Decyzja
ZSPU.440.636.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.) w zw. z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.), art. 57 ust. 1 pkt a) i f), art. 5 ust. 1 lit. a) i c) oraz art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani M. I., zam. w […], na przetwarzanie jej danych osobowych przez Burmistrza […], z siedzibą w […], Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Prezesa Urzędu Ochrony Danych Osobowych (dalej jako Prezes Urzędu) wpłynęła skarga Pani M. I., zam. w […] (dalej jako Skarżąca), na przetwarzanie jej danych osobowych przez Burmistrza […], z siedzibą […] (dalej jako Burmistrz).
W treści skargi Skarżąca wskazała, że cyt.: „W dniu […] wniosłam skargę do Burmistrza […] na działanie Dyrektora Miejskiego Ośrodka Pomocy Społecznej […] (…). (…). W następstwie wielomiesięcznego oczekiwania na odpowiedź ze strony Burmistrza upoważniłam Radnego Rady Miasta […] do podjęcia interwencji w powyższej kwestii (…). W dniu […] wniosłam kolejne pismo, tym razem do Komisji Rewizyjnej Rady Miasta […], w którym proszę o wszczęcie procedury w zakresie bezczynności Burmistrza […] wobec wniesionej przeze mnie skargi (…). (…) W dniu […] w innej gazecie, tj. […] ukazał się bez mojej wiedzy autoryzowany wywiad z Panem Burmistrzem, który będąc administratorem moich danych osobowych (od chwili wniesienia przeze mnie skargi w dniu […]) – upublicznił je bez mojej zgody i ujawnił osobie do tego nieupoważnionej, tj. redaktor naczelnej gazety […]” .
I. Stan faktyczny
Na podstawie zebranego materiału dowodowego Prezes Urzędu ustalił następujący stan faktyczny:
- Skarżąca złożyła do Burmistrza skargę na działalność Dyrektora Miejskiego Ośrodka Pomocy Społecznej w […]. Skarżąca podniosła w tej skardze liczne okoliczności związane z jej zatrudnieniem w MOPS w […], w tym m.in. dotyczące rozwiązania jej umowy o pracę;
- Skarżąca następnie złożyła do Rady Miasta […] skargę na bezczynność Burmistrza przy rozpatrywaniu ww. skargi. Skarga ta była rozpatrywana przez Radę Miejską podczas sesji Rady Miejskiej;
- Działający w imieniu Burmistrza Wiceburmistrz udostępnił na rzecz Redaktor Naczelnej Tygodnika […] dane osobowe Skarżącej, w tym w zakresie imienia, nazwiska oraz informacji dotyczących rozwiązania stosunku pracy Skarżącej. Przedmiotowe dane osobowe zostały udostępnione przez Wiceburmistrza podczas udzielania wywiadu na rzecz Tygodnia […] na temat sytuacji w MOPS w […], jak również poprzez przekazanie na rzecz Tygodnika […] korespondencji zawierającej niezanonimizowane dane osobowe Skarżącej (wyciąg z Tygodnika […] z […] w aktach sprawy).
II. Uzasadnienie prawne
Po rozpatrzeniu w całości zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu stwierdził, że Burmistrz udostępnił w zakwestionowany sposób dane osobowe na rzecz Redaktor Naczelnej Tygodnika […] bez podstawy, tj. bez spełnienia którejkolwiek z przesłanek legalności przetwarzania danych osobowych, określonych w art. 6 RODO[1]. Tym samym, Burmistrz naruszył w przedmiotowej sprawie tzw. zasadę legalności, o której mowa w art. 5 ust. 1 lit. a) RODO. Prezes Urzędu odmówił jednak uwzględnienia wniosku Skarżącej oraz nie nakazał Burmistrzowi przywrócenia stanu zgodnego z prawem, gdyż na dzień wydania niniejszej decyzji brak jest stanu naruszenia przepisów RODO.
W pierwszej kolejności należy wskazać, że w momencie wejścia w życie przepisów ustawy o ochronie danych z 2018 r. [2], tj. 25 maja 2018 r., Biuro Generalnego Inspektora stało się Urzędem Ochrony Danych Osobowych. Zgodnie z art. 160 ust. 1 ustawy o ochronie danych z 2018 r., postępowania prowadzone przez Generalnego Inspektora, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu. Zgodnie z art. 160 ust. 2 tej ustawy, postępowania, o których mowa w ust. 1, prowadzi się na podstawie ustawy o ochronie danych z 1997 r. [3], zgodnie z zasadami określonymi w Kpa[4]. Zgodnie natomiast z art. 160 ust. 3 ustawy o ochronie danych z 2018 r., czynności dokonane w ww. postępowaniach pozostają skuteczne.
W dniu 25 maja 2018 r. zaczęło obowiązywać RODO, którego przepisy regulują kwestie związane z przetwarzaniem danych osobowych osób fizycznych. Od tego dnia Prezes Urzędu zobowiązany jest stosować przepisy RODO do wszystkich postępowań administracyjnych, które prowadzi. Prezes Urzędu wydając rozstrzygnięcie w danej sprawie uwzględnia bowiem stan prawny obowiązujący w chwili wydawania tego rozstrzygnięcia.
Mając na względzie powyższe oraz fakt, że postępowanie w niniejszej sprawie zostało wszczęte w chwili obowiązywania ustawy o ochronie danych z 1997 r., Prezes Urzędu wydając rozstrzygnięcie w tej sprawie zobowiązany jest uwzględnić zarówno proceduralne przepisy ustawy o ochronie danych z 1997 r. jak i RODO.
Zgodnie z art. 18 ust. 1 ustawy o ochronie danych z 1997 r., w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor (aktualnie Prezes Urzędu) z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności m.in. usunięcie uchybień.
Zgodnie z jedną z naczelnych zasad wynikających z RODO, każdy proces przetwarzania danych osobowych musi być zgodny z prawem. Oznacza to, że administrator - przetwarzając dane osobowe - musi legitymować się przynajmniej jedną z przesłanek określonych w art. 6 RODO.
Administrator jest uprawniony do przetwarzania danych osobowych w przypadku gdy m.in. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO).
W myśl motywu 45 Preambuły RODO, jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego. Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator.
Niezależnie od powyższego, należy podkreślić, że dane osobowe w każdym przypadku muszą być przetwarzane zgodnie z łącznie wszystkimi zasadami określonymi w art. 5 RODO, w tym m.in. z zasadą minimalizacji danych (art. 5 ust. 1 lit. c) RODO). Zasada ta wyraża się w tym, że dane osobowe przetwarzane przez danego administratora muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
Mając na względzie przedmiot niniejszego postępowania, należy wskazać, że stosownie do art. 3a Prawa prasowego[5], w zakresie prawa dostępu prasy do informacji publicznej stosuje się przepisy ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2018 r. poz. 1330 i 1669).
Zgodnie z art. 1 ust. 1 ustawy o dostępie do informacji publicznej[6], każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu na zasadach i w trybie określonych w niniejszej ustawie. Zgodnie z art. 10 ust. 1 ustawy o dostępie do informacji publicznej, informacja publiczna, która nie została udostępniona w Biuletynie Informacji Publicznej lub centralnym repozytorium, jest udostępniana na wniosek. Zgodnie natomiast z art. 5 ust. 2 ustawy o dostępie do informacji publicznej, prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa.
Odnosząc wyższej poczynione uwagi do stanu faktycznego niniejszej sprawy, należy zważyć, że udostępnienie przez Burmistrza w zakwestionowany sposób danych osobowych Skarżącej na rzecz Tygodnika […] nastąpiło bez podstawy prawnej, tj. bez spełnienia którejkolwiek z przesłanek legalności przetwarzania danych osobowych, określonych w art. 6 ust. 1 lit. a) – f) RODO, w tym w szczególności nie było ono niezbędne do wypełnienia obowiązku prawnego ciążącego na Burmistrzu, jako administratorze (art. 6 ust. 1 lit. c RODO). W niniejszej sprawie przepisy prawa, w tym w szczególności przepisy ustawy Prawa prasowego oraz ustawy o dostępie do informacji publicznej, nie przyznawały bowiem Burmistrzowi uprawnienia ani nie nakładały na niego obowiązku udostępnienia danych osobowych Skarżącej w zakwestionowany sposób.
Bez wątpienia informacje dotyczące funkcjonowania MOPS stanowią informację publiczną w rozumieniu przepisów ustawy o dostępie do informacji publicznej i jako takie podlegają udostępnieniu w trybie tej ustawy. Burmistrz zobowiązany był więc – na żądanie Tygodnika […] - do udostępnienia takich informacji na rzecz Tygodnika […] w trybie art. 3a Prawa prasowego. Należy jednak wyraźnie podkreślić, że w niniejszej sprawie - przy okazji udostępnienia określonych informacji stanowiących informację publiczną - Burmistrz udostępnił na rzecz Tygodnika […] również dane osobowe Skarżącej jako osoby prywatnej. Takie udostępnienie było niedopuszczalne zarówno w świetle przepisów Prawa prasowego, jak i przepisów ustawy o dostępie do informacji publicznej. Co więcej, Burmistrz udostępniając w zakwestionowany sposób dane osobowe Skarżącej na rzecz Tygodnika […] naruszył ww. zasadę minimalizacji danych. Przetwarzanie danych osobowych Skarżącej w tym przypadku było nieadekwatne oraz nieproporcjonalne do celów przetwarzania. Innymi słowy, fakt konieczności udzielenia Tygodnikowi […] określonych informacji dotyczących funkcjonowania MOPS, nie uzasadniał w żaden sposób udostępnienia przez Burmistrza w ten sposób niezanonimizowanych danych osobowych Skarżącej.
Mając na względzie powyższe, należy jednak zwrócić uwagę, że Prezes Urzędu działając na podstawie i w granicach kompetencji przyznanych mu przepisami RODO, wydając decyzję w konkretnej sprawie bada stan faktyczny i prawny na dzień wydania danej decyzji. Z ustaleń Prezesa Urzędu wynika, że udostępnienie – w zakwestionowany sposób - przez Burmistrza danych osobowych Skarżącej na rzecz Tygodnika […], było działaniem jednorazowym, które aktualnie nie jest kontynuowane. Tym samym, na dzień wydania niniejszej decyzji brak jest stanu naruszenia przez Burmistrza przepisów RODO w wyżej wskazanym zakresie. Konsekwentnie, Prezes Urzędu nie ma możliwości wydania decyzji administracyjnej nakazującej w niniejszej sprawie przywrócenie stanu zgodnego z prawem na podstawie art. 18 ustawy o ochronie danych z 1997 r. w zw. z art. 160 ust. 2 ustawy o ochronie danych z 2018 r.
W tym stanie faktycznym i prawnym Prezes Urzędu rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku
o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 ze zm.) (dalej jako RODO)
[2] ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r. poz. 1000 ze zm.) (dalej jako ustawa
o ochronie danych z 2018 r.)
[3] ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) (dalej jako ustawa
o ochronie danych z 1997 r.)
[4] ustawa z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) (dalej jako Kpa).
[5] ustawa z 26 stycznia 1984 r. Prawo prasowe (Dz. U. z 2018 poz. 1914 t.j.) (dalej jako Prawo prasowe)
[6] ustawa z 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2018 r. poz. 1330 ze zm.) (dalej jako ustawa o dostępie do informacji publicznej)