GI-DEC-DS-203/04
2007-05-15
Decyzja GIODO z dnia 22 września 2004 r. nakazująca Spółdzielni Mieszkaniowej nieudostępniania danych osobowych użytkowników lokali poprzez wywieszanie, w miejscach powszechnie dostępnych, wykazów zawierających informacje o ich zadłużeniu, z tytułu opłat eksploatacyjnych i podatku gruntowego (wraz z naliczonymi od wskazanych zaległości odsetkami ustawowymi), bez uprzedniego uzyskania na powyższe zgody tych osób.
Warszawa, dnia 22 września 2004 r.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) jak również, art. 12 pkt 2 oraz art. 18 ust. 1 w zw. z art. 23 ust. 1 pkt 1 i art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana A, dotyczącej udostępnienia osobom nieupoważnionym jego danych osobowych przez Spółdzielnię Mieszkaniową,
nakazuję
Spółdzielni Mieszkaniowej, nieudostępnianie danych osobowych użytkowników lokali usytuowanych w budynku mieszczącym się w (...), w tym danych osobowych Pana A, poprzez wywieszanie, w miejscach powszechnie dostępnych, wykazów zawierających informacje o ich zadłużeniu z tytułu opłat eksploatacyjnych i podatku gruntowego (wraz z naliczonymi od wskazanych zaległości odsetkami ustawowymi), bez uprzedniego uzyskania na powyższe zgody tych osób.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana A, zwanego dalej także Skarżącym, dotycząca niezgodnego z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwaną dalej także ustawą, przetwarzania jego danych osobowych przez Spółdzielnię Mieszkaniową, zwaną dalej także Spółdzielnią. Z przedstawionych przez Skarżącego materiałów wynikało w szczególności, że Spółdzielnia podała do publicznej wiadomości – poprzez wywieszenie w gablotach informacyjnych, na klatce schodowej budynku położonego w (...) - wykaz, zawierający numery lokali mieszkalnych oraz kwoty zadłużenia ich użytkowników z tytułu nieuregulowanych opłat eksploatacyjnych, podatku gruntowego i naliczonych od powyższych zaległości, odsetek ustawowych, według stanu na dzień 29 lutego 2004 r., jak również, wykaz obejmujący dane użytkowników wskazanych lokali w zakresie ich imion i nazwisk, w tym dane Pana A. W wyniku interwencji Generalnego Inspektora Ochrony Danych Osobowych, Spółdzielnia usunęła wprawdzie powyższe wykazy zaakcentowania wymaga jednak, iż Pan A określił opisane praktyki Spółdzielni mianem „systematycznych” co prowadzi do wniosku, iż stanowią one przyjęty i powielany sposób jej postępowania w stosunku do zadłużonych użytkowników lokali, a zarazem uzasadnia przypuszczenie, że mogą również być kontynuowane w przyszłości.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Stosownie do brzmienia art. 6 ust. 1 ustawy o ochronie danych osobowych, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W myśl art. 6 ust. 2 ustawy, osobą możliwą do zidentyfikowania jest natomiast osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Mając na uwadze powyższe uznać należy, iż informacja w zakresie numeru lokalu wraz z kwotą i okresem zadłużenia z tytułu opłat eksploatacyjnych, podatku gruntowego oraz naliczonych od tych zaległości odsetek ustawowych, dotyczy możliwej do zidentyfikowania osoby fizycznej. Tym samym informacja ta – zgodnie z art. 6 ustawy – obejmuje dane osobowe.
Ustawa o ochronie danych osobowych nałożyła na administratorów danych szereg obowiązków, a ich przestrzeganie zagwarantowała przepisami karnymi, zamieszczonymi w rozdziale 8. Zgodnie z przyjętymi w ustawie zasadami, każda forma przetwarzania danych osobowych w tym ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie (zwłaszcza jeżeli wskazane operacje na danych osobowych wykonywane są w systemach informatycznych), powinna znaleźć swoje oparcie w jednej z przesłanek wymienionych w art. 23 ust. 1 ustawy. Stosownie do dyspozycji powołanego przepisu, przetwarzanie danych osobowych jest dopuszczalne min. wówczas, gdy osoba, której dane dotyczą wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1) oraz gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2). Jednocześnie, oprócz legitymowania się jedną z powyższych przesłanek legalizujących przetwarzanie danych, administrator danych, stosownie do dyspozycji art. 26 ust. 1 ustawy, powinien dołożyć należytej staranności w celu ochrony interesów osób, których dane dotyczą. Wskazana zasada o charakterze generalnym znajduje swoje rozwinięcie w przepisach ustawy, określających min. wymogi, jakie powinien spełnić administrator danych w celu zapewnienia bezpieczeństwa danych w procesie ich przetwarzania. Jednym z podstawowych obowiązków spoczywających na administratorze jest, wynikający z art. 36 ustawy, obowiązek zastosowania środków administracyjnych i technicznych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ustawodawca nie precyzuje wprawdzie jakie konkretnie środki administracyjne i techniczne powinien przedsięwziąć administrator danych jednakże, zgodnie z ugruntowanym w literaturze przedmiotu stanowiskiem, ich stosowanie powinno skutkować wyeliminowaniem, a w przypadku gdyby nie było to możliwe, maksymalnym ograniczeniem ryzyka wystąpienia opisanych powyżej zdarzeń (por. J. Barta, R. Markiewicz Ochrona danych osobowych. Komentarz, Zakamycze 2001 r., str. 501 i nast.).
Odnosząc powyższe uwagi do stanu faktycznego niniejszej sprawy należy wskazać, że z uwagi na brak przepisów, upoważniających Spółdzielnię do upubliczniania danych osobowych jej członków – w szczególności przepisów takich nie zawiera ustawa z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych (Dz. U. z 2003 r. Nr 119, poz. 1116 z późn. zm.) – nie istnieje przewidziana w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych podstawa prawna dla tego typu działań. W konsekwencji, przypisanie kwestionowanym praktykom Spółdzielni waloru legalności uzależnione jest od zaistnienia przesłanki, o której mowa w art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Oznacza to zatem, że warunkiem koniecznym do uznania za zgodne z prawem działań Spółdzielni, polegających na udostępnieniu przez nią danych osobowych jej członków w opisany w skardze sposób jest wcześniejsza zgoda osób, których te dane dotyczą (w tym również Skarżącego) na powyższe. Tymczasem, ze zgromadzonego w przedmiotowej sprawie materiału dowodowego nie wynika, aby Spółdzielnia uzyskała zgodę Skarżącego na upublicznienie jego danych osobowych zwłaszcza, że w skierowanej do Generalnego Inspektora Ochrony Danych Osobowych skardze, Pan A zarzucił wskazanym działaniom Spółdzielni niezgodność z obowiązującymi przepisami prawa. Nie znaleziono ponadto podstaw by przyjąć, że Spółdzielnia stosuje wobec poszczególnych jej członków niejednakowe praktyki w zakresie dochodzenia zaległych należności oraz – co z tym związane – niejednakowe zasady dotyczące przetwarzania danych osobowych. W konsekwencji ustalono, że Spółdzielnia nie uzyskała także zgody innych jej członków na upublicznienie ich danych osobowych.
Zaznaczyć należy zarazem, że Spółdzielnia nie tylko naruszyła swym działaniem przepisy ustawy dotyczące legalnego przetwarzania danych osobowych lecz również, uchybiła obowiązkowi należytego zabezpieczenia tych danych. Wywieszając bowiem w miejscu powszechnie dostępnym wykazy zawierające dane osobowe zadłużonych użytkowników lokali (i nie dysponując w tym zakresie stosownym upoważnieniem – wynikającym bądź z przepisu prawa bądź ze zgody osób, których dane dotyczą), Spółdzielnia umożliwiła dostęp do wskazanych informacji osobom postronnym, nieupoważnionym do pozyskania tych danych.
Podkreślenia wymaga jednocześnie, iż powyższe ustalenia nie były w toku dalszego postępowania w niniejszej sprawie kwestionowane przez Spółdzielnię. W szczególności, odpowiadając na pismo Generalnego Inspektora Ochrony Danych Osobowych z dnia 23 lipca 2004 r. (znak: GI-DS-430/539/04/3352), w którym zasygnalizowano Spółdzielni wskazane nieprawidłowości w procesie przetwarzania przez nią danych osobowych jej członków oraz zwrócono uwagę na konieczność zaniechania nielegalnych praktyk, Spółdzielnia nie podważyła zasadności stawianych jej zarzutów.
W piśmie z dnia 18 sierpnia 2004 r. (znak: D/6167/2004), stanowiącym odpowiedź na wystąpienie Generalnego Inspektora Ochrony Danych Osobowych z dnia z dnia 23 lipca 2004 r., Prezes oraz Zastępca Prezesa Zarządu Spółdzielni Mieszkaniowej wskazali w szczególności: „(...) Zarząd Spółdzielni Mieszkaniowej (...) informuje, że zastosował się do zaleceń Generalnego Inspektora Ochrony Danych Osobowych zawartych w piśmie z dnia 23 lipca 2004 r. i nie wywiesza w gablotach informacyjnych na klatkach schodowych wykazu mieszkań zadłużonych (...)”. Zaznaczenia wymaga jednak, iż kwestionowane praktyki Spółdzielni nie miały charakteru jednorazowego lecz były ponawiane – na co wyraźnie zwrócił uwagę w swej skardze Pan A - jak również, że brak jest jednoznacznej deklaracji Spółdzielni co do bezwzględnego zaprzestania stosowania tych praktyk w przyszłości.
Na Generalnym Inspektorze Ochrony Danych Osobowych, jako organie powołanym do spraw ochrony danych osobowych, spoczywa obowiązek sprawowania pieczy nad przestrzeganiem przepisów prawa obejmujących wskazaną problematykę. W ramach realizacji swych funkcji kontrolnych oraz nadzorczych Generalny Inspektor może m.in. podejmować działania ukierunkowane na zapobieżenie naruszeniom przepisów dotyczących ochrony danych osobowych w przyszłości. Podstawę prawną dla powyższych działań stanowi art. 18 ust. 1, w myśl którego, w przypadku naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem.
W związku z tak ustalonym stanem faktycznym i prawnym konieczne jest sformułowanie w stosunku do Spółdzielni nakazu usunięcia stwierdzonych uchybień w procesie przetwarzania danych osobowych jej członków, poprzez zaprzestanie stosowania w przyszłości praktyki, polegającej na wywieszaniu w miejscach powszechnie dostępnych wykazów, zawierających informacje o użytkownikach lokali zalegających z opłatami eksploatacyjnymi i opłatami z tytułu podatku gruntowego, bez uprzedniej zgody wskazanych osób na upublicznienie w ten sposób dotyczących ich danych osobowych.
Mając na uwadze powyższe, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak we wstępie.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art. 129 § 2 Kodeksu postępowania administracyjnego, stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od daty jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).
