Decyzja
ZSPR.440.913.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 18 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) oraz z art. 12 w zw. z art. 15 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 1 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana P. S zam. w […] na niewypełnienie wobec niego obowiązku informacyjnego, o którym mowa w art. 33 ust. 1 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) przez P. S.A. z siedzibą w […], Prezes Urzędu Ochrony Danych Osobowych
nakazuje P. S.A. z siedzibą w […] spełnienie obowiązku informacyjnego wobec Pana P. S. zam. w […] poprzez podanie treści jego danych osobowych przetwarzanych przez P. S.A.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana P. S. zam. w […], zwanego dalej Skarżącym, na niewypełnienie wobec niego obowiązku informacyjnego, o którym mowa w art. 33 ust. 1 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138) zwanej dalej uodo 1997, przez P. S.A. z siedzibą w […], zwaną dalej Spółką.
W treści przedmiotowej skargi Skarżący podniósł, iż, Spółka nie udzieliła mu informacji o których mowa w art. 33 w zw. z art. 32 ust. 1 uddo 1997, w związku z czym dopuściła się naruszenia przepisów ww. ustawy.
W celu rozpatrzenia przedmiotowego wniosku, Generalny Inspektor Ochrony Danych Osobowych przeprowadził postępowanie wyjaśniające, w toku którego ustalił następujące okoliczności faktyczne.
- Spółka przetwarza dane Skarżącego w zbiorach: […].
- Pismem datowanym na dzień […] grudnia 2017 r. Skarżący, w ramach przysługującego mu uprawnienia z art. 33 ust. 1 ustawy o ochronie danych osobowych wystąpił z żądaniem udzielania mu informacji o przetwarzanych przez Spółkę jego danych osobowych, poprzez podanie w powszechnie zrozumiałej formie treści jego danych osobowych.
- Pismem z dnia […] stycznia 2018 r. Spółka wystosowała do Skarżącego pismo w którym wskazała o sposobie i terminie pozyskania danych osobowych Skarżącego, poinformowała w jakich zbiorach przetwarzane są dane osobowe Skarżącego, w jakim celu i zakresie przetwarza dane osobowe Skarżącego. Pismo to nie zawierało jednak treści danych Skarżącego (pismo Spółki w aktach sprawy).
W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Na wstępie wskazać należy, że z dniem 25 maja 2018 r., wraz z wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.), Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.). Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
W czasie, gdy miało miejsce zdarzenie opisane przez Skarżącego, obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 zm.), zwana dalej również ustawą. Ww. ustawa określała zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ustawy.
Stosownie do art. 33 ust. 1 uodo 1997 na wniosek osoby, której dane dotyczą administrator danych był obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1 – 5a uodo 1997, a w szczególności podać w formie zrozumiałej: jakie dane osobowe zawierał zbiór, w jaki sposób zebrano dane, w jakim celu i zakresie dane były przetwarzane, w jakim zakresie oraz komu dane zostały udostępnione. Komentowany przepis pozostawał w związku z art. 32 uodo 1997, który przewidywał, iż osoba, której dane dotyczą mogła domagać się od administratora danych udzielenia jej określonych informacji. Zgodnie, z ust. 1 tego przepisu, każdej osobie przysługiwało prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska (pkt 1), uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze (pkt 2), uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych (pkt 3), uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, i służbowej lub zawodowej (pkt 4), uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane (pkt 5), uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2 (pkt 5a) uodo 1997.
Nie ulega wątpliwości, iż w przedmiotowej sprawie Skarżący, wystąpił do Spółki z pismem spełniającym wymogi wniosku z art. 33 uodo 1997. W toku postępowania zgromadzony materiał dowodowy wykazał, iż Spółka wypełniła wobec Skarżącego obowiązek informacyjny tylko częściowo, tj. pismo zawierało wskazanie zakresu i sposobu przetwarzania danych osobowych Skarżącego, wskazanie Spółki jako administratora, wskazanie odbiorców danych osobowych Skarżącego. Przedmiotowe pismo ograniczało się do wskazania zakresu przetwarzanych danych w związku z czym nie zawierało treści danych Skarżącego, o co wnosił Skarżący.
W przedmiotowej sprawie w odniesieniu do skargi Skarżącego na niespełnienie obowiązku informacyjnego przez Spółkę, na wstępie należy wskazać, że chociaż Skarżący wystąpił do Spółki o spełnienie obowiązku informacyjnego w oparciu o przepisy uodo 1997, to organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania, czyli po 25 maja 2018 r. na podstawie RODO. Obecnie należy stwierdzić, że spełnienie obowiązku informacyjnego na wniosek osoby, której dane dotyczą znajduje odzwierciedlenie w art. 15 ust. 1 RODO. Przepis ten stanowi, że osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich. Co prawda w przepisie tym nie wskazano wprost, że osoba, której dotyczy przetwarzanie danych może żądać podania w powszechnie zrozumiałej formie treści tych danych (tak jak na gruncie art. 32 ust 1 pkt 3 uodo 1997) to jednak uprawnienie to można wyprowadzić z innych przepisów RODO oraz jego motywów.
W pierwszej kolejności dla prawidłowej interpretacji przepisów dotyczących powyżej wskazanego obowiązku istotne znaczenie ma Motyw 63 Preambuły Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 ze zm.), zw. dalej RODO, który stanowi, że „Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem (…)”, dlatego też „w miarę możliwości administrator powinien mieć możliwość udzielania zdalnego dostępu do bezpiecznego systemu, który zapewni osobie, której dane dotyczą, bezpośredni dostęp do jej danych osobowych”.
Obowiązujący obecnie art 15 ust. 1 RODO ma na celu zapewnienie osobom, których dane osobowe są przetwarzane, dostępu do informacji o okolicznościach ich przetwarzania. Prawidłowe i rzetelne wypełnienie przez administratora danych tego obowiązku jest niezbędne do zapewnienia osobie, której dane osobowe dotyczą, kontroli prawidłowości procesu przetwarzania danych osobowych. Złożenie wniosku, zależnie od jego treści, zobowiązuje administratora danych do udzielenia pełnych informacji o procesie przetwarzania danych w zakresie nie węższym niż przewiduje powołany przepis art. 15 RODO. Przepis ten określa minimum informacji, jakie administrator danych musi przekazać wnioskodawcy, istotne jest jednak by informacje, o których udostępnienie Skarżący w trybie tego przepisu wnioskuje, odnosiły się do jego osoby i swą definicją odpowiadały zdefiniowanemu w RODO pojęciu danych osobowych.
Jednocześnie wskazać należy, że zgodnie z art. 12 RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem - w szczególności gdy informacje są kierowane do dziecka - udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach - elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
Obowiązek informacyjny przewidziany w art. 33 ustawy miał na celu zapewnienie osobom, których dane osobowe są przetwarzane, dostępu do informacji o okolicznościach ich przetwarzania. Prawidłowe i rzetelne wypełnienie przez administratora danych tego obowiązku było niezbędne do zapewnienia osobie, której dane osobowe dotyczą, kontroli prawidłowości procesu przetwarzania danych osobowych. Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 30 lipca 2009 r. (sygn. akt I OSK 1049/08): „Nie powinno ulegać wątpliwości, że niewykonanie tego obowiązku [informacyjnego określonego w art. 33 ustawy] jest naruszeniem przepisów tej ustawy [o ochronie danych osobowych] w rozumieniu jej art. 18, uprawniającym i zobowiązującym Generalnego Inspektora Ochrony Danych Osobowych do wydania decyzji administracyjnej w przedmiocie nakazania przywrócenia stanu zgodnego z prawem, a więc w sytuacji określonej w art. 33 ust. 1 i 2 tej ustawy - w przedmiocie nakazania administratorowi danych osobowych spełnienia obowiązku informacyjnego, o którym mowa w tym artykule”.
Skoro zatem Skarżący złożył wniosek, w którym powołuje się na treść art. 33 ustawy, to Spółka jako administrator danych była zobowiązana do udzielenia mu pełnej informacji na temat przetwarzanych danych w granicach wyznaczonych przez art. 32 ust. 1 pkt 1-5a ustawy, a co za tym idzie podania Skarżącemu w powszechnie zrozumiałej formie również treści przetwarzanych danych nie zaś samego ich zakresu. Obecnie stan naruszenia przez Spółkę przepisów o ochronie danych osobowych nadal istnieje dlatego zasadnym jest wydanie nakazu z art. 18 ust. 1 pkt 1 ustawy.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych.