>Decyzje Giodo>2006 >

Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 12 lipca 2006 r. dotycząca ujawnienia danych osobowych na stronie internetowej

Warszawa, dnia 12 lipca 2006 r

DECYZJA

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 2 ust 1, art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 w związku z art. 23 ust. 1 pkt 5 oraz art. 26 ust. 1 pkt 3 i art. 27 ust. 1, ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana AB, zam. (...), dotyczącej ujawnienia przez Pana MN prowadzącego działalność gospodarczą pod nazwą AMN, z siedzibą (...) jego danych osobowych oraz informacji o W Sp. z o.o. na stronie internetowej www.xxx.pl,

1) nakazuję Panu MN prowadzącemu działalność gospodarczą pod nazwą AMN, z siedzibą (...) usunięcie ze strony internetowej www.xxx.pl danych osobowych Pana AB zam. (...)  w zakresie wykonywanego zawodu (informatyk) i informacji o niekaralności,
2) w pozostałym zakresie odmawiam uwzględnienia wniosku.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek Pana AB, zam. (...), zwanego dalej także Skarżącym, dotyczący przetwarzania jego danych osobowych przez Pana MN prowadzącego działalność gospodarczą pod nazwą AMN, z siedzibą (...), w sposób niezgodny z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej także ustawą. Skarżący wskazał, iż jego dane osobowe oraz informacje o W Sp. z o.o. której jest większościowym udziałowcem i prezesem zarządu zostały ujawnione przez Pana MN – prowadzącego działalność gospodarczą pod nazwą AMN, na stronie internetowej www.xxx.pl. Skarżący wniósł o przywrócenie stanu zgodnego z prawem poprzez nakazanie Panu MN usunięcia ujawnionych dokumentów ze strony internetowej oraz nakazanie nieudostępniania ich w przyszłości, a także o skierowanie do organów ścigania zawiadomienia o popełnieniu przestępstwa określonego w art. 51 ust 1 ustawy.

W toku postępowania administracyjnego Generalny Inspektor Ochrony Danych Osobowych ustalił, co następuje:
1.    W dniu 31 marca 2003 r. pomiędzy firmą W Sp. z o.o. (reprezentowaną przez prezesa zarządu Pana AB) i AMN została podpisana umowa współpracy.
2.    Po rozwiązaniu ww. umowy współpracy powstał spór pomiędzy firmami, zakończony przegraną przez W Sp. z o. o. sprawą, która toczyła się przed Sądem Rejonowym dla Wrocławia - Fabrycznej, IV Wydział Gospodarczy. Sprawa dotyczyła zaległych płatności z tytułu dzierżawienia sieci A przez W Sp.z o.o.
3.    Pomimo przegrania sprawy W Sp. z o.o. pozywa swoich byłych abonentów do uiszczenia zaległych opłat abonamentowych, natomiast abonenci zwracają się do firmy A„o udostępnienie [do celów procesowych] dokumentów potwierdzających niesłuszne roszczenia W Sp. z o.o.”.
4.    Ze względu na różne miejsca zamieszkania byłych abonentów, dane dotyczące postępowania – w tym : m. in. sprzeciw pozwanego – W Sp. z o.o. od nakazu zapłaty, pismo procesowe pozwanego, protokół z rozprawy oraz pismo A do abonentów, zostały udostępnione przez Pana MN „do celów procesowych” na stronie internetowej www.xxx.pl.
5.    Ww. protokół z rozprawy zawiera dane osobowe Skarżącego w zakresie: imię, nazwisko, wiek, zawód, informacja o niekaralności, natomiast sprzeciw pozwanego od nakazu zapłaty zawiera też jego adres zamieszkania, który jest jednocześnie adresem siedziby Spółki .
Po zapoznaniu się z całością materiału zgromadzonego w sprawie Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), zwana dalej ustawą. określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przetwarzanie danych osobowych może być uznane za zgodne z prawem jedynie wówczas, gdy administrator danych wykaże spełnienie co najmniej jednej z materialnych przesłanek ich przetwarzania. Przesłanki te - co do zasady równoprawne, zostały enumeratywnie wymienione w art. 23 ust. 1 ustawy. Na mocy tego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
W przedstawionym stanie faktycznym należy stwierdzić, że udostępnienie danych osobowych Pana AB  jako prezesa zarządu W Sp. z o.o. przez Pana MN – prowadzącego działalność gospodarczą pod nazwą Firma AMN, na stronie internetowej www.xxx.pl, znajduje uzasadnienie w art. 23 ust 1 pkt 5 ustawy. Dane te (zawarte w protokole z przegranej przez W rozprawy), zostały bowiem ujawnione w prawnie usprawiedliwionym celu, a ich przetwarzanie w sposób opisany w skardze nie naruszyło praw i wolności Skarżącego. Pan AB jest bowiem osobą reprezentującą Spółkę i jego dane jako dane prezesa zarządu są jawne i w zakresie : imię, nazwisko, wiek i sprawowana funkcja są dostępne w Krajowym Rejestrze Sądowym. Jak wynika z art. 8 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. 2001 Nr 17 poz. 209 z późn. zm.) - Rejestr jest jawny (art. 8 ust. 1), każdy ma prawo dostępu do danych zawartych w Rejestrze za pośrednictwem Centralnej Informacji (art. 8 ust. 2), każdy ma prawo otrzymać poświadczone odpisy, wyciągi i zaświadczenia o danych zawartych w Rejestrze (art. 8 ust. 3).
Z kolei § 52  Rozporządzenia Ministra Sprawiedliwości z dnia 21 grudnia 2000 r. w sprawie szczegółowego sposobu prowadzenia rejestrów wchodzących w skład Krajowego Rejestru Sądowego oraz szczegółowej treści wpisów w tych rejestrach (Dz. U. 200 Nr 117 poz. 1237 z późn. zm.), reguluje zakres ujawnianych w rejestrze danych, stanowiąc że w dziale drugim rejestru przedsiębiorców dla spółki z o.o. i spółki akcyjnej wpisuje się: 1) organ uprawniony do reprezentacji podmiotu: dane osób wchodzących w skład organu uprawnionego do reprezentowania spółki: w tym nazwisko, nazwę lub firmę, imiona, numer PESEL lub numer REGON, numer KRS, funkcję w organie reprezentującym, informację, czy osoba wchodząca w skład zarządu została zawieszona w czynnościach, datę, do jakiej została zawieszona.
W związku ze sporem pomiędzy ww. firmami, abonenci pozywani przez W zwracali się do firmy AMN z wnioskiem o udostępnienie dokumentów „potwierdzających niesłuszne roszczenia W”, składając jednocześnie oświadczenie, że dokumenty te wykorzystają „wyłącznie do celów procesowych związanych z pozwem”. Ze względu na różne miejsca zamieszkania abonentów materiały zamieszczone zostały na serwerach firmy AMN, a według wyjaśnień Pan MN dostęp do strony internetowej zawierającej przedmiotowe dane jest zabezpieczony hasłem i stanowi użytek jedynie dla osób pozwanych.
Wskazać jednakże należy, że o ile udostępnienie danych w ww. zakresie nie narusza praw i wolności Skarżącego, to nie zachodzi żadna z przesłanek uzasadniających przetwarzanie jego danych w szerszym zakresie tj. zawód (informatyk), a w szczególności informacji o niekaralności, które należą do kategorii danych szczególnie chronionych. Dane te zawarte w protokole z rozprawy i ujawnione poprzez udostępnienie tego dokumentu na ww. stronie internetowej, Pan MN pozyskał  jako strona rozprawy toczącej się przed Sądem Rejonowym dla Wrocławia - Fabrycznej, IV Wydział Gospodarczy i nie miał podstaw legalizujących ich udostępnienie w sposób opisany w skardze.
Na mocy art. 26 ust. 1 ustawy administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane (pkt 3).  Z kolei art. 27 ust 1 ustawy wskazuje, że zabrania się przetwarzania min. danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. W ust. 2 omówione są przesłanki dopuszczalności przetwarzania danych, o których mowa w ust. 1, jednakże żadna z nich nie daje podstaw do opisanego w skardze ujawnienia informacji o niekaralności Skarżącego. W szczególności nie zachodzi przesłanka z art. 27 ust 2 pkt 5 ustawy, na którą Pan MN powołuje się w swoich wyjaśnieniach, zgodnie z którą dopuszcza się przetwarzanie danych, o których mowa w ust. 1 w sytuacji gdy przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem. Przesłanka ta dotyczy bowiem administratora danych, który dochodzi swoich praw przed sądem, natomiast nie dotyczy osób trzecich – czyli w tym przypadku abonentów, którzy są pozywani przez Spółkę do uiszczenia zaległych opłat abonamentowych i którzy zwracają się do firmy AMN „o udostępnienie [do celów procesowych] dokumentów potwierdzających niesłuszne roszczenia W”. Wiek i informacja o niekaralności Skarżącego nie są więc danymi adekwatnymi w stosunku do celu ich przetwarzania przez administratora danych.
Odnosząc się natomiast do wniosku Skarżącego o skierowanie przez Generalnego Inspektora do organów ścigania zawiadomienia o popełnieniu przestępstwa określonego w art. 51 ustawy wskazać należy, że w świetle przepisów art. 18 ust 1 oraz art. 19 ustawy, zainteresowany może domagać się od Generalnego Inspektora jedynie wydawania decyzji administracyjnej, natomiast w jej treści nie można kierować zawiadomienia o popełnieniu przestępstwa. Skierowanie takiego zawiadomienia do organów ścigania należy do zakresu swobodnego uznania organu administracyjnego. W myśl bowiem art. 18 ustawy, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje jedynie przywrócenie stanu zgodnego z prawem.
Powyższe stanowisko Generalnego Inspektora Ochrony Danych Osobowych potwierdził Naczelny Sąd Administracyjny, który w wyroku z dnia 19 listopada 2001 r. (sygn. akt II SA 2702/00) Naczelny Sąd Administracyjny w Warszawie wskazał, że „osoba dochodząca ochrony swych spraw w trybie ww. ustawy o ochronie danych osobowych nie jest podmiotem postępowania obliczonego na wydanie decyzji o zawiadomieniu stosownego organu o przestępstwie w zakresie przetwarzania danych osobowych i nie może się tego domagać od GIODO w administracyjno-prawnych formach tego postępowania. (...) GIODO może podejmować czynności tylko na zasadzie i w formach przewidzianych ustawą. Sposób załatwienia sprawy co do meritum reguluje w/w art. 18 ustawy, przyznając GIODO uprawnienia w zakresie nakazania administratorowi winnemu  naruszeń przywrócenia stanu zgodnego z prawem”.
W odniesieniu do zarzutu Skarżącego, że na stronie internetowej www.xxx.pl zostały ujawnione również „dane dotyczące W Sp. z o. o.”, wskazać należy, że ustawa o ochronie danych osobowych odnosi się wyłącznie do przetwarzania danych osób fizycznych. Artykuł 2 pkt 1 ustawy stanowi bowiem, że ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych. Generalny Inspektor nie może zatem nakazać usunięcia danych W Sp. z o.o. gdyż nie są danymi osobowymi, ale danymi Spółki.
Niezależnie od powyższego wskazać należy, że okoliczności niniejszej sprawy mogą być rozpatrywane w kontekście naruszenia dóbr osobistych Skarżącego, który może skorzystać z prawa wniesienia stosownego powództwa cywilnego do właściwego sądu powszechnego. Zgodnie bowiem z art. 24 § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.), ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie.

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.


Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 w zw. z art. 127 § 3 ustawy Kodeks postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji.