GI-DEC-DS-23/02
2007-05-04
Warszawa, dnia 5 lutego 2002r.
(dotyczy legalności przetwarzania przez bank danych osobowych klienta będącego jednocześnie jego pracownikiem)
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 23 ust. 1 pkt 2 i 3, art. 24 ust. 1 oraz art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 z późn. zm.), po przeprowadzeniu postępowania administracyjnego wszczętego na wniosek Skarżącego, dotyczący przetwarzania jego danych osobowych przez Bank,
odmawiam uwzględnienia wniosku.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło pismo Skarżącego w sprawie przetwarzania jego danych osobowych przez Bank. W niniejszym piśmie Skarżący podniósł, iż Bank bez zgody Skarżącego przetwarzał jego dane osobowe, a w szczególności dane te udostępnił Spółce. Skarżący wskazał ponadto na niedopełnienie względem niego - jako klienta i jednocześnie pracownika Banku - obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 z późn. zm.), zwanej dalej także ustawą oraz na brak odpowiedzi ze strony Banku na wniosek Skarżącego o udzielenie informacji dotyczących przetwarzania jego danych osobowych, co narusza art. 33 ust. 1 ustawy. Po przeprowadzeniu postępowania wyjaśniającego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych ustalił co następuje:
1) Skarżący był pracownikiem Banku w okresie od dnia 1 stycznia 1993 r. do dnia 31 stycznia 2001 r., a w okresie od dnia 26 stycznia 1993 r. do dnia 4 października 2001 r. jego klientem,
2) dane osobowe Skarżącego zostały przekazane Spółce wraz z danymi osobowymi wszystkich strażników Straży Bankowej Banku w pierwszych dniach stycznia 2001 r, na podstawie umowy zlecenia zawartej w dniu 28 grudnia 2000 r. pomiędzy ww. Spółką a Bankiem (kopia umowy w aktach sprawy).W dniu 19 stycznia 2001 r. Bank otrzymał od Spółki potwierdzenie przekazania powyższych danych. Zgodnie z treścią przedmiotowej umowy dane te mogą być przetwarzane przez Spółkę wyłącznie w zakresie stosunków pracowniczych w celu związanym z restrukturyzacją Straży Bankowej,
3) Skarżący został w dniu 1 lutego 2001 r. zatrudniony w Spółce na podstawie umowy o pracę,
4) Bank oświadczył, że nie otrzymał wniosku Skarżącego z dnia 22 marca 2001 r. o udzielenie informacji dotyczących przetwarzanych przez Bank danych osobowych Skarżącego. Skarżący natomiast nie przedstawił wiarygodnych dowodów na potwierdzenie faktu otrzymania przez Bank ww. wniosku.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny Inspektor Ochrony Danych Osobowych, stwierdził co następuje:
Zgodnie z art. 23 ust. 1 ustawy przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba, że chodzi o usunięcie dotyczących jej danych,
2) zezwalają na to przepisy prawa,
3) jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Należy podkreślić, iż każda z ww. przesłanek przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Spełnienie zatem jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W niniejszej sprawie dane osobowe Skarżącego ? zawarte w zbiorze danych pracowników Banku - przetwarzane były na podstawie umowy o pracę, zawartej pomiędzy Skarżącym a Bankiem, a także na podstawie ustawy z dnia 26 czerwca 1974 r. Kodeks Pracy (Dz. U. Nr 21, poz. 94 z późn. zm.) oraz na podstawie rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie z zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz. U. Nr 62, poz. 286). Jednocześnie podstawę prawną przetwarzania danych osobowych Skarżącego ? zawartych w zbiorze klientów Banku - stanowiła umowa prowadzenia rachunku bankowego oraz przepisy ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. Nr 140, poz. 939 z późn. zm.). Należy wskazać, iż po rozwiązaniu umowy dotyczącej prowadzenia rachunku bankowego Bank przetwarza dane osobowe swoich byłych klientów w celach związanych ze sprawozdawczością finansową oraz w celach archiwalnych, na podstawie przepisów ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr 121, poz. 591 z późn. zm.) oraz przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. Nr 38, poz. 173 z późn. zm.). Ponadto Bank, mając na uwadze ewentualne reklamacje klientów i w konsekwencji ewentualną konieczność przedłożenia dokumentów związanych z prowadzeniem rachunku bankowego w postępowaniu sądowym, przetwarza dane osobowe byłych klientów ze względu na terminy przedawnienia roszczeń, określone w przepisach ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz 93 z późn. zm.). Przepisy ustawy o rachunkowości oraz ustawy o narodowym zasobie archiwalnym i archiwach są również podstawą przetwarzania danych osobowych pracowników po ustaniu stosunku pracy łączącego ich z pracodawcą. Ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika, iż Skarżący był pracownikiem Banku do dnia 31 stycznia 2001 r., a jego klientem do dnia 4 października 2001 r. Należy zatem stwierdzić, iż Bank przetwarza obecnie dane osobowe Skarżącego na podstawie przepisów ustawy o rachunkowości, przepisów ustawy o narodowym zasobie archiwalnym i archiwach, a także przepisów Kodeksu Cywilnego.
W świetle powyższego należy uznać, iż podstawą prawną przetwarzania danych osobowych Skarżącego - jako klienta i pracownika Banku - jest art. 23 ust. 1 pkt 2 i 3 ustawy o ochronie danych osobowych.
Ustawa o ochronie danych osobowych przewiduje, iż administrator danych może bądź sam przetwarzać dane, bądź powierzyć ich przetwarzanie innemu podmiotowi. Stosownie do art. 31 ustawy administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Dane osobowe Skarżącego zostały przekazane przez Bank Spółce w dniu 19 stycznia 2001 r. na podstawie umowy powierzenia przetwarzania danych osobowych pracowników Straży Bankowej, zawartej w dniu 28 grudnia 2000 r. pomiędzy ww. podmiotami. W świetle art. 31 ust. 2 ustawy o ochronie danych osobowych, podmiot, któremu powierzono w drodze umowy przetwarzanie danych, może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie. W § 2 przedmiotowej umowy powierzenia danych osobowych pracowników zatrudnionych w strukturach Straży Bankowej wskazano, iż ww. dane będą przetwarzane wyłącznie w zakresie stosunków pracowniczych, w celach związanych z planowaną restrukturyzacją Straży Bankowej. Jak wynika z przedstawionego w niniejszej sprawie materiału dowodowego w dniu 1 lutego 2001 r. Skarżący został zatrudniony przez Spółkę na podstawie umowy o pracę. W świetle powyższego należy uznać, iż ww. Spółka stała się samodzielnym administratorem danych Skarżącego, przetwarzającym jego dane na podstawie nawiązanego stosunku pracy.
Odnosząc się do zarzutu Skarżącego, dotyczącego niedopełnienia przez Bank obowiązku informacyjnego określonego w art. 24 ust. 1 ustawy należy wskazać, iż ustawa o ochronie danych osobowych w odniesieniu do sytuacji dotyczących zbierania danych, nakłada na administratorów danych określone obowiązki. Stosownie bowiem do art. 24 ust. 1 ustawy, w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, prawie wglądu do swoich danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Jednakże - jak wskazuje doktryna - prawa i obowiązki, dotyczące zbierania danych osobowych należy oceniać według prawa jakie obowiązywało w tym czasie, w którym zbieranie to miało miejsce (Janusz Barta i Ryszard Markiewicz: Ochrona danych osobowych, Zakamycze 2001 r., str 400). Skarżący został zatrudniony w Banku w dniu 1 stycznia 1993 r., zaś klientem Banku został w dniu 26 stycznia 1993 r. Dane osobowe Skarżącego zostały zatem zebrane przed wejściem w życie ustawy o ochronie danych osobowych, gdyż ustawa zaczęła obowiązywać od dnia 30 kwietnia 1998 r. (art. 62 ustawy). W świetle przedstawionych okoliczności, mając na uwadze, iż obowiązek informacyjny określony w art. 24 ust. 1 ustawy dotyczy zbierania danych, nie zaś ich przetwarzania, należy uznać, iż Bank nie był zobowiązany do dopełnienia wobec Skarżącego - jako pracownika i klienta - ww. obowiązku informacyjnego.
Niezależnie od powyższego należy wskazać, iż w świetle przepisów ustawy, osobie, której dane przetwarzane są w zbiorach przysługuje szereg uprawnień, składających się na ogólne prawo kontroli przetwarzania danych. Stosownie do art. 32 ust. 1 ustawy każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą. Jednocześnie w myśl art. 33 ust. 1 ustawy na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach, a zwłaszcza wskazać w formie zrozumiałej odnośnie danych osobowych jej dotyczących: 1) jakie dane osobowe zawiera zbiór, 2) w jaki sposób zebrano dane, 3) w jakim celu i zakresie dane są przetwarzane, 4) w jakim zakresie oraz komu dane zostały udostępnione.
Skarżący podniósł, iż w piśmie z dnia 22 marca 2001 r. zwrócił się do Banku o udzielenie informacji dotyczących przetwarzania jego danych osobowych. Jednakże Bank poinformował, iż nie otrzymał wniosku Skarżącego z dnia 22 marca 2001 r. W myśl art. 22 ustawy o ochronie danych osobowych, postępowanie w sprawach uregulowanych w niniejszej ustawie prowadzi się według przepisów Kodeksu postępowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej. Stosownie do art. 80 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) organ administracji publicznej ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona. Naczelny Sąd Administracyjny w wyroku z dnia 19 września 1988 r. (sygn. akt II SA 1947/87) stwierdził, iż "w sprawach, w których na stronie spoczywa ciężar wskazania konkretnych faktów i zdarzeń, z których wywodzi ona dla siebie określone skutki prawne, a twierdzenia strony w tym zakresie są ogólnikowe i lakoniczne, obowiązkiem organu prowadzącego postępowanie jest wezwanie strony do uzupełnienia i sprecyzowania tych twierdzeń. Dopiero, gdy strona nie wskaże konkretnych okoliczności, można z tego wywieść negatywne dla niej wnioski". W opinii Generalnego Inspektora Ochrony Danych Osobowych Skarżący, mimo wezwania w piśmie z dnia 26 września 2001 r. (znak: GI-DS-430/391/01/1551), nie przedstawił wystarczających dowodów wskazujących na to, iż Bank otrzymał przedmiotowy wniosek. Brak dowodów na potwierdzenie powyższego faktu uniemożliwia w konsekwencji stwierdzenie niedopełnienia przez Bank obowiązku informacyjnego, określonego w art. 33 ust. 1 ustawy.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych nie ma zatem podstaw prawnych do stwierdzenia, iż Bank - przetwarzając dane osobowe Skarżącego- naruszył przepisy ustawy o ochronie danych osobowych.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.
