Udostępnienie danych osobowych z akt postępowania karnego

Przekazywanie między administratorami danych dla ich własnych celów stanowi ich udostępnienie. Udostępnienie danych zgodnie z definicją legalną zawartą w art. 4 pkt 2 RODO stanowi przetwarzanie danych, co oznacza, że administrator chcąc przekazać dane innemu podmiotowi musi posiadać w tym celu odpowiednią przesłankę legalizującą tego typu działanie.

Skargę do Prezesa Ochrony Danych Osobowych (dalej: PUODO) w zakresie udostępnienia danych wniósł podmiot danych, który występował w charakterze świadka w śledztwie prowadzonym w związku ze znalezieniem w mieszkaniu znajdującym się w budynku wielorodzinnym zwłok kobiety (matka skarżącego). Podstawą w/w skargi było udostepnienie danych przez policję spółdzielni mieszkaniowej, która wnioskowała do policji o zwrócenie się do skarżącego o podjęcie przez niego działań zmierzających do zdezynfekowania mieszkania. Policja skontaktowała się ze skarżącym, który zadeklarował, że porozumie się ze spółdzielnią. W związku z brakiem kontaktu ze skarżącym, spółdzielnia kolejny raz zwróciła się do policji z prośbą, tym razem o przymuszenie mężczyzny. W rezultacie policja, za zgodą prokuratury, udostępniła spółdzielni adres mężczyzny oraz numer telefonu, jako podstawę wskazując przepis umożliwiający przekazanie danych lub dokumentów z akt postępowania (załącznika adresowego).

PUODO oraz Wojewódzki Sąd Administracyjny w Warszawie (dalej: WSA) stanęli na stanowisku, że Komendant Miejski Policji posiadał podstawę prawną do udostepnienia danych osobowych świadka znajdujących się w aktach prowadzonej sprawy tj. adresu skarżącego oraz jego numeru telefonu. 

Naczelny Sąd Administracyjny (dalej: NSA) rozpatrując skargę kasacyjną podmiotu danych nie podzielił stanowiska przedstawionego przez PUODO oraz WSA. NSA wskazał, że „podstawą legalizującą przekazanie danych osobowych skarżącego kasacyjnie Zastępcy Prezesa Spółdzielni Mieszkaniowej (...) był art. 156a KPK wedle którego dane lub oryginały dokumentów znajdujące się w załączniku adresowym udostępnia się wyłącznie organom państwowym oraz organom samorządu terytorialnego na ich wniosek, jeżeli jest to niezbędne dla wykonywania ustawowych zadań tych organów. Można je udostępnić także na wniosek innych instytucji lub osób, jeżeli przemawia za tym ich ważny interes. W przypadku podmiotów niepaństwowych przekazywanie danych odbywa się tylko na ich wniosek i tylko wówczas, gdy wykażą się one wystąpienie ważnego interesu społecznego, przy czym w postępowaniu przygotowawczym w tym zakresie zarządzenie wydaje prokurator (por. D. Świecki (red.), Kodeks postępowania karnego. Tom I. Komentarz aktualizowany, Kodeks postępowania karnego. Tom I. Komentarz. I red. D. Drajewicz 2020, wyd. 1 Legalis 2020). Zebrany materiał dowodowy wskazuje, na co zwrócił uwagę skarżący kasacyjnie, że Komendant Miejski Policji (...) wyszedł poza ramy pozwalające mu na udostępnienie danych osobowych wyznaczone przez art. 156a KPK, czym naruszył art. 6 ust. 1 lit. c i e RODO”.

Wskazać bowiem należy, że z danych znajdujących się w aktach sprawy wynika, że Spółdzielnia nie wystąpiła z wnioskiem o udostępnienie danych osobowych skarżącego kasacyjnie. W znajdującym się aktach sprawy piśmie Spółdzielni z dnia 3 lipca 2018 r. wynika jedynie, że wnosi ona o "przymuszenie" skarżącego kasacyjnie do wykonania dezynfekcji (k- 31 akt administracyjnych sprawy), natomiast nie wynika z niego, iż żąda ona udostępnienia danych w trybie art. 156a KPK, choć jest w nim wzmianka o tym, że wcześniej była korespondencja z Komendantem Miejskim Policji (...) w sprawie udostępnienia danych skarżącego kasacyjnie, ale brak jest informacji jaki był cel i charakter wniosków Spółdzielni. Z kolei z pisma Komendanta Policji (...) z dnia 5 lipca 2018 r. (k- 30 akt administracyjnych sprawy) jasno wynika, że zakres zarządzenia prokuratora dotyczy tylko adresu skarżącego kasacyjnie, natomiast nie przekazano danych dotyczących numeru jego telefonu.”[1]

Mając na uwadze stanowiska judykatury, administrator podczas udostępnienia danych musi w szczególnością mieć na uwadze czy:

  1. dysponuje wyraźnym wnioskiem o udostępnienie danych,
  2. udostępniane dane są adekwatne do celu, którym posługuje się podmiot wnioskujący o udostępnienie danych,
  3. dysponuje przesłanką legalizującą udostepnienie danych (podstawa prawna do posiadania danych),
  4. w sposób odpowiedni spełnił obowiązek informacyjny,
  5. w odpowiedni sposób zabezpieczył udostępniane dane.

Niezastosowanie się przez administratora danych udostępniającego dane innemu podmiotowi do w/w wytycznych może narazić go na karę administracyjną, a nawet na odszkodowanie tytułem zadośćuczynienia podmiotowi danych za doznane krzywdy wywołane udostępnieniem danych bez dysponowania przesłanką legalizującą udostępnienie danych osoby fizycznej. Z tego też powodu bardzo ważne jest precyzyjne wskazywanie we wniosku o udostępnienie danych żądania oraz wyartykułowanie przesłanek legalizujących.


[1] Wyrok Naczelnego Sądu Administracyjnego, z dnia 20 stycznia 2021 r., III OSK 2986/21

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w ustawieniach przeglądarki.

Rozumiem