DKE.523.1.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019, poz. 1781) oraz art. 12 pkt 2, art. 22 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138), art. 57 ust. 1 lit. a) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani M. K., na nieprawidłowości w procesie przetwarzania jej danych osobowych przez P. Spółka z o. o. oraz D. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Prezesa Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pani M. K., zwanej dalej: „Skarżącą”, na nieprawidłowości w procesie przetwarzania jej danych osobowych przez P. Spółka z o.o. zwaną dalej: „P”. Skarżąca poinformowała w treści skargi, że przedłużając umowę z P. nr […], zwaną dalej „umową”, w dniu […] lutego 2017 roku przekazała kserokopię dowodu osobistego kurierowi D. Sp. z o.o., zwaną dalej: „D”, kopia zaginęła i nie została doręczona do P.
Skarżąca wniosła o (cyt.):,,
- ,,przeprowadzenie kontroli zgodności przechowywania danych osobowych przez P. Spółkę z o.o., zwaną dalej P. danych z przepisami o ochronie danych osobowych w związku z zaginięciem kopii […] dowodu osobistego przy podpisywaniu umowy [...],
- zobligowanie P. do wyjaśnienia sprawy zaginięcia kopii […] dowodu osobistego przy podpisywaniu tej umowy,
- wyciągnięcie konsekwencji prawnych w stosunku do osób odpowiedzialnych za zaistniałą informację,
- informowanie mnie na bieżąca o wynikach przeprowadzonego postępowania.”
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (zwany dalej również: „Prezesem Urzędu”) pismami z dnia […] listopada 2019 r. zwrócił się zarówno do P. jak i D. o udzielenie wyjaśnień dotyczących zdarzenia opisanego w skardze i w związku z tym ustalił, co następuje.
1. P. w piśmie z dnia […] grudnia 2019 roku potwierdziła, że przedstawione w skardze zdarzenie miało miejsce oraz aktualnie nie przetwarza danych osobowych Skarżącej w postaci kserokopii dowodu osobistego pozyskanego przy zawieraniu umowy. Z załączonej do tego pisma korespondencji pomiędzy Skarżącą a P. wynika ponadto, że:
- P. otrzymało od D. wyjaśnienia, zgodnie z którymi w wyniku omyłki kurier nie dołączył do kompletu dokumentów kserokopii dowodu osobistego Skarżącej oraz, że działanie to było pozbawione złych intencji i nie było celowe;
- P. powierzyła do przetwarzania dane osobowe Skarżącej firmie D. na podstawie umowy powierzenia, określającej sposób i zasady przetwarzani danych osobowych w trybie art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zwanej dalej „ustawą z 1997 roku”.
2. D. w swoich wyjaśnieniach zawartych w piśmie z dnia […] grudnia 2019 roku oświadczyła, że (cyt.): „Z uwagi na upływ czasu trudno jest ustalić wskazane w skardze okoliczności faktyczne”. Z pisma tego wynika jednak, że D. udało się ustalić, że dokumenty uzyskane przez kuriera przy zawieraniu przez Skarżącą umowy zostały odesłane w dniu […] kwietnia 2017 roku do P. listem poleconym jako błędnie potwierdzone, ze statusem N - brak kserokopii dowodu osobistego. Ponadto D. wyjaśniła, że (cyt.): „najprawdopodobniej kopia dowodu osobistego została pobrana od Skarżącej przez kuriera, a do jego utracenia doszło już w terminalu Spółki. Zgodnie bowiem z przyjętą praktyką dokumenty znalezione w magazynach Spółki, których nie można przyporządkować do żadnej przesyłki za pomocą znajdujących się na nich informacji – są następnie umieszczane w specjalnie do tego przeznaczonych i zamykanych kontenerach, a następnie utylizowane. Zgodnie z wprowadzoną procedura przed utylizacją pojemniki są otwierane w obecności specjalnie do tego powołanej komisji, której zadaniem jest ostateczna weryfikacja dokumentów przed ich utylizacją”. Ponadto treść ww. pisma D. i załączona do niego kopia korespondencji mailowej pomiędzy P. a D. potwierdzają, że P. zwróciło się do D. o wyjaśnienia dotyczące przesyłki, w której powinna znajdować się kserokopia dowodu osobistego Skarżącej.
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U. 2019 poz. 1781), zwanej dalej „u.o.d.o.”. W myśl art. 160 ust. 1-3 tejże ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie tejże ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „Kpa”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne. Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z 1997 roku
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”. Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679 „bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie …, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań …” (lit. a i f).
Według przepisu art. 18 ust. 1 ustawy z 1997 roku w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.
Zgodnie z treścią art. 36 ustawy z 1997 roku administrator danych obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Natomiast stosownie do treści przepisu art. 31 ust. 3 ustawy z 1997 roku, podmiot, któremu administrator danych powierzył przetwarzanie danych na podstawie umowy, obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa m.in. w art. 36 tej ustawy i w zakresie przestrzegania tych przepisów podmiot ten ponosi odpowiedzialność jak administrator danych. W przypadku powierzenia przetwarzania danych osobowych odpowiedzialność za przestrzeganie przepisów ustawy z 1997 roku spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, któremu powierzono dane do przetwarzania, za przetwarzanie danych niezgodnie z tą umową (art. 31 ust. 4 ustawy z 1997 roku).
Z powołanych wyżej przepisów wynika, że obowiązek właściwego zabezpieczenia przetwarzanych danych osobowych, w tym przed ich utratą, leży zarówno po stronie administratora danych, jak i podmiotu, któremu administrator powierzył przetwarzanie danych oraz, że oba te podmioty mogą odpowiadać za naruszenie przepisów dotyczących zabezpieczenia przetwarzanych danych osobowych.
W toku niniejszego postępowania administracyjnego stwierdzono wystąpienie zdarzenia polegającego na zagubieniu kserokopii dowodu osobistego Skarżącej, którą Skarżąca przekazała kurierowi D. w związku z zawarciem przez nią umowy z P. Ze złożonych w niniejszej sprawie wyjaśnień wynika, że P. nie otrzymała kopii dowodu osobistego Skarżącej, a do zaginięcia doszło w momencie, gdy kopia tego dokumentu była w posiadaniu D. Jednakże D. nie była w stanie ustalić, co tak naprawdę stało się z kopią dowodu osobistego Skarżącej - wskazała, że z wysokim prawdopodobieństwem kopia tego dokumentu uległa utylizacji, zgodnie z obowiązującą w D. procedurą postępowania z dokumentami, których nie można przyporządkować do żadnej przesyłki, jednak nie przedstawiła dowodu na to, że kopia dowodu osobistego Skarżącej została zutylizowana.
Bezspornym natomiast w niniejszej sprawie jest fakt, że doszło do naruszenia bezpieczeństwa przetwarzania danych osobowych Skarżącej, na skutek którego utracono dane osobowe Skarżącej oraz to, że do zdarzenia tego doszło na skutek bezpośredniego działania D. Fakt, że do zdarzenia doszło w związku z działaniem D. nie zwalnia P., jako administratora danych, z odpowiedzialności za przestrzeganie przepisów ustawy z 1997 roku w związku z przetwarzaniem danych osobowych Skarżącej.
Jednakże w ocenie Prezesa Urzędu w niniejszej sprawie brak jest przesłanek do wydania nakazu przywrócenia stanu zgodnego z prawem na podstawie art. 18 ustawy z 1997 roku. Należy podkreślić, że zdarzenie to miało charakter jednorazowy, nie było intencjonalne i doszło do niego w skutek błędu ludzkiego. W okolicznościach przedmiotowej sprawy Prezes Urzędu uznał, że brak jest podstaw, by przypuszczać, że podobne zdarzenie powtórzy się w przyszłości i dlatego nie zachodzi potrzeba nakazania zastosowania dodatkowych środków chroniących dane osobowe. Warto w tym miejscu wskazać, że na gruncie przepisów ustawy z 1997 roku, działania naprawcze organu ochrony danych osobowych ograniczone zostały do wydawania nakazów przywrócenia stanu zgodnego z prawem, wymienionych w art. 18 tejże ustawy. Nie przewidywały zaś możliwości zastosowania przez organ takich środków naprawczych jak np. udzielenie upomnienia czy nałożenie administracyjnej kary pieniężnej, które to środki zostały wprowadzone dopiero przez przepisy Rozporządzenia 2016/679, a ich w niniejszym postępowaniu nie można zastosować.
Odnosząc się natomiast do żądania Skarżącej o przeprowadzenie kontroli zgodności przechowywania danych osobowych przez P., należy wskazać należy, że decyzja o przeprowadzeniu postępowania kontrolnego należy do autonomicznych kompetencji Prezesa Urzędu Ochrony Danych Osobowych, w związku z czym kontrole nie są realizowane na wniosek osoby zainteresowanej. Prezes Urzędu Ochrony Danych Osobowych uznał, że w zaistniałej sytuacji nie było podstaw do wszczęcia postępowania kontrolnego z urzędu.
Jednocześnie należy wskazać, że Prezes Urzędu nie posiada kompetencji do wyciągnięcia konsekwencji prawnych w stosunku do osób odpowiedzialnych osobiście za naruszenie przepisów ustawy z 1997 roku.
W związku z powyższym zasadnym jest wydanie decyzji odmawiającej spełnienia żądań Skarżącej. W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.