GIODO: imię, nazwisko, zdjęcie, szkoła, klasa i rocznik - łącznie - nie są danymi osobowymi...

Wiem, że chcecie Państwo o tym podyskutować, więc zgodnie z wczorajszą zapowiedzią (por. Spam w serwisach społecznościowych zainteresował organy ścigania...) obiecana decyzja Generalnego Inspektora Ochrony Danych Osobowych. Wiadomo, że zarówno zdaniem Unii Europejskiej jak i - w konsekwencji GIODO - numery IP zostały uznane za dane osobowe. Z niedawnej decyzji zaś wynika, że imię, nazwisko, zdjęcie i informacja na temat klasy, do której się kiedyś chodziło w konkretnej szkole, zdaniem GIODO, takimi danymi osobowymi nie są, gdyż... ustalenie na podstawie tych danych tożsamości osoby, o którą chodzi, wiązałoby się z nadmiernymi kosztami... Hulaj dusza, piekła nie ma? Pokrzywdzony ma, zdaje się, zamiar iść z tym do sądu.

To jest kolejna decyzja GIODO w sprawie podpisu pod zdjęciem w serwisie Nasza klasa (por. Dalsze boje o usunięcie danych z Naszej-klasy (sąd i prokuratura wydały postanowienia) oraz linki w linkowanym wyżej tekście). Wydając decyzję datowaną bodaj na 3 września (data jest mało czytelna na posiadanym przeze mnie skanie), o sygnaturze (znów nieczytelnie) DOLiS/DEC 515/08/22857, działając na podstawie art. 138 § 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania w sprawie wniosku pokrzywdzonego (nazwiska chociaż ważne, to jednak go nie ujawnię), o ponowne rozpatrzenie sprawy jego skargi na przetwarzanie jego danych osobowych przez Nasza Klasa Sp. z o. o., z siedzibą we Wrocławiu przy ul. Dembowskiego 57/5, rozstrzygniętej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 27 maja 2008 r. (znak: DOLiS/DEC-314/08/13239,13245), Generalny Inspektor Ochrony Danych Osobowych

1. uchylił zaskarżoną decyzję administracyjną z dnia 27 maja 2008 r. (znak: DOLiS/DEC-314/08/13239,13245),
2. umorzył postępowanie.

Decyzja jest ostateczna, ale stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia. Skarżący ma - jak się wydaje - zamiar złożyć taką skargę do WSA.

Wypada przywołać fragment z uzasadnienia tej decyzji (część dotyczącą ustaleń faktycznych pominę, gdyż jest analogiczna do wcześniej publikowanych w tym serwisie informacji):

Po ponownym zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych uznał, że kwestionowana decyzja administracyjna z dnia 27 maja 2008, (znak: DOLiS/DEC-314/08/13239,13245) wymaga uchylenia w całości, zaś postępowanie pierwszej instancji należy umorzyć.

Przedmiotem regulacji ustawy o ochronie danych osobowych są zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1). Ustawa definiuje dane osobowe jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizyczne] (art. 6 ust. 1). Osobą możliwą do zidentyfikowania jest przy tym osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2), Informacji nie uważa się za umożliwiającą określenie tożsamości, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art 6 ust 3)

Jak zatem wynika z powyższego, status danych osobowych mają tylko informacje o osobie fizycznej zidentyfikowanej lub takiej, której identyfikacja jest możliwa bez nadmiernego nakładu kosztów, czasu bądź działań. W literaturze przedmiotu podkreśla się przy tym, że o możliwości identyfikacji osoby powinno rozstrzygać rozumienie informacji przez przeciętnego odbiorcę (por. A. Drozd „Najnowsze wydanie: Ustawa o ochronie danych osobowych. Komentarz. Wzory y pism i przepisy" Warszawa 2007 Wydawnictwo Prawnicze LexisNexis, wydanie III, ss. 504 za G. Sibigą Postępowanie w sprawach ochrony danych osobowych" Warszawa 2003, s. 38 i powołanym tam wyrokiem SA w Krakowie z dnia 19 grudnia 2000 r., sygn. akt: I Aca 794/200). Zaliczenie informacji do kategorii danych osobowych jest zatem możliwe jedynie wówczas, gdy jej odbiorca, nie ponosząc nadmiernych kosztów, nie poświęcając nadmiernie długiego czasu i nie podejmując niewspółmiernych działań, może powiązać ją z konkretną, zidentyfikowaną osobą fizyczną.

Generalny Inspektor ocenił w kwestionowanej decyzji z dnia 27 maja 2008 r. (znak: DOLiS/DEC-314/08/13239,13245), że informacje o imieniu i nazwisku Skarżącego, w połączeniu z informacjami o nazwie i adresie szkoły podstawowej oraz oznaczeniu klasy, do której uczęszczał, wraz z jego wizerunkiem z 1978/1979 roku, umożliwiają identyfikację Skarżącego, tym samym zaś stanowią jego dane osobowe. Ponowna analiza przedstawionego stanu faktycznego prowadzi jednak do wniosku, że potencjalna możliwość powiązania ww. sekwencji informacji o Skarżącym - z nim obecnie - wymaga zaangażowania niewspółmiernych kosztów, czasu lub działań. Warto przy tym zwrócić uwagę, że imię i nazwisko Skarżącego zostało przypisane do jego wizerunku sprzed lat przez osobę trzecią, w formie komentarza do fotografii i w tym sensie informacja ta nie ma charakteru obiektywnego. Organ ochrony danych podziela zatem stanowisko Spółki, iż cyt.: „(...) samo zestawienia zdjęcia sprzed 30 lat z imieniem i nazwiskiem określonej osoby oraz szkoły podstawowej, do której ta osoba uczęszczała, nie pozwala na identyfikację tej osoby bez nadmiernych kosztów i czasu (...)".

Nie można zgodzić się z uwagami Skarżącego, iż cyt.: „(...) Identyfikacja osoby, to nie znalezienie miejsca pobytu czy zamieszkania osoby, a informacje umożliwiające bezsprzecznie stwierdzenie i wskazanie osoby ta osoba i właśnie ta. Pytam więc ilu [imię i nazwisko - zmodyfikowałem ze względu na specyfikę sprawy i dobro skarżącego, dopisek mój, VaGla] chodziło do szkoły nr [nr szkoły] w [miasto] w roczniku [rocznik] do klasy [oznaczenie klasy]? Informacje zamieszczone na portalu nasza-klasa.pl umożliwia zidentyfikowanie mojej osoby nie pozostawiając żadnych wątpliwości o kogo w zawartej informacji chodzi (...)". Kluczową - z punktu widzenia ustalenia, czy kwestionowane informacje na temat Skarżącego stanowią jego dane osobowe - jest bowiem kwestia możliwości dokonania na ich podstawie, przez przeciętnego odbiorcę, identyfikacji Skarżącego obecnie.

Ustalenie, iż kwestionowane informacje o Skarżącym nie mieszczą się w definicji danych osobowych ma decydujące znaczenie z punktu widzenia rozstrzygnięcia, które musi zostać wydane w niniejszej sprawie.

Stosownie do brzmienia art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), zwanej dalej Kpa, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania. Brzmienie powołanej regulacji nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza. Jednocześnie w literaturze przedmiotu wskazuje się że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 Kpa oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie co do istoty (B. Adamiak, J. Borkowski „Kodeks postępowania administracyjnego. Komentarz 7 wydanie C: Wydawnictwo C.H. Beck, Warszawa 2005 r., str. 485).

Postępowanie administracyjne prowadzone przez Generalnego Inspektora jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy o ochronie danych osobowych. Jak wynika z brzmienia powołanego przepisu, w przypadku naruszenia przepisów ustawy o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usuniecie uchybień (pkt 1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (pkt 2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (pkt 3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (pkt 4), zabezpieczenie danych lub przekazanie ich innym i podmiotom (pkt 5), usunięcie danych osobowych (pkt 6).

Bezpodstawne było zatem żądanie Skarżącego (sformułowane w piśmie z dnia 26 marca 2008 r., a następnie powtórzone w piśmie z dnia 22 maja 2008 r.) dotyczące wydania przez organ decyzji administracyjnej cyt: „(...) stwierdzającej sprzeczność z obowiązującym prawem przetwarzania moich danych osobowych przez Nasza Klasa Sp. z o.o. w okresie od grudnia 2007 r. (...)", podobnie jak żądanie „(...) ukarania portalu (...)". Jednocześnie podkreślić należy, że żądanie Skarżącego pod adresem Generalnego Inspektora, dotyczące podjęcia przez organ działań, o których mowa w art. 18 ust. 1 ustawy, było jednoznaczne i nie budziło najmniejszych wątpliwości. Inicjując przedmiotowe postępowanie Skarżący jednoznacznie wskazał, że domaga się doprowadzenia do usunięcia przez Spółkę przetwarzanych w ramach portalu www.nasza-klasa.pl informacji o jego imieniu i nazwisku. Wobec stwierdzenia, że kwestionowane informacje o Skarżącym nie stanowią jego danych osobowych, postępowanie w ww. zakresie powinno zostać umorzone - na zasadzie art. 105 ust. 1 Kpa - wobec jego bezprzedmiotowości.

W sytuacji, gdy organ rozpatrujący sprawę w drugiej instancji ustali, iż w toku postępowania w pierwszej instancji spełnione zostały przesłanki jego umorzenia, działając w oparciu o art. 138 § 1 pkt 2 Kpa, uchyla zaskarżoną decyzję i umarza postępowanie pierwszej instancji (por. B. Adamiak, J. Borkowski „Kodeks postępowania administracyjnego. Komentarz" 7 wydanie Wydawnictwo C.H.Beck Warszawa 2005, str. 605).

Na marginesie wskazać warto, że jeżeli w ocenie Skarżącego kwestionowane upublicznienie informacji na jego temat narusza jego dobra osobiste, roszczeń z tego tytułu może dochodzić w ramach postępowania przed sądem powszechnym. Prawna ochrona dóbr osobistych statuowana jest przepisami ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 z póź. zm.). W myśl art 24 Kodeksu Cywilnego dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależni od ochrony przewidzianej w innych przepisach. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny (§ 1). Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych (§ 2).

Ponadto, jeżeli zdaniem Skarżącego Spółka wypełniła swoim działaniem znamiona czynu zabronionego ustawą o ochronie danych osobowych bądź inną ustawą pod groźbą kary, może skierować do organów ścigania zawiadomienie o podejrzeniu przestępstwa.

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.

Dla porządku przywołam również cytowanego w powyższej decyzji dr Sibigę, który w dzisiejszej Rzeczpospolitej, przy tekście Podpisy pod zdjęciami nie znikną z nasza-klasa.pl skomentował decyzję następującymi słowami:

W tej sprawie nie powinno się stosować teoretycznego kryterium „przeciętnego odbiorcy", ale stwierdzić, czy doszło do faktycznej identyfikacji lub możliwości identyfikacji osoby, której dane ujawniono w internecie. Informacje, które dla osoby postronnej nie będą przydatne do ustalenia tożsamości, dla kolegi z klasy czy szkoły w sposób oczywisty wystarczą do jednoznacznej identyfikacji. W tym zakresie są to dane osobowe.

Z komentarzy nigdzie niepublikowanych, które "środowisko" wymienia między sobą, wspomnę tylko jeden: "GIODO umył ręce".