II SA/Wa 1019/22

II SA/Wa 1019/22 - Wyrok WSA w Warszawie
Data orzeczenia
2023-10-18
orzeczenie prawomocne
Data wpływu
2022-06-15
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Dorota Kozub-Marciniak
Iwona Maciejuk
Sławomir Fularski /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2018 poz 1000
art. 8 ust. 2 art. 13 ust. 1 art. 1 art. 5 ust. 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Fularski (spr.), Sędzia WSA Iwona Maciejuk, Asesor WSA Dorota Kozub-Marciniak, , , po rozpoznaniu w trybie uproszczonym w dniu 18 października 2023 r. sprawy ze skargi I. N. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej jako: "organ" lub "Prezes UODO") decyzją z [...] marca 2022 r. nr [...] działając na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm., dalej jako "Kpa") w związku z art. 5 ust. 1 pkt 6, art. 12 i art. 13 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125, dalej jako "ustawa z dnia 14 grudnia 2018 r." lub "u.o.d.o.p.z.z.p."), po przeprowadzeniu postępowania administracyjnego w sprawie skargi I.N. (dalej jako "skarżąca") i reprezentowanych przez nią: M.K. i W.K., na niezgodne z prawem przetwarzanie ich danych osobowych przez Komendanta Głównego Policji (dalej "KGP") w związku
z uzyskaniem przez funkcjonariusza Komisariatu Policji [...] w [...] wglądu do danych osobowych skarżącej przetwarzanych w Centralnej Ewidencji Pojazdów
i Kierowców oraz danych osobowych M.K. i W.K. przetwarzanych w rejestrze PESEL, w punkcie 1 decyzji odmówił uwzględnienia wniosku w zakresie dotyczącym niezgodnego z prawem przetwarzania danych osobowych przez KGP w związku z uzyskaniem przez funkcjonariusza Komisariatu Policji [...] w [...] wglądu do danych osobowych skarżącej przetwarzanych
w Centralnej Ewidencji Pojazdów i Kierowców, w punkcie 2 decyzji w pozostałym zakresie umorzył postępowanie.
W uzasadnieniu decyzji wskazał, że w dniu [...] lutego 2020 r. do organu wpłynęła skarga skarżącej na niezgodne z prawem przetwarzanie jej danych osobowych przez KGP. W treści skargi skarżąca wskazała, że podejrzewa, iż do "naruszenia danych" doszło w Komisariacie [...] Policji w [...] przez funkcjonariusza Policji A.S. - dyżurnego ww. komisariatu Policji, która to uzyskała jej dane osobowe podczas pełnienia służby w dniu [...] sierpnia 2019 r. lub innym terminie/terminach. Skarżąca zarzuciła, że do przetwarzania danych doszło bez podstawy prawnej, bowiem ich pozyskanie nie miało związku z ustawowymi zadaniami Policji, natomiast służyło celom prywatnym funkcjonariusza Policji, który je pozyskał. Skarżąca wniosła
o nakazanie administratorowi usunięcia uchybień w procesie przetwarzania danych osobowych oraz o ograniczenie przetwarzania jej danych osobowych do celów zgodnych z prawem i przez osoby do tego uprawnione oraz nałożenie na administratora danych administracyjnej kary pieniężnej. W kolejnym piśmie w sprawie z [...] maja 2020 r. skarżąca doprecyzowała swoje żądanie wnosząc o usunięcie uchybień w procesie przetwarzania danych osobowych skutkujących przetwarzaniem tych danych w sposób nieuprawniony bez przesłanek warunkujących legalność ich przetwarzania, w tym nieuprawnione uzyskanie dostępu do danych osobowych, tj. doprowadzenie do stanu, w którym dane osobowe będą przetwarzane, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, zastosowanie dodatkowych środków zabezpieczających dane osobowe w taki sposób, aby przetwarzanie danych było możliwe jedynie w celach i na warunkach określonych prawem, w tym między innymi określonymi ustawą z dnia 14 grudnia 2018 r., zabezpieczenie danych osobowych, aby niemożliwe było ich przetwarzanie niezgodnie z prawem. W piśmie tym skarżąca wskazała, że przypuszcza, iż A.S. jako funkcjonariusz Policji, będąc na służbie pozyskała jej dane osobowe
w Systemie Informatycznym Centralnej Ewidencji Pojazdów i Kierowców (zwanej dalej CEPiK). Ponadto, w piśmie tym skarżąca zarzuciła, że A.S., dokonując sprawdzenia jej danych osobowych w rejestrze PESEL uzyskała także dane osobowe byłego męża skarżącej P.K. oraz uzyskała dostęp do danych osobowych jej dzieci: M. i W.K..
W piśmie z [...] sierpnia 2020 r. skarżąca wskazała, że w ramach śledztwa, dotyczącego przekroczenia uprawnień przez [...] A.S., ujawniono fakt, iż w okresie niespełna 3 miesięcy doszło do 4-krotnego dokonania sprawdzenia danych osobowych skarżącej oraz jej bliskich, w tym do sprawdzenia w dniu [...] sierpnia 2019 r. przez A.S. w Krajowym Systemie Informacyjnym Policji oraz CEPIK numeru rejestracyjnego samochodu osobowego marki [...] o numerze rejestracyjnym [...], przez co uzyskała ona dostęp do danych osobowych skarżącej oraz jej matki W.N.. Odnośnie powyższych sprawdzeń skarżąca zarzuciła, że
z analizy akt ww. śledztwa wynika, że tylko jedno z ww. sprawdzeń było dokonane
w związku z realizacją ustawowych zadań Policji. Pozostałe zaś trzy sprawdzenia nie miały związku z realizacją żadnych czynności służbowych czy spraw/postępowań prowadzonych przez Policję, nie były niezbędne dla realizacji czynności służbowych, nie stanowiły także integralnej części tych czynności. Ponadto skarżąca wniosła
o rozważenie zasadności podjęcia kontroli przetwarzania danych osobowych, o której mowa w art. 6 ustawy z dnia 14 grudnia 2018 r.
W piśmie z [...] grudnia 2021 r. skarżąca podniosła, że jej wolą, jak również wolą jej dzieci W. i M.K., jest objęcie niniejszym postępowaniem również kwestii nieprawidłowości w procesie przetwarzania danych osobowych przez KGP, polegających na uzyskaniu przez A.S. wglądu do przetwarzanych w bazie PESEL danych osobowych skarżącej oraz jej dzieci W. i M.K..
Prezes UODO ustalił następujący stan faktyczny:
Prokuratura Rejonowa w P. w postępowaniu o sygn. akt [...] ustaliła (postanowienie z [...] września 2020 r. o umorzeniu śledztwa - str. 3), że A.S. jest funkcjonariuszem Zespołu Dyżurnych Komisariatu Policji [...]
w [...]. W dniu [...] sierpnia 2019 r. około godz. [...] pod dom mieszkalny A. i P.S., samochodem osobowym marki "[...]" nr rej. [...], stanowiącym współwłasność skarżącej, podjechał P.S.. Widząc to, syn A.S. – M.P. telefonicznie przekazał jej numer rejestracyjny tego samochodu. W reakcji na powyższe, o godz. [...] A.S., korzystając
z posiadanych z racji zajmowanego stanowiska uprawnień informatycznych, powyższy numer rejestracyjny sprawdziła w systemie informatycznym CEPiK i KSIP.
Organ wskazał, że KGP w piśmie z [...] czerwca 2020 r. wyjaśnił, że zgodnie z art. 80 c ust. 1 oraz art. 100ah ust. 1 ustawy z dnia 20 czerwca 1997 r. - Prawo o ruchu drogowym (Dz. U. z 2020 r. poz. 110 z późn. zm.), Policja jest uprawniona do przetwarzania danych osobowych w Centralnej Ewidencji Pojazdów oraz Centralnej Ewidencji Kierowców. Sprawdzenia w CEPiK dotyczyły numeru rejestracyjnego pojazdu [...] [...] należącego do skarżącej. Sprawdzenia dokonała [...]. A.S. w dniu [...] sierpnia 2019 r. o godz. [...], korzystając z posiadanego upoważnienia do przetwarzania danych osobowych w systemie informatycznym. W tym dniu funkcjonariuszka pełniła służbę na stanowisku dyżurnego Komisariatu Policji [...]
w [...].
Z kolei Komendant Miejski Policji w [...] w piśmie z [...] listopada 2020 r. wyjaśnił, że przeprowadził czynności wyjaśniające, które zakończyły się uznaniem, że A.S. - funkcjonariusz Komisariatu [...] Policji w [...] - w dniu [...] sierpnia 2019 r. o godz. [...] pełniąc funkcję Dyżurnego Komisariatu [...] Policji w [...] przekroczyła uprawnienia służbowe w ten sposób, że m.in. w ramach udzielonych jej uprawnień w systemie SPP/CEPIK dokonała sprawdzenia pojazdu marki [...]
o nr rejestracyjnym [...] nie posiadając do tego sprawdzenia podstawy faktycznej i prawnej. Czyny A.S. uznał za przypadek mniejszej wagi i odstąpił od wszczęcia postępowania dyscyplinarnego. Zastępca Komendanta Miejskiego Policji
w [...] przeprowadził z A.S. rozmowę dyscyplinującą. W związku ze sprawdzeniem pojazdu marki [...] o nr rejestracyjnym [...] w systemie SPP/CEPIK A.S. uzyskała dostęp do danych osobowych skarżącej
w postaci numeru PESEL, imienia i nazwiska, daty urodzenia i adresu miejsca zamieszkania.
KGP odnośnie kwestii wglądu A.S. do danych osobowych skarżącej, M.K. i W.K. przetwarzanych w rejestrze PESEL w piśmie z [...] lutego 2022 r. wyjaśnił, że w okresie od [...] lutego 2012 r. do [...] lutego 2022 r. nie dokonywała ona sprawdzeń tych osób w rejestrze PESEL, co ustalono w wyniku sprawdzenia zrealizowanego w trybie kontroli i nadzoru nad przetwarzaniem informacji w KSIP.
Prezes UODO zaznaczył, że stroną niniejszego postępowania jest KGP, ponieważ to on jest administratorem w odniesieniu do danych osobowych przetwarzanych przez Policję w ramach dostępu do CEPiK i rejestru PESEL w trybie teletransmisji danych. Art. 21nb ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2021 r. poz. 1882 ze zm.) stanowi bowiem, że KGP prowadzi Krajowy System Informacyjny Policji, zwany dalej "KSIP", będący zestawem zbiorów danych, w którym przetwarza się informacje, w tym dane osobowe, w związku z realizacją zadań ustawowych (ust. 1).
W odniesieniu do informacji, w tym danych osobowych, przetwarzanych w KSIP, KGP jest administratorem w rozumieniu przepisów o ochronie danych osobowych (ust. 2). Uszczegóławia to § 2 zarządzenia Nr 70 Komendanta Głównego Policji z dnia 2 grudnia 2019 r. w sprawie Krajowego Systemu Informacyjnego Policji (Dz. Urz. KGP z 2019 r. poz. 114) stanowiący, że użyte w przepisach zarządzenia określenia i skróty oznaczają: (pkt 1) administrator - Komendanta Głównego Policji będącego administratorem
w rozumieniu przepisów art. 4 pkt 1 ustawy ODO przetwarzanych w związku
z zapobieganiem i zwalczaniem przestępczości oraz przepisów art. 4 pkt 7 rozporządzenia PE i Rady (UE) 2016/679 w odniesieniu do informacji, w tym danych osobowych, przetwarzanych w zbiorach danych KSIP, w policyjnych zbiorach danych,
o których mowa w § 4 ust. 1, dostępnych w systemach teleinformatycznych KSIP oraz w odniesieniu do informacji, w tym danych osobowych, przetwarzanych przez Policję
w ramach dostępu, w trybie teletransmisji danych, w systemach teleinformatycznych KSIP, do pozapolicyjnych zbiorów danych, o których mowa w § 4 ust. 2. Z kolei § 4 ust. 2 ww. zarządzenia stanowi, że systemy teleinformatyczne KSIP umożliwiają przetwarzanie w drodze teletransmisji danych informacji, w tym danych osobowych,
z następujących zbiorów danych innych podmiotów lub organów władzy publicznej: (pkt 2) centralnej ewidencji kierowców prowadzonej na podstawie przepisów ustawy - Prawo o ruchu drogowym; (pkt 3) centralnej ewidencji pojazdów prowadzonej na podstawie przepisów ustawy - Prawo o ruchu drogowym; (pkt 5) rejestrów prowadzonych na podstawie przepisów ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz. U.
z 2019 r. poz. 1397), w tym z rejestru PESEL i rejestru mieszkańców, zwanych w KSIP "PESEL".
Odnosząc się do kwestii uzyskania przez funkcjonariusza Komisariatu Policji [...] w [...] – A.S., wglądu do danych osobowych skarżącej przetwarzanych w CEPiK, organ wskazał, że dla rozstrzygnięcia niniejszej sprawy zastosowanie w tym zakresie znajdują przepisy ustawy z dnia 14 grudnia 2018 r. Powołana ustawa stwarza bowiem prawne podstawy stosowania ochrony państwowej w sytuacjach niezgodnego
z prawem przetwarzania danych osobowych obywateli, poprzez określenie zasad
i warunków ochrony danych przetwarzanych przez właściwe organy, które dokonują przetwarzania danych osobowych w celu określonym w art. 1 ust. 1 ustawy z dnia 14 grudnia 2018 r., tj. w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego,
a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności.
W myśl dyspozycji art. 13 ustawy z dnia 14 grudnia 2018 r. właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (ust. 1). Dopuszcza się przetwarzanie danych osobowych zebranych pierwotnie w jednym
z celów, o których mowa w art. 1 pkt 1, w innych nowych celach, o których mowa w art. 1 pkt 1, o ile: 1) administratorowi wolno przetwarzać takie dane osobowe w innym nowym celu na mocy odrębnych przepisów; 2) przetwarzanie jest niezbędne
i proporcjonalne w tym innym nowym celu na mocy odrębnych przepisów (ust. 2). Dopuszcza się przetwarzanie danych osobowych w innych celach niż określone w art. 1 pkt 1, jeżeli przepisy prawa zezwalają na ich przetwarzanie (ust. 3). Dopuszcza się wykorzystanie przetwarzania danych osobowych zebranych do celów, o których mowa w art. 1 pkt 1, w zakresie niezbędnym do ich archiwizacji w interesie publicznym oraz do celów naukowych, statystycznych lub historycznych, o ile podlega ono odpowiednim zabezpieczeniom praw i wolności osób, których dane dotyczą (ust. 4).
Prezes UODO zaznaczył, że zgodnie z art. 4 pkt 14 ustawy z dnia 14 grudnia 2018 r. przez przetwarzanie rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. W świetle ww. definicji wgląd w dane osobowe przetwarzane w zbiorze danych jest zatem jedną z operacji przetwarzania danych osobowych.
Prezes UODO wskazał, że organ ochrony danych osobowych, w celu realizacji ochrony państwowej obywateli, w sytuacjach niezgodnego z prawem przetwarzania danych osobowych, został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzanych nieprawidłowości w procesie przetwarzania danych osobowych. Wydanie stosownego nakazu następuje wówczas, gdy organ ochrony danych osobowych stwierdza naruszenie norm prawnych w zakresie przetwarzania danych osobowych. Wystąpienie przesłanek legalizujących przetwarzanie warunkuje zaś uznanie kwestionowanych czynności przetwarzania za zgodne z prawem. Z tych też względów w przedmiotowej sprawie należy ustalić, czy uzyskanie przez A.S. wglądu do danych osobowych skarżącej przetwarzanych w CEPiK nastąpiło na podstawie prawnej legalizującej przetwarzanie danych osobowych skarżącej, wypełniającej dyspozycję art. 13 ustawy z dnia 14 grudnia 2018 r. Jak wynika
z wyjaśnień złożonych w sprawie przez Komendanta Miejskiego Policji w [...], funkcjonariuszka Komisariatu Policji [...] w [...] A.S. uzyskała wgląd do danych osobowych skarżącej przetwarzanych w CEPiK w wyniku sprawdzenia, do którego nie posiadała podstawy faktycznej, przekraczając uprawnienia służbowe. Również wynikający z ustaleń Prokuratury Rejonowej w P. - dokonanych
w postępowaniu o sygn. akt [...] - kontekst, w jakim dokonano tego sprawdzenia (po otrzymaniu przez A.S. od jej syna informacji o numerze rejestracyjnym samochodu, którym P.S. podjechał pod dom mieszkalny A. i P.S.), wskazuje, że to działanie A.S. nie było powodowane jej obowiązkami służbowymi. Mając to na uwadze stwierdzić należy, że opisywana tu operacja na danych osobowych skarżącej nie znajdowała oparcia w żadnej
z przesłanek określonych w przytoczonym wyżej art. 13 ustawy z dnia 14 grudnia 2018 r., a w szczególności nie była ona niezbędna dla zrealizowania uprawnienia lub spełnienia obowiązku Policji wynikającego z przepisu prawa. Oznacza to, że uzyskanie przez A.S. w dniu [...] sierpnia 2019 r. o godz. [...] - wskutek przekroczenia uprawnień służbowych - wglądu do danych osobowych skarżącej przetwarzanych
w CEPiK skutkuje naruszeniem przez Komendanta Głównego Policji - jako administratora - art. 13 ustawy z dnia 14 grudnia 2018 r.
Przechodząc do rozstrzygania o konsekwencjach takiego naruszenia art. 13 ustawy z dnia 14 grudnia 2018 r. przez KGP, organ wskazał, że możliwości działania Prezesa UODO w tym zakresie wyznacza art. 8 ust. 2 ww. ustawy. Zgodnie z jego treścią w przypadku naruszenia przepisów o ochronie danych osobowych zbieranych
w celach, o których mowa w art. 1 pkt 1, Prezes Urzędu, w drodze decyzji administracyjnej, nakazuje administratorowi lub podmiotowi przetwarzającemu przywrócenie stanu zgodnego z prawem. Mając na uwadze treść powyższego przepisu zauważył, że z ustaleń postępowania wynika, iż zakwestionowane przez skarżącą przetwarzanie jej danych osobowych polegające na uzyskaniu przez A.S. wglądu do danych osobowych skarżącej przetwarzanych w CEPiK było zdarzeniem jednorazowym i miało charakter nieodwracalny. W związku zaś z jednorazowym
i nieodwracalnym charakterem działania, mimo, że naruszyło ono przepisy o ochronie danych osobowych, Prezes UODO nie ma możliwości przywrócenia stanu zgodnego
z prawem, tj. skorzystania z uprawnienia, o którym mowa w art. 8 ust. 2 ustawy z dnia 14 grudnia 2018 r. Skutkuje to koniecznością odmowy uwzględnienia wniosku skarżącej w tym zakresie.
Prezes UODO, niezależnie od powyższego, mając na uwadze, że żądania podniesione przez skarżącą w niniejszym postępowaniu, koncentrują się przede wszystkim na zapewnieniu, aby jej dane osobowe były przetwarzane przez Policję
w celach i na warunkach określonych prawem podkreślił, że decyzja administracyjna jest aktem o charakterze konkretnym i indywidualnym i dotyczy zawsze ściśle określonego, ustalonego i aktualnego w chwili orzekania stanu faktycznego. Prezes UODO nie jest zaś uprawniony do wydania rozstrzygnięcia w odniesieniu do przyszłych i hipotetycznych sytuacji, w tym ewentualnego nieuprawnionego dalszego przetwarzania danych osobowych skarżącej w przyszłości. Mając również na uwadze zawarte w piśmie skarżącej z [...] maja 2020 r. żądania dotyczące wprowadzenia dodatkowych środków zabezpieczających dane osobowe/zabezpieczenia danych należy zauważyć, że skarga do tutejszego organu nie może służyć dokonywaniu kontroli stosowanych środków technicznych i organizacyjnych na wniosek osoby, której dane dotyczą, a służyć ma przywróceniu stanu zgodnego z prawem w razie stwierdzenia naruszenia praw tej osoby. W związku z tym skuteczność zabezpieczeń danych osobowych i zasadność wprowadzenia dodatkowych zabezpieczeń, nie może być rozpatrywana przez organ w toku postępowania zainicjowanego skargą osoby, której dane dotyczą. Oceny stosowanych metod zabezpieczenia danych osobowych może dokonać tylko w toku postępowania wszczętego z urzędu. Organ powołał się przy tym ma wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 7 stycznia 2016 r. sygn. akt II SA/Wa 1238/15.
Odnosząc się zaś do żądania skarżącej dotyczącego nałożenia na administratora danych, tj. KGP, administracyjnej kary pieniężnej organ wskazał, że na gruncie przepisów ustawy z dnia 14 grudnia 2018 r. takie uprawnienie Prezesowi UODO nie przysługuje.
Odnośnie kwestii uzyskania przez A.S. wglądu do danych osobowych skarżącej, M.K. i W.K. przetwarzanych w rejestrze PESEL, organ wskazał, że z wyjaśnień KGP wynika, że w tym zakresie nie doszło do kwestionowanego przez skarżącą działania. Brak kwestionowanego procesu przetwarzania danych osobowych skutkuje zaś niemożnością wydania w tym zakresie przez Prezesa UODO jakiejkolwiek decyzji merytorycznej. Powyższe powoduje, że niniejsze postępowanie w tej części podlega umorzeniu na podstawie art. 105 § 1 Kpa jako bezprzedmiotowe.
Podsumowując, Prezes UODO wskazał, że wgląd przez A.S. w dniu [...] sierpnia 2019 r. o godz. [...] do danych osobowych skarżącej przetwarzanych
w CEPiK skutkuje naruszeniem przez KGP jako administratora art. 13 ustawy z dnia 14 grudnia 2018 r., jednak w związku z jednorazowym i nieodwracalnym charakterem tego działania organ nie ma możliwości przywrócenia stanu zgodnego z prawem, co skutkuje koniecznością odmowy uwzględnienia wniosku skarżącej w tej części. W zakresie dotyczącym uzyskania przez A.S. wglądu do danych osobowych skarżącej, M.K. i W.K. przetwarzanych w rejestrze PESEL niniejsze postępowanie jest bezprzedmiotowe, w związku z czym należy je w tej części umorzyć.
Skarżąca pismem z [...] maja 2022 r. wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na ww. decyzję organu z [...] marca 2022 r.
W treści skargi wskazała, że zaskarża ww. decyzję w części dotyczącej odmowy uwzględnienia jej wniosku z [...] lutego 2020 r. Zarzuciła Prezesowi UODO naruszenie szeregu wskazanych przez nią przepisów prawa oraz aktów wydanych przez KGP, mających istotny wpływ na treść rozstrzygnięcia, poprzez:
- wydanie decyzji bez wcześniejszego udostępnienia jej kopii dokumentów zgromadzonych w aktach administracyjnych, niezapewnienie jej dostatecznej możliwości udziału w postępowaniu, a tym samym ograniczenie jej czynnego udziału
w każdym stadium postępowania oraz uniemożliwienie jej wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań;
- błędną wykładnię art. 8 ust. 2 ustawy z dnia 14 grudnia 2018 r.;
- brak uzasadnienia faktycznego oraz prawnego dla odmowy uwzględnienia jej wniosku przy jednoczesnym uznaniu, że przetwarzanie jej danych osobowych przez KGP "naruszyło obowiązujące przepisy o ochronie danych osobowych";
- wobec stwierdzonych nieprawidłowości w przetwarzaniu jej danych osobowych, niewydanie tzw. decyzji naprawczej nakazującej KGP przywrócenie stanu zgodnego
z prawem, w tym usunięcie uchybień, zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe i zabezpieczenie danych osobowych, przez co Prezes UODO sankcjonuje i akceptuje naruszanie przez KGP i upoważnione przez niego osoby (funkcjonariuszy Policji) przepisów dotyczących ochrony danych osobowych;
- błędną interpretację przepisów dotyczących ochrony danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości;
- brak podjęcia działań zmierzających do ochrony danych osobowych przetwarzanych na podstawie ustawy z dnia 14 grudnia 2018 r., niewywiązywanie się przez Prezesa UODO z jego obowiązków nałożonych przepisami prawa powszechnie obowiązującymi, pozostawanie w bezczynności i akceptację stanu niezgodnego z prawem, powodującego przetwarzanie danych osobowych przez KGP z naruszeniem przepisów prawa powszechnie obowiązującego, w tym Konstytucji oraz ustawy z dnia 14 grudnia 2018 r.
W związku z powyższym, skarżąca wniosła o uchylenie ww. decyzji Prezesa UODO w przedmiocie odmowy uwzględnienia jej wniosku z [...] lutego 2020 r.
i zasądzenie na rzecz skarżącej 200 zł kosztów postępowania sądowego,
a w przypadku uznania skargi, stwierdzenie, że organ naruszył:
a) art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej z 30 kwietnia 2004 r. (Dz.U.2004.90.864/2, zwany dalej "Traktatem"),
b) art. 8 ust. 1 i 2 Karty praw podstawowych Unii Europejskiej z 14 grudnia 2007r. (Dz.U.UE.C.2007.303.1, zwana dalej "Kartą"),
c) art. 2, art. 7, art. 51 ust. 1 - 3 i 5) Konstytucji RP,
d) art. 6-7a, art. 8-12 Kpa w związku z art. 73 § 1, art. 107 § 1 pkt 6 Kpa oraz art. 8 ust. 2 pkt 1, 3 - 4 w związku z art. 12 u.o.d.o.p.z.z.p.,
e) art. 4 ust. 1 pkt a), b), f), art. 4 ust. 4, art. 8, art. 23, art. 14 pkt g), art. 17 ust. 3, art. 19, art. 20, art. 23, art. 24 ust. 1 pkt b, c, g, i, art. 29 ust. 1, art. 30 ust. 5, art. 42 ust. 4, art. 46 ust. 1 pkt a), d), f) i ust. 3, art. 47, art. 56 oraz art. 57 Dyrektywy Parlamentu Europejskiego I Rady (UE) 2016/680 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję i ramową Rady 2008/977/WSiSW (Dz.U.UE.L.2016.119.89 z dnia 2016.05.04; zwana dalej "Dyrektywą 2016/680"),
f) art. 5 ust. 1 i 6, art. art. 8 ust. 2 pkt 1, 3-4 oraz art. 13 ust. 1, art. 31 ust. 1 pkt 1, 2, 6, art. 31 ust. 3, art. 32 ust. 1, art. 35 ust. 1 i ust 2 pkt 2 i pkt 7, art. 39 ust. pkt 3, art. 41 ust. 1 i art. 43, art. 53 i art. 54 ust. 1 u.o.d.o.p.z.z.p.,
g) art. 73 § 1, art. 75 § 1, art. 77, art. 80, art. 107 § 3 Kpa,
h) art. 1 ust. 2 pkt 3 i 8, art. 14 ust. 1, 3, art. 20 ust. 1, 1b, 1c, 1d, art. 20g, art. 27 ust. 1, art. 58 ust. 1, art. 132 ust. 1, 2, 3 pkt 3 i 4, ust. 4b, art. 132a, art. 132b, art. 134, art. 134a – art. 134h, art. 134i ust. 1 pkt 2, art. 135 ust. 2 w związku z § 1 ust. 1 i 2, § 4, 12, 23, 24 załącznika do Zarządzenia KGP nr 805 w sprawie "Zasad etyki zawodowej policjanta" (Dz.Urz.KGP.2004.1.3 z 7 stycznia 2004r., zwane dalej "Zasadami etyki"),
i) art. 80c ust. 1 pkt 1) oraz art. 100ah ust. 1 pkt 1) ustawy z dnia 20 czerwca 1997 r. Prawo o ruchu drogowym (Dz.U.2020.110 t.j. z dnia 2020.01.24),
j) § 11 ust. 3, § 16 ust. 2, § 18 pkt 7 i 8, § 26 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 23 sierpnia 2018 r. w sprawie przetwarzania informacji przez Policję (Dz.U. z 2018r., poz. 1636 ze zm.),
k) § 57 ust. 1 i 2, § 58 ust. 1 pkt 1 i ust. 2 pkt 2 i 5, § 59 ust. 1, § 71 ust. 1 i 2 pkt 1, § 74 Decyzji nr 165 o KSIP,
l) § 2 ust. 1 pkt 1b, § 3 i 5 załącznika nr 2 do Zarządzenia KGP nr 1173 z "0" listopada 2004 r. w sprawie organizacji służby dyżurnej w jednostkach organizacyjnych Policji (Dz. Urz. KGP z 2013r., poz. 73, zwane dalej "Zarządzeniem Nr 1173").
Skarżąca w obszernym uzasadnieniu skargi opisała przebieg postępowania przed Prezesem UODO oraz rozwinęła ww. zarzuty.
Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
skarga nie ma uzasadnionych podstaw.
Sąd wskazuje, że zgodnie z art. 1 § 1 i 2 ustawy z 25 lipca 2002r. - Prawo o ustroju sądów administracyjnych (Dz.U. z 20212r., poz. 329) i art. 3 § 1 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023 r. poz. 259, zwana dalej "P.p.s.a.") Sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. W związku z tym, aby wyeliminować z obrotu prawnego akt wydany przez organ administracji publicznej (np. decyzję) konieczne jest stwierdzenie, że doszło w nim do naruszenia bądź przepisu prawa materialnego w stopniu mającym wpływ na wynik sprawy, bądź przepisu postępowania w stopniu mogącym mieć istotny wpływ na rozstrzygnięcie, albo też przepisu prawa dającego podstawę do wznowienia postępowania, lub ewentualnie ustalenie, że decyzja lub postanowienie organu dotknięte jest wadą nieważności (art. 145 § 1 pkt 1 lit. a)-c), pkt 2 P.p.s.a.).
Sąd, stosownie do art. 151 P.p.s.a., w razie nieuwzględnienia skargi w całości albo w części oddala skargę, odpowiednio w całości albo w części.
Sąd, oceniając zaskarżoną decyzję Prezesa UODO w świetle ww. kryteriów, uznał, że nie naruszała ona wskazanych w skardze przepisów, ani w stopniu mogącym mieć wpływ na wynik sprawy ani w stopniu mającym istotny wpływ na wynik sprawy. Zaskarżona decyzja nie narusza bowiem ani prawa materialnego w stopniu mogącym mieć wpływ na wynik sprawy, ani reguł procedury administracyjnej w stopniu mogącym mieć istotny wpływ na wynik sprawy, bądź skutkującym wznowieniem tego postępowania. Tymczasem, zgodnie z art. 145 § 1 P.p.s.a., dopiero stwierdzenie tego rodzaju naruszenia prawa uzasadnia uwzględnienie skargi.
Zdaniem Sądu, jakkolwiek Prezes UODO dopuścił się przewlekłego prowadzenia postępowania, z uwagi na to, że zaskarżoną decyzję wydał ponad 2 lata po tym, jak skarżąca złożyła [...] lutego 2020 r. do organu skargę na niezgodne
z prawem przetwarzanie jej danych osobowych przez KGP, nie miało to istotnego wpływu na wynik sprawy. Prezes UODO prawidłowo bowiem, po wyczerpującym zgromadzeniu i należytym rozpatrzeniu materiału dowodowego sprawy, wskazał w uzasadnieniu zaskarżonej decyzji, że jakkolwiek przetwarzanie danych osobowych skarżącej w CEPIK przez KGP (administratora) - przez sprawdzenie danych osobowych skarżącego przez funkcjonariusza Policji (osoby upoważnionej przez administratora), które nie miało oparcia w art. 13 ust. 1 u.o.d.o.p.z.z.p. - naruszyło obowiązujące przepisy o ochronie danych osobowych, ale było to zdarzenie jednorazowe i miało charakter nieodwracalny, więc niemożliwe było skorzystanie przez Prezesa UODO
z uprawnień przewidzianych w art. 8 ust. 2 u.o.d.o.p.z.z.p. W tym kontekście podnoszone w skardze zarzuty naruszenia art. 6-7a, art. 8-12, art. 77, art. 80, art. 107 § 3 Kpa nie mogły być uznane za zasadne.
Skarżąca nie podważyła skutecznie stanowiska Prezesa UODO wyrażonego
w uzasadnieniu zaskarżonej decyzji, że niemające oparcia w art. 13 ust. 1 u.o.d.o.p.z.z.p. i naruszające obowiązujące przepisy o ochronie danych osobowych sprawdzenie danych osobowych skarżącej przez funkcjonariusza Policji (osobę upoważnioną przez administratora), miało charakter zdarzenia jednorazowego, o nieodwracalnym charakterze, które nie jest kontynuowane. Było to zasadnicze i trafne stanowisko organu administracyjnego w sprawie, które zostało wyrażone w związku ze skargą wniesioną [...] lutego 2020 r., która zakreślała ramy prowadzonego przez organ postępowania administracyjnego w konkretnej sprawie i na podstawie znajdujących się w aktach administracyjnych dowodów. Tym samym, za zasadne nie mogły być uznane przez Sąd podniesione w skardze zarzuty naruszenia art. 6-7a, art. 8-12, art. 73, art. 75, art. 80 Kpa. Prezes UODO, jako organ związany rygorami procedury administracyjnej, jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego państwa (art. 8 § 1 Kpa). W tej sytuacji, organ uwzględniając powyższą zasadę dokładnie wyjaśnił okoliczności sprawy, ustosunkował się do konkretnych żądań i twierdzeń skarżącej oraz uwzględnił w decyzji zarówno interes społeczny, jak i słuszny interes skarżącej. Prezes UODO w sposób wyczerpujący zebrał i ocenił cały materiał dowodowy, uwzględniając zasadę prawdy obiektywnej, o której mowa w art. 7, art. 77 § 1 Kpa oraz zasadę swobodnej oceny dowodów, o której mowa w art. 80 Kpa. Organ uzasadnił też swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 Kpa. Dlatego też nie sposób zgodzić się z zarzutem naruszenia przez Prezesa UODO przepisów postępowania administracyjnego. Organ podjął bowiem wszelkie czynności niezbędne do wyjaśnienia stanu faktycznego sprawy.
Odnosząc się do podniesionych przez skarżącą zarzutów dotyczących wydania decyzji bez wcześniejszego udostępnienia jej kopii dokumentów zgromadzonych
w aktach administracyjnych, niezapewnienia jej dostatecznej możliwości udziału
w postępowaniu, a tym samym ograniczenia jej czynnego udziału w każdym stadium postępowania oraz uniemożliwienia jej wypowiedzenia się co do zebranych dowodów
i materiałów oraz zgłoszonych żądań, wskazać należy, że są one niezasadne. Skarżąca w toku postępowania administracyjnego składała do organu pisma, z którymi Prezes UODO się zapoznawał i podejmował czynności niezbędne do zachowania prawidłowego toku postępowania. Skarżąca była również informowana o każdej czynności podejmowanej w niniejszej sprawie. W dniu [...] lipca 2020 r. skarżąca zapoznała się z aktami sprawy, co potwierdza jej oświadczenie w aktach administracyjnych sprawy. W piśmie z [...] lutego 2022 r. - informującym o zebraniu materiału dowodowego wystarczającego do wydania decyzji administracyjnej. Organ zapewnił skarżącej czynny udział na każdym etapie prowadzonego postępowania zgodnie z przepisami prawa. W toku postępowania skarżąca zwróciła się do Prezesa UODO o udostępnienie kopii dokumentów z akt sprawy za pośrednictwem platformy ePUAP również wnioskami z dnia [...] czerwca 2020 r. oraz z dnia [...] września 2021 r., w stosunku do których Prezes UODO postanowieniami z [...] sierpnia 2021 r. i [...] października 2021 r. odmówił ich uwzględnienia. Wydając te postanowienia Prezes UODO uwzględnił obowiązujące przepisy prawa oraz wynikającą z podjętej w dniu 8 października 2018 r. przez Naczelny Sąd Administracyjny w składzie siedmiu sędziów uchwały o sygn. akt I OPS 1/18 wytyczną, że odmowa uwzględnienia wniosku strony
o sporządzenie kserokopii z akt może nastąpić, gdy organ wykaże konkretne utrudnienia wynikające z braku potrzebnego sprzętu lub dużej liczby dokumentów przewidzianych do kopiowania. Postanowienia te zostały zaskarżone przez skarżącą do Wojewódzkiego Sądu Administracyjnego w Warszawie. W postępowaniu dotyczącym postanowienia z 27 sierpnia 2021 r. Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 13 kwietnia 2022 r. sygn. akt II SA/Wa 3563/21 oddalił skargę skarżącej. W postępowaniu dotyczącym postanowienia z [...] października 2022 r. Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 13 kwietnia 2022 r. sygn. akt II SA/Wa 3772/21 uchylił zaskarżone postanowienie. W chwili obecnej te wyroki są nieprawomocne. Słusznie zauważył organ w odpowiedzi na skargę, że nie było podstaw do wstrzymania się z wydaniem zaskarżonej decyzji do czasu prawomocnego rozstrzygnięcia przez sądy administracyjne spraw powyższych postanowień.
W przypadku bowiem niewystąpienia przesłanek obligatoryjnego zawieszenia postępowania administracyjnego (art. 97 § 1 Kpa) wstrzymanie wydania decyzji administracyjnej jest możliwe jedynie w przypadku wskazanym w art. 98 § 1 Kpa. Przepis ten stanowi, że organ administracji publicznej może zawiesić postępowanie, jeżeli wystąpi o to strona, na której żądanie postępowanie zostało wszczęte, a nie sprzeciwiają się temu inne strony oraz nie zagraża to interesowi społecznemu. Skarżąca natomiast, wezwana przez Prezesa UODO pismem z [...] marca 2022 r. do wskazania, czy wnosi o zawieszenie niniejszego postępowania, w piśmie z [...] marca 2022 r. poinformowała, że jej wystąpienie nie było przejawem woli zawieszenia postępowania.
Zdaniem Sądu na uwzględnienie nie zasługiwały ponadto podnoszone przez skarżącą w skardze do Sądu zarzuty naruszenia norm prawa materialnego, a przede wszystkim zarzut błędnego zastosowania przez Prezesa UODO art. 8 ust. 2 u.o.d.o.p.z.z.p., jak również zarzut nieprawidłowego działania tego organu w kontekście unormowań unijnych w związku z wydaniem zaskarżonej decyzji.
Zgodnie z art. 41 ust. 3 Dyrektywy 2016/680 państwa członkowskie mogą zapewnić, by organem nadzorczym, o którym mowa w ww. Dyrektywie i na którym spoczywa obowiązek realizacji zadań organu nadzorczego, mającego powstać na mocy ust. 1, mógł zostać organ nadzorczy ustanowiony na mocy ww. Rozporządzenia 2016/679. Niezależnym organem nadzorczym w zakresie przetwarzania danych osobowych jest Prezes UODO.
Stosownie do art. 57 ust. 1 lit. a i f Rozporządzenia Parlamentu Europejskiego
i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - Dz.U.UE.L.2016.119.1, zwane dalej "RODO"), bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia,
a także rozpatruje skargi wniesione przez osobę, której dane dotyczą. Nie ulega wątpliwości, że RODO stanowi kompleksową regulację dotyczącą ochrony danych osobowych, która nie wymaga implementacji ustawą krajową, aby mogła być stosowana w danym państwie.
Jednocześnie państwom członkowskim Unii Europejskiej pozostawiono pewien zakres swobody w zakresie regulacji na poziomie krajowym, aby niektóre zagadnienia doprecyzować (np. w przypadku organu nadzorczego, czy odpowiedzialności za naruszenie zasad ochrony danych osobowych), czy też dostosować zasady wprowadzone przez RODO do innych obowiązujących w danym porządku prawnym zasad.
Z przepisów art. 57 ust. 1 lit. a i lit. f RODO wynika m.in., że procedura, w ramach której prowadzone są postępowania zainicjowane skargą wniesioną przez osobę, której dane dotyczą, określana jest przez poszczególne państwa członkowskie Unii Europejskiej. Pozostawienie w tym zakresie państwom członkowskim autonomii jest wyrazem realizacji zasady autonomii proceduralnej państw członkowskich. W tej sytuacji, skargi są wnoszone i rozpatrywane na podstawie przepisów proceduralnych obowiązujących w danym państwie członkowskim UE.
Z art. 1 u.o.d.o.p.z.z.p. wynika, że ustawa ta określa: zasady i warunki ochrony danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności (pkt 1), sposób prowadzenia nadzoru nad ochroną danych osobowych przetwarzanych przez właściwe organy w celach, o których mowa w pkt 1,
z wyłączeniem danych osobowych przetwarzanych przez prokuraturę i sądy (pkt 3); zadania organu nadzorczego oraz formy i sposób ich wykonania (pkt 4).
Z art. 5 ust. 1 u.o.d.o.p.z.z.p. wynika, że do zadań Prezesa UODO należy rozpatrywanie skarg osób, których dane osobowe są przetwarzane niezgodnie z prawem, i prowadzenie postępowań w tym zakresie (pkt 6); o ile przepis szczególny nie stanowi inaczej, kontrola zgodności przetwarzania danych osobowych z przepisami niniejszej ustawy (pkt 7); prowadzenie postępowania w sprawie stosowania niniejszej ustawy, w tym na podstawie informacji otrzymanych od innego organu władzy publicznej (pkt 8).
Zdaniem Sądu art. 5 ust. 1 pkt 1-12 u.o.d.o.p.z.z.p. spełnia przesłanki gwarancyjne z Dyrektywy 2016/680, co do stosowania środków zaskarżenia, włącznie
z odrębnym przysługującym konkretnej osobie prawem do wniesienia do sądu administracyjnego skargi na decyzję Prezesa UODO.
Organ ochrony danych osobowych, w celu realizacji ochrony obywateli, w sytuacjach niezgodnego z prawem przetwarzania danych osobowych - w świetle art. 8 ust. 2 u.o.d.o.p.z.z.p. - został wyposażony w kompetencje władcze, umożliwiające sankcjonowanie stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych w drodze decyzji administracyjnej. Art. 8 ust. 2 ww. ustawy wymienia przykłady konkretnych nakazów, które mogą być skierowane do administratora lub podmiotu przetwarzającego, w konkretnej sprawie indywidualnej.
W art. 13 u.o.d.o.p.z.z.p. wskazano natomiast, że właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (ust. 1). Dopuszcza się przetwarzanie danych osobowych zebranych pierwotnie w jednym z celów, o których mowa w art. 1 pkt 1, w innych nowych celach, o których mowa w art. 1 pkt 1, o ile: 1) administratorowi wolno przetwarzać takie dane osobowe w innym nowym celu na mocy odrębnych przepisów; 2) przetwarzanie jest niezbędne i proporcjonalne w tym innym nowym celu na mocy odrębnych przepisów (ust. 2). Dopuszcza się przetwarzanie danych osobowych w innych celach niż określone w art. 1 pkt 1, jeżeli przepisy prawa zezwalają na ich przetwarzanie (ust. 3). Dopuszcza się wykorzystanie przetwarzania danych osobowych zebranych do celów, o których mowa w art. 1 pkt 1, w zakresie niezbędnym do ich archiwizacji w interesie publicznym oraz do celów naukowych, statystycznych lub historycznych, o ile podlega ono odpowiednim zabezpieczeniom praw i wolności osób, których dane dotyczą (ust. 4).
Wskazać ponadto należy, że postępowanie administracyjne prowadzone przez Prezesa UODO w sprawie zainicjowanej w trybie skargowym, na co prawidłowo zwrócono uwagę w zaskarżonej decyzji, jest ukierunkowane na weryfikację zarzutów skargi, a w razie uznania jej zasadności na ustalenie, czy przy wykorzystaniu instrumentów prawnych przyznanych organowi nadzorczemu możliwe jest doprowadzenie do sytuacji, w której kwestionowany proces przetwarzania danych osobowych realizowany będzie z poszanowaniem przepisów o ochronie danych osobowych. Organ nadzorczy może zatem w postępowaniu wszczętym w związku z wniesioną przez skarżącą skargą na niezgodne z prawem przetwarzanie danych osobowych podjąć określone działania, mające stosowne umocowanie ustawowe, w zależności od ustalonych okoliczności faktycznych sprawy.
Przedmiotem postępowania zainicjowanego przez skarżącą było niezgodne
z prawem przetwarzanie jej danych osobowych przez KGP. W złożonej skardze skarżąca podniosła, że doszło do przetwarzania jej danych bez podstawy prawnej, bowiem ich pozyskanie nie miało związku z ustawowymi zadaniami Policji, natomiast służyło celom prywatnym funkcjonariusza Policji, który je pozyskał. Prezes UODO
w postępowaniu poprzedzającym wydanie zaskarżonej decyzji ustalił, że z uwagi na jednorazowy i nieodwracalny charakter dokonanego [...] sierpnia 2019 r. sprawdzenia/wglądu przez funkcjonariusza Policji danych osobowych skarżącej
w CEPIK, nie ma możliwości wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem, w świetle art. 8 ust. 2 u.o.d.o.p.z.z.p.
Zdaniem Sądu skutkowało to prawidłowością odmowy uwzględnienia przez Prezesa UODO skargi wniesionej przez skarżącą. Rację ma bowiem organ, że
z powodu okoliczności faktycznych związanych z naruszeniem danych osobowych skarżącej przez konkretnego funkcjonariusza Policji, Prezes UODO nie mógł skorzystać z uprawnień przysługujących mu na mocy art. 8 ust. 2 pkt 1, pkt 3 i 4 u.o.d.o.p.z.z.p.
i nakazać usunięcia uchybień (pkt 1); nakazać zastosowania dodatkowych środków zabezpieczających zgromadzone dane osobowe (pkt 3), nakazać zabezpieczenia danych osobowych lub przekazania ich innym podmiotom (pkt 4). Wgląd w dane skarżącej znajdujące się w CEPIK - ich sprawdzenie [...] sierpnia 2019 r. przez funkcjonariusza Policji miało charakter jednorazowy i nieodwracalny, i nie istniało - nie było kontynuowane na dzień wydania przez Prezesa UODO zaskarżonej decyzji. Tym samym - wbrew stanowisku skarżącej - organ nie miał podstaw do wydania decyzji naprawczej - nakazującej administratorowi lub podmiotowi przetwarzającemu przywrócenie stanu zgodnego z prawem, w świetle art. 8 ust. 2 u.o.d.o.p.z.z.p.
Prezes UODO, zgodnie z art. 8 ust. 2 u.o.d.o.p.z.z.p., w przypadku naruszenia przepisów o ochronie danych osobowych, zbieranych w celach, o których mowa w art. 1 pkt 1, w drodze decyzji administracyjnej nakazuje administratorowi lub podmiotowi przetwarzającemu przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień (pkt 1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (pkt 2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (pkt 3), zabezpieczenie danych osobowych lub przekazanie ich innym podmiotom (pkt 4), usunięcie danych osobowych (pkt 5), wprowadzenie czasowych lub stałych ograniczeń przetwarzania
i przekazywania, w tym zakazu przetwarzania (pkt 6). W art. 8 ust. 2 u.o.d.o.p.z.z.p. wymieniono więc przykłady konkretnych nakazów, które mogą być skierowane do administratora lub podmiotu przetwarzającego.
Ocena dokonywana przez Prezesa UODO w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu odpowiadającego dyspozycji art. 8 ust. 2 u.o.d.o.p.z.z.p., służącego przywróceniu stanu zgodnego
z prawem w procesie przetwarzania danych. Tym samym jest ona uzasadniona
i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych nadal istnieją. Prawidłowe było więc uznanie przez Prezesa UODO
w uzasadnieniu zaskarżonej decyzji, że zakończenie procesu przetwarzania danych osobowych skarżącej, który miał jednorazowy charakter i polegał na wglądzie w dane osobowe skarżącej zgromadzone w CEPIK przez konkretnego funkcjonariusza Policji
w konkretnym dniu, nie uzasadniało zastosowania w indywidualnej sprawie środków przewidzianych w art. 8 ust. 2 u.o.d.o.p.z.z.p.
W tym kontekście Sąd za prawidłowe uznaje stanowisko Prezesa UODO w odniesieniu do braku możliwości zastosowania środków naprawczych przewidzianych w art. 8 ust. 2 u.o.d.o.p.z.z.p. w sprawie ze skargi skarżącej z [...] lutego 2020 r.
Zauważyć należy, że w świetle obowiązujących przepisów, prawidłowo zastosowanych w sprawie przez organ, wniesiona przez skarżącą do Prezesa UODO [...] lutego 2020 r. skarga ma służyć przywróceniu stanu zgodnego z prawem, w razie stwierdzenia przez organ naruszenia praw tej osoby. Organ w uzasadnieniu zaskarżonej decyzji wskazał, że przywrócenie stanu zgodnego z prawem nie jest możliwe, gdyż nieprawidłowość w przetwarzaniu danych osobowych skarżącej, jakkolwiek miała miejsce, już nie istniała w chwili wydawania decyzji przez Prezesa UODO. Nieuprawniony wgląd w dane osobowe skarżącej stanowił zdarzenie jednorazowe, nieodwracalne, które nie jest kontynuowane.
Tym samym niezasadny by zarzut naruszenia w zaskarżonej decyzji art. 107 § 3 czy art. 8 § 1 Kpa. Organ administracyjny ustalił stan faktyczny sprawy w oparciu
o konkretne dowody zgromadzone w postępowaniu administracyjnym i zastosował w sprawie właściwe przepisy, czemu dał wyraz w uzasadnieniu zaskarżonej decyzji. Prezes UODO uwzględnił wszystkie dowody, które umożliwiły dowodzenie, a więc pozwoliły na przekonanie się o istnieniu lub nieistnieniu oznaczonych faktów, a tym samym o prawdziwości, względnie nieprawdziwości twierdzeń o tych faktach. Wyjaśnił wszystkie okoliczności istotne do prawidłowego i pełnego rozstrzygnięcia sprawy. Zaskarżoną decyzję wydano więc na podstawie wystarczającego materiału dowodowego, pozyskanego w wyniku postępowania administracyjnego, które przeprowadzono zgodnie z zasadami określonymi w Kpa. Prezes UODO nie dopuścił się więc w toku postępowania jakichkolwiek istotnych uchybień formalnych, które uniemożliwiłyby Sądowi dokonanie prawidłowej oceny zarzutów skargi i wypowiedzenie się co do legalności podjętego rozstrzygnięcia.
Prezes UODO działał ponadto w ramach swoich kompetencji, przyznanych m.in. na mocy przepisów u.o.d.o.p.z.z.p., mając przy tym na względzie także przepisy Dyrektywy 2016/680 i przepisy Kpa. Niezasadne były więc podniesione w skardze zarzuty naruszenia przez Prezesa UODO art. 16 Traktatu, art. 8 ust. 1 i 2 Karty, art. 2, art. 7, art. 51 ust. 1-3, 5 Konstytucji RP.
Prezes UODO nie mógł ponadto, wydając zaskarżoną decyzję, naruszyć wskazanych w skardze przepisów Prawa o ruchu drogowym, Decyzji nr 165 o KSIP, zarządzenia nr 1173, ww. rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 23 sierpnia 2018r., czy Zasad Etyki, bo ich nie stosował i nie był uprawniony ani zobowiązany do ich stosowania na gruncie rozpoznawanej sprawy w związku
z obowiązkiem zastosowania podanych w podstawie prawnej przepisów u.o.d.o.p.z.z.p.
Prawidłowo też organ umorzył postępowanie na podstawie art. 105 § 1 Kpa jako bezprzedmiotowe w kwestii uzyskania przez funkcjonariusza Policji – A.S. wglądu do danych osobowych skarżącej oraz jej dzieci przetwarzanych w rejestrze PESEL. W tym bowiem zakresie, jak wynika wyjaśnień KGP, nie doszło do kwestionowanego przez skarżącą działania. Brak kwestionowanego procesu przetwarzania danych osobowych skutkuje więc niemożnością wydania przez Prezesa UODO w tym zakresie jakiejkolwiek decyzji merytorycznej.
Sąd, mając powyższe okoliczności na względzie uznał, że zasadne było oddalenie skargi, na mocy art. 151 P.p.s.a.