Czy Prezes UODO może nakazać administratorowi udostępnienie danych osobowych na rzecz osoby trzeciej, np. na potrzeby wszczęcia postępowania sądowego?

Chcąc wnieść pozew trzeba zamieścić w tym piśmie procesowym określone informacje identyfikujące pozwanego, zawsze imię i nazwisko, adres gdzie pozew ma być doręczony (miejsce zamieszkania lub adres z CEIDG do doręczeń), w elektronicznym postępowaniu sądowym również PESEL lub NIP już na etapie wszczynania postępowania.

Dawny stan prawny

Dawniej, przed rodo, w takich sytuacjach powód mógł liczyć na pomoc GIODO, który powołując się na przepis art. 18 ust. 1 pkt 2 starej uodo nakazywał udostępnić żądane dane osobowe. Przepis brzmiał, jak poniżej:

Art.  18.  [Naruszenie przepisów o ochronie danych osobowych]

1.  W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

1) usunięcie uchybień;

2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;

4) wstrzymanie przekazywania danych osobowych do państwa trzeciego;

5) zabezpieczenie danych lub przekazanie ich innym podmiotom;

6) usunięcie danych osobowych.

Dodatkowo w takich sytuacjach organ znajdował uzasadnienie w dawnym przepisie art. 23 ust. 1 pkt 5 starej uodo (odpowiednik obecnego art. 6 ust. 1 lit. f rodo) – oczywiste było bowiem, że powód realizuje prawnie uzasadniony interes i w tym celu dokonanie operacji udostępnienia jest przetwarzaniem zgodnym z prawem ochrony danych osobowych, natomiast zaniechanie w tym względzie będzie stanowiło naruszenie.

Obecny stan prawny

Obecnie stara uodo już nie obowiązuje, więc do postępowań wszczętych po 24.5.2018 r. mają zastosowanie wyłącznie przepisy rodo i nowej uodo. W tym stanie prawnym brak jest w/w przepisu art. 18. Z tego względu w wyroku z dnia 18 grudnia 2020 r. (sygn. akt II SA/Wa 989/20) WSA w Warszawie oddalił skargę na decyzję PUODO w przedmiocie umorzenia postępowania. PUODO stwierdził, że obecnie nie ma kompetencji do nakazania administratorowi udostępnienia danych, ponieważ nie ma w/w art. 18 starej uodo, sąd zaś to stanowisko podzielił. Wydaje się, że nie są to rozstrzygnięcia, z którymi można się łatwo zgodzić.

WSA wskazuje, że podstawy skutecznego żądania skarżącego nie może stanowić przepis art. 58 ust. 1 lit. a ani art. 58 ust. 2 lit. c rodo, których naruszenie zarzucała skarżąca spółka. Rzeczywiście z tych przepisów taka kompetencja PUODO nie wynika, ale przecież sąd administracyjny nie jest związany podstawą prawną błędnie wskazaną w skardze.

Przepis art. 58 ma następujące brzmienie:

Artykuł 58 Uprawnienia

1. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań:

a) nakazanie administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań;

(…)

2. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:

(…)

c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;

d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;

Oczywiście z nich nie wynikają kompetencje PUODO, które skarżąca chciała w nich znaleźć. Pierwszy dotyczy potrzeb organu, a drugi osoby, której dane dotyczą, czyli podmiotu danych – skarżąca nie jest ani jednym ani drugim.

Nie znaczy to natomiast, że w całym rodo nie ma przepisów, z których wynika kompetencja PUODO do nakazania udostępnienia danych i nie trzeba nawet szukać daleko.

Kompetencja organu do nakazania dostosowania operacji do rodo

Kompetencje (przez wskazanie zadań, obowiązków) organu wyznacza również art. 57 rodo, który na pierwszym miejscu wskazuje, że organ egzekwuje stosowanie rodo. Z kolei art. 58 ust. 2 lit. d rodo stanowi, że w celu wypełnienia tego zadania organ może skorzystać z uprawnienia jakim jest nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu. Z pierwszego przepisu wynika, że organ powinien wydać taką decyzję administracyjną, która zapewni stosowanie rodo, zaś drugi przykładowo podaje konkretne uprawnienie naprawcze. Skoro na skutek skargi organ powziął wiedzę, że administrator wbrew art. 6 ust. 1 lit. f rodo nie udostępnia danych innemu administratorowi albo stronie trzeciej, którzy mają w wykorzystaniu danych prawnie uzasadniony interes, czyli wstrzymuje legalne przetwarzanie (nie stosuje rodo) – to powinien dostosować operacje u aktualnego administratora przez nakazanie mu dokonania operacji udostępnienia danych (doprowadzić poprzez swoje uprawnienia władcze do stosowania rodo). Zwrot „dostosować” jest pojęciem szerszym niż „dokonać”, który dotyczyłby tylko operacji jeszcze nie podjętych. Przez „dostosowanie operacji” należy rozumieć zarówno zmodyfikowanie wadliwie prowadzonych operacji, jak i podjęcie koniecznych operacji, a także zaniechanie niedopuszczalnych operacji. Jest to zgodne z pojemnym brzmieniem art. 57 ust. 1 lit. a rodo.

Z art. 58 ust. 2 lit. d rodo wynika taka sama norma jak z art. 18 ust. 1 pkt 2 dawnej uodo.

Tymczasem WSA stwierdza:

Wbrew twierdzeniom strony skarżącej takiego uprawnienia nie sposób też wywieść z art. 6 ust.1 pkt. f RODO. Ten przepis stanowiłby dla skarżącego podstawę prawną do przetwarzania konkretnych danych osobowych w sytuacji, gdyby skarżący był już w posiadaniu tych danych. Powyższa norma nie daje jednak skarżącemu uprawnienia do pozyskania takich danych osobowych bezpośrednio, czy też za pośrednictwem Prezesa UODO.

Status administratora i tym samym zastosowanie art. 6 rodo nie zależy od posiadania danych

Jest to stanowisko w mojej ocenie błędne, żadna z podstaw legalizacyjnych, o których stanowi art. 6 ust. 1 lit. a – f rodo, swojego zastosowania nie uzależnia od posiadania danych przez administratora albo stronę trzecią, której dotyczy art. 6 ust. 1 lit. f rodo. Można być legalnym administratorem, co wynika z posiadania podstawy i być jednocześnie pozbawionym możliwości przetwarzania danych, a organ nadzorczy jest powołany m.in. do tego, żeby na taki bezprawny stan reagować, przez przywrócenie stosowania rodo.

Art. 6 ust. 1 lit. f rodo celowo mówi również o stronie trzeciej, która z definicji nie jest administratorem, czyli nie decyduje o celach i sposobach przetwarzania danych w sferze profesjonalnej, gospodarczej – stąd przepis ma zastosowanie również do osoby fizycznej, która chce wszcząć postępowanie cywilne, niezwiązane z prowadzoną przez nią działalnością gospodarczą – ze względów czysto osobistych – o ile dane są w posiadaniu podmiotu profesjonalnego, do którego stosuje się rodo (aktualnego administratora). Operacja udostępnienia, jest w tej sytuacji ostatnią operacją na danych z udziałem strony trzeciej jaka podlega rodo, następnie osoba fizyczna przetwarza dane dla celów czysto osobistych, dopiero kiedy zgodnie z celem, dla którego je pozyskała, dane znajdą się u profesjonalnego pełnomocnika, doręczyciela lub w sądzie, ponownie wchodzą w orbitę stosowania rodo, ale nie ze względu na osobę powoda (strony trzeciej) tylko ze względu na przetwarzanie podmiotów profesjonalnych, zaangażowanych w proces dochodzenia roszczenia.