, który sam nie przeprowadził dezynfekcji lokalu, ani nie podjął próby współdziałania w tym zakresie ze Spółdzielnią, mimo istnienia w tym zakresie obowiązku prawnego.

Prezes Urzędu Ochrony Danych Osobowych poinformował pismami z [...] listopada 2018 r. Skarżącego oraz Komendanta o przeprowadzeniu postępowania administracyjnego, w wyniku którego został zgromadzony materiał dowodowy wystarczający do wydania decyzji administracyjnej oraz o możliwości wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań zgodnie z treścią art. 10 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, w terminie 7 dni od dnia otrzymania ww. pism.

W takim stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Powołane rozporządzenie o ochronie danych osobowych stwarza prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego. W celu jej realizacji organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Oznacza to, iż organ ochrony danych osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z przesłanek legalizujących przetwarzanie danych osobowych, wskazanej w art. 6 ust. 1 ww. rozporządzenia o ochronie danych osobowych i w zależności od występujących w sprawie ustaleń - albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych.

Zgodnie z treścią art. 1 ust. 2 przywołanego rozporządzenia chroni ono podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 4 pkt 2 tego rozporządzenia, musi odbywać się na zasadach określonych w tym akcie prawnym, tj. zgodnie z prawem, rzetelnie i w sposób przejrzysty, w prawnie uzasadnionych celach i ograniczone do tego co niezbędne do tych celów, a także z zapewnieniem odpowiedniego bezpieczeństwa tych danych.

W toku postępowania Prezes Urzędu Ochrony Danych Osobowych ustalił, iż dane osobowe Skarżącego zostały pozyskane w związku z prowadzonymi przez funkcjonariuszy policji czynnościami w ramach prowadzonego śledztwa w sprawie nieumyślnego spowodowania śmierci jego matki. Skarżący w tym postępowaniu występował w charakterze świadka. Jego dane osobowe w postaci imienia, nazwiska, adresu zamieszkania oraz numeru telefonu zostały umieszczone w załączniku adresowym akt sprawy. Spółdzielnia dążąc do przeprowadzenia dezynfekcji lokalu mieszkalnego w celu ochrony zdrowia mieszkańców budynku przed negatywnymi konsekwencjami postępującego rozkładu ciała w lokalu Skarżącego, zwróciła się do Komendanta o nawiązanie kontaktu ze Skarżącym. Z uwagi na brak współdziałania Skarżącego ze Spółdzielnią, Prokurator Prokuratury Rejonowej [...] na wniosek Zarządu Spółdzielni oraz na podstawie art. 156a k.p.k. wyraził zgodę na udostępnienie adresu Skarżącego celem umożliwienia realizacji zadań Spółdzielni związanych z utrzymywaniem nieruchomości w należytym stanie higieniczno - sanitarnym.

Zgodnie z treścią art. 156a k.p.k. „dane lub oryginały dokumentów znajdujące się w załączniku adresowym udostępnia się wyłącznie organom państwowym oraz organom samorządu terytorialnego na ich wniosek, jeżeli jest to niezbędne dla wykonywania ustawowych zadań tych organów. Można je udostępnić także na wniosek innych instytucji lub osób, jeżeli przemawia za tym ich ważny interes”. Przepis określa sposób udostępniania zawartości załącznika adresowego określonym podmiotom, jeśli wystąpią one z wnioskiem do organu prowadzącego postępowanie lub prokuratora, w zależności od tego, jaki jest status procesowy organu lub osoby wnoszącej o udostępnienie tych danych. W niniejszej sprawie zgoda na udostępnienie danych osobowych Skarżącego została wyrażona przez prokuratora nadzorującego postępowanie przygotowawcze. Ponadto przepis wymaga uzasadnienia wniosku poprzez wskazanie ważnego interesu w pozyskaniu chronionych informacji znajdujących się w załączniku adresowym w przypadku podmiotów zaliczanych przez ustawodawcę do „innych instytucji”, do których niewątpliwie należą spółdzielnie mieszkaniowe. W piśmie z [...] lipca 2018 r. zarząd Spółdzielni Mieszkaniowej wskazał jako interes w pozyskaniu danych osobowych Skarżącego zagrożenie sanitarno-epidemiologiczne sąsiednich lokali mieszkalnych w związku z rozkładem zwłok ludzkich w lokalu należącym do Skarżącego.

W tym miejscu należy wskazać, iż zgodnie z art. 22 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz. z 2018 r. poz. 151 ze zm.) ustawodawca nałożył zarówno na właściciela jak i na zarządzającego nieruchomością, w tym przypadku Spółdzielnię, obowiązek utrzymania należytego stanu sanitarno - epidemiologicznego nieruchomości. Oznacza to, iż Spółdzielnia ma obowiązek ustalenia, czy stan sanitarny budynku, w tym lokalu mieszkalnego, nie wskazuje na istnienie zagrożenia dla życia lub zdrowia pozostałych mieszkańców, a w przypadku stwierdzenia nieprawidłowości podjąć odpowiednie czynności w celu jego wyeliminowania. W związku z tym, iż lokal stanowi odrębną własność, Spółdzielnia podjęła próbę uzyskania danych adresowych jego właściciela celem zobowiązania go do wykonania dezynfekcji lokalu. Jednocześnie należy zaznaczyć, iż zgodnie z art. 13 ustawy z dnia 24 czerwca 1994 r. o własności lokali (Dz. U. z 2018 r. poz. 716 ze zm.) właściciel ponosi wydatki związane z utrzymaniem jego lokalu, jest obowiązany utrzymywać swój lokal w należytym stanie, przestrzegać porządku domowego, uczestniczyć w kosztach zarządu związanych z utrzymaniem nieruchomości wspólnej, korzystać z niej w sposób nie utrudniający korzystania przez innych współwłaścicieli oraz współdziałać z nimi w ochronie wspólnego dobra. Ponadto wskazania wymaga, iż ustawa z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych (Dz. U. z 2018 r. poz. 845) w art. 6¹ ust. 3 pkt 2 zezwala Spółdzielni na zastępcze wykonanie prac obciążających właściciela lokalu, po uprzednim udostępnieniu przez niego lokalu. Tożsame obowiązki utrzymania lokalu w należytym stanie techniczno-sanitarnym oraz udostępnienia lokalu w celu zastępczego wykonania prac określa Statut Spółdzielni Mieszkaniowej „[...]” w K. z [...] listopada 2007 r. z późniejszymi zmianami w § 26 ust. 10 i ust. 13 pkt b.

W niniejszej sprawie Skarżący niewątpliwie nie zadbał o należyty stan sanitarny swojego lokalu mieszkalnego, gdyż nie dokonał koniecznej dezynfekcji w celu usunięcia szkodliwych substancji i śladów biologicznych po zwłokach. Nie podjął również próby współdziałania w tym zakresie ze Spółdzielnią, która była uprawniona do dokonania tej czynności w ramach wykonania zastępczego, o którym stanowi art. 6¹ ust. 3 pkt 2 ustawy o spółdzielniach mieszkaniowych. Tym samym nie wypełnił on nałożonych na niego, jako właściciela lokalu, obowiązków prawnych wynikających z wyżej przywołanych aktów prawnych.

Podsumowując powyższe rozważania należy wskazać, iż art. 156a k.p.k. jest uzupełnieniem norm ogólnych w zakresie dostępności do materiałów zgromadzonych w toku postępowania karnego i przesądza o legalności udostępnienia danych osobowych, w tym numeru telefonu Skarżącego przez organy prowadzące postępowanie na rzecz Spółdzielni, która legitymowała się „ważnym interesem” w postaci zapewnienia należytego stanu higieniczno-sanitarnego nieruchomości, realizowanym w interesie publicznym.

Odnosząc się do kwestii udostępnienia danych zmarłej matki Skarżącego wskazać należy, że ogólne rozporządzenie o ochronie danych nie ma zastosowania danych osobowych osób zmarłych (motyw 27 rozporządzenia).

W odniesieniu z kolei do zarzutu Skarżącego w zakresie błędnych informacji na temat klauzul informacyjnych dotyczących przetwarzania danych osobowych zamieszczonych na stronach internetowych należy wskazać, iż na stronie internetowej Komisariatu Policji w K. w zakładce „kontakt” widnieje klauzula informacyjna wraz z danym administratora danych oraz inspektora ochrony danych osobowych. Z kolei po wybraniu zakładki „załatw sprawę” na tejże stronie następuje przekierowanie do formularzy stosowanych w Komendzie Wojewódzkiej Policji w K. do załatwiania określonych spraw. W tejże zakładce została zawarta także klauzula dotycząca przetwarzania i ochrony danych osobowych w Komendzie Wojewódzkiej Policji w K., ale w odniesieniu do spraw należących do właściwości tej jednostki. Ponadto jak wynika z zebranego materiału dowodowego Komendant w pismach z [...] lipca 2018 r. oraz [...] sierpnia 2018 r. poinformował Skarżącego o podstawach faktycznych i prawnych przekazania jego danych osobowych na rzecz Spółdzielni oraz załączył klauzule informacyjne dotyczące przetwarzania danych osobowych wraz z danymi administratora danych - Komendanta Miejskiego Policji w K. i inspektora ochrony danych osobowych, wobec czego wypełnił obowiązek informacyjny.

Mając powyższe na uwadze należy stwierdzić, iż po stronie Komendanta nie doszło do naruszenia zasad przetwarzania danych osobowych, albowiem zostały spełnione przesłanki legalności procesu przetwarzania danych Skarżącego w oparciu o przywołane powyżej przepisy.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U z 2018 r., poz. 1000 ze zm.) w związku z art. 13 § 2, art. 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U z 2018 r., poz. 1302 ze zm.) od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego, w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 zl. Strona ma prawo ubiegać się o prawo pomocy, w tym zwolnienie od kosztów sądowych.