DOLiS/DEC-108/10 dot. DOLiS-440-419/09
2010-09-14
DOLiS/DEC-108/10 dot. DOLiS-440-419/09
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki
Warszawa, dnia 26 stycznia 2010 r.
DECYZJA
Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98 poz. 1071 z późn. zm.) w związku z art. 12 pkt 2, art. 22, 23 ust. 1 pkt 2 i 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej (Dz. U. z 1999, Nr 101, poz. 1178), po przeprowadzeniu postępowania administracyjnego w sprawie skargi złożonej w imieniu Panów: X zam. (..) oraz Pana Y zam. w (…) przez Pana Z zam. w (…), na przetwarzanie ich danych osobowych przez Bank Spółdzielczy w (…),
1) odmawiam uwzględnienia wniosku w zakresie dotyczącym przetwarzania przez Bank Spółdzielczy w (…) danych osobowych Pana X zam. w (…),
2) umarzam postępowanie w zakresie dotyczącym przetwarzania przez Bank Spółdzielczy w (…) danych osobowych Pana Y zam. w (…).
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych – zwanego dalej również Generalnym Inspektorem wpłynęła skarga złożona w imieniu Panów: X zam. (..) oraz Pana Y zam. w (…) (zwanych dalej Skarżącymi) przez Pana Z zam. w (…), na przetwarzanie danych osobowych Skarżących przez Bank Spółdzielczy w (…) (zwany dalej Bankiem). Pan Z w piśmie skierowanym do Generalnego Inspektora wskazał, że Bank dopuścił się złamania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 ze zm.) – zwanej dalej również ustawą, poprzez udostępnienie danych osobowych Skarżących zawartych ”Protokole nr 52/2000” z posiedzenia zarządu Banku z dnia 28 grudnia 2000 r. na potrzeby postępowania cywilnego toczącego się z powództwa Pana X przed Sądem Okręgowym w (…) o pozbawienie wykonalności tytułów egzekucyjnych wystawionych przez Bank.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych ustalił, co następuje:
1. Z powództwa Pana Z przeciwko Bankowi od 2004 r. toczy się postępowanie cywilne przed Sądem Okręgowym w (…) o pozbawienie wykonalności tytułów egzekucyjnych wystawionych przez Bank, wynikających ze zobowiązania kredytowego Pana Z wobec Banku. W toku postępowania sądowego Bank cyt.: „na okoliczność przedstawienia procedury w oparciu, o którą wyrażano zgodę na umorzenie długów wobec Banku oraz w celu zaprzeczenia, że w korespondencji z Panią D. – żoną Pana Z Bank złożył oświadczenie o zwolnieniu jej męża z długu wobec Banku, co faktycznie nie miało miejsca” złożył w Sądzie dowód (z zaliczeniem jako istotny) w postaci dokumentu pod nazwą „Protokół nr 52/2000” z posiedzenia zarządu Banku z dnia 28 grudnia 2000 r., w którym zawarte były m. in. dane osobowe Skarżących, jako kredytobiorców. „Protokół nr 52/2000” został dopuszczony przez Sąd jako dowód w sprawie.
2. W ww. protokole zawarta jest informacja o tym, że cyt.: „Zarząd BS w (…) wyraził zgodę na umorzenie długu następującym dłużnikom: 1) Pan Y, zam. (…), 4) Pan X, zam. (…)”
3. Skarżący nie są już klientami Banku. Zobowiązanie łączące Bank z Panem X wygasło w 2000 r., natomiast zobowiązanie z Panem Y – jako podmiotem prowadzącym działalność gospodarczą wygasło w 2001 r. Bank na potwierdzenie faktu, że Pan Y prowadzi działalność gospodarczą przedstawił wypis z ewidencji działalności gospodarczej prowadzonej przez Prezydenta Miasta (…) dotyczący przedsiębiorcy – Pana Y – Ubezpieczenia, Handel z siedzibą w (…) przy ul. (…).
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
1. Zgodnie z ustawą o ochronie danych osobowych, która określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy), podstawowym warunkiem legalności każdej czynności mieszczącej się w pojęciu przetwarzania danych osobowych jest spełnienie jednej z przesłanek z art. 23 ust. 1 ustawy o ochronie danych osobowych. Obok i niezależnie od zgody osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 ustawy) przetwarzanie danych jest dopuszczalne, gdy, jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust.1 pkt 5 ustawy). Podkreślić należy, że za prawnie usprawiedliwiony cel, o którym mowa w ww. art. 23 ust. 1 pkt 5 ustawy, uważa się w m. in. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2).
Przepisami prawa, które w niniejszej sprawie stanowią przesłankę udostępnienia danych osobowych Pana X przez Bank na rzecz Sądu są przepisy ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 1964 r., Nr 43, poz. 296) zwanej dalej również Kpc. Na mocy art. 217 § 1 Kpc strona może aż do zamknięcia rozprawy przytaczać okoliczności faktyczne i dowody na uzasadnienie swych wniosków lub dla odparcia wniosków i twierdzeń strony przeciwnej, z zastrzeżeniem niekorzystnych skutków, jakie według przepisów niniejszego kodeksu mogą dla niej wyniknąć z działania na zwłokę lub niezastosowania się do zarządzeń przewodniczącego i postanowień sądu. Ponadto należy wskazać, iż zgodnie z art. 232 Kpc strony są obowiązane wskazywać dowody dla stwierdzenia faktów, z których wywodzą skutki prawne. Sąd ocenia wiarygodność i moc dowodów według własnego przekonania, na podstawie wszechstronnego rozważenia zebranego materiału (art. 233 § 1). Dowodem mogą być w szczególności dokumenty co przewiduje art. 244 i następne Kpc. Protokół przedstawiony przez Bank miał stanowić dowód, o którym mowa w powołanych wyżej przepisach Kpc i wejść w skład dokumentacji przedłożonej sądowi okręgowemu na potwierdzenie stanowiska strony pozwanej.
W ocenie Banku dowód umożliwiał skuteczne prowadzenie procesu sądowego, którego wartość przedmiotu sporu określił powód na kwotę 60.522,56 zł.
Na mocy art. 227 Kpc. przedmiotem dowodu są fakty mające dla rozstrzygnięcia sprawy istotne znaczenie. Jednakże, jak podkreślił Naczelny Sąd Administracyjny w Warszawie, w wyroku z dnia 6 grudnia 2002 r. (sygn. akt II SA 3987/01) „to czy jakaś okoliczność ma znaczenie dla sprawy określa samodzielnie skład orzekający. W działalność tę nie może ingerować organ administracji jakim jest Generalny Inspektor Ochrony Danych Osobowych, gdyż zaprzeczyłoby to konstytucyjnej zasadzie niezawisłości sądów wynikającej z art. 178 ust 1 Konstytucji RP. Podobne stanowisko w sprawie kompetencji Generalnego Inspektora zajął również Naczelny Sąd Administracyjny w wyroku z dnia 2 marca 2001 r. (sygn. Akt II SA 401/00), stwierdzając m.in.: „(...) Generalny Inspektor (...) nie jest organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i prawa procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji czy w inny sposób określony odpowiednimi procedurami (...)”.
Mając na uwadze treść wyżej cytowanego art. 23 ust. 1 pkt 5 ustawy, wskazać należy, że prawnie usprawiedliwionym celem działania Banku - jako strony pozwanej w postępowaniu cywilnym zainicjowanym przez Pana Z – (występującego w niniejszym postępowaniu w charakterze reprezentanta Skarżących) była obrona interesów prawnych Banku. Zauważyć przy tym należy, że ww. protokół stanowi jako dokument pewną całość i ingerencja w jego treść niewątpliwie mogłaby go pozbawić cech tego dokumentu. Jednocześnie Generalny Inspektor nie jest upoważniony do oceny czy sąd dopuszczając ww. dowód bez uprzedniego usunięcia danych osobowych Skarżącego, nie przekroczył swoich uprawnień do oceny materiału dowodowego wskazanych w ww. przepisach Kpc dotyczących postępowania dowodowego. Gospodarzem postępowania toczącego się przeciwko Bankowi z powództwa Pana Z oraz administratorem danych zawartych w aktach tego postępowania jest obecnie sąd, a nie Bank. Z chwilą włączenia złożonego przez Bank protokołu w poczet materiału dowodowego, dokument ten stał się częścią akt postępowania sądowego. Działalność sądu podlega kontroli wyłącznie ze strony organu wyższej instancji – w trybie i na zasadach określonych przepisami ustawy Kpc, jak również ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz. U. Nr 98 poz.1070 z późn. zm.).
Jednocześnie wskazać należy, że zgodnie z art. 26 ust 1 ustawy administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
W ocenie Generalnego Inspektora, Bank nie naruszył wskazanych w ww. przepisie zasad przetwarzania danych osobowych – w tym zasady adekwatności udostępniając sądowi dane Pana X na potrzeby postępowania sądowego.
2. Odnosząc się z kolei do udostępnienia przez Bank zawartych w ww. protokole danych Pana Y - jako podmiotu prowadzącego działalność gospodarczą, podkreślić należy, że przepisy ustawy o ochronie danych osobowych nie mają zastosowania do przetwarzania informacji o innych podmiotach, w szczególności o osobach prawnych, jednostkach organizacyjnych nieposiadających osobowości prawnej oraz podmiotach prowadzących działalność gospodarczą w oparciu o przepisy ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (tekst jednolity: Dz. U. 2007 r. Nr 155 poz. 1095). Stosownie do brzmienia art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej (Dz. U. z 1999,Nr 101, poz. 1178) ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271).
W świetle powyższego, ocena posłużenia się danymi osobowymi przedsiębiorcy w związku z prowadzeniem przez niego działalności gospodarczej, nie może być dokonana na gruncie przepisów ustawy o ochronie danych osobowych.
W konsekwencji, działania Banku Spółdzielczego w (…) odpowiadały wymogom wynikającym z ustawy o ochronie danych osobowych – realizowane były bowiem na warunkach w niej określonych.
W stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w wstępie.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz.926 z późn. zm.) i art. 129 § 2 w zw. z art. 127 § 3 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U.
z 2000 r. Nr 98, poz. 1071 z późn. zm.), strona niezadowolona z niniejszej decyzji, w terminie 14 dni od dnia jej doręczenia, może zwrócić się do Generalnego Inspektora Danych Osobowych (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy.
