Właściciele lokali często domagają się od zarządu, zarządcy lub administratora wspólnoty udostępnienia im szczegółowych danych osobowych innych mieszkańców lub użytkowników lokali (danych adresowych, kontaktowych, numerów PESEL itp.), np. w związku z konfliktami sąsiedzkimi. Odmowa takiego udostępnienia kończy się niejednokrotnie skargą do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Jednak taka skarga nie ma podstaw prawnych i nie będzie skutkowała wszczęciem postępowania czy wydaniem decyzji przez organ nadzoru.
Na mocy art. 58 RODO Prezesowi UODO przysługują uprawnienia: do prowadzenia postępowań, naprawcze, do nakładania kar, do udzielania zezwoleń, doradcze, do zgłaszania naruszeń organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Wśród nich nie ma jednak uprawnienia do nakazania administratorowi danych osobowych lub podmiotowi przetwarzającemu ujawnienia danych osobowych osobie trzeciej. Takiego uprawnienia nie można też wywieść z art. 58 ust. 2 lit. c RODO. Na jego podstawie organ nadzorczy ma prawo do nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO. Tym żądaniem może więc być prawo dostępu osoby do jej danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do przenoszenia danych oraz prawo do sprzeciwu i niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu.
Przepisy RODO ujmują prawa osób, których dane dotyczą, w sposób wyczerpujący. Nie ma wśród nich żądania udostępnienia danych osobowych osoby trzeciej. Nie ma także przepisów krajowych, które umożliwiałyby organowi nadzorczemu takie działanie. Zatem gdy do Prezesa UODO wpływają skargi na nieudostępnienie danych osobowych osoby trzeciej, a które zawierają wniosek o nakazanie udostępnienia takich danych, organ nadzorczy wydaje postanowienia o odmowie wszczęcia postępowania. Działania podejmowane przez Prezesa UODO nie mogą bowiem wykraczać poza jego ustawowe kompetencje.
Stanowisko takie zostało potwierdzone w orzecznictwie. W wyroku z 11 czerwca 2021 r. (sygn. akt II SA/Wa 456/21) Wojewódzki Sąd Administracyjny w Warszawie wskazał, że z punktu widzenia gwarancyjnego jedynym celem RODO jest zagwarantowanie osobie fizycznej odpowiedniej ochrony jej danych osobowych, a nie przyznawanie uprawnień informacyjnych innym podmiotom. Podobne stanowisko Wojewódzki Sąd Administracyjny w Warszawie wyraził w wyroku z 27 listopada 2020 r. (sygn. akt II SA/Wa 1542/20). W szczególności przepisy RODO nie dają uprawnień informacyjnych podmiotom, które zamierzają wytaczać powództwa osobom fizycznym, których dane osobowe objęte są ochroną. Przepisy nie dają takich uprawnień także organowi nadzoru. Prezes UODO nie może więc żądać od administratora danych osobowych ich ujawnienia osobie trzeciej na potrzeby ewentualnego postępowania sądowego.
Takiego uprawnienia nie sposób też wywieść z art. 6 ust. 1 lit. f RODO. Ten przepis stanowiłby dla strony postępowania podstawę prawną do przetwarzania konkretnych danych osobowych w sytuacji, gdyby strona skarżąca była już w posiadaniu tych danych. Norma ta nie daje jednak uprawnienia do pozyskania takich danych osobowych bezpośrednio czy też za pośrednictwem Prezesa UODO. Uprawnienie takie nie wynika też z treści art. 58 ust. 1 lit. a RODO. Ten przepis dotyczy wyłącznie zakresu zadań organu nadzorczego. Nie precyzuje jednak tych zadań, a w szczególności nie sposób z niego wywieść, by organ nadzorczy mógł zobowiązywać administratora danych do ich ujawniania osobom trzecim.
Newsletter UODO dla Inspektorów Ochrony Danych Nr 5/2022 (38)
Oprac. PB