Zgubione dokumenty nie podlegają RODO?

Czasami zdarzają się takie orzeczenia sądów czy decyzję organu nadzorczego, które pomimo wielokrotnej analizie pozostawiają czytelnika z jeszcze większym wątpliwościami niż przed lekturą takiego stanowiska.

I tak właśnie jest w sprawie prawomocnego wyroku WSA w Warszawie z połowy czerwca 2021 r., w którym to Sąd oddalił skargę obywatela na decyzję Prezesa UODO w przedmiocie umorzenia postępowania w sprawie przetwarzania danych osobowych.

Jak prezentuje się stan faktyczny?

Pewnego dnia skarżący otrzymał telefon z hotelu, w którym go nigdy nie było, że w restauracji hotelowej “walają się” dokumenty związane z wnioskiem o kredyt w Banku X. W dokumentach tych znajdował się oprócz szeregu danych osobowych także numer telefonu do tej osoby.

Pan poprosił o zabezpieczenie tak odnalezionych dokumentów.

Okazało się, że dokumenty kredytowe z pewnością stanowiły egzemplarze Banku, albowiem znajdowały się na nich adnotacje pracownika Banku – K. B. (…).

W związku z takim stanem faktycznym Pan zażądał od Prezesa Urzędu Ochrony Danych Osobowych podjęcia działań w ramach kompetencji nadzorczych.

Prezes UODO w postępowaniu administracyjnym ustalił, że:

dane osobowe Bank pozyskał od prowadzącego działalność gospodarczą Wnioskodawcy podczas zawarcia umowy Pakietu “[…]” z […] lipca 2008 r. (dowód: pismo Banku z 11 października 2019 r. wraz z załącznikiem w postaci kopii umowy)

Nadto organ nadzorczy przyjął za swoje ustalenia polegające na jednozdaniowym “dowodzie”, a więc stwierdzeniu Banku, że to nie “on” zgubił te dokumenty:

Bank przeprowadził postępowanie sprawdzające celem wyjaśnienia zaistniałego incydentu bezpieczeństwa. Z uzyskanych informacji, przedstawionego opisu sprawy i udostępnionych dokumentów nie wynika, aby do ujawnienia danych osobowych i tajemnicy bankowej doszło po stronie Banku. Według najlepszej wiedzy Banku żaden z pracowników Oddziału w B., który miał dostęp do dokumentacji Klienta nie przebywał w omawianym okresie w P. (miejscowości położonej niemal […] km od B.). Na tym etapie sprawy nie byliśmy w stanie stwierdzić żadnego związku przyczynowo – skutkowego pomiędzy funkcjonowaniem Banku a ujawnieniem treści dokumentów objętych tajemnicą bankową i zawierających dane osobowe” (dowód: pismo Banku z 11 października 2019 r.).

Skarżący zgłosił fakt znalezienia dokumentów zawierających jego dane osobowe organom ścigania co zakończyło się umorzeniem postępowania z powodu niewykrycia sprawców czynu:

Prokuratura Rejonowa w K. wskazała: prowadzone na podstawie zawiadomienia Wnioskodawcy postępowanie umorzono – postanowieniem Prokuratora Rejonowego w K. z […] lutego 2020 r. – z powodu niewykrycia sprawcy przestępstwa (dowód: pismo Prokuratury Rejonowej w K. z […] lutego 2020 r.)

Prezes UODO w decyzji z listopada 2020 r. umarzającej postępowanie w sprawie przetwarzania danych osobowych wskazał, że nie może być mowy o jakimkolwiek naruszeniu ochrony danych osobowych, bo na dzień wydania decyzji nie ma dowodów potwierdzających, że to Bank (administrator danych) dopuścił się udostępnienia danych osobowych osobom nieuprawnionym:

w niniejszej sprawie zaistniała przesłanka bezprzedmiotowości postępowania i umorzenia postępowania w oparciu o art. 105 § 1 K.p.a., co do udostępnienia danych osobowych Wnioskodawcy podmiotom nieuprawnionym; zgromadzony materiał dowodowy nie potwierdził prawdziwości podnoszonych przezeń zarzutów odnośnie wskazanego procesu; ponownie wskazano, że nie można uznać, jakoby kwestionowany proces przetwarzania danych osobowych – w zakresie dotyczącym udostępnienia przez Bank danych osobowych Wnioskodawcy podmiotom nieuprawnionym – zaistniał; wobec tego postępowanie w tym zakresie stało się bezprzedmiotowe.

Co stwierdził Sąd?

Przede wszystkim wskazał, że organ nadzorczy prawidłowo stwierdził brak przesłanek do prowadzenia postępowania w sprawie skargi obywatela:

Prawidłowo skonstatował organ brak przesłanek do dalszego prowadzenia postępowania, które wszczęto wobec skargi Wnioskodawcy, podnoszącego – niezgodne z prawem jego zdaniem – przetworzenie jego danych osobowych, wobec odnalezienia dokumentów, dotyczących udzielania mu przez Bank kredytu (faza procedowania nad wnioskiem).

Jednakże brak możliwości dalszego prowadzenia postępowania nie wynika z przyczyn wskazanych przez Prezesa UODO:

Organ mylnie jednak skonstatował, że przesłanką umorzenia postępowania może być nieustalenie, przez inne organy, kto był sprawcą czynu – pozostawienia dokumentów, dotyczących procedowanej umowy kredytu dla Wnioskodawcy w Hotelu. O ile zdarzenie to postawałoby w istocie w związku z przetwarzaniem danych osobowych w zakresie kompetencji danego organu, byłby on obowiązany realizować dalsze czynności dla stosownego wyjaśnienia okoliczności danego incydentu.

Sąd wskazuję, że powodem niemożliwości dalszego prowadzenia postępowania jest fakt,  że do danych osobowych znajdujących się w papierowych wydrukach nie stosuję się przepisów RODO:

Same sformułowane przez prawodawcę cele ustanowienia danej regulacji uzasadniają wprawdzie konkluzję, że generalnie RODO ma się przyczynić do lepszej ochrony danych osobowych obywateli państw członkowskich Unii Europejskiej. Rozporządzenie to nie stanowi jednakże aktu, służącego pełnemu, ramowemu uregulowaniu ochrony praw w danym zakresie. Dotyczy jedynie komponentu danych, które podlegają automatycznemu przetworzeniu bądź mogą podlegać takiemu przetworzeniu, jako baza informacji o osobach.

Oznacza to, że przepisy RODO nie znajdują zastosowania do wszelkich przypadków przetwarzania danych osobowych (formą przetwarzania jest ich ujawnianie – tak art. 4 pkt 3 RODO), lecz tylko gdy chodzi o te, objęte zakresem danej regulacji. Dotyczy to danych przetwarzanych w sposób całkowicie lub częściowo zautomatyzowany, zaś pozostałych tylko, gdy stanowią zbiór lub mogą stanowić część zbioru danych. Z kolei potencjalny zbiór danych to jedynie ich zestaw dostępny według określonych kryteriów. Oceny takiej nie zmienia to, że przetwarzanie (w tym ujawnienie) może – w myśl art. 4 pkt 3 RODO – nastąpić automatycznie lub także w inny sposób. Brzmienie danej definicji nie prowadzi do poszerzenia zakresu danych podlegających regułom RODO wedle treści art. 2 ust. 1. Mianowicie – gdy chodzi o dane przetwarzane w sposób inny niż zautomatyzowany – dotyczy ono tylko tych, które stanowią część zbioru danych lub mogą stanowić część zbioru danych, w rozumieniu art. 4 pkt 6 RODO.

Wobec przywołanych uwarunkowań, uzasadniony jest wniosek, że – wobec wyartykułowanych celów przyjęcia RODO i treści jego regulacji wstępnych – akt ten dotyczy zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach – ich danych osobowych – w szczególności w ramach systemów teleinformatycznych. Nie dotyczy ono zaś zdarzeń pozostających w związku z ujawnieniem (w następstwie wykorzystywania) danych osobowych w innych sytuacjach – np. możliwości zapoznania się przez osoby trzecie z treścią wydrukowanych dokumentów, dotyczących pozyskiwania kredytu poza siedzibą banku. nawet gdy znajduje się ono równocześnie w określonym zbiorze informacji Banku – bazie danych czy systemie teleinformatycznym. Inna ocena dotyczyć mogłaby wprawdzie przypadku, gdy określone informacje upowszechniane byłyby w takiej postaci, że możliwe byłoby ich niekontrolowane gromadzenie przez osoby nieuprawnione – bez wiedzy zainteresowanych.

Sytuacja taka – co bezsporne – nie miała jednak w rozpatrywanej sprawie miejsca. Opisany przypadek dotyczył niewątpliwie incydentalnego pozostawienia określonej dokumentacji poza siedzibą Banku, przy czym nie ustalono, kto był tego sprawcą a nawet, czy była to dokumentacja z zasobów Banku – choć tak wywodzi Wnioskodawca, przywołując argumentację na uprawdopodobnienie swojej tezy. Z wyjaśnień Banku wynika, że pozostawienie dokumentacji kredytowej w odległości około 300 km od jego siedziby nie było związane wykonywaniem zwykłych czynności przez jego pracowników. Brak podstaw, aby wyjaśnieniom tym nie dać wiary – zasadniczo takim twierdzeniem nie zaprzeczono też w skardze. Trafnie zauważono w niej wprawdzie, że nie ustalono, w jaki sposób dokumenty znalazły się w Hotelu. Nie było to jednak zadaniem danego organu, skoro zdarzenie to nie było efektem zorganizowanego procesu przetwarzania danych przez Bank (zakres właściwości organu).

I tutaj Sąd wskazuję kolejny koronny argument za potwierdzeniem swojej tezy:

Nie sposób racjonalnemu prawodawcy przypisać intencji przeniesienia tego typu spraw do rozstrzygania na drodze administracyjnej. Prowadzi to do konkluzji, że generalnie w RODO uregulowano tylko zagadnienia pozostające w bezpośrednim związku z pozyskiwaniem informacji z konkretnych zbiorów danych bądź tworzeniem zbiorów, umożliwiających uzyskanie określonych informacji o osobach.

Nie jest zaś kwestią kluczową (przesądzającą), czy sprawa dotyczy danych osobowych. RODO ingeruje bowiem w tą problematykę wyłącznie w kontekście określonych form przetwarzanie danych osobowych. Nie jest więc wystarczającym dla ustalenia właściwości wyspecjalizowanego organu ustalenie, że sprawa dotyczyła wykorzystania danych osobowych Wnioskodawcy. Nie można tego utożsamiać z ich przetworzeniem, w rozumieniu RODO.

W rozpoznawanej sprawie są poza sporem jej istotne okoliczności, w tym zakresie, że w skardze do wyspecjalizowanego organu przywołano zdarzenie, które nie dotyczyło ujawnienia określonego zbioru danych osobowych (za taki można by uznać pozyskanie danych potencjalnego kredytobiorcy ze stosownej bazy danych Banku), lecz znajdowanie się danych osobowych Wnioskodawcy w znalezionej w miejscu publicznym (Hotelu) dokumentacji. Wyspecjalizowany w zakresie ochrony danych osobowych organ nie był właściwy da oceny legalności tego zdarzenia.

Uzasadnione jest bowiem stwierdzenie, że nie pozostawało w żadnym związku z procesem mechanicznego przetwarzania danych bądź posługiwanie się danymi mogącymi, stanowić wyodrębnioną bazę, jako zespół informacji, uporządkowanych wedle pewnych kryteriów w dniu zdarzenia.

Nie do zaakceptowania w państwie prawnym byłaby koncepcja, jakoby określoną kwestię – ewentualne uchybienie w kwestii zabezpieczenia dokumentów w banku – można byłoby oceniać równolegle w dwóch trybach – w postępowaniach prowadzonych przez wyspecjalizowany organ administracji i sąd powszechny, czy także organ wyspecjalizowany w sprawie nadzoru bankowego.

Organ nie był bowiem kompetentny do ewentualnego zastosowania przyznanych mu w RODO uprawnień w zakresie zastosowania środków dyscyplinujących – zdarzenie opisane w skardze nie dotyczyło przetwarzania danych osobowych w rozumieniu RODO.

Przedstawiony powyżej wyrok jest prawomocny, co wskazuję, że administratorzy danych osobowych mogą odetchnąć z dużą ulgą – jeden z “powodów” naruszenia RODO właśnie odpadł.