GI-DEC-DS-80/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 25 kwietnia 2005 r. dotycząca kontroli osób wchodzących do budynku Wojewódzkiego Sądu Administracyjnego. - decyzja nieprawomocna
Warszawa, dnia 25 kwietnia 2005 r.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r., Nr 98 poz. 1071 z późn. zm.) oraz art. 12 pkt 2 w zw. z art. 1 ust. 1 i art. 2 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana A.Z. zam. w (...) przy ul. (...) na przetwarzanie jego danych osobowych przez Prezesa Wojewódzkiego Sądu Administracyjnego w (...) z siedzibą przy ul. (...) w związku z kontrolą osób wchodzących do budynku tego Sądu,
odmawiam uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana A.Z. zam. w (...) przy ul. (...) (zwanego dalej także Skarżącym) na przetwarzanie jego danych osobowych przez Prezesa Wojewódzkiego Sądu Administracyjnego w (...) z siedzibą przy ul. (...) (zwanego dalej Prezesem WSA) w związku z kontrolą osób wchodzących do budynku tego Sądu.
Skarżący podniósł w skardze, że według posiadanych przez niego informacji Prezes WSA wydał zarządzenie, w którym określił zasady wstępu do budynku WSA, w tym dotyczące kontroli osób, polegającej na „przejściu przez stacjonarny dekoder do wykrywania metali zaś bagaż osób wchodzących podlega odrębnej kontroli” oraz przetwarzania ich danych osobowych. Powołując się na przepisy Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., Skarżący stwierdził, że Prezes WSA nie miał kompetencji do wydania tego zarządzenia, ponieważ prowadzi ono do ograniczenia prywatności, a to dopuszczalne jest wyłącznie w drodze ustawy. Ponadto Skarżący podniósł, że osoby sprawujące tę kontrolę nie są uprawnione do legitymowania wchodzących, ponieważ prawo to mają wyłącznie „funkcjonariusze Policji oraz żołnierze Żandarmerii Wojskowej”. Wskazując na powyższe, Skarżący uznał, że doszło do nieuprawnionego przetwarzania danych osobowych, o których mowa w art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). W ocenie Skarżącego „informacje o tym jakie przedmioty ma przy sobie osoba lub jakie ma przedmioty w swoim bagażu uznać trzeba za dane osobowe”.
Ponieważ w świetle treści skargi nie było jasne, czy Prezes WSA pozyskał dane osobowe Skarżącego w związku z jego wizytą w WSA, Generalny Inspektor Ochrony Danych Osobowych (zwany dalej Generalnym Inspektorem) wszczął w tej sprawie postępowanie wyjaśniające, zwracając się do Skarżącego o udzielenie informacji, w jakim zakresie jego dane były przetwarzane. W odpowiedzi Skarżący oświadczył, iż: „do pozyskania moich danych nie doszło albowiem odmówiłem poddania się kontroli”. Wskazując na art. 47 Konstytucji RP, Skarżący podtrzymał przy tym żądanie przeprowadzenia przez Generalnego Inspektora Ochrony Danych Osobowych postępowania w tej sprawie. Wyraził również pogląd, iż „GIODO jest właściwy w przedmiotowej sprawie albowiem nie jest koniecznym wymogiem w żadnym zakresie naruszenie przepisów o ochronie danych osobowych lecz samo usiłowanie przetwarzania danych osobowych jest już wystarczającą przesłanką do zbadania sprawy”, jak też stwierdził, że „nie ma takiego przepisu który upoważniałby GIODO do zbadania sprawy tylko w tym przypadku gdy stosowny wniosek pochodzić będzie od osoby, której dane osobowe były przetwarzane. GIODO ma obowiązek rozpoznać skargę każdej osoby, bez względu na to, czy doszło do przetwarzania jej danych osobowych czy też nie”.
W celu dokładnego ustalenia stanu faktycznego sprawy Generalny Inspektor zwrócił się do Prezesa WSA o złożenie wyjaśnień. Prezes WSA poinformował natomiast, że „Pan A.Z. kilkakrotnie próbował wejść do budynku sądu bez poddania się wymaganej kontroli. Jednak przeprowadzone postępowanie nie wykazało, aby Pan A.Z. był legitymowany przez pracowników ochrony Sądu - legitymowany był jedynie przez wezwanych funkcjonariuszy Policji. Oznacza to, że Sąd nie pozyskał jego danych osobowych”. Podkreślił przy tym, że „dotychczas żadne osoby wchodzące nie są ewidencjonowane”. Niezależnie od powyższego Prezes WSA wyjaśnił, że Zarządzenie nr 3 Prezesa Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 29 stycznia 2004 r., którego dotyczy skarga Pana A.Z. „nie dotyczy kwestii przetwarzania danych osobowych”. Prezes poinformował przy tym, że na podstawie tego Zarządzenia osoby wchodzące do budynku Sądu podlegają kontroli polegającej na przejściu przez stacjonarny detektor do wykrywania metali. Odrębnej kontroli podlega bagaż tych osób, a osoby, które nie poddadzą się wymaganej kontroli nie zostaną wpuszczone na teren Sądu lub są z niego usuwane.
W tym stanie faktycznym Generalny Inspektor zważył, co następuje:
Na wstępie rozważenia wymaga kwestia, czy obowiązujące przepisy prawa przyznają prawo do ochrony danych osobowych tylko tym osobom fizycznym, których dane osobowe są już przetwarzane, czy też również takim, które nie udostępniły jeszcze swych danych, bowiem np. uznały, że administrator danych nie zapewnia odpowiedniego poziomu ich ochrony. Skarżący - jak wyżej wskazano – opowiedział się za drugą ze wskazanych wyżej możliwości, przyznając jednocześnie, iż nie udostępnił swoich danych osobowych podczas kontroli. Domagając się od Generalnego Inspektora ochrony prawnej, Pan A.Z. powołał się nie tylko na przepisy ustawy o ochronie danych osobowych, ale także na regulacje konstytucyjne – przede wszystkim art. 47 Konstytucji RP.
Wskazany art. 47 stanowi, że każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Uzupełnia ten przepis art. 51 Konstytucji RP, który przewiduje, że nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby, zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Mając na uwadze treść ww. regulacji konstytucyjnych, stwierdzić należy, że środkiem ochrony wartości wymienionych w tym przepisie jest w szczególności prawo do ochrony danych osobowych, o którym mowa w przepisach ustawy o ochronie danych osobowych (zwanej dalej ustawą). Ustawa jest jednocześnie rezultatem wykonania przez ustawodawcę nakazu ustawowego określenia zasad przetwarzania danych, wyrażonego w ww. art. 51 ust. 5 Konstytucji RP. Zarówno w piśmiennictwie, jak i orzecznictwie (np. orzeczenie TK z dnia 24 czerwca 1997 r. K. 21/96 OTK ZU 1997/2 poz. 23) przyjmuje się bowiem, że prywatność obejmuje również ochronę informacji dotyczących określonego podmiotu, co „gwarantuje m.in. pewien stan niezależności, w ramach którego jednostka może decydować o zakresie i zasięgu udostępniania i komunikowania innym osobom informacji o swoim życiu”.
Przepisy Konstytucji ogólnie jedynie stanowią o ochronie prywatności i informacji dotyczących osób fizycznych, natomiast środki tej ochrony określa już ustawa. Dlatego też bezprzedmiotowe jest powoływanie się w tej sprawie przez Skarżącego na regulacje konstytucyjne, które nie przewidują szerszych uprawnień dla osoby, której dane dotyczą, aniżeli ma to miejsce w przepisach ustawy. W szczególności nie stanowią one o prawie do ochrony danych w sytuacji, kiedy nie są one przetwarzane.
Podstawowe znaczenie dla rozstrzygnięcia wątpliwości Skarżącego w tej mierze ma art. 1 ust. 1 ustawy, zgodnie z którym każdy ma prawo do ochrony dotyczących go danych osobowych. W opinii Generalnego Inspektora, przepis ten jest nie tylko wyrazem autonomii informacyjnej osoby, której dane dotyczą, ale przede wszystkim wskazuje, że warunkiem skorzystania z wszelkich uprawnień do ochrony danych przewidzianych w ustawie jest uprzednie dokonanie na danych co najmniej jednej z czynności wskazanych w art. 7 pkt 2 ustawy - takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie i usuwanie. Pogląd ten znajduje potwierdzenie w treści kolejnych przepisów ustawy. W szczególności art. 2 ust. 1 ustawy stanowi, że określa ona zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych. Powołany przepis odnosi pojęcie przetwarzania danych do zbioru danych, niemniej przesądza on także generalnie o tym, że ochroną ustawy objęte są wyłącznie takie osoby fizyczne, których dane osobowe „są lub mogą być przetwarzane”. Prawo do ochrony danych, o którym wyżej mowa, skonkretyzowane zostało w art. 32 – 35 ustawy. Przepisy te przewidują dla osób, których dane dotyczą takie uprawnienia, jak w szczególności wskazane w art. 32 prawo do kontroli przetwarzania danych, na które składają się m.in. prawo do uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w zbiorze, uzyskania informacji o tym od kiedy przetwarza się w zbiorze dane jej dotyczące, czy żądania uzupełnienia, uaktualnienia i sprostowania danych. Kolejne przepisy ustawy przyznają ponadto zainteresowanemu prawo do uzyskania informacji o tym, jakie dane osobowe zawiera zbiór, w jaki sposób zebrano dane i w jakim celu i zakresie dane są przetwarzane (art. 33 ustawy) oraz prawo do żądania sprostowania lub usunięcia danych (art. 35 ustawy). Wskazane w tych przepisach uprawnienia dotyczą zatem niewątpliwie sytuacji, gdy dane osobowe są już przetwarzane. Jednocześnie, ustawa nie przewiduje żadnych uprawnień o charakterze „prewencyjnym”, które zapobiegałyby ewentualnemu jedynie przetwarzaniu danych w sposób niezgodny z przepisami - jak chciałby to widzieć Skarżący. Stanowisko powyższe znajduje także potwierdzenie w literaturze przedmiotu, gdzie wskazuje się, m.in. że „jeżeli dane osobowe nie są przetwarzane, albo też są przetwarzane poza wymienionymi kategoriami zbiorów, to osobom fizycznym może przysługiwać ochrona na podstawie innych przepisów, zwłaszcza przepisów kodeksu cywilnego o ochronie dóbr osobistych – art. 23, 24, 448 k.c. (...), (A. Drozd, Ustawa o ochronie danych osobowych, Komentarz, Wzory pism i przepisy, Warszawa 2004, s. 12).
W konsekwencji - wobec tego, że w świetle zgromadzonego w sprawie materiału dowodowego nie budzi wątpliwości, że osoby prowadzące kontrolę osób wchodzących do budynku WSA w (...) nie pozyskały jakichkolwiek danych osobowych Skarżącego - nie przysługuje mu ochrona na podstawie przepisów ustawy.
Podstawowe znaczenie dla rozstrzygnięcia niniejszej sprawy ma jednak okoliczność, że podczas kwestionowanej przez Skarżącego ww. kontroli osób, prowadzonej na podstawie Zarządzenia nr 3 Prezesa Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 29 stycznia 2004 r., Prezes WSA w ogóle nie pozyskuje danych osobowych. Z wyjaśnień Prezesa WSA wynika bowiem, że dane osób wchodzących do budynku Sądu nie są w ogóle pozyskiwane przez sprawujących kontrolę. Kontrola ta polega jedynie na przejściu przez detektor do wykrywania metali, a tej samej czynności poddawany jest bagaż wchodzącego. Z obowiązku poddania się kontroli zwolnieni są jedynie przedstawiciele określonych zawodów prawniczych, po okazaniu legitymacji służbowej.
Wobec tego, że ww. Zarządzenie nie reguluje w ogóle kwestii dotyczących danych osobowych, za bezpodstawne należy uznać także zarzuty Skarżącego co do nielegalnego przetwarzania tych danych przez Prezesa WSA ze względu na fakt, iż nie jest to akt rangi ustawowej.
Pan A.Z. podniósł w swojej skardze, że „informacje o tym jakie przedmioty ma przy sobie osoba lub jakie ma przedmioty w swoim bagażu uznać trzeba za dane osobowe”.
Odnosząc się do tego, wskazać trzeba, że o tym jakie informacje stanowią dane osobowe przesądza treść art. 6 ustawy. Stosownie do tego przepisu, w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 ustawy). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 ustawy). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3 ustawy).
W świetle tego przepisu stwierdzić należy, że informacji o tym, jakie przedmioty ma przy sobie dana osoba nie można zaliczyć do danych osobowych. Z powołanego art. 6 ustawy wynika bowiem, że nie każda informacja, która „dotyczy osoby fizycznej” ma taki charakter, a jedynie taka, która „umożliwia ustalenie tożsamości”, a więc np. imię i nazwisko (w powiązaniu z dodatkowymi wskazówkami), czy numer PESEL. Nie znajduje zatem uzasadnienia w przepisach ustawy pogląd Skarżącego, iż „informacje o tym jakie przedmioty ma przy sobie osoba lub jakie ma przedmioty w swoim bagażu uznać trzeba za dane osobowe”.
Niezależnie od powyższego, Skarżący podniósł także w skardze, że osoby, które kontrolują osoby wchodzące do budynku WSA, w tym legitymują je, nie są uprawnione do dokonywania tego rodzaju czynności, ponieważ „uprawnienia do kontroli osób i bagażu mają funkcjonariusze Policji oraz żołnierze Żandarmerii Wojskowej”.
Podkreślić wobec tego należy, że z akt sprawy wynika w sposób jasny, iż Skarżący został wylegitymowany wyłącznie przez funkcjonariusza Policji, w związku z odmową poddania się kontroli w budynku WSA i nie doszło do przetwarzania jakichkolwiek dotyczących go danych osobowych w zbiorach administrowanych przez Prezesa WSA. W świetle treści skargi bezprzedmiotowe byłoby zatem prowadzenie rozważań w tej kwestii.
Reasumując, brak jest podstaw do stwierdzenia naruszenia przez Prezesa Wojewódzkiego Sądu Administracyjnego w Warszawie przepisów ustawy o ochronie danych osobowych.
W takim stanie faktycznym i prawnym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych w zw. z art. 22 tej ustawy oraz art. 129 § 2 w zw. z art. 127 § 3 Kodeksu postępowania administracyjnego strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 – 193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od daty jej doręczenia.
