>Decyzje Giodo>2009 >

Z materiału dowodowego zebranego w niniejszej sprawie wynika, iż na stronie internetowej www…..pl udostępnione są dane osobowe Skarżącej w zakresie imienia, nazwiska oraz miejsca pracy, a także opinie i komentarze użytkowników serwisu dotyczące wyłącznie wykonywanej przez Panią A. S. pracy. Mając zatem na uwadze, iż dane osobowe Skarżącej udostępniane na stronie internetowej www…….pl dotyczą wyłącznie życia zawodowego Skarżącej, nie sposób uznać, iż doszło do naruszenia jej prawa do ochrony życia prywatnego, rodzinnego czy też prawa do decydowania o swoim życiu osobistym. Ponadto podkreślić należy, iż zawód lekarza uznawany jest za zawód zaufania publicznego, którego wykonywanie jest istotne z punktu widzenia interesu publicznego. Ze względu na specyfikę wykonywanego zawodu lekarz udzielający świadczeń zdrowotnych musi liczyć się z tym, iż jego dane osobowe - w zakresie dotyczącym wykonywanego przez niego zawodu - podlegają słabszej ochronie. Nie ulega bowiem wątpliwości, iż świadczona przez lekarza praca, w szczególności sposób jej wykonywania i uzyskane efekty, podlegają społecznej kontroli. Natomiast serwis internetowy umożliwiający użytkownikom zamieszczanie opinii i komentarzy dotyczących lekarzy jest jednym z narzędzi za pomocą, którego pacjenci mogą wykonywać tę społeczną kontrolę.  

Z uwagi na to, iż zbiór danych osób zamawiających wiadomości newsletter, za pośrednictwem strony internetowej A jest zbiorem odrębnym, który nie jest połączony z innym zbiorem danych, i w którym dane osobowe są przetwarzane na osobnej podstawie prawnej, Spółka jest zobowiązana zgłosić ten zbiór na odrębnym formularzu „Zgłoszenie zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych” stanowiącym załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. nr 229, poz. 1536)  

W przedmiotowej sprawie należy odwołać się do przepisów ustawy z dnia 27 lipca 2002 r. o szczególnych warunkach sprzedaży konsumenckiej oraz o zmianie Kodeksu cywilnego (Dz. U. Nr 141, poz. 1176, z późn. zm.), które regulują m.in. kwestie związane z postępowaniem reklamacyjnym. Zgodnie z art. 8 wyżej przytoczonej ustawy, jeżeli towar konsumpcyjny jest niezgodny z umową, kupujący może żądać doprowadzenia go do stanu zgodnego z umową przez nieodpłatną naprawę, albo wymianę na nowy. Chociaż z powyższego przepisu nie wynika wprost uprawnienie do gromadzenia przez sprzedawcę danych osobowych klientów zgłaszających reklamację towaru, to oczywistym jest, iż dla potrzeb jej rozpatrzenia oraz późniejszego wydania towaru właściwej osobie, koniecznym jest ich pozyskanie.

Nie można bowiem negatywnie oceniać upublicznienia adresu licytacji ruchomości, do czego Komornik był uprawniony w świetle cytowanych już przepisów Kpc i rozporządzenia Ministra Sprawiedliwości. Wskazać należy, iż w aktach niniejszego postępowania znajdują się kopie przedmiotowego obwieszczenia pochodzące z akt sprawy egzekucyjnej, w których wskazano adres licytacji oraz w nagłówku adres Skarżącego – jako adresata pisma, ale jak wynika z wyjaśnień Komornika, w obwieszczeniu, które znajdowało się na tablicy ogłoszeń Sądu Rejonowego w (…) ujawniono jedynie adres miejsca, w którym miała się odbyć licytacja ruchomości, natomiast w nagłówku dokumentu, jako jego adresata, wskazano sąd.  

W sytuacji, gdy Skarżąca jasno oświadczyła, iż nie zamierza zawrzeć umowy ze Spółką, co również wynika z wyjaśnień Spółki, tj. pracownik Spółki „otrzymał informację od Skarżącej, iż otrzymała od swojego dotychczasowego operatora ofertę, którą zaakceptowała i rezygnuje z podpisania przygotowanej umowy”, dalsze ich przetwarzanie nie znajduje uzasadnienia w obowiązujących przepisach prawa, ponieważ przestał istnieć cel, dla którego Spółka pozyskała dane osobowe Skarżącej i powinny zostać one usunięte.

W ustawie o ochronie danych osobowych brak jest przepisów obligujących administratora danych do udostępniania dokumentów zawierających dane osobowe. Ustawodawca posługuje się pojęciem „udostępniania”, odnosząc je zawsze do danych osobowych, a nie do zawierających je dokumentów

Zgodnie z art. 36 ust. 1 ustawy administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Z kolei z uwagi na przyznane kompetencje w zakresie publikowania listy biegłych w przedmiocie uzależnienia od alkoholu w wojewódzkim dzienniku urzędowym i wydawania ww. dziennika, również Wojewodę należy uznać za administratora danych Skarżącej w pewnym zakresie, bowiem decyduje on o celach i środkach przetwarzania danych Skarżącej przekazanych mu przez Prezesa Sądu w celu udostępnienia w Dzienniku Urzędowym Województwa. Zatem zarówno na Prezesie Sądu, jak i Wojewodzie ciąży obowiązek zapewnienia, by dane osobowe Skarżącej przetwarzane były w sposób zgodny z przepisami ustawy o ochronie danych osobowych, w szczególności by zakres udostępnionych danych do publicznej wiadomości przez ww. podmioty odpowiadał zasadom celowości i adekwatności wyrażonym w art. 26 ust. 2 i 3 ustawy.

W niniejszej sprawie stwierdzić należy, iż pomimo przekazania BIK przez SKOK danych osobowych Skarżącej w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, BIK jest uprawnione do przetwarzania jej danych w zakresie określonym przepisami ww. rozporządzenia dla celów stosowania metod statystycznych na podstawie art. 23 ust. 1 pkt 2 ustawy. Zatem zgoda Skarżącej na przetwarzanie jej danych osobowych przez BIK, czy też jej brak nie stanowi przeszkody ponieważ BIK jest uprawnione do przetwarzania danych osobowych Skarżącej dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3 Prawa bankowego.

Nie ulega wątpliwości, że w ustalonym w niniejszej sprawie stanie faktycznym przetwarzanie danych abonentów P w celach marketingu produktów lub usług innych niż produkty i usługi własne P nie mogło ponadto następować w oparciu o przesłanki wskazane w art. 23 ust. 2, 3 i 4 ustawy o ochronie danych osobowych, czyli ze względu fakt, że jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa albo jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą albo jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.

Ww. przedsiębiorcy udzielone zostało pełnomocnictwo do reprezentacji Spółki przed Urzędem Skarbowym i Zakładem Ubezpieczeń Społecznych we wszystkich sprawach związanych z prowadzeniem księgowości. Wskazane pełnomocnictwo według wyjaśnień złożonych przez osobę reprezentującą Spółkę uznawane jest w Spółce za podstawę powierzenia przetwarzania danych osobowych pracowników. Powołane pełnomocnictwo nie stanowi podstawy powierzenia przetwarzania danych, ponieważ ustawa dopuszczając możliwość powierzenia przetwarzania danych osobowych jako podstawę ww. powierzenia w sposób jednoznaczny wskazuje zawarcie umowy w tym zakresie.  

W związku z tym należy wskazać, że trudności finansowe administratora danych nie mogą być podstawą do zwolnienia go z obowiązku przetwarzania danych w sposób zgodny z przepisami o ochronie danych osobowych. Mogą natomiast stanowić okoliczność wpływającą na określenie terminu do przywrócenia stanu zgodnego z prawem.

Danymi osobowymi są zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. W świetle przytoczonej powyżej definicji, uznać zatem należy, iż informacja o ilości osób zamieszkujących na terenie posesji Pani X i fakcie prowadzenia postępowania kontrolnego i jego ustaleniach jest niewątpliwie dotyczącą jej osoby daną osobową

Pozyskanie danych osobowych potencjalnego klienta Spółki za pośrednictwem infolinii nie jest jednak działaniem niezbędnym do podjęcia działań przed zawarciem umowy pośrednictwa w obrocie nieruchomościami. Ten etap kontaktu z potencjalnym klientem nie zawsze skutkuje podpisaniem ww. umowy. Przesłanką legalizującą przetwarzanie przez H. danych osobowych klientów pozyskanych za pośrednictwem infolinii, powinna być zgoda osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych).

Zgłoszenie nie spełniało wymogów niezbędnych do zarejestrowania ww. zbioru danych, nie zawierało bowiem opisu kategorii osób, których dane dotyczą, informacji o sposobie udostępniania danych ze zbioru oraz wyczerpującego opisu środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).

Biorąc za podstawę definicję danych osobowych sformułowaną w powołanym art. 6 ustawy, należy uznać, że dane osobowe pracowników Przedsiębiorstwa, przetworzone do postaci zapisu cyfrowego (dane biometryczne w postaci sumy kontrolnej obrazów - liczby powstałej z przetworzenia odcisków palców), stanowią dane osobowe w rozumieniu powołanego przepisu.