W dniu 26.08 br. zostało opublikowane sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych („PUODO”) w roku 2020 r. („Sprawozdanie”). W ramach pierwszej części omawiania dokumentu podsumowane zostały informacje statystyczne dotyczące skarg i naruszeń, jak również najczęstsze typy naruszeń ochrony danych osobowych zgłaszanych do organu. Część II zawiera z kolei omówienie wybranych skarg wpływających do PUODO na podmioty z sektora publicznego, opisanych w sprawozdaniu.
Przetwarzanie i upublicznianie wizerunku osób fizycznych bez ich zgody
Jedna ze skarg dotyczyła publikacji w biuletynie Powiatowego Urzędu Pracy wizerunku skarżącego bez jego zgody. Urząd Pracy, w artykule dotyczącym współpracy tego urzędu z zakładem karnym, opublikował zbiorowe zdjęcie osób, które uczestniczyły w zajęciach organizowanych dla osób odbywających karę pozbawienia wolności. Jednym z uczestników wydarzenia był skarżący.
Organ nadzorczy w w Sprawozdaniu zwrócił uwagę na stanowisko Sądu Apelacyjnego w Warszawie wyrażone w wyroku z dnia 3 października 2018 roku (sygn. akt V ACa 655/17), zgodnie z którym zgoda osoby na rozpowszechnianie jej wizerunku w mediach musi zostać udzielona wyraźnie i nie może być domniemywana. Musi być udzielona wprost oraz w sposób niewątpliwy. Powinna określać warunki i płaszczyzny dopuszczalnego wykorzystania wizerunku. PUODO podkreślił także, że również w przypadku wyciągania wniosku o udzielonej zgodzie z „wyraźnego działania potwierdzającego” na administratorze ciąży obowiązek zapewnienia możliwości wykazania, że osoba, której dane dotyczą, wyraziła zgodę. Może to wymagać utrwalenia informacji o istotnych okolicznościach gromadzenia danych, z których wynika, że osoby, których dane dotyczą, zostały poinformowane o tym, iż określone ich działania będą oznaczały zgodę na przetwarzanie danych[1].
W niniejszej sprawie administrator ostatecznie usunął zdjęcie wykonane skarżącemu i zanonimizował jego wizerunek w biuletynie, w związku z czym PUODO udzielił administratorowi jedynie upomnienia za naruszenie przepisów ochronie danych osobowych.
Udostępnienia danych osobowych na stronach internetowych Biuletynu Informacji Publicznej
W tym zakresie PUODO podał następujące przykładu skarg:
- Skarga związana z opublikowaniem danych osobowych skarżącego w zakresie jego imienia i nazwiska zawartych w uchwałach administracji publicznej, podjętych po rozpatrzeniu jego wniosków o stwierdzenie nieważności postępowań konkursowych na stanowisko kierownicze w podmiotach leczniczych podległych samorządowi województwa, w których brał udział.
- Skargi dotyczące publikowania na stronie internetowej Biuletynu Informacji Publicznej danych osobowych w związku z publikacją petycji, oraz danych osobowych radnych, którzy złożyli interpelacje i zapytania do wójta (burmistrza, prezydenta) w sprawach dotyczących gminy.
W kontekście tych skarg PUODO zwrócił uwagę na konieczność przestrzegania przez organy administracji publicznej zasady minimalizacji. W jednej ze spraw podkreślił, że np. dla spełnienia obowiązku wynikającego z ustawy o dostępie do informacji publicznej nie było niezbędne udostępnienie w uchwale organu administracji publicznej imienia i osoby wnioskującej o unieważnienie postępowania konkursowego (było to nieadekwatne do celu). W ocenie organu nadzorczego publikacja dokumentu zawierającego dane osobowe w zakresie, który może powodować naruszenie prawa do prywatności, powinna nastąpić po odpowiednim przetworzeniu danych osobowych w nim zawartych. Zgodnie z zasadą minimalizacji danych, określoną w art. 5 ust. 1 lit. c RODO, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane[2].
Z kolei w kontekście publikowania na stronie internetowej Biuletynu Informacji Publicznej danych osobowych w związku z publikacją petycji, oraz danych osobowych radnych, którzy złożyli interpelacje i zapytania do wójta (burmistrza, prezydenta) w sprawach dotyczących gminy, PUODO stwierdził, że regulacje zobowiązujące do publikacji interpelacji i zapytań złożonych przez radnych w sprawach gmin, nie określają kategorii danych osobowych, jakie mogą być udostępniane o osobie ją wnoszącej. Do określenia tego zakresu zastosowanie znajdują przepisy RODO. Przy udostępnianiu danych osobowych należy zwrócić szczególną uwagę, aby zostały zachowane zasady określone w art. 5 ust. 1 RODO. Organ administracji publicznej, jako administrator danych osobowych publikowanych w Biuletynie Informacji Publicznej, przy publikacji interpelacji i zapytań wnoszonych przez radnego, w których zawarte są dane osobowe wnoszącego, jest zobowiązany do dokonania oceny zarówno zasadności upubliczniania tych danych, ich zakresu, jak i określenia dalszej retencji (zgodnie z art. 5 ust. 1 lit. b oraz lit. c RODO). W konsekwencji przy publikacji danych osobowych na stronach Biuletynu Informacji Publicznej organ administracji publicznej nie powinien kierować się automatyzmem. Prezes UODO w rozstrzyganej sprawie wskazał, że upublicznienie przez burmistrza interpelacji i zapytań radnego zawierającego jego dane osobowe w postaci adresu zamieszkania należy uznać za przetwarzanie w zakresie zbędnym dla osiągnięcia celu, jakim było opublikowanie przedmiotowych interpelacji i zapytań w Biuletynie Informacji Publicznej z uwagi na art. 24 ust. 7 ustawy o samorządzie gminnym, który stanowi o obowiązku podawania jedynie „treści interpelacji i zapytań oraz udzielonych odpowiedzi”[3]. Natomiast kwestia udostępniania danych osobowych wnoszącego petycję została uregulowana w przepisach prawa. Zgodnie z prawem, jedynymi danymi osobowymi wnoszącego petycję, umieszczanymi na stronie internetowej przez podmiot właściwy do rozpatrzenia petycji – pod warunkiem wyrażenia zgody wnoszącego petycję na powyższe – jest imię i nazwisko. Wójt nie posiadał podstawy prawnej do udostępnienia takich danych osobowych, jak adres zamieszkania osoby wnoszącej petycję[4].
Przetwarzanie danych osobowych przez administratora w celu innym niż cel, do którego dane te zostały pozyskane
Przytoczona przez PUODO skarga dotyczyła doręczenia korespondencji zawierającej decyzję administracyjną osobie niebędącej stroną postępowania administracyjnego, tj. córce doręczono decyzję dotyczącą jej ojca. Organ publiczny wykorzystał dane osobowe skarżącej w zakresie imienia i nazwiska oraz adresu zamieszkania w celu dostarczenia korespondencji dla jej ojca, bez podstawy prawnej (niezgodnie z celem, w związku z którym te dane zostały zebrane). Skarżąca nie była stroną postępowania w sprawie, w której została wydana doręczona jej decyzja. W toku sprawy nie ustalono, aby skarżąca została ustanowiona pełnomocnikiem swojego ojca. Skarżony organ w złożonych wyjaśnieniach wskazał, że uzyskał dane osobowe skarżącej w zakresie imienia i nazwiska oraz adresu zamieszkania w związku z wykonaniem przez skarżącą przelewu bankowego, zrealizowanego w celu uregulowania w imieniu jej ojca terminowej należności – opłaty za odpady komunalne. Prezes UODO podkreślił, że stosownie do art. 5 ust. 1 lit. b RODO, dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu). Cel, w jakim administrator zbiera dane osobowe, musi być konkretny, tj. realnie istniejący i precyzyjnie określony i wyraźny, czyli dający się łatwo i jednoznacznie zrozumieć. Co więcej, wskazany cel musi być prawnie uzasadniony, zatem oparty na obiektywnie dających się usprawiedliwić przesłankach. Mając powyższe na uwadze, za cel przetwarzania danych osobowych skarżącej w zakresie imienia i nazwiska oraz adresu przez skarżony organ należy uznać potwierdzenie realizacji czynności bankowych przez skarżącą. Wobec powyższego wykorzystanie przez skarżony organ danych osobowych skarżącej, pozyskanych z informacji przelewu bankowego, w celu skierowania do niej korespondencji zawierającej pismo, której nie była adresatem, było nieprawidłowe. Wykorzystanie tych danych w powyższym celu było niezgodne z celem, dla którego dane te zostały pozyskane, a zarazem brak było jakiejkolwiek podstawy prawnej do ich przetwarzania przez skarżony organ w celu doręczenia korespondencji przeznaczonej dla jej ojca[5].
Prawo dostępu do danych osobowych przysługujące osobie, której dane dotyczą
Skargi kierowane do PUODO dotyczyły także niedopełnienia obowiązku informacyjnego (art. 15 RODO) wobec osoby, której dane dotyczą, oraz niedostarczenia osobie, której dane dotyczą, kopii danych osobowych podlegających przetwarzaniu przez administratora (np. nieudostępnienie skarżącemu kopii danych osobowych przez Ministra Środowiska).
w tym kontekście organ nadzorczy zwrócił uwagę, że na podstawie art. 15 ust. 3 RODO administrator, dostarczając osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu, nie ma obowiązku udostępniania osobie zainteresowanej nośnika, na którym przetwarzane są dane osobowe, ani tych zawartych na nim danych, które nie stanowią danych osobowych w rozumieniu art. 4 pkt 1 RODO, ani danych, które nie dotyczą wnioskującego. Realizując obowiązek wynikający z art. 15 ust. 3 RODO, administrator może poprzestać na podaniu treści danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych na nośniku. Wykonanie ww. obowiązku może być realizowane zarówno poprzez sporządzenie kopii lub odpisu dokumentu (nośnika) zawierającego dane osobowe wnioskującego oraz inne dane, jak i poprzez podanie uprawnionemu treści jego danych osobowych, z pominięciem pozostałych informacji znajdujących się na nośniku[6].
adw. Agnieszka Rapcewicz
[1] S. 31 Sprawozdania.
[2] S. 32-33 Sprawozdania.
[3] S. 33-34 Sprawozdania.
[4] S. 35 Sprawozdania.
[5] S. 36-37 Sprawozdania.
[6] S. 38 Sprawozdania.