>Decyzje Giodo>2010 >

Zgodnie z art. 25 ust. 1 ustawy, w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.

W przedmiotowej sprawie udostępnienie na stronie internetowej danych osobowych Skarżącej w zakresie imienia, nazwiska, miejscowości, kodu oraz nazwy ulicy jest uzasadnione prawnie usprawiedliwionym celem administratora danych, przez który rozumieć należy podejmowanie działań zmierzających do zawarcia umowy sprzedaży wierzytelności; dokonane zostało w zakresie niezbędnym do osiągnięcia tego celu i jako takie nie narusza praw i wolności Skarżącej.

Przetwarzanie danych Skarżącego jest również uzasadnione z punktu widzenia art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy, zgodnie z którym przetwarzanie danych osobowych, w tym ich udostępnianie, jest dopuszczalne, jeśli jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Natomiast za prawnie usprawiedliwiony cel uważa się dochodzenie roszczeń z tytułu prowadzonej przez administratora danych działalności gospodarczej.

Wobec faktu, iż Spółka udzieliła Skarżącemu niekompletnej odpowiedzi na jego zapytanie, stwierdzić należy, iż podmiot ten uchybił spoczywającemu na nim obowiązkowi informacyjnemu określonemu w art. 33 ust. 1 ustawy.

Wskazać  należy, iż po złożeniu rezygnacji Skarżącego z przeniesienia numeru do sieci i z zawarcia ze Spółką umowy o świadczenie usług telekomunikacyjnych, Spółka mogła przetwarzać jego dane wyłącznie w ewentualnych celach dowodowych na podstawie art. 23 ust. 1 pkt 5 ustawy, zgodnie z którym przetwarzanie danych osobowych jest dopuszczalne, jeśli jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Rola Spółdzielni w procesie realizacji uprawnienia jej członka do dostępu do danych osobowych innych członków jest bierna, tzn. ma ona obowiązek jedynie umożliwić członkowi - w przypadku takiego żądania z jego strony - przejrzenie rejestru. Z materiału zgromadzonego w sprawie nie wynika, aby Spółdzielnia uniemożliwiała Skarżącej dostęp do danych w sposób określony w art. 30 Prawa spółdzielczego. Wyjaśnienia Spółdzielni wskazują, że Skarżąca może w każdej chwili zrealizować przysługujące jej na podstawie powyższego przepisu uprawnienie. Mając zatem na uwadze, że zebrany w sprawie materiał dowodowy wskazuje, iż Skarżąca oczekiwała od Spółdzielni działań wykraczających poza umożliwienie przejrzenia rejestru, tzn. domagała się przesłania zestawień zawierających wskazane przez nią informacje o członkach, nie ma podstaw do wydania przez Generalnego Inspektora decyzji uwzględniającej te żądania.

Zgodnie z art. 36 ust. 2 ustawy, administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. W myśl § 3 ust. 1 rozporządzenia, na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zgodnie z ust. 2 dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej. Natomiast, zgodnie z ust. 3 dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.

Dane w zakresie imię, nazwisko oraz kwota wynagrodzenia tych osób M Sp. z o.o. przesyła siecią Internet Spółce w celu zatwierdzenia ich wynagrodzenia. Przesyłane siecią internet dane osobowe pracowników Spółki nie są zabezpieczone kryptograficzną ochroną danych. Należy zatem uznać, iż dane te nie są zabezpieczone przed ich udostępnieniem osobom nieupoważnionym, a zatem został naruszony art. 36 ust. 1 ustawy.

Analiza treści zmodyfikowanych przez PGNiG formularzy wykazała, iż opcjonalność podania wskazanych w nich danych osobowych w zakresie numeru NIP, adresu korespondencyjnego, numeru telefonu oraz adresu poczty elektronicznej została wprowadzona poprzez umieszczenie w miejscach przeznaczonych do ich wpisania odnośników do informacji wyjaśniających, że podanie tych danych nie jest obligatoryjne w odniesieniu do osób nie prowadzących działalności gospodarczej. Przedmiotowa modyfikacja formularzy, w ocenie organu, była wiec nieczytelna i w dalszym ciągu mogła wprowadzać klientów PGNiG w błąd co do konieczności podania wszystkich żądanych kategorii danych osobowych.

Osobowych przetwarzanie przez: D.D., A. M., S. P.– wspólników spółki cywilnej (…) wyżej wskazanych danych wykracza poza potrzeby wynikające z celu ich przetwarzania w przedmiotowym zbiorze, tj. rejestracji danych użytkowników portalu edukacyjnego możliwości identyfikacji oraz kontaktu. Mając na uwadze powyższe przepisy prawa oraz fakt, iż administrator danych przetwarza dane w zakresie szerszym niż jest to potrzebne do realizacji celu, należy uznać, iż narusza on zasadę adekwatności, o której mowa w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Wobec powyższego Generalny Inspektor Ochrony Danych Osobowych był zobligowany do wydania decyzji odmawiającej rejestracji zgłoszonego zbioru danych osobowych, na podstawie art. 44 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3 ustawy.  

Administrator danych obowiązany jest udzielić, w terminie 30 dni, w formie zrozumiałej wnioskowanych przez osobę, której dane dotyczą, informacji. Odpowiedzi tej administrator obowiązany jest udzielić, nawet jeżeli miałaby być to odpowiedz negatywna, oznaczającą, iż danych danej osoby nie przetwarza. Natomiast w sytuacji, gdy uzna, że zaistniały przesłanki określone w art. 30 pkt 1-4 ustawy, jest obowiązany poinformować osobę ubiegającą się o udostępnienie danych, o odmowie udostępnienia informacji ze wskazaniem na ww. przepis.

Należy stwierdzić, że udostępnienie przez Spółdzielnie danych osobowych Skarżącej Bankowi znajdowało prawne uzasadnienie w art. 23 ust.1 pkt 2 i 5 ustawy. Przepisem prawa legalizującym udostępnienie danych osobowych w analizowanej sprawie był art. 509 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 1964 r., Nr 16, poz. 93 z pózn. zm.), w myśl którego wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecia (przelew), chyba że sprzeciwiałoby sie to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania (§ 1). Wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki (§ 2).

W niniejszej sprawie jednak istotnym jest fakt, iż Skarżący kwestionuje umowę kredytowa zawarta z Bankiem, podnosząc, że nigdy takiej umowy nie podpisywał, a zrobiła to inna osoba, podszywając sie pod niego i wykorzystując jego dane osobowe. W związku z powyższym Skarżący skierował zawiadomienie do prokuratury i obecnie sprawa ta jest przedmiotem zainteresowania Prokuratury Rejonowej. Jednakże dopóki nie zostanie wydane prawomocne orzeczenie, z którego wynikałoby, że to nie Skarżący zawarł umowę z Bankiem, a inna osoba posługująca sie jego danymi osobowymi, Generalny Inspektor nie może nakazać usunięcia danych Skarżącego ze zbioru prowadzonego przez BIK S.A. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.

Zgodnie z tym przepisem bank jest obowiązany przesyłać posiadaczowi co najmniej raz w miesiącu bezpłatnie wyciąg z rachunku z informacją o zmianach stanu rachunku i ustaleniem salda, chyba że posiadacz wyraził pisemnie zgodę na inny sposób informowania o zmianach stanu rachunku i ustaleniu salda. Zatem wyciągi w przypadku złożenia sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych powinny zawierać treści wyłącznie w zakresie niezbędnym do spełnienia ww. obowiązku (ewentualnie innych obowiązków ciążących na Banku), niemniej jednak za takie treści nie można z pewnością uznać wizerunku pracownika, tekstu - m.in. „na tym koncie samo się oszczędza” oraz znaku towarowego.

W ocenie Generalnego Inspektora, Bank nie naruszył wskazanych w ww. przepisie zasad przetwarzania danych osobowych – w tym zasady adekwatności udostępniając sądowi dane Pana X na potrzeby postępowania sądowego.

Ustawa za jeden z prawnie usprawiedliwionych celów uznaje dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2), w związku z czym podkreśli trzeba, że udostępnienie Sądowi przez Bank ww. Protokołu stanowiło prawnie usprawiedliwiony cel działania tego podmiotu (gdyż następowało w celu obrony jego prawnych interesów) – jako strony pozwanej w postępowaniu cywilnym zainicjowanym przez Pana Z.

Dopiero w sytuacji, gdyby sąd cywilny stwierdził prawomocnym orzeczeniem, iż Skarżąca nie jest dłużnikiem Banku, Generalny Inspektor mógłby nakazać usunięcie jej danych z BIK S.A. w zakresie przedmiotowej umowy. Natomiast dopóki sąd powszechny nie stwierdzi powyższego prawomocnym wyrokiem, nie można oceniać działań Banku, polegających na przekazaniu danych osobowych Skarżącej do BIK S.A. w zakresie przedmiotowej umowy, w kontekście naruszenia przepisów ustawy o ochronie danych osobowych.