ZSOŚS.440.129.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 i pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) w związku z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M. O. na nieprawidłowości w procesie przetwarzania danych osobowych przez Dyrektora Generalnego Służby Więziennej w Zakładzie Karnym w R. związane z realizacją wniosku o udzielenie zgody na widzenie z osadzonym,
odmawiam uwzględnienia wniosku
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pana M. O., zwanego dalej „Skarżącym”, na przetwarzanie jego danych osobowych przez Służbę Więzienną (Zakład Karny w R.) w związku z realizacją wniosku o udzielenie widzenia z osobą pozbawioną wolności w ww. jednostce penitencjarnej. Jednocześnie Skarżący w treści skargi zawarł wniosek o nakazanie Dyrektorowi Zakładu Karnego w R. usunięcie jego danych osobowych ze zbioru danych.
W tym miejscu należy wskazać, że z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, tj. 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Zgodnie zaś z art. 160 tej ustawy postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego.
Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają zatem skuteczne.
W toku postępowania zainicjowanego skargą, Generalny Inspektor Ochrony Danych Osobowych (obecnie: Prezes Urzędu Ochrony Danych Osobowych) uzyskał wyjaśnienia odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń.
Skarżący pismem z [...] maja 2014 r. zwrócił się do Zakładu Karnego w R. o usunięcie jego danych osobowych zawartych w dowodzie osobistym pozyskanych w celu realizacji wniosku o widzenie z osobą pozbawioną wolności, albowiem w jego ocenie ustał cel, dla którego były one zebrane. W odpowiedzi, Dyrektor Zakładu Karnego w R. pismem z [...] czerwca 2014 r. zwrócił się do Skarżącego o podanie szczegółowych danych osobowych. W następstwie tego Skarżący zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych o nakazanie Dyrektorowi Zakładu Karnego w R. dopełnienia obowiązku usunięcia ww. danych osobowych.
Pismem z [...] września 2014 r. Generalny Inspektor Ochrony Danych Osobowych poinformował Skarżącego oraz Dyrektora Zakładu Karnego w R. o wszczęciu postępowania w sprawie oraz zwrócił się do Dyrektora Zakładu Karnego w R. o ustosunkowanie się do treści skargi oraz o złożenie pisemnych wyjaśnień, załączając kopię skargi.
W wyjaśnieniach złożonych przed Generalnym Inspektorem Ochrony Danych Osobowych, Dyrektor Zakładu Karnego w R., ustosunkowując się do treści skargi Pana M. O. wskazał, iż istotnie do podległej mu jednostki penitencjarnej wpłynął wniosek Skarżącego żądającego usunięcia danych osobowych, gdyż cel dla którego zostały zebrane ustał, a zatem dalsze ich przetwarzanie jest niezbędne. W dalszej części wyjaśnień Dyrektor Zakładu Karnego w R. podniósł, iż zważywszy na brak szczegółowych danych pozwalających na identyfikację osoby wnioskującej, pismem z [...] czerwca 2014 r. zwrócono się do Skarżącego o doprecyzowanie przedmiotowego wniosku. Jako podstawę przetwarzania danych osobowych polegającą na zdeponowaniu dokumentu tożsamości osoby przebywającej na terenie jednostki penitencjarnej Dyrektor Zakładu Karnego w R. wskazał art. 18 ust. 1 pkt 1 ustawy z dnia 9 kwietnia 2010 r. o Służbie Więziennej (Dz. U. z 2014 r. poz. 173). Wyjaśnił zarazem, iż powołany przepis ustawy uprawnia funkcjonariuszy Służby Więziennej do określonego zachowania (legitymowania) wobec osób ubiegających się o wstęp na teren jednostek penitencjarnych. Następnie wyjaśnił, iż celem owego zachowania była w głównej mierze ewidencja widzeń z osadzonymi umieszczana w Centralnej Bazie Danych Osób Pozbawionych Wolności Noe.NET powołanej zarządzeniem Dyrektora Generalnego Służby Więziennej z dnia [...] listopada 2010 r. pod numerem [...]. Dodano również, że wszelkie dane zawarte w ww. systemie elektronicznym stanowią materiał archiwalny w rozumieniu ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2011 r. Nr. 123 poz. 698), a także że dane Skarżącego nie podlegają przetwarzaniu.
Zważywszy na ustalenie, iż administratorem danych wprowadzonych do Centralnej Bazy Danych Osób Pozbawionych Wolności Noe.NET jest Dyrektor Generalny Służby Więziennej, co jednoznacznie wynika z treści powołanego powyżej zarządzenia tego organu z [...] listopada 2010 r., Generalny Inspektor Ochrony Danych Osobowych pismem z [...] grudnia 2014 r. zwrócił się o ustosunkowanie do skargi oraz wskazania, czy Dyrektor Generalny Służby Więziennej przetwarza dane osobowe Skarżącego. W odpowiedzi ww. organ pismem z [...] grudnia 2017 r. wskazał, że kwestia zdeponowania dowodu osobistego osoby ubiegającej się o widzenie z osadzonym uregulowana jest w ustawie z dnia 9 kwietnia 2010 r. o Służbie Więziennej (art. 18 ust. 1 pkt 1). Nadto wskazano, iż zdeponowanie dokumentu tożsamości Skarżącego służyło celom ewidencyjnym osób odwiedzających osadzonych, a zarazem stanowiło obowiązek wynikający z pisma Dyrektora Generalnego Służby Więziennej z [...] czerwca 2012 r. (sygn. [...]), w którym polecono jednostkom organizacyjnym począwszy od 1 lipca 2012 r. prowadzenie karty ewidencji widzeń wyłącznie w formie elektronicznej.
Dyrektor Generalny Służby Więziennej podniósł także, że zgromadzone dane Skarżącego w ww. systemie informatycznym stanowią materiał archiwalny w rozumieniu przepisów o narodowym zasobie archiwalnym i archiwach, jak też nie są przetwarzane.
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
W niniejszej sprawie Skarżący przedmiotem swojej skargi uczynił zarzut nieuprawnionego przetwarzania danych osobowych przez Służbę Więzienną w związku z realizacją wniosku o widzenie z osobą pozbawioną wolności, a nadto Skarżący domagał się usunięcia jego danych pozyskanych podczas wizyty w zakładzie karnym.
W pierwszej kolejności należy podkreślić, iż ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2016 r. poz. 922 ze zm.), zwana dalej: „ustawą”, stwarza prawne podstawy stosowania ochrony państwowej w sytuacjach nielegalnego przetwarzania danych osobowych obywateli przez zarówno podmioty prawa publicznego, jak i podmioty prawa prywatnego. W celu jej realizacji organ ochrony danych osobowych został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Oznacza to, iż organ ochrony danych osobowych, oceniając stan sprawy i dokonując subsumpcji, stwierdza, czy kwestionowane przetwarzanie danych osobowych znajduje oparcie choćby w jednej z przesłanek legalizujących przetwarzanie danych osobowych, wskazanej w art. 23 ust. 1 ww. ustawy o ochronie danych osobowych i w zależności od występujących w sprawie ustaleń, albo wydaje nakaz lub zakaz, albo odmawia uwzględnienia wniosku, ewentualnie umarza postępowanie. Wydanie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych.
Zgodnie z treścią art. 1 przywołanej ustawy, każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 cytowanej ustawy, dopuszczalne jest tylko ze względu na określone dobra, tj. dobro publiczne, dobro osoby, której dane dotyczą lub dobro osoby trzeciej i tylko w zakresie oraz trybie określonym ustawą. Mając zatem na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 ustawy). W myśl art. 3 ust. 1 ww. ustawy stosuje się ją m.in. do organów państwowych. Z tego względu do przestrzegania jej przepisów zobowiązana jest m.in. Służba Więzienna. Jednocześnie należało mieć na względzie zasadę legalności (art. 26 ust. 1 pkt 1 ustawy), zgodnie z którą administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić aby dane te były przetwarzane zgodnie z prawem. Ponadto administrator danych osobowych powinien przetwarzać je dla oznaczonych zgodnych z prawem celów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami (art. 26 ust. 1 pkt 2 ustawy). W ocenie Prezesa Urzędu Ochrony Danych Osobowych w omawianej sprawie wskazane powyżej przesłanki zostały spełnione.
Otóż w realiach przedmiotowej sprawy zasadniczą kwestią było ustalenie, czy Służba Więzienna uprawniona była do przetwarzania danych osobowych bez zgody osoby, której dotyczyły, w sytuacji kiedy pozyskanie owych danych służyło realizacji zadań wobec osób pozbawionych wolności. Nadto niezbędnym było także rozważenie kwestii adekwatności przetwarzanych danych.
Przeprowadzona analiza zebranego materiału dowodowego dowodzi, że brak jest podstaw do formułowania zarzutu wobec Dyrektora Zakładu Karnego w R., jakoby ten w sposób nieuprawniony wszedł w posiadanie danych Skarżącego oraz przetwarzał je w sposób nieadekwatny do celu, w jakim były one pozyskane. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 27 stycznia 2016 r. w sprawie o sygn. akt II SA/Wa 1026/15 „zasada adekwatności ma charakter bezwzględnie obowiązujący”. Dalej Sąd ten wskazał, że owa zasada „powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swoimi danymi a interesem administratora danych”.
W przedmiotowej sprawie kwestią bezsporną było to w jakich okolicznościach funkcjonariusze Służby Więziennej z Zakładu Karnego w R. weszli w posiadanie danych Skarżącego, a także w jakim celu dane były przetwarzane. Jak wskazał Skarżący chcąc uzyskać widzenie z osobą osadzoną konieczne było zdeponowanie dokumentu tożsamości, a następnie wprowadzenie danych do odpowiedniego systemu informatycznego. Podnoszone w treści skargi argumenty, jakoby z chwilą opuszczenia jednostki penitencjarnej przez osadzonego będącego osobą z otoczenia Skarżącego ustał cel, dla którego przetwarzano jego dane jest całkowicie chybiony.
W tym kontekście należy odwołać się do wspominanej we wcześniejszej części niniejszego wywodu zasady adekwatności celu, w jakim dane były przetwarzane. Jak wyjaśnił Dyrektor Zakładu Karnego w R. kwestia posłużenia się dokumentem tożsamości Skarżącego, podyktowana była koniecznością ustalenia personaliów odwiedzającego. Nie może ujść uwadze, iż teren jednostki penitencjarnej jest miejscem o szczególnym charakterze, mającym na celu izolację osób pozbawionych wolności od reszty społeczeństwa. Zatem jest to miejsce o zaostrzonym rygorze, do którego dostęp osób z „zewnątrz” choć jest możliwy to jednocześnie musi być zabezpieczony adekwatnymi środkami służącymi zapewnieniu przede wszystkim bezpieczeństwa osób i porządku na terenie danej jednostki penitencjarnej. Stąd też ustawodawca wyposażył Służbę Więzienną w kompetencje zezwalającą na monitorowanie przepływu osób oraz kontaktów osadzonych z osobami z zewnątrz. Nie sposób odmówić słuszności twierdzeniom Dyrektora Zakładu Karnego w R., iż przetwarzanie danych osobowych Skarżącego było prawnie dopuszczalne. Otóż przepisem regulującym ową kwestię, jak słusznie wskazano jest art. 18 ust. 1 pkt 1 ustawy z dnia 9 kwietnia 2010 r. o Służbie Więziennej (Dz. U. z 2018 r. poz. 1542 ze zm.) z brzmienia, którego wynika, że „funkcjonariusze, wykonując czynności służbowe, mają m.in. prawo legitymowania osób ubiegających się o wstęp oraz opuszczających teren jednostek organizacyjnych oraz deponowania dokumentów tożsamości osób przebywających na terenie jednostki organizacyjnej”. Ustalanie tożsamości osób ubiegających się o wstęp na teren jednostki penitencjarnej, przez ich wylegitymowanie przez funkcjonariusza pełniącego służbę przy wejściu na teren jednostki, jest pierwszym uprawnieniem wymienionym w ustawie. Należy zauważyć, że rozporządzenie Rady Ministrów z dnia 4 sierpnia 2010 r. w sprawie szczegółowego trybu działań funkcjonariuszy Służby Więziennej podczas wykonywania czynności służbowych (Dz. U. nr 147 poz. 984), zwane dalej: „rozporządzeniem”, w § 4 ust. 1 wskazuje, że funkcjonariusz pełniący służbę przy wejściu do jednostki ustala zasadność ubiegania się osoby o wstęp na teren jednostki lub jego opuszczenie i legitymuje tę osobę w celu ustalenia tożsamości. Ową tożsamość osoby, która ubiega się o wejście na teren jednostki, ustala się na podstawie dokumentów ze zdjęciem, zawierających dane umożliwiające identyfikację, tj. dowodu osobistego, paszportu lub prawa jazdy (Mazuryk Marcin (red.), Zoń Michał (red.), Służba więzienna. Komentarz, Lex 2013).
Dokonując analizy powołanych wyżej przepisów prawa, nie sposób pominąć także wyrażonych w ust. 2 § 4 cytowanego powyżej rozporządzenia wyrażeń: „funkcjonariusz deponuje w wyznaczonym miejscu dokumenty tożsamości”. Przepis ten nadkłada zatem na funkcjonariusza Służby Więziennej obowiązek dokonania owej czynności, przy jednoczesnym „zabezpieczeniu” dokumentów w czasie pobytu osób przebywających na terenie jednostki. Na tle rozpatrywanej sprawy zabezpieczenie dowodu tożsamości Skarżącego sprowadzało się do wpisania danych w nim zawartych do elektronicznej ewidencji widzeń z osadzonymi w Centralnej Bazie Danych Osób Pozbawionych Wolności Noe.Net. Warto wskazać, iż ustawodawca nie ograniczył adresata tejże normy prawnej tj. Służby Więziennej, do podjęcia konkretnych środków zabezpieczających. Pozostawił w tym względzie dowolność, wskazując jedynie na adekwatność środków do zamierzonego celu. Z tego też względu Dyrektor Generalny Służby Więziennej realizując prawny obowiązek nań spoczywający zdecydował się na utworzenie elektronicznej ewidencji w sprawie użytkowania przez jednostki organizacyjne Służby Więziennej systemu Centralna Baza Danych Osób Pozbawionych Wolności Noe.Net (k. 15-21).
Na marginesie dodać należy, iż w świetle stanowiska Dyrektora Archiwum Akt Nowych wyrażonego w piśmie z [...] lutego 2012 r. dane osobowe pozyskane od Skarżącego, które następnie wpisano do ww. bazy danych Noe.Net stanowią materiał archiwalny, który winien być przechowywany w stanie nienaruszonym. Zarazem organ wyraził przekonanie, iż zamieszczone w bazie dane nie podlegają procesowi usunięcia. To zaś implikuje stwierdzenie, że żądanie Skarżącego usunięcia danych jest niemożliwe do zrealizowania, co zaś daje rękojmię, iż jego dane znajdujące się we wspomnianej bazie podlegają należytej ochronie, a tym samym nie będą przetwarzane w sposób niezgodny z przepisami prawa.
W świetle przytoczonych okoliczności faktycznych sprawy nie można przyjąć, jakoby doszło do naruszenia przepisów dotyczących ochrony danych osobowych. Służba Więzienna realizując prawny obowiązek wynikający z przepisów szczególnych we właściwy i adekwatny sposób dokonała przetwarzania danych osobowych Skarżącego.
Z powyższych też względów, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w części dyspozytywnej decyzji.
Na podstawie art. 127 § 3 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 poz. 2096 ze zm.) od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.