Urząd odstąpił od nałożenia sankcji na spółdzielnię, która w sposób nieuprawniony udostępniła jednorazowo adresy swoich członków. Zdaniem ekspertów na tę decyzję organu mogą powoływać się inne podmioty próbujące uniknąć odpowiedzialności.
DGP
Stan faktyczny rozpatrywanej skargi na nieprawidłowości w przetwarzaniu danych osobowych wyglądał następująco: członkowie jednej z warszawskich spółdzielni mieszkaniowych postanowili usunąć ze stanowiska członków tamtejszej rady nadzorczej. Mieli bowiem uzasadnione podejrzenia, że działają oni na niekorzyść mieszkańców. Przygotowali więc cztery projekty uchwał o ich odwołaniu, do których załączyli uzasadnienie merytoryczne. Pod każdym z nich podpisało się co najmniej 10 osób. Niedługo potem kilka podpisanych pod projektami osób ku własnemu zaskoczeniu otrzymało od trojga członków rady nadzorczej po kilka pism poleconych w wysłanych w ramach korespondencji prywatnej. W liście, do którego nam udało się dotrzeć, jego nadawca grozi autorom projektów uchwał oraz innym osobom udostępniającym ich treść wytoczeniem postępowania za naruszenie dóbr osobistych oraz za zniesławienie. Przy czym okazało się, że członkowie rady nadzorczej uzyskali kontakty do osób podpisanych pod projektami (a dokładniej imiona, nazwiska i adresy) bezpośrednio od spółdzielni mieszkaniowej.
Jedna z zastraszanych przedsądowymi pismami osób wystąpiła zatem do prezesa UODO ze skargą, że spółdzielnia udostępniła dane osobowe, nie mając ku temu podstawy prawnej. Ten przyznał jej rację. W decyzji, która zapadła 3 kwietnia 2019 r. (nr ZSPU.440.741.2018.DH.34886), wyraźnie stwierdził, że udostępnienie danych osobowych w sposób wskazany w skardze „było działaniem nieuprawnionym”. I wyjaśnił, że z art. 46 par. 4 ustawy z 16 września 1982 r. – Prawo spółdzielcze (tj. Dz.U. z 2018 r. poz. 1285) „nie wynika uprawnienie członków Rady Nadzorczej Spółdzielni do udostępnienia im danych osobowych zawartych w projektach uchwał dotyczących ich odwołania”. Tym bardziej że żaden z członków rady nie złożył stosownego, prawnie umotywowanego wniosku do spółdzielni w celu udostępnienia im danych osobowych zawartych w projektach uchwał. Jednak ku zdziwieniu skarżącej prezes UODO odstąpił od nałożenia sankcji oraz zastosowania środków naprawczych wobec spółdzielni. Bo – jak wyjaśnił – choć do naruszenia doszło, to „udostępnienie przez spółdzielnię danych osobowych skarżącej było działaniem jednorazowym i działania takie nie są obecnie kontynuowane”.

Nowe podejście organu

Eksperci są zdumieni decyzją prezesa UODO. Doktor Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna „ABI Expert”, mówi, że opisywana decyzja jest z jednej strony bardzo korzystna dla administratorów dopuszczających się incydentalnych naruszeń. Wskazuje, że można liczyć na pobłażliwość UODO przy incydentalnym naruszeniu przepisów RODO, o ile takie działania nie mają charakteru ciągłego. Z drugiej strony przyznaje (podobnie jak wielu innych prawników, których zapytaliśmy o zdanie), że przyjęta interpretacja ją zaskoczyła. – Jest bowiem znacząco odmienna od interpretacji przyjmowanych niegdyś przez generalnego inspektora ochrony danych osobowych. GIODO kwestionował przypadki, gdy ktoś wykorzystywał dane osobowe pozyskane do czynności związanych ze swoim stanowiskiem do prywatnych celów – wskazuje prawniczka. – Podążając tym tropem, powinno się poważniej podejść do sytuacji, w której członkowie spółdzielni, korzystając ze swoich uprawnień, doznają szkody niemajątkowej, o której mowa chociażby w art. 82 RODO. Wszak trudno mówić, że nic się nie stało, jeżeli skarżąca została w jakiś sposób skrzywdzona – dodaje.

Bez powrotu do przeszłości?

Prawnicy zwracają także uwagę na uzasadnienie w decyzji prezesa UODO, w którym czytamy: „organ ochrony danych osobowych nie dokonuje oceny zdarzeń przeszłych, nie kontynuowanych w chwili orzekania. Decyzja prezesa urzędu nie jest zatem instrumentem represji – służącym wyciąganiu konsekwencji w związku z przeszłymi nieprawidłowościami w procesie przetwarzania danych, lecz instrumentem służącym przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych realizowanym w chwili wydania decyzji”. Treść uzasadnienia zdaniem dra Pawła Litwińskiego, adwokata w kancelarii Barta Litwiński, jest niespójna z dotychczasowym podejściem prezesa UODO. Otóż niedawno w głośnej decyzji nakładającej milionową karę finansową na spółkę Bisnode stwierdził, iż ma ona „odstraszać zarówno spółkę, przed ponownym naruszeniem, jak i inne podmioty”. Prezes UODO wziął więc wówczas pod uwagę charakter represyjny swojego działania.

opinia eksperta

Argument prezes UODO dla odstąpienia od czynności postępowania, że naruszenie danych osobowych ma charakter jednorazowy i incydentalny, mnie nie przekonuje. Nie widzę bowiem prawnej zasadności dla takiej decyzji. To, czy incydent ma charakter częstego naruszania czy też jednorazowego, nie ma większego znaczenia przy dokonywaniu kwalifikacji prawnej tego zdarzenia. Wszak negatywne skutki dla osób, których dane zostały naruszone, mogą występować niezależnie od liczby naruszeń czy ich charakteru czasowego.
Według mnie istnieje podstawa prawna do nałożenia sankcji na spółdzielnię mieszkaniową, bo dyskusyjna jest jej praktyka udostępniania radzie nadzorczej informacji o wszystkich istotnych wydarzeniach dziejących się w spółdzielni. W każdym przypadku powinna ona wykazać zasadność udostępnienia określonych danych osobowych, mając za podstawę prawo spółdzielcze, prawo o spółdzielniach mieszkaniowych czy statut spółdzielni. Jeżeli zaś chciałaby mieć za podstawę uzasadniony interes administratora, o którym stanowi art. 6 ust. 1 lit f RODO, to i tak powinna dokonać oceny, czy udostępnienie danych osobowych nie narusza interesów oraz praw i wolności osób, których dane są przekazywane.
Jeżeli spółdzielnia uznała, że powyższe podstawy prawne dają możliwość udostępniania danych, np. radzie nadzorczej, to powinna pamiętać o spełnieniu obowiązku informacyjnego względem osób, których dane przetwarza, i dać im prawo do sprzeciwu wobec tego przetwarzania. Tak się jednak nie stało. Opisane okoliczności nie uzasadniają stanowiska podjętego przez prezes UODO.
Ekspert krytykuje również argumentację prezesa UODO, jakoby urząd nie dokonywał oceny wydarzeń przeszłych. – To kompletne nieporozumienie. Bezprzedmiotowość postępowania występuje jedynie w sytuacji, gdy przed wydaniem decyzji przywrócono stan zgodny z prawem. To jednak nie wyklucza możliwości nałożenia kary, a jedynie możliwość wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem – stwierdza dr Litwiński.
Zgadza się z nim dr Marlena Sakowska-Baryła.
– Nie rozumiem, jak można przyjmować, że ponieważ coś już się zdarzyło, to nie będą wyciągane negatywne konsekwencje. W takim razie jak podejść do wszystkich naruszeń ochrony danych osobowych podlegających zgłoszeniu na podstawie art. 33 RODO. Przecież zgłasza się naruszenia, które się już zdarzyły. Na negatywną ocenę zasługują nie tylko notoryjne czy długotrwałe naruszenia, ale także incydentalne. Zwłaszcza jeśli najpewniej skutkowały naruszeniem praw lub wolności osoby fizycznej – wskazuje.

Pytanie o alternatywne sankcje

Również adwokat Tomasz Waszczyński zastanawia się, dlaczego organ odstępując od karania, nie zastosował innego środka wobec naruszyciela. – Lektura wydanego rozstrzygnięcia wzbudza dość duże zdziwienie, jako że fakt dokonanego naruszenia przepisów o ochronie danych, niebudzącego dla organu nadzorczego wątpliwości, nie spowodował żadnej refleksji odnośnie do konieczności doprowadzenia do zmiany zasad ochrony danych w spółdzielni mieszkaniowej – zauważa mec. Waszczyński. Podkreśla, że wydaje się dość oczywiste, iż obowiązujące w spółdzielni mieszkaniowej reguły ochrony danych osobowych są w sposób trwały niezgodne z przepisami o ochronie danych, skoro nie gwarantują zachowania poufności danych osobowych i umożliwiają dostęp do nich osobom nieuprawnionym.
– Tym samym nic nie stało na przeszkodzie, by zmotywować administratora do samodzielnego skorygowania istniejących zasad ochrony, dając mu jasne wytyczne w tym zakresie. W razie zaś bezskuteczności tych działań możliwe było skorzystanie z szerokich uprawnień, jakie posiada organ, w celu doprowadzenia zasad przetwarzania do oczekiwanego przezeń kształtu – dodaje mec. Waszczyński.
W jego ocenie najbardziej adekwatne byłoby w tym przypadku upomnienie, które z jednej strony jednoznacznie podkreślałoby fakt naruszenia przepisów, a z drugiej nie byłoby sankcją nadmiernie surową wobec niewielkiego poziomu naruszenia przepisów.
Ekspert wskazuje, że nawet przyjmując optykę organu, że naruszenie było jednorazowe i nie trwa w dalszym ciągu, to i tak urząd posiadał możliwość wydania administratorowi ostrzeżenia w trybie art. 58 ust. 2 lit a RODO, które wskazywałoby na możliwość naruszenia zasad ochrony w przyszłości.
– Ryzyko zaistnienia takiej sytuacji wydaje się oczywiste, bowiem projekty uchwał mogą wpływać do spółdzielni mieszkaniowej przed każdym walnym zgromadzeniem, a członkowie rady nadzorczej za każdym razem, bez zmiany istniejących zasad przetwarzania, mogą uzyskiwać bezprawny dostęp do danych – zauważa mec. Waszczyński.
Stanowisko Urzędu Ochrony Danych Osobowych z 26 kwietnia 2019 r.
Prezes UODO, wydając decyzję w konkretnej sprawie, bada stan faktyczny i prawny na dzień wydania decyzji. Jeżeli z ustaleń wynika, że naruszenie było działaniem, które już nie jest kontynuowane, to prezes urzędu nie może wydać decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem. Byłoby to nielogiczne, a przede wszystkim niezgodne z art. 105 par. 1 kodeksu postępowania administracyjnego (k.p.a.). Zgodnie z tym przepisem, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części.
W doktrynie prawa administracyjnego wskazuje się, że bezprzedmiotowość postępowania administracyjnego oznacza, że w danym postępowaniu administracyjnym brak jest któregoś z elementów materialnego stosunku, co w konsekwencji prowadzi do uniemożliwienia organowi administracji wydania decyzji rozstrzygającej daną sprawę co do istoty. Podkreśla się również, że ww. przesłanka umorzenia postępowania administracyjnego może powstać także w trakcie już toczącego się postępowania, a więc w sprawie już zawisłej przed danym organem (B. Adamiak, J. Borkowski, Komentarz do k.p.a., C.H. Beck, Warszawa 2006 r., s. 489).
Z kolei w orzecznictwie sądów administracyjnych wskazuje się, że bezprzedmiotowość postępowania oznacza powstanie sytuacji, w której sprawa administracyjna przestaje istnieć. Aby taki stan rzeczy zaistniał, nastąpić musi takie zdarzenie prawne lub faktyczne, które spowodowałoby, że przestała istnieć ta szczególna relacja między faktem (sytuacją faktyczną danego podmiotu) a prawem (sytuacją prawną danego podmiotu), z którą prawo materialne łączy obowiązek konkretyzacji normy w postaci wydania decyzji administracyjnej (tak Wojewódzki Sąd Administracyjny w Łodzi w wyroku z 18 kwietnia 2013 r., sygn. akt II SA/Łd 1194/12).
Fakt, że przywrócono stan zgodny z prawem, a zatem prezes UODO musi wydać decyzję umarzającą postępowanie w tym zakresie, nie oznacza, że nie może nałożyć administracyjnej kary pieniężnej. Uprawnia go do tego art. 83 ust. 2 RODO. Decydujące w tym zakresie będą zaś indywidualne okoliczności każdej sprawy. Może być więc tak, że mimo iż naruszenie ustało, to jednak ze względu na jego skalę czy rozmiar wyrządzonych szkód albo inne okoliczności prezes UODO uzna, że nałożenie kary finansowej jest zasadne. Należy bowiem pamiętać, że kary z założenia mają być proporcjonalne, dotkliwe i odstraszające, by działały także prewencyjnie.
Każda sytuacja jest badana przez organ nadzorczy indywidualnie, a przy podejmowaniu decyzji o nałożeniu kary prezes UODO musi brać pod uwagę aż 11 różnych czynników, o których mowa w powołanym przepisie. Istotne będą więc m.in.: charakter, waga i czas trwania naruszenia, to czy miało ono charakter umyślny czy też nie, warunki, w jakich do niego doszło, liczba poszkodowanych osób, rozmiar poniesionej przez nie szkody, czy jest to pierwsze naruszenie czy kolejne, jak zachował się administrator danych (np. czy sam zgłosił naruszenie oraz – o ile to konieczne – poinformował o tym osoby poszkodowane). Bierze się pod uwagę także wszelkie inne łagodzące lub obciążające czynniki mające zastosowanie w danej sprawie. Dlatego nawet w przypadku dwóch podobnych zdarzeń, w jednym może zostać nałożona kara finansowa, a w drugim nie. Przesądzić bowiem o tym mogą indywidualne okoliczności związane z tymi sprawami.