>Decyzje Giodo>2001 >

Warszawa, dnia 23 listopada 2001 r.

(dotyczy udostępnienia przez pracodawcę innemu podmiotowi danych osobowych pracownika)

DECYZJA

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt. 2, art. 31 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 z późn. zm.) w związku z art. 124 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 1998 r. Nr 21, poz. 94 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi, dotyczącej udostępnienia przez Towarzystwo Ubezpieczeń danych osobowych Skarżącej Agencji Ochrony,

odmawiam uwzględnienia wniosku.

UZASADNIENIE

Do Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga w sprawie przetwarzania danych osobowych Skarżącej przez Towarzystwo Ubezpieczeniowe, zwane również Spółką.Z treści przedmiotowej skargi wynika, iż Spółka przetwarzała dane z naruszeniem przepisów o ochronie danych osobowych, w szczególności udostępniła dane osobowe Skarżącej podmiotowi nieuprawnionemu, tj. Agencji Ochrony, która następnie dokonywała w imieniu administratora danych egzekucji długu w wysokości 60.490 zł. W toku postępowania wyjaśniającego przeprowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych w niniejszej sprawie, w piśmie z dnia 17 września 2001 r. Towarzystwo Ubezpieczeń, jako podstawę udostępnienia Agencji Ochrony danych będących przedmiotem sporu, wskazało zgodę Skarżącej. Spółka wyjaśniła, iż Skarżąca, będąc zatrudniona w Przedstawicielstwie Towarzystwa w okresie od 1 października 1998 r. do 20 lipca 2001 r. - ostatnio na stanowisku młodszego specjalisty ds. finansowo?księgowych ? kasjerka w Sekcji Finansowej, dokonała sfałszowania dokumentów księgowych i zagarnięcia na szkodę pracodawcy kwoty 60.490 zł. W konsekwencji, w dniu 20 lipca 2001 r. rozwiązano ze Skarżącą stosunek pracy, w trybie art. 52 § 1 pkt 2 Kodeksu pracy. Z dalszych wyjaśnień Spółki wynika ponadto, że "(...) pismem z dnia 18 lipca 2001 r. Skarżąca zobowiązała się do zwrotu przywłaszczonej kwoty i dokonując jej zwrotu, zwróciła się do byłych przełożonych - Dyrektora Przedstawicielstwa oraz Kierownika Sekcji Finansowo-Księgowej Przedstawicielstwa z prośbą o umożliwienia jej skorzystania z usług wymienionej wyżej Agencji, w celu zapewnienia jej ochrony podczas transportu gotówki do siedziby Przedsiębiorstwa (...) Towarzystwa". Generalny Inspektor Ochrony Danych Osobowych został poinformowany, iż w związku z ww. zobowiązaniem Skarżącej, przy wypłacie pierwszej raty, mającej miejsce w dniu 16 lipca 2001 r., pracownicy Agencji, z którą Spółka była związana umową zlecenia wykonania ochrony transportu wartości pieniężnych (kopia umowy w aktach sprawy, karta 14-17), udali się po Skarżącą do jej miejsca zamieszkania "...w celu zapewnienia jej ochrony podczas transportu gotówki do siedziby Przedstawicielstwa Towarzystwa (...), a następnie przewieźli ją wraz z gotówką w wysokości 27.000 zł do siedziby Przedstawicielstwa".

Następnie Spółka wskazuje, że przy wypłacie drugiej raty w wysokości 20.000 zł,, która nastąpiła w dniu 20 lipca 2001 r. "...po przeznaczone do zwrotu pieniądze pojechała, w asyście pracowników Agencji Ochrony, pracownica Przedstawicielstwa i przyjęła od Skarżącej pieniądze w miejscu jej zamieszkania". Spółka przedłożyła przy tym Generalnemu Inspektorowi Ochrony Danych Osobowych kserokopie dowodu wpłaty kwoty 27.000 zł z dnia 16 lipca 2001 r. (karta 19 akt) oraz wpłaty kwoty 20.000 zł z dnia 20 lipca 2001 r. (karta 18 akt). W dniu 22 października 2001 r. do Generalnego Inspektora wpłynęły wyjaśnienia właściciela Agencji Ochrony, z których wynika, iż pracownicy Agencji w dniu 16 lipca 2001 r. trzykrotnie otrzymali ze Spółki zlecenie udzielenia ochrony osobistej Skarżącej (kiedy to w miejscu zamieszkania Skarżącej pracownica Spółki odebrała od Skarżącej pieniądze w kwocie 20.000 zł) oraz w dniu 25 lipca 2001 r. Agencja Ochrony oświadczyła ponadto, że nie podejmowała w imieniu Towarzystwa próby egzekucji długu Skarżącej i nie przetwarza jej danych osobowych. Pismem z dnia 7 listopada 2001 r. (znak: BP 15983/2001) Spółka podtrzymała swoje stanowisko w niniejszej sprawie. Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych osobowych zważył, co następuje: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 z późn. zm.), zwana dalej ustawą, od chwili wejścia w życie (tj. od dnia 30 kwietnia 1998 r.) nałożyła na administratorów danych szereg obowiązków. Wynikają one z zadań postawionych przez ustawodawcę administratorowi przetwarzającemu dane osobowe, a których należyte wykonanie zabezpieczone zostało wprowadzeniem przepisów karnych określonych w rozdziale 8 ustawy. Jednym z priorytetowych obowiązków administratora danych jest wykazanie co najmniej jednej z materialnych przesłanek przetwarzania danych osobowych, określonych w art. 23 ust. 1 ustawy. Każda z przesłanek przetwarzania danych posiada charakter autonomiczny i niezależny. Równoprawność przesłanek legalizujących proces przetwarzania danych osobowych odnosi się do wszelkich form przetwarzania danych, zdefiniowanych w art. 7 pkt 2 ustawy, w tym również do ich udostępnienia.

Obok wykazania podstaw przetwarzania (udostępnienia) danych naczelnym zadaniem administratora danych jest przestrzeganie zasad właściwego zabezpieczenia przetwarzanych danych osobowych, określonych w Rozdziale 5 ustawy o ochronie danych osobowych. Administrator danych, a więc w myśl art. 7 pkt 4 ustawy organ, instytucja, jednostka organizacyjna, podmiot lub osoba, o której mowa w art. 3 ust. 1 i 2 ustawy, decydujący o celach i środkach przetwarzania danych osobowych, zgodnie z art. 36 ustawy, jest zobowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem. Obowiązek właściwego zabezpieczenia danych, obok administratora danych, spoczywa także na administrującym, czyli podmiocie, który zarządza, zawiaduje zbiorem danych lub danymi, np. na podmiocie, któremu dane osobowe powierzono do przetwarzania. Dla oceny przedstawionej sprawy niezbędne było ustalenie, czy przetwarzanie danych osobowych Skarżącej przez administratora danych - Towarzystwo Ubezpieczeń - odbywało się z uwzględnieniem wyżej wskazanych zasad legalnego przetwarzania danych, a w szczególności ustalenie, czy udostępnienie danych Skarżącej takiemu podmiotowi jak Agencja Ochrony nie naruszało przepisów o ochronie danych osobowych. Jak wynika z zebranego materiału dowodowego dane osobowe Skarżącej zostały pozyskane, a następnie przetwarzane przez Towarzystwo w celu zawarcia i realizacji stosunku pracy. Przetwarzanie danych pracownika przez pracodawcę odbywa się w oparciu o przepisy ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 1998 r. Nr 21, poz. 94 z późn. zm.), zwanej także K.p. Zgodnie z art. 114 K.p. pracownik, który wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych ze swej winy wyrządził pracodawcy szkodę, ponosi odpowiedzialność materialną według zasad określonych w przepisach Działu V Rozdział I K.p.(odpowiedzialność pracownika za szkodę wyrządzoną pracodawcy). Ponadto pracownik, któremu powierzono z obowiązkiem zwrotu albo wyliczenia się mienie, o którym mowa w art. 124 § 1 i 2 K.p., zgodnie z zasadami określonymi w tym przepisie odpowiada w pełnej wysokości za szkodę powstałą w tym mieniu. Pracownik może ekskulpować się w całości od odpowiedzialności za niedobór (art. 124 § 3 K.p.) tylko wówczas, gdy wykaże, że pomimo dołożenia wszelkich starań o powierzone mienie niedobór powstał z przyczyn od niego niezależnych (wyrok SN z 27 października 1982 r. IV PR 308/82, OSP 1983/7/178).

Zgromadzony w niniejszej sprawie materiał wskazuje, iż przed rozwiązaniem przez Spółkę ze Skarżącą stosunku pracy w trybie art. 52 § 1 pkt. 2 K.p., tj. przez dniem 20 lipca 2001 r. Skarżąca, z tytułu odpowiedzialności materialnej za powierzone mienie, zobowiązała się do zwrotu pracodawcy przywłaszczonej kwoty. Przetwarzanie przez Spółkę danych Skarżącą, w celu realizacji ww. zobowiązania, należy zatem uznać za dokonywane w oparciu o przepisy prawa pracy, a tym samym za spełniające przesłankę określoną w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. W konsekwencji, za bezzasadny należy uznać zarzut Skarżącej w przedmiocie przetwarzania jej danych przez Towarzystwo z naruszeniem ustawy. W ocenie Generalnego Inspektora Ochrony Danych Osobowych w przedmiotowej sprawie nie doszło również do udostępnienia przez Spółkę danych Skarżącej osobom nieupoważnionym. W szczególności, wbrew twierdzeniom Skarżącej, za podmiot nieupoważniony do przetwarzania danych będących przedmiotem sporu nie może być uznana Agencja Ochrony. Administrator danych, a więc podmiot decydujący o celach i środkach przetwarzania danych może bądź sam przetwarzać dane, bądź powierzyć proces ich przetwarzania innemu podmiotowi (np. zleceniobiorcy). Zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Ustawodawca pozostawił swobodzie woli stron, jaka ma być to umowa i w jaki sposób ma być sformułowana jej treść; musi ona jednakże oznaczać zakres (rodzaj operacji) i cel przetwarzania danych osobowych (J. Barta R. Markiewicz, Ochrona danych osobowych. Komentarz, Zakamycze 2001, s.464). Podmiot, któremu dane powierzono może bowiem przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ust. 2 ustawy). Za niedopuszczalne w świetle prawa należy zatem uznać wszelkie działania podmiotu z art. 31 na danych powierzonych mu do przetwarzania, które mogłyby wykraczać poza cel i zakres przetwarzania wskazany w umowie zawartej z administratorem danych.

Zawarcie umowy powierzenia przetwarzania danych, zgodnie z wymogami ustawy o ochronie danych osobowych, legalizuje proces przetwarzania danych przez podmiot, będący stroną (zleceniobiorcą) niniejszej umowy. Treść i forma załączonej do przedmiotowej sprawy umowy zlecenia wykonania ochrony transportu wartości pieniężnych zawartej pomiędzy Towarzystwem, a Agencją Ochrony wskazuje, iż Spółka powierzyła do przetwarzania Agencji dane osobowe Skarżącej, zgodnie z dyspozycją ww. art. 31 ustawy o ochronie danych osobowych. Należy przy tym podkreślić, iż ze złożonych w sprawie wyjaśnień i przedstawionej dokumentacji nie wynika, aby Agencja, przetwarzała dane Skarżącej niezgodnie z celem i zakresem wskazanym pierwotnie przez administratora danych w umowie powierzenia. Dane osobowe Skarżącej zostały przetworzone przez Agencję wyłącznie w celu dotarcia do jej miejsca zamieszkania, a następnie ochrony przewożonych przez Skarżącą do siedziby administratora danych kwot pieniężnych. Jak podkreślono w udzielanych wyjaśnieniach, po zrealizowaniu powyższego zadania proces przetwarzania danych Skarżącej przez Agencję został definitywnie zakończony. Zgodnie z art. 18 ust. 1 ustawy o ochronie danych osobowych w razie naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a w szczególności zastosowanie dyspozycji określonych w pkt 1-6 cytowanego przepisu.

Warunkiem koniecznym wydania decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z ustawą o ochronie danych osobowych jest więc ustalenie realnych uchybień w procesie przetwarzania danych przez ich administratora. W kontekście rozpatrywanego stanu faktycznego i prawnego uznać należy, iż administrator danych Towarzystwo Ubezpieczeń przetwarzała dane osobowe Skarżącej z uwzględnieniem przepisów o ochronie danych osobowych. Wobec udostępnienia danych Skarżącej podmiotowi uprawnionemu do ich przetwarzania żądanie Skarżącej w przedmiocie wydania decyzji nakazującej Spółce usunięcie uchybień w procesie przetwarzania jej danych należy uznać za bezpodstawne. W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.