Decyzja DKN.5131.13.2025

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572 ze zm.) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. b) w związku z art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: rozporządzenie 2016/679,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przez posła J. T. (Biuro Poselskie, ul. (…), (…)-(…) E.) przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych:

stwierdzając naruszenie przez posła J. T. (Biuro Poselskie, ul. (…), (…)-(…) E.) przepisu art. 6 ust. 1 rozporządzenia 2016/679, polegające na niezgodnym z prawem przetwarzaniu danych osobowych w zakresie obejmującym adres nieruchomości, nr jej księgi wieczystej oraz imię i nazwisko osoby fizycznej w przeszłości zameldowanej w tej nieruchomości, będącej zarazem jej możliwym późniejszym właścicielem, w związku z ich nieuprawnionym ujawnieniem w trakcie interwencji poselskiej z (…) maja 2025 r., podjętej w Urzędzie Miasta F., transmitowanej na żywo przez stację telewizyjną Q., co skutkowało naruszeniem zasady zgodności przetwarzania z prawem, rzetelności i przejrzystości wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679,

udziela posłowi J. T. upomnienia.

Uzasadnienie

1.

Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) uzyskał – m.in. w oparciu o informacje pojawiające się w przestrzeni publicznej – sygnał wskazujący na możliwe nieprawidłowości w procesie przetwarzania przez posła Pana J. T. danych osobowych w zakresie obejmującym adres nieruchomości, numer jej księgi wieczystej oraz imię i nazwisko osoby fizycznej w przeszłości zameldowanej w tej nieruchomości, będącej zarazem jej możliwym późniejszym właścicielem, w związku z ich ujawnieniem w trakcie interwencji poselskiej z (…) maja 2025 r., transmitowanej na żywo przez media Q.. Wedle informacji uzyskanych przez Prezesa UODO, (…) maja 2025 r. w Urzędzie Miasta F. pojawili się posłowie W. E. oraz J. T., którzy wskazali, że przybyli z kontrolą poselską dotyczącą określonego mieszkania komunalnego znajdującego się w F.. Posłom towarzyszyli przedstawiciele stacji telewizyjnej Q., którzy transmitowali działania posłów na żywo. W trakcie wypowiedzi poseł J. T. ujawnił numer księgi wieczystej nieruchomości, której dotyczyła interwencja, jak również wskazał jej lokalizację – tj. podał nazwę i numer ulicy oraz numer lokalu. Dodatkowo, w trakcie wypowiedzi dla ww. mediów zarejestrowanej przez budynkiem Urzędu Miasta F., poseł J. T. ujawnił informacje na temat przeszłej, domniemanej eksmisji z ww. lokalu komunalnego bliżej nieokreślonych osób fizycznych, zameldowania w nim innej osoby – wskazanej z imienia i nazwiska (tj. Pana S. L.), spekulacje odnośnie do możliwości późniejszego zakupienia lokalu przez ww. osobę oraz ogólną informację o dalszej sprzedaży lokalu. Zapis transmisji z ww. zdarzenia jest – wedle stanu na dzień wydania niniejszej decyzji - dostępny na platformie Z.: https://(…).

2.

W związku z powyższym, pismem z 23 maja 2025 r. Prezes UODO zwrócił się do posła J. T. z prośbą m.in. o wyjaśnienie:

a)

od kogo, na jakiej podstawie prawnej oraz w jakim celu pozyskane zostały dane osobowe Pana S. L., tj. adres mieszkania oraz numer księgi wieczystej tego mieszkania;

b)

na jakiej podstawie prawnej oraz w jakim celu podczas transmisji na żywo prowadzonej przez media Q. w dniu (…) maja 2025 r. ujawnione zostały ww. dane osobowe Pana S. L..

3.

Poseł J. T. pismem z 11 czerwca 2025 r. wyjaśnił, że „(…) w oparciu o przepisy ustawy z dnia 09 maja 1996 roku o wykonywaniu mandatu posła i senatora, a dokładnie na przysługującym mi prawie do kontroli poselskiej zwróciłem się do Urzędu Miasta F. o udzielenie informacji na temat jednej z nieruchomości. Informacje o niej powziąłem z doniesień medialnych”. Ponadto, Poseł J. T. wskazał, że: „(…) nie wiedziałem iż przebieg kontroli transmitowany jest na żywo przez media Q.. Byłem przekonany, iż materiał będzie nagrywany jedynie na potrzeby reportażu – migawki w wydaniu wiadomości i zostanie przesłany do autoryzacji”.

4.

Jednocześnie Poseł J. T. podkreślił, że „w świetle zaistniałych okoliczności to zachowanie pracowników Urzędu Miasta F., a (w) szczególności Pani Wiceprezydent Miasta F. U. R., należy analizować przez pryzmat ewentualnych naruszeń. Pani Wiceprezydent Miasta F. zamiast zapewnić posłom odpowiednie warunki do przeprowadzenia czynności w ramach kontroli poselskiej, zdecydowała się na ich wysłuchanie, w przedpokoju swojego gabinetu, w obecności mediów, które jak się potem okazało transmitowały całe zajście na żywo”. Zdaniem Posła J. T., „Urząd Miasta, jako podmiot administracji publicznej, pełni funkcję administratora danych osobowych w rozumieniu art. 4 pkt 7 RODO (Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679). (…) Nawet w sytuacji udostępniania danych osobowych w trybie kontroli poselskiej, urząd zobowiązany jest do zapewnienia odpowiednich warunków przekazywania danych (np. w pomieszczeniu gwarantującym poufność), ograniczenia dostępu do danych tylko do osób uprawnionych, oraz unikania sytuacji, w których informacje mogą być upublicznione w sposób niekontrolowany, w powyższym przypadku w obecności mediów czy postronnych osób. Co więcej Pani Wiceprezydent Miasta F. nie zakwestionowała słuszności pozyskiwania przez nas danych i informacji. Mając na uwadze powyższe, należy uznać, iż to Urząd Miasta i jego pracownicy, zobowiązani byli do zapobiegnięcia ujawnieniu danych, czego nie uczynili”.

5.

W związku z pozyskanymi informacjami i wyjaśnieniami Prezes UODO 2 września 2025 roku wszczął z urzędu postępowanie administracyjne w sprawie naruszenia przez posła J. T. jako Administratora danych, przepisów o ochronie danych osobowych, w procesie przetwarzania danych osobowych w zakresie obejmującym adres nieruchomości, nr jej księgi wieczystej oraz imię i nazwisko osoby fizycznej w przeszłości zameldowanej w tej nieruchomości, będącej zarazem jej możliwym późniejszym właścicielem, realizowanym w ramach interwencji poselskiej z dnia (…) maja 2025 r.

W ustalonym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

I. Ocena legalności przetwarzania danych osobowych

6.

Posłowie realizują swoje obowiązki związane z wykonywaniem mandatu poselskiego na podstawie ustawy z dnia 9 maja 1996 r. o wykonywaniu mandatu posła i senatora (Dz. U. z 2024 r. poz. 907). Jak wskazano w „Poradniku posła pracodawcy”^[1], opublikowanym na stronie Sejmu Rzeczypospolitej Polskiej (sejm.gov.pl), „Poseł realizując obowiązki pracodawcy oraz obowiązki związane z wykonywaniem mandatu poselskiego w terenie jest administratorem danych osobowych pracowników, współpracowników społecznych, osób ubiegających się o zatrudnienie w procesie rekrutacji, jak również wyborców zgłaszających się do biura poselskiego z prośbą o interwencję poselską czy interpelację, składających swoje opinie, postulaty i wnioski (którzy nie chcą pozostać anonimowi). Działalność posła wiąże się zatem z przetwarzaniem danych osobowych, czyli dokonywaniem operacji na danych osobowych takich jak: zbieranie, utrwalanie, porządkowanie, przechowywanie, modyfikowanie, przeglądanie, wykorzystywanie, udostępnianie, usuwanie i niszczenie (np. przechowywanie danych osobowych w formie akt osobowych pracowników, zgłaszanie Marszałkowi Sejmu danych osobowych pracowników i współpracowników, które podawane są do wiadomości publicznej w formie elektronicznej)”.

7.

Nie negując powyższego należy wskazać, że mając na uwadze m.in. legalne definicje: danych osobowych (art. 4 pkt 1 rozporządzenia 2016/679), przetwarzania (art. 4 pkt 2 rozporządzenia 2016/679) oraz administratora (art. 4 pkt 7 rozporządzenia 2016/679), przedstawiony powyżej katalog czynności przetwarzania nie jest zamknięty, podobnie jak nie jest zamknięty ww. katalog osób, których dane mogą być przetwarzane przez posłów, w związku ze sprawowaną przez nich funkcją i w odniesieniu do których mają status administratora. Posłowie są zatem administratorami w rozumieniu art. 4 pkt 7 rozporządzenia 2016/679 w odniesieniu do danych osobowych przetwarzanych przez nich w ramach wypełniania obowiązków wynikających z wykonywania mandatu i pełnienia funkcji publicznej, regulowanych przepisami ustawy z dnia 9 maja 1996 r. o wykonywaniu mandatu posła i senatora (Dz. U. z 2024 r. poz. 907). Oznacza to, że w niniejszym przypadku poseł J. T. jest administratorem danych osobowych przetwarzanych w ramach dokonywanej w Urzędzie Miasta F. (…) maja 2025 r. kontroli poselskiej, które stanowiły przedmiot tej kontroli (tj. adres nieruchomości, nr jej księgi wieczystej oraz imię i nazwisko osoby fizycznej w przeszłości zameldowanej w tej nieruchomości, będącej zarazem jej możliwym późniejszym właścicielem).

8.

W związku z powyższym, należy podkreślić, iż posłowie, jako administratorzy decydujący o celach i sposobach przetwarzania danych osobowych, są zobowiązani do przetwarzania tych danych zgodnie z prawem.

9.

Art. 5 ust. 1 rozporządzenia 2016/679 określa zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. W myśl art. 5 ust. 1 lit. a) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”). Przestrzeganie ww. zasady musi być wykazane w ramach prawidłowo realizowanego wymogu rozliczalności wynikającego z art. 5 ust. 2 rozporządzenia 2016/679.

10.

Zgodnie z art. 6 ust. 1 rozporządzenia 2016/679 przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy spełniony jest co najmniej jeden z poniższych warunków:

a)

osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b)

przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c)

przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d)

przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e)

przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f)

przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Należy zaznaczyć, że przepis art. 6 ust. 1 lit. f rozporządzenia 2016/679 nie ma zastosowania do przetwarzania danych osobowych przez organy publiczne w ramach realizacji swoich zadań.

11.

Katalog przesłanek legalności przetwarzania danych osobowych wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.

12.

Art. 6 ust. 1 rozporządzenia 2016/679 enumeratywnie wymienia zatem materialne przesłanki dopuszczalności przetwarzania wszystkich kategorii danych osobowych, również tych określonych w art. 10 rozporządzenia 2016/679, wyłączając dane dotyczące zdrowia będące przedmiotem regulacji art. 9 rozporządzenia 2016/679. Spełnienie przynajmniej jednej z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 warunkuje legalność przetwarzania danych osobowych (legalność każdej czynności mieszczącej się w tym pojęciu) także w świetle art. 5 ust. 1 lit. a) rozporządzenia 2016/679, tj. zgodność tego przetwarzania z prawem (tak: M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, wyd. 1, 2018).

13.

Również motyw 40 preambuły rozporządzenia 2016/679 wskazuje, że „aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator (…)”.

14.

Aby móc dowieść legalności przetwarzania danych osobowych administrator musi z reguły wykazać, czy spełnione zostało kryterium „niezbędności” tego przetwarzania z punktu widzenia celu, któremu ma ono służyć. W art. 6 ust. 1 rozporządzenia 2016/679 prawodawca formułuje ten wymóg w pięciu na sześć przesłanek dopuszczalności przetwarzania danych osobowych (art. 6 ust. 1 lit. b)-f)). Zgodnie z Wytycznymi EROD 1/2024 w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f) rozporządzenia 2016/679 przyjętymi 8 października 2024^[2], ocena tego, co „niezbędne” obejmuje ustalenie, czy w praktyce uzasadnione interesy przetwarzania danych osobowych nie mogą być racjonalnie osiągnięte równie skutecznie za pomocą innych środków, które w znacząco mniejszym stopniu ograniczają prawa lub wolności osób fizycznych. W sytuacji, w której istnieją inne, równie skuteczne oraz mniej inwazyjne alternatywy, przetwarzanie nie może być uznawane za „niezbędne”. W tym kontekście TSUE wyraźnie wskazuje, że warunek dotyczący konieczności przetwarzania danych osobowych należy badać w powiązaniu z zasadą minimalizacji danych wyrażoną w art. 5 ust. 1 lit. c) rozporządzenia 2016/679, zgodnie z którą dane osobowe muszą być „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”^[3].

15.

Oznacza to, że administrator planując przetwarzanie danych osobowych zobowiązany jest zasadniczo do dokonania oceny „niezbędności” przetwarzania danych osobowych na podstawie wybranej przez siebie przesłanki i w kontekście zakładanego celu przetwarzania. Zgodnie z motywem 39 preambuły rozporządzenia 2016/679, „Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami”. Oceniając kryterium „niezbędności” należy zatem mieć na uwadze cel oraz kontekst przetwarzania danych osobowych.

16.

Poseł J. T. (dalej także: Administrator) w piśmie z 11 czerwca 2025 r., udzielając odpowiedzi na pytania zawarte w piśmie Prezesa UODO z 23 maja 2025 r. wskazał, że informacje dotyczące nieruchomości uzyskał z doniesień medialnych. Jak poinformował w ww. piśmie, „w Internecie już od ponad (…) lat można znaleźć felietony czy artykuły z fotografiami dotyczące budynku przy ulicy (…) wskazujące, że w jednym z lokali zamieszkuje Pan S. L.. Sam Pan (…) niejednokrotnie w swoich wywiadach wspominał o swoim mieszkaniu w starej kamienicy. Ponadto, pod budynkiem kilkukrotnie odbywały się protesty przeciwko Panu S. L., które również były fotografowane i opisywane w sieci”. Odnosząc się do pytania o źródło pozyskania informacji na temat konkretnego numeru lokalu lub numeru księgi wieczystej mieszkania, stwierdził natomiast: „Lokal (…) w F. jest miejscem stałego wykonywania działalności gospodarczej jednej z firm, a dane w Centralnej Ewidencji i Informacji o Działalności Gospodarczej Rzeczypospolitej Polskiej są ogólnodostępne i jawne. Ponadto obecnie istnieje kilka witryn internetowych, które umożliwiają wyszukanie księgi wieczystej danej nieruchomości, w oparciu o jej pełny adres, w związku z tym każdy może pozyskać tego typu dane”.

17.

Wedle informacji możliwych do ustalenia przy pomocy wyszukiwarki podmiotów prowadzących działalność gospodarczą, dostępnej na stronie https://aplikacja.ceidg.gov.pl/, z wykorzystaniem danych o miejscowości, nazwie i numerze ulicy, w jednym z lokali znajdujących się pod ww. adresem prowadzona jest działalność przez osobę, której nazwisko wskazuje na powiązania rodzinne z Panem S. L.. Obecność tych informacji w powszechnym rejestrze nie ma jednak żadnego znaczenia, gdyż Administrator zobowiązany jest do przetwarzania danych osobowych zgodnie z prawem, tj. w szczególności w oparciu o zasadę przetwarzania zawartą w art. 5 ust. 1 lit. a) rozporządzenia 2016/679 oraz pozostałe przepisy tego aktu prawnego. Oznacza to, że aby móc przetwarzać dane osobowe, Administrator musi wykazać niezbędność przetwarzania tych danych oraz oprzeć to przetwarzanie na jednej z przesłanek określonych w art. 6 ust. 1 rozporządzenia 2016/679, co organ nadzorczy wykazał powyżej (w pkt 9-15 uzasadnienia niniejszej decyzji).

18.

Przedstawiając argumenty przytoczone w pkt 16 uzasadnienia decyzji, Administrator zdaje się pomijać, że jawność danych znajdujących się w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) służyć ma ściśle określonym celom (transparentności i bezpieczeństwu obrotu gospodarczego), zaś użytkownicy tego rejestru nie powinni wykorzystywać go niezgodnie z przeznaczeniem, w szczególności przetwarzać danych osobowych w nim dostępnych w sposób mogący znacząco wpływać na życie prywatne przedsiębiorców lub osób im bliskich. Pamiętać należy także, iż numer księgi wieczystej, pomimo jawnego charakteru ksiąg wieczystych, nie stanowi informacji ogólnodostępnej i uzyskanie go wymaga wykazania interesu prawnego^[4].

19.

Należy jednocześnie podkreślić fakt, że samo rozporządzenie 2016/679 w motywie 4 preambuły wskazuje, że „Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w Karcie praw podstawowych – zapisanych w Traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego, domu oraz komunikowania się, ochrony danych osobowych, wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu oraz różnorodności kulturowej, religijnej i językowej”. Tak samo, art. 8 ust. 1 Europejskiej Konwencji Praw Człowieka^[5] podkreśla, że „Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji”. Również z art. 7 Karty Praw Podstawowych Unii Europejskiej^[6] wynika, że „Każdy ma prawo do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się”.

20.

Powyżej powołane przepisy wprost wskazują prawo do poszanowania domu, stanowiącego ze względu na ścisłe powiązanie z jego mieszkańcami dane osobowe (w kontekście chociażby adresu, pod którym znajduje się nieruchomość, czy jak w przypadku omawianym w niniejszej decyzji, numeru księgi wieczystej), jako prawo chronione prawem Unii Europejskiej. Podkreślić należy, że ochrona domu jest obecnie niezwykle istotna, z uwagi na znaczne nasilenie zagrożeń nieznanego pochodzenia, w tym możliwości prowadzenia działań przestępczych, terrorystycznych oraz nawet możliwością działalności obcych wrogich służb. Bez wszelkich wątpliwości, także w świetle wskazanych zagrożeń, udostępnianie informacji o adresie domowym oraz innych informacji dotyczących nieruchomości, takich jak numer księgi wieczystej, musi być sankcjonowane.

21.

Podobnie, udzielając odpowiedzi na zapytanie organu nadzorczego, Administrator nie wskazał jednoznacznie podstawy prawnej ani celu ujawnienia przedmiotowych danych osobowych przedstawicielom mediów (Q.), realizującym transmisję z interwencji poselskiej z (…) maja 2025 r. oraz wywiad z posłami na żywo. W piśmie z 11 czerwca 2025 r. Administrator ograniczył się do stwierdzenia: „(…) nie wiedziałem, iż przebieg kontroli transmitowany jest na żywo przez media Q.. Byłem przekonany, iż materiał będzie nagrywany jedynie na potrzeby reportażu – migawki w wydaniu wiadomości i zostanie przesłany do autoryzacji”. Z punktu widzenia organu nadzorczego niezrozumiałe jest zasłanianie się przez Administratora brakiem wiedzy o formie reportażu, który powstał z jego udziałem. Administrator, dokonując czynności przetwarzania w związku ze złożeniem zapytania dotyczącego określonej nieruchomości w Urzędzie Miasta F., w ramach prowadzonej interwencji poselskiej w obecności kamer, zobowiązany był zachować wszelkie środki ostrożności, pozwalające na należyte zabezpieczenie przetwarzanych danych osobowych. Należy bowiem pamiętać, że bezpieczeństwo danych osobowych stanowi priorytet rozporządzenia 2016/679, co wyrażone zostało chociażby w jego motywie 83 preambuły, cyt.: „W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględnić stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka, charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp dodanych osobowych przesyłanych, przechowywanych, lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych”. Administrator w oczywisty sposób był świadomy obecności przedstawicieli mediów, stosował się do ich sugestii dotyczących ustawienia w trakcie interwencji w sposób nie ograniczający możliwości objęcia nagraniem wszystkich osób (minuta (…) ww. nagrania dostępnego na platformie Z.), jak również udzielał wypowiedzi bezpośrednio przedstawicielom mediów, w tym odpowiadając na ich pytania (ok. minuty (…) i kolejne ww. nagrania dostępnego na platformie Z.). W tej sytuacji nie można zgodzić się z zawartą w ww. piśmie oceną samego Administratora, że „w trakcie dokonywania kontroli poselskiej (…) zachowałem wszelkie środki ostrożności pod kątem uniknięcia naruszenia prawa lub wolności osób fizycznych”. Jakkolwiek na aprobatę zasługuje deklarowane stosowanie przez Administratora rozwiązania opisanego w następujący sposób: „Na ekranie mojego telefonu komórkowego przyklejona jest specjalna folia ochronna, uniemożliwiająca przeczytanie przez postronne osoby treści wyświetlanych na ekranie”, to wskazany środek bezpieczeństwa w oczywisty sposób nie chroni przetwarzanych danych przed dostępem osób nieuprawnionych w sytuacji, gdy informacje te odczytywane są z ekranu telefonu na głos, w obecności osób postronnych (np. przedstawiciele mediów) – jak miało miejsce w omawianym przypadku. Należy mieć jednocześnie na uwadze, iż nawet w sytuacji, w której nagrany materiał zostałby poddany autoryzacji przez Administratora, dostęp do danych osobowych uzyskały co najmniej osoby tworzące materiał, będące pracownikami Q., tj. redaktor prowadzący reportaż oraz kamerzysta, a także osoby odpowiedzialne za edycję materiału.

22.

Z tego powodu należy podkreślić powagę omawianego zdarzenia, istotny jest bowiem fakt, że publikacja materiału, w którym ujawnione zostały dane osobowe (…) S. L., na platformie Z. umożliwiła zapoznanie się z tymi danymi szerokiemu gronu użytkowników serwisu, którzy w dalszym ciągu mogą się z nimi zapoznać, gdyż zapis transmisji live jest nadal dostępny w ww. serwisie.

23.

Nie można jednocześnie rozsądnie przyjąć, że przetwarzanie przedmiotowych danych osobowych polegające na ich ustnym ujawnieniu w trakcie rejestrowania reportażu (transmitowanego na żywo) przez media Q., było niezbędne dla realizacji celu Administratora wynikającego z uprawnień przysługujących mu na mocy art. 19 i art. 20 ustawy o wykonywaniu mandatu posła i senatora, tj. do prawidłowego wykonania kontroli poselskiej w siedzibie Urzędu Miasta F.. W ocenie Prezesa UODO, Administrator miał możliwość wykonania ww. czynności w sposób nienarażający prywatności osoby, której dane dotyczą, a ujawnienie danych osobowych mediom wydawało się służyć jedynie nadaniu rozgłosu prowadzonym czynnościom. Organ nadzorczy nie znajduje w przywoływanych przepisach podstawy prawnej do ujawnienia ww. danych osobowych w przestrzeni publicznej.

24.

Cytowane wypowiedzi Administratora dają podstawy by przyjąć, że publikacja przedmiotowych danych nie tylko nie była niezbędna z punktu widzenia realizacji deklarowanego celu Administratora (przeprowadzenie interwencji poselskiej), ale w najmniejszym stopniu nie przyczyniła się do jego realizacji (w tym sensie, że tożsamy skutek Administrator osiągnąłby bez ujawniania danych osobom postronnym). Znamiennym jest w tym kontekście, że Administrator nie podejmował w istocie prób rzetelnego wykazania, że jego działanie znajdowało oparcie w którejkolwiek z przesłanek z art. 6 ust. 1 rozporządzenia 2016/679. W tej sytuacji obszerniejsze uzasadnienie podstaw przyjęcia, że w rozpatrywanej sprawie nie został spełniony żaden spośród wymienionych w tym przepisie warunków legalności przetwarzania danych (w tym przypadku ich ujawnienia), należy uznać za zbędne. Wyłącznie skrótowo wskazać zatem można, że w oczywisty sposób kwestionowane ujawnienie danych osobom trzecim nie było zrealizowane na podstawie zgody osoby, której dane dotyczą (brak przesłanki z art. 6 ust. 1 lit a) rozporządzenia 2016/679), nie było niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (brak przesłanki z art. 6 ust. 1 lit. b) rozporządzenia 2016/679), nie było niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (brak przesłanki z art. 6 ust. 1 lit. c) rozporządzenia 2016/679), nie było niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (brak przesłanki z art. 6 ust. 1 lit. d) rozporządzenia 2016/679), nie było niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi bądź celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (brak przesłanki z art. 6 ust. 1 lit. e) i lit. f) rozporządzenia 2016/679).

25.

W sytuacji, gdy oceniane przetwarzanie danych osobowych (ich ujawnienie) zrealizowane zostało z naruszeniem wymogów art. 6 ust. 1 rozporządzenia 2016/679, wiązało się ono również z naruszeniem wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679 zasady zgodności z prawem, rzetelności i przejrzystości.

26.

Mając na uwadze powyższe oraz zgromadzony w sprawie materiał dowodowy, Prezes UODO stwierdził, że omawiane działanie Administratora (ustne ujawnienie danych osobowych w trakcie prowadzonej kontroli poselskiej w sposób umożliwiający ich zarejestrowanie oraz ujawnienie w przestrzeni publicznej) wiązało się z naruszeniem przepisów art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679.

II. Uzasadnienie udzielenia upomnienia

27.

W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Administratorowi upomnienia w związku ze stwierdzonym naruszeniem przepisów art. 5 ust 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679.

28.

Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

29.

Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającą reakcją na stwierdzone po stronie Administratora nieprawidłowości jest udzielenie mu upomnienia. Decydując o wykorzystaniu tego środka prawnego Prezes UODO wziął w szczególności pod uwagę, że działania Administratora dotyczyły takiego zakresu danych osobowych, do których przetwarzania (ustnego ujawnienia) nie był on wprawdzie uprawniony, niemniej jednak nie stanowiły one danych podlegających szczególnym rygorom przetwarzania (art. 9, art. 10 rozporządzenia 2016/679) czy takich, których nieuprawnione przetwarzanie wiązać by się mogło z istnieniem po stronie podmiotu danych szczególnie istotnych ryzyk.

30.

W korespondencji z 11 czerwca 2015 r. Administrator wskazał m.in. cyt.: „W związku z zaistniałą sytuacją, po dokonaniu analizy pod kątem ryzyka naruszenia praw lub wolności, pragnę wyrazić głębokie wyrazy ubolewania. Zapewniam, że traktuję powyższą sprawę bardzo poważnie i podjąłem już odpowiednie kroki w celu zapobieżenia podobnym incydentom w przyszłości, w trakcie prowadzonych kontroli poselskich”. Taka deklaracja Administratora potraktowana została przez organ nadzorczy jako świadcząca o rewizji dotychczasowych praktyk, uznanie, że nie były one zgodne z wymogami prawa oraz wyraz dążenia do uniknięcia analogicznych uchybień w przyszłości. Jednocześnie, decydując o udzieleniu Administratorowi upomnienia, Prezes UODO wziął pod uwagę fakt, że administratorem w niniejszej sprawie jest osoba fizyczna.

31.

Mając na uwadze fakt, charakter i wagę stwierdzonego naruszenia przepisów, jego nieodwracalność rozumianą jako brak możliwości powrotu do momentu sprzed naruszenia i całokształt okoliczności związanych z naruszeniem oraz rekcją na nie po stronie Administratora, a zarazem potrzebę egzekwowania zapisów rozporządzenia 2016/679 (por. motyw 148), Prezes UODO uznał za zasadne skorzystanie w niniejszej sprawie z instrumentu o charakterze naprawczym przewidzianego w art. 58 ust. 2 lit. b) rozporządzenia 2016/679 i skierowanie do Administratora upomnienia w związku z zaistniałą sytuacją.

32.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.