DOLiS/DEC-280/10 dot. DOLiS-440-255/09
2010-10-08
DOLiS/DEC-280/10 dot. DOLiS-440-255/09
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki
Warszawa, dnia 23 marca 2010 r.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jedn. Dz. U. z 2000 r. Nr 98, poz. 1071 z pózn. zm.), art. 12 pkt 2, w związku z art. 22 i art. 29 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z pózn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani A, na udostępnienie jej danych osobowych przez spółkę na rzecz Pani K,
odmawiam uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (zwanego dalej również Generalnym Inspektorem) wpłynęła skarga Pani A(zwanej dalej Skarżącą), w której Skarżąca wskazała, iż w dniu 27 lutego 2009 r. spółkę udostępniła Pani K dane osobowe Skarżącej utrwalone w następujących dokumentach cyt.: „1) świadectwo pracy sporządzone w dniu 30 kwietnia 1998 r., 2) wniosek pracodawcy – ówczesnego Przedsiębiorstwa– o rozwiązanie umowy o prace z A, 3) zaświadczenie o zatrudnieniu A, podpisane przez Specjalistę ds. Personalnych – Z, 4) zaświadczenie o niepobieraniu przez A w okresie zatrudnienia pożyczek z Zakładowego Funduszu Świadczeń Socjalnych, podpisane przez Kierownika Działu Księgowości i Kosztów – K”. Skarżąca podniosła, iż „Pani K nie była upoważniona do wglądu ani uprawniona do otrzymania kopii dokumentów moich akt pracowniczych” a ponadto, że Spółka udostępniając osobie nieuprawnionej dane osobowe, do ochrony których jest zobowiązana, w sposób oczywisty naruszyła przepisy ustawy o ochronie danych osobowych.
Generalny Inspektor Ochrony Danych Osobowych ustalił w toku przeprowadzonego w przedmiotowej sprawie postępowania wyjaśniającego następujący stan faktyczny:
1. Skarżąca była pracownikiem Spółki od dnia 26 czerwca 1974 r. do dnia 30 kwietnia 1998 r.
2. W dniu 27 lutego 2009 r. córka Skarżącej, Pani K, złożyła do Spółki wniosek na piśmie o udostępnienie danych ze zbioru danych osobowych. Zakres żądanych informacji obejmował cyt.: „zaświadczenie o zatrudnieniu Pani A o niepobieraniu pożyczek z Zakładowego Świadczeń Socjalnych”. Jako przeznaczenie dla udostępnionych danych Pani K wskazała „Sad Rejonowy”. Ponadto Pani K we wniosku wskazała, iż cyt.: „moja mama jest obecnie chora została skierowana na stwierdzenie choroby alkoholowej. Dokumenty te są potrzebne do złożenia zaświadczenia do Sadu. Resztę dokumentów o zatrudnieniu posiadam z dokumentacji mamy, które otrzymała przy odejściu ze spółki.”
3. Pani K zostało wydane przez Spółkę zaświadczenie z dnia 27 lutego 2009 r. (znak DSP/09) zawierające informacje w zakresie imienia, nazwiska i adresu zamieszkania Skarżącej, okresu
zatrudnienia i stanowiska na jakim Skarżąca zatrudniona była w spółce, braku przynależności do Kasy Zapomogowo-Pożyczkowej oraz niepobierania pożyczki z Zakładowego Funduszu Świadczeń Socjalnych w okresie zatrudnienia. Jako cel wydania zaświadczenia zostało wskazane „przedłożenie w sadzie”. Wydane zaświadczenie składa sie z dwóch części: informacja o niepobieraniu pożyczki z Zakładowego Funduszu Świadczeń Socjalnych podpisana jest przez Kierownika Działu Księgowości i Kosztów Panią K, pod pozostałymi informacjami widnieje podpis Specjalisty ds. Personalnych Pani Z. Spółka w złożonych wyjaśnieniach wskazała, iż cyt.: „innych informacji dotyczących Pani J nie udostępniła”.
4. Wydane przez Spółkę zaświadczenie z dnia 27 lutego 2009 r. wraz ze świadectwem pracy Skarżącej z dnia 30 kwietnia 1998 r. i skierowanym do dyrekcji Spółki wnioskiem o rozwiązanie ze Skarżąca umowy o prace za wypowiedzeniem z dnia 19 grudnia 1997 r. zostało dołączone do pisma pełnomocnika Pani K z dnia 6 marca 2009 r. w sprawie o podział majątku wspólnego, która toczyła sie przed Sadem Rejonowym, Wydział II Cywilny pod sygn. akt 3257/08. Zaświadczenie wydane przez Spółkę zostało przedstawione jako dowód na okoliczność „niewiarygodności zgłoszonych przez wnioskodawczynie świadków jakoby budowa domu była finansowana z pożyczek zaciąganych przez A w zakładzie pracy”.
Po zapoznaniu sie z całością materiału dowodowego zgromadzonego w tej sprawie Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje.
Na wstępie wskazać należy, iż brak jest dowodów, aby Spółka udostępniła na rzecz Pani K dane osobowe Skarżącej objęte zakresem świadectwa pracy Skarżącej z dnia 30 kwietnia 1998 r. i skierowanego do dyrekcji Spółki wniosku z dnia 19 grudnia 1997 r. o rozwiązanie ze Skarżąca umowy o prace za wypowiedzeniem. Wyjaśnienia Spółki wskazują, iż tych dokumentów nie przekazała Pani K. Powyższe wyjaśnienia potwierdza treść wniosku Pani K z dnia 27 lutego 2009 r., w którym ubiegając sie o udostępnienie danych w zakresie „zaświadczenia o zatrudnieniu Pani A o niepobieraniu pożyczek z Zakładowego Świadczeń Socjalnych” wskazała jednocześnie, iż „resztę dokumentów o zatrudnieniu posiadam z dokumentacji mamy, które otrzymała przy odejściu ze Spółki”. Kopie dokumentów, które weszły do sprawy o sygn. akt 3257/08 w Sadzie Rejonowym, Wydział II Cywilny, a które Generalny Inspektor otrzymał od Prezesa Sadu Okręgowego za pismem z dnia 18 stycznia 2010 r., również nie zawierają oznak świadczących, że to Spółka przekazała je na rzecz Pani K oraz iż nastąpiło to w terminie wskazanym w skardze. Dowodów na powyższe nie przedstawiła również Skarżąca. W piśmie z dnia 19 listopada 2009 r. wskazała ona jedynie, iż „nigdy nie otrzymałam wniosku o rozwiązanie ze mną umowy o prace. Nie będąc w posiadaniu tego dokumentu tym bardziej nie mogłam udostępnić go K. Nigdy nie udostępniłam jej również mojego świadectwa pracy”. Wobec powyższego nie podstaw do przyjęcia, że dane osobowe utrwalone w ww. dokumentach zostały udostępnione Pani K przez Spółkę, nie zaś pozyskane przez nią z innego źródła.
Rozpatrując kwestie danych osobowych Skarżącej udostępnionych przez Spółkę na rzecz Pani K w treści zaświadczenia z dnia 27 lutego 2009 r., jako podstawę do oceny tego stanu faktycznego przyjąć należy art. 29 ustawy z dnia 29 sierpnia 1997 r. ustawy o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), zwanej dalej ustawa, który w ust. 2 stanowi, iż dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być także udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnia potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą. Stosownie do art. 29 ust. 3 ustawy dane osobowe udostępnia sie na pisemny, umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie. Art. 29 ust. 4 ustawy stanowi, iż udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. Przy udostępnianiu danych osobowych w powyższym trybie niezbędne jest branie pod uwagę treści art. 30 ustawy, który stanowi, iż administrator danych odmawia udostępnienia danych osobowych ze zbioru danych podmiotom i osobom innym niż wymienione w art. 29 ust. 1, jeżeli spowodowałoby to:
(pkt 1) ujawnienie wiadomości stanowiących tajemnice państwowa, (pkt 2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, (pkt 3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, (pkt 4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.
Analiza złożonego przez Panią K wniosku wskazuje, iż spełnia on wymogi formalne, o których mowa w art. 29 ust. 3 ustawy. Wniosek ten został wniesiony na piśmie, jest umotywowany, a także zawiera informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazuje ich zakres i przeznaczenie. We wniosku wskazano również uzasadnienie potrzeby posiadania tych danych, które administrator uznał za wiarygodne. Pani K wskazała, iż cyt.: „moja mama jest obecnie chora została skierowana na stwierdzenie choroby alkoholowej. Dokumenty te są potrzebne do złożenia zaświadczenia do Sadu”. W ocenie Generalnego Inspektora wątpliwości budzi fakt czy Spółka, jako administrator danych, w oparciu o tak lakoniczne informacje zawarte we wniosku była w stanie prawidłowo zidentyfikować cel w jakim Pani K zamierzała wykorzystać udostępnione jej dane osobowe. Jednakże, zasadnicze znaczenie dla oceny sprawy ma fakt, iż dane osobowe Skarżącej weszły w skład akt postępowania sadowego. Ta okoliczność wyklucza bowiem istotne naruszenie dóbr osobistych Skarżącej lub innych osób, co zgodnie z art. 30 pkt 4 ustawy jest przesłanka zobowiązująca administratora do odmowy udostępnienia danych osobowych ze zbioru danych. Działanie narusza bowiem dobra osobiste, wyłącznie wówczas, gdy jest ono bezprawne. Wskazuje na to treść art. 24 § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.), który stanowi, że ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. Dane osobowe Skarżącej udostępniono z przeznaczeniem ich przedstawienia w Sadzie Rejonowym, a ponadto jak stwierdzono w niniejszym postępowaniu, znalazły sie one w aktach postępowania sadowego które toczyło sie w powyższym sadzie. Złożenie dowodu w postępowaniu sadowym niewątpliwie nie jest działaniem bezprawnym. Wskazać należy, że zgodnie z art. 232 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. Nr 43, poz. 296 z pózn. zm.), to strony są obowiązane wskazywać dowody dla stwierdzenia faktów, z których wywodzą skutki prawne. Zatem, ze względu na brak cechy bezprawności, udostępnianie danych osobowych w celu złożenia dowodu w postępowaniu sadowym nie mogło spowodować istotnego naruszenia dóbr osobistych Skarżącej. Ponadto nie wystąpiła żadna z pozostałych - wskazanych w art. 30 pkt 1-3 ustawy - przesłanek zobowiązujących administratora danych do odmowy ich udostępnienia.
Podsumowując zatem te cześć rozważań stwierdzić należy, iż w ocenie Generalnego Inspektora - pomimo wątpliwości odnoszących sie do lakonicznej treści uzasadnienia złożonego przez Panią K wniosku - udostępnienie danych osobowych Skarżącej nastąpiło w zgodzie z przepisami ustawy o ochronie danych osobowych. Odrębną sprawę stanowi kwestia wykorzystania udostępnionych danych niezgodnie z celem ich udostępnienia. Jak wskazuje zebrany w sprawie materiał dowodowy wydane przez Spółkę zaświadczenie zostało dołączone do pisma pełnomocnika Pani K z dnia 6 marca 2009 r. w sprawie o podział majątku wspólnego, która toczyła sie przed Sadem Rejonowym, Wydział II Cywilny pod sygn. akt 3257/08 jako dowód na okoliczność „niewiarygodności zgłoszonych przez wnioskodawczynie świadków jakoby budowa domu była finansowana z pożyczek zaciąganych przez A w zakładzie pracy”, czyli niewątpliwie w innej kwestii niż wynika to z uzasadnienia wniosku. Jednakże ten fakt nie może skutkować stwierdzeniem naruszenia przez administratora ciążących na nim obowiązków. Moment udostępnienia danych osobowych osobie, która sie o to ubiegała, jest bowiem granica na której odpowiedzialność administratora danych sie kończy. Należy wskazać, iż stosownie do art. 29 ust. 4 ustawy, na podmiocie lub osobie, której dane zostały udostępnione ciąży obowiązek wykorzystania udostępnionych danych wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. Jednakże Generalny Inspektor nie ma kompetencji do prowadzenia postępowania w stosunku do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, ze względu na wyłączenie zastosowania ustawy o ochronie danych osobowych (art. 3a ust. 1 pkt 1 ustawy) w stosunku do tej kategorii osób.
Podsumowując, udostępnienie przez Spółkę danych osobowych Skarżącej utrwalonych w treści zaświadczenia z dnia 27 lutego 2009 r. na rzecz Pani K nastąpiło w zgodzie z przepisami ustawy o ochronie danych osobowych a zebrany w sprawie materiał dowodowy nie wskazuje, iż Spółka udostępniła dane osobowe Skarżącej na rzecz Pani K w innym zakresie lub w inny sposób.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja niniejsza jest ostateczna. Stronie, na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych, w związku z art. 22 tej ustawy i w związku z art. 127 § 3 i art. 129 § 2 Kodeksu postępowania administracyjnego, przysługuje, w terminie 14 dni od dnia doręczenia niniejszej decyzji, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa).
