ZSPU.440.469.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 12 pkt 2, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz art. 57 ust. 1 lit. a) i f) i art. 6 ust. 1 lit. f) oraz art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.UE.L.2018.127.2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana T. R. zam. w W., dotyczącej przetwarzania jego danych osobowych przez J. S. prowadzącego działalność gospodarczą pod firmą J. z siedzibą w W. oraz Zakład Gospodarowania Nieruchomościami w […] z siedzibą w W., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pana T. R. zam. w W., zwanego dalej Skarżącym, dotycząca przetwarzania jego danych osobowych przez J. S., prowadzącego działalność gospodarczą pod firmą J. z siedzibą w W., zwanego dalej Przedsiębiorcą oraz Zakład Gospodarowania Nieruchomościami w […] z siedzibą w W., zwany dalej ZGN. W treści ww. skargi Skarżący podniósł cyt.: „Administracja Nieruchomości budynku przy ul. O. [A.] ujawnił [bez zgody i wiedzy mojej osoby] dane osobowe pracownikowi Zarządu Gospodarowania Nieruchomościami (…), tj. imię, nazwisko, adres zamieszkania. Miało to miejsce między […] a […] listopada 2017 roku (…). Bardzo proszę o wyjaśnienie czy Administracja Nieruchomości budynku O. [A.] lub Zarząd Gospodarowania Nieruchomościami (…) nie naruszyli ustawy o ochronie danych osobowych oraz czy pracownicy ZGN mają prawo pozyskiwać dane osobowe właścicieli nieruchomości bez wiedzy tychże osób (…)”.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.
- ZGN jest jednostką budżetową […] W. - § 1 pkt 1 Statutu ZGN – w aktach sprawy.
- Zadaniem statutowym ZGN jest w szczególności gospodarowanie w graniach zwykłego zarządu, w sposób i na zasadach określonych przepisami prawa oraz ustaleniami organów […] W., a w odniesieniu do spraw należących do zakresu działania Dzielnicy W.– ustaleniami organów Dzielnicy W. powierzonym zasobem nieruchomości […] W. Zadanie to obejmuje w szczególności pobieranie opłat i odszkodowań za bezumowne korzystanie ze składników powierzonego mienia […] W. oraz prowadzenie windykacji w tym zakresie - § 3 pkt 1 b) oraz § 4 pkt 1 e) Statutu ZGN; pismo ZGN z dnia […] lutego 2018 r. skierowane do Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Prezesa Urzędu Ochrony Danych Osobowych) – w aktach sprawy.
- ZGN pozyskał od Przedsiębiorcy dane osobowe Skarżącego w zakresie jego imienia, nazwiska oraz adresu zamieszkania w celu zrealizowania ww. statutowych obowiązków ZGN poprzez ustalenie osoby zobowiązanej do uiszczenia wynagrodzenia za bezumowne korzystanie z gruntu […] W. położonego przy ul. O. w W., polegające na zajęciu go gruzem remontowym z lokalu nr […] znajdującego się w nieruchomości pod tym adresem oraz ściągnięcie tejże należności – pismo ZGN z dnia […] lutego 2018 r. skierowane do Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Prezesa Urzędu Ochrony Danych Osobowych); korespondencja e-mailowa pomiędzy ZGN a Przedsiębiorcą z dnia […]-[…] listopada 2017 r.; notatka służbowa Przedsiębiorcy z dnia […] listopada 2017 r. – w aktach sprawy.
- Właścicielami lokalu nr […] przy ul. O. w W. jest Skarżący oraz Pani M. Z. - korespondencja e-mailowa pomiędzy ZGN a Przedsiębiorcą z dnia […]-[…] listopada 2017 r. – w aktach sprawy.
- Skarżący jest członkiem Wspólnoty Mieszkaniowej „O.” z siedzibą w W. bowiem lokal nr […] przy ul. O. w W. wchodzi w skład zasobu mieszkaniowego ww. Wspólnoty - pismo Przedsiębiorcy z dnia […] marca 2018 r. skierowane do Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Prezesa Urzędu Ochrony Danych Osobowych) – w aktach sprawy.
- Przedsiębiorca jest zarządcą nieruchomości wspólnej Wspólnoty Mieszkaniowej „O.” z siedzibą w W., na podstawie umowy o administrowanie nieruchomością wspólną z dnia […] maja 2007 r. zawartej z tą Wspólnotą – umowa z dnia […] maja 2007 r. - w aktach sprawy.
- Członkiem Wspólnoty Mieszkaniowej „O.” jest również […] W. jako właściciel lokali mieszkalnych nr […] - pismo Przedsiębiorcy z dnia […] marca 2018 r. skierowane do Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Prezesa Urzędu Ochrony Danych Osobowych) – w aktach sprawy.
- Przedsiębiorca przetwarza dane osobowe Skarżącego w zakresie imion, nazwiska, numeru PESEL oraz adresu zamieszkania i numerów telefonów udostępnionych przez Skarżącego celem wykonywania obowiązków wynikających z ww. umowy o administrowanie nieruchomością wspólną – pismo Przedsiębiorcy z dnia […] marca 2018 r. skierowane do Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Prezesa Urzędu Ochrony Danych Osobowych) – w aktach sprawy.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Na wstępie wskazać należy, iż z dniem 25 maja 2018 r., wraz z wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.). Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
Zgodnie z art. 18 ust. 1 ustawy z 29 sierpnia 1997 r., Generalny Inspektor w przypadku naruszenia przepisów o ochronie danych osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.
Stosownie do art. 57 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.UE.L.2018.127.2), zwanego dalej RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym (lit. f).
Z kolei zgodnie z art. 6 ust. 1 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Wskazać również należy, iż zgodnie z art. 11 ust. 1 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077 ze zm.) jednostkami budżetowymi są jednostki organizacyjne sektora finansów publicznych nieposiadające osobowości prawnej, które pokrywają swoje wydatki bezpośrednio z budżetu, a pobrane dochody odprowadzają na rachunek odpowiednio dochodów budżetu państwa albo budżetu jednostki samorządu terytorialnego. Zgodnie z art. 11 ust. 2 ustawy o finansach publicznych, jednostka budżetowa działa na podstawie statutu określającego w szczególności jej nazwę, siedzibę i przedmiot działalności.
Stosownie do art. 6 ustawy z dnia 24 czerwca 1994 r. o własności lokali (Dz. U. z 2018 r. poz. 716 ze zm.), ogół właścicieli, których lokale wchodzą w skład określonej nieruchomości, tworzy wspólnotę mieszkaniową. Zgodnie z art. 18 ust. 1 ustawy o własności lokali, właściciele lokali mogą w umowie o ustanowieniu odrębnej własności lokali albo w umowie zawartej później w formie aktu notarialnego określić sposób zarządu nieruchomością wspólną, a w szczególności mogą powierzyć zarząd osobie fizycznej albo prawnej.
Odnosząc powyższe do okoliczności niniejszej sprawy w pierwszej kolejności wskazać należy, iż Przedsiębiorca jako zarządca Wspólnoty Mieszkaniowej „O.” jest uprawniony do przetwarzania danych osobowych Skarżącego jako członka tej Wspólnoty wobec zawarcia ze Wspólnotą umowy określającej sposób zarządu nieruchomością wspólną, której dopuszczalność zawarcia przewiduje art. 18 ust. 1 ustawy o własności lokali. Wspólnota powierzyła administrowanie Przedsiębiorcy, który w myśl art. 28 RODO stał się podmiotem przetwarzającym. Tak więc należy stwierdzić, że Przedsiębiorca działa w imieniu Wspólnoty, a więc Wspólnota jest administratorem danych osobowych Skarżącego w rozumieniu art. 4 ust. 1 pkt 7 RODO, a Przedsiębiorca podmiotem przetwarzającym w rozumieniu art. 4 ust. 1 pkt 8 RODO.
Mając z kolei na względzie zarzut Skarżącego dotyczący udostępnienia jego danych osobowych przez Przedsiębiorcę na rzecz ZGN oraz ich przetwarzania przez ZGN stwierdzić należy, iż działanie to miało oparcie w art. 6 ust. 1 lit f) RODO, bowiem było ono niezbędne w celu zrealizowania statutowego obowiązku ZGN polegającego na ustaleniu osoby zobowiązanej do uiszczenia wynagrodzenia za bezumowne korzystanie z gruntu w W. położonego przy ul. O. w W. oraz ściągnięcia tejże należności. Było zatem działaniem niezbędnym do celu wynikającego z prawnie uzasadnionego interesu realizowanego przez ZGN.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 21 ust. 1 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) w zw. z art. 129 § 2 i art. 127 § 3 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Prezesa Urzędu Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo na podstawie art. 52 § 3 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r. poz. 1302 ze zm.) do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych.