>Decyzje Giodo>2006 >

Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 28 lutego 2006 r. odmawiająca uwzględnienia wniosku Skarżącego w sprawie niewłaściwego zabezpieczenia przez przedsiębiorstwo wykorzystywanych przez nie danych osobowych. 

Warszawa, dnia 28 lutego 2006 r.

DECYZJA

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 22, art. 12 pkt 2 i art. 18 ust. 1 a contrario w zw. z art. 36 i art. 26 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana A, dotyczącej nieprawidłowego zabezpieczenia przez Przedsiębiorstwo B, przetwarzanych przez ten podmiot danych osobowych Pana A,

odmawiam uwzględnienia wniosku.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana A, zwanego dalej również Skarżącym, w sprawie dotyczącej nieprawidłowego zabezpieczenia jego danych osobowych, a w konsekwencji naruszenia przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również ustawą, przez byłego pracodawcę Skarżącego – tj. Przedsiębiorstwo B, zwane dalej również Spółką, w procesie przetwarzania przez ten podmiot danych osobowych Skarżącego.
Pan A poinformował, iż we wrześniu 2002 r. otrzymał od Spółki – jako swego ówczesnego pracodawcy - dokument określający nowy zakres jego obowiązków na stanowisku mistrza zmianowego. Trzy spośród czterech egzemplarzy ww. dokumentu Skarżący pozostawił w miejscu swojej pracy „(...) w szufladzie biurka nie mającego żadnych zamknięć uniemożliwiających dostęp osób trzecich (...)”. Następnie Pan A „(...) nie czytając podpisał trzy egzemplarze jego zakresów czynności, pozostające przez okres około trzech tygodni w niezamykanym biurku i dnia 11.10.2002 r. (...) zwrócił je pracodawcy (...) z potwierdzeniem na czwartym egzemplarzu, pozostającym dla skarżącego, daty zwrotu i parafy osoby przyjmującej (...) Po pewnym czasie pracodawca złożył skarżącemu pisemne oświadczenie o rozwiązaniu umowy o pracę bez wypowiedzenia z dniem 31.10.2002 r. podając jako przyczynę: samowolną podstępną zmianę treści dokumentu ‘zakres obowiązków’ i zwrócenie tak przerobionego (sfałszowanego) jako autentycznego (...)”. Pan A nie tylko zaprzeczył jakoby dopuścił się sfałszowania ww. dokumentu, lecz dodatkowo wskazał, iż fakt zmiany jego treści dowodzi nienależytego zabezpieczenia przez byłego pracodawcę (Spółkę) danych osobowych Skarżącego w nim utrwalonych. Jak podniósł Skarżący: „(...) Wobec pozostawania trzech egzemplarzy w niezamykanym biurku pozostającym w zarządzie administratora danych, zmiana treści {zakresu obowiązków} dokonana była przez inną/e/ osobę/y/ która/e/ miała/y/ w tym interes. Za powyższe zdarzenie odpowiedzialność ponosi administrator danych osobowych tj. wskazany pracodawca na podstawie art. 36 ust. 1 ustawy o o.d.o. {ustawy o ochronie danych osobowych}, gdyż w sposób nieprawidłowy zabezpieczał (uniemożliwił zabezpieczenie) dokumenty skarżącego, które podlegały zwrotowi do akt osobowych skarżącego (...)”. Pan A przyznał, że okoliczności wskazanej sprawy były przedmiotem oceny sądu, podkreślił jednak, iż: „(...) Zarzucany (...) skarżącemu fakt zmiany treści zakresu obowiązków w trzech egz. w żaden sposób nie został mu udowodniony a dotychczasowe wyroki w tej sprawie wydawane były na podstawie ustaleń faktycznych ograniczonych do materiału dowodowego administratora (pracodawcy), z pominięciem dowodów powoda, ich wiarygodności i mocy dowodowej (...)”. Pan A nie przedstawił przy tym żadnych dowodów, które dowodziłyby zasadności jego zarzutów pod adresem Spółki.
W piśmie z dnia 16 listopada 2005 r. Pan A wniósł ponadto o: „(...) Zlecenie na podstawie art. 14 pkt 5 ustawy o o.d.o. {ustawy o ochronie danych osobowych} sporządzenia ekspertyzy dokumentów skarżącego zatytułowanych ‘zakres obowiązków’, znajdujących się w aktach sprawy Sądu Rejonowego Wydział IV Pracy w C, które to akta aktualnie dołączone są do akt sprawy w Sądzie Okręgowym Wydział VI Pracy w D (...)”. Jak wynikało z przedstawionej przez Skarżącego argumentacji, przeprowadzenie wnioskowanych dowodów ma służyć wykazaniu, iż sfałszowania „zakresu obowiązków” nie dopuścił się on, lecz inna osoba. To zaś stanowiłoby – w ocenie Skarżącego - dowód nienależytego zabezpieczenia przez pracodawcę (Spółkę) jego danych osobowych utrwalonych we wskazanym dokumencie.
W dniu 20 grudnia 2005 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło pismo Pana A z dnia 15 grudnia 2005 r., stanowiące wniosek o przesłanie akt niniejszej sprawy do Sądu Okręgowego w E, albo do Urzędu Gminy F, celem zapoznania się z nimi i ewentualnego sporządzenia z nich odpisów przez Skarżącego. Pan A wniósł jednocześnie o pominięcie przez Generalnego Inspektora, przy wydawaniu rozstrzygnięcia w przedmiotowej sprawie, dowodów przedstawianych przez stronę przeciwną (tj. Spółkę) „(...) którymi ewentualnie mogą być orzeczenia sądów pracy w procesie o przywrócenie skarżącego do pracy (...)”, w szczególności zaś o cyt.: „(...) pominięcie przy wydawaniu decyzji przez GIODO {Generalnego Inspektora} dowodów z zeznań świadków i oświadczeń strony przeciwnej bez procedury odebrania od nich przyrzeczenia, jeśli takie dowody zostały złożone do akt sprawy (...)”. W treści omawianego pisma Skarżący podniósł ponadto szereg argumentów mających na celu wykazanie, iż rozwiązanie z nim stosunku pracy przez Spółkę nastąpiło z naruszeniem przepisów obowiązującego prawa.
Postanowieniem z dnia 13 stycznia 2006 r. organ do spraw ochrony danych osobowych odmówił uwzględnienia wniosku Skarżącego o przesłanie akt niniejszej sprawy, toczącej się przed Generalnym Inspektorem, do Sądu Okręgowego E albo do Urzędu Gminy F.
W toku przeprowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych postępowania wyjaśniającego w niniejszej sprawie, w piśmie z dnia 25 października 2005 r. Spółka poinformowała w szczególności: „(...) zakres obowiązków na stanowisku mistrza zmianowego Centralnej Ciepłowni w E został Panu A w ilości czterech egzemplarzy przekazany w dniu 11.09.2002 r. za pisemnym pokwitowaniem. W związku z powyższym, od tego momentu dokumenty te były w jego posiadaniu i on ponosił odpowiedzialność za ich zabezpieczenie (...)”. Skarżony podmiot zaznaczył zarazem, że sprawa dotycząca sfałszowania przez Pana A dokumentu wyznaczającego zakres jego czynności na zajmowanym stanowisku pracy „(...) została prawomocnie rozstrzygnięta na niekorzyść Pana A w sprawie z powództwa w/w o przywrócenie do pracy” przez Sąd Pracy w C i Sąd Okręgowy w D.
Jak ustalił Generalny Inspektor, w Spółce opracowano zasady przetwarzania danych osobowych – zarówno w systemie informatycznym, jak i poza nim. Celem zapewnienia należytego wykonania przepisów o ochronie danych osobowych w ramach działalności Spółki, przyjęto w niej „Zarządzenie Nr 19/99 Dyrektora Przedsiębiorstwa Energetyki Cieplnej w sprawie wykonania ustawy o ochronie danych osobowych”. Obowiązujące w Spółce standardy postępowania mają na celu w szczególności należytą ochronę przetwarzanych przez ten podmiot danych osobowych jego pracowników. Skarżony podmiot poinformował również, że dane osobowe swych pracowników udostępnia wyłączne podmiotom uprawnionym do ich otrzymania na podstawie przepisów obowiązującego prawa, a dane Pana A udostępnione zostały wyłącznie sądowi, w związku z prowadzonymi przez ten organ postępowaniami.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:

Na wstępie niniejszych rozważań wskazania wymaga, iż wniosek Pana A o pominięcie przez Generalnego Inspektora - przy rozstrzyganiu przedmiotowej sprawy - dowodów przedstawianych przez stronę przeciwną (Spółkę) jest oczywiście bezzasadny i nie może zostać uwzględniony.
Podkreślić należy, że prowadzone przez Generalnego Inspektora postępowanie wyjaśniające w sprawie poddanej rozpatrzeniu przez ten organ, musi odpowiadać regułom określonym w przepisach obowiązującego prawa. W szczególności, art. 77 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), zwanej dalej również Kpa, zobowiązuje Generalnego Inspektora do wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego. Organ do spraw ochrony danych osobowych czyni to przy wykorzystaniu instrumentów przewidzianych przepisami ustawy o ochronie danych osobowych (art. 14 ustawy). Art. 14 ustawy przewiduje, iż w celu wykonywania swych ustawowych zadań, Generalny Inspektor ma prawo m. in. żądać złożenia pisemnych lub ustnych wyjaśnień, a także wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz do sporządzania ich kopii (pkt 2 i 3). W tym miejscu nadmienić należy, że ustawa o ochronie danych osobowych nie przewiduje, aby odebranie przez organ do spraw ochrony danych osobowych pisemnych lub ustnych wyjaśnień od strony postępowania wymagało uprzedniego złożenia przez nią jakiegokolwiek „przyrzeczenia”, o którym mowa w piśmie Pana A z dnia 15 grudnia 2005 r. Korzystając z opisanych uprawnień, w ramach postępowania zainicjowanego skargą Pana A, Generalny Inspektor umożliwił Spółce wypowiedzenie się co do zarzutów sformułowanych pod jej adresem przez Skarżącego. Zaniechanie powyższego, jak również – w sytuacji, gdy Spółka złożyła pisemne wyjaśnienia oraz przesłała kopie określonych dokumentów – nieuwzględnienie ich przy rozpatrywaniu niniejszej sprawy, stanowiłoby naruszenie art. 77 § 1 Kpa, a tym samym naruszenie wyrażonej w art. 7 Kpa zasady prawdy obiektywnej. Uniemożliwienie Spółce ustosunkowania się do zarzutów Pana A i złożenia dowodów na poparcie jej twierdzeń, bądź ich pominięcie przy dokonywaniu oceny okoliczności przedmiotowej sprawy, mogłoby ponadto narazić organ na zarzut przekroczenia granic swobodnej oceny dowodów (art. 80 Kpa).
Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Powołany akt prawny nakłada na administratorów danych szereg obowiązków, w tym ujęte w rozdziale 5 ustawy, obowiązki w zakresie należytego zabezpieczenia danych osobowych. Pan A zarzucił Spółce – jako swemu byłemu pracodawcy – naruszenie art. 36 ust. 1 ustawy w procesie przetwarzania przez ten podmiot jego danych osobowych. Stosownie do brzmienia wskazanego przepisu, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W konsekwencji, w ocenie Pana A, działanie Spółki należy uznać za uchybiające także art. 26 ust. 1 pkt 1 ustawy, w myśl którego, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem.
Odnosząc się do powyższych zarzutów Pana A podkreślić należy, iż niewątpliwym jest, że dokument określający zakres obowiązków Skarżącego na stanowisku mistrza zmianowego (w określonej ilości egzemplarzy) został powierzony przez Spółkę właśnie Skarżącemu, za pisemnym pokwitowaniem i pozostawał przez pewien czas w jego dyspozycji (kopia pisma z dnia 11 września 2002 r.; Zastępcy Kierownika Zakładu, którym powierzono Skarżącemu, za pisemnym pokwitowaniem, nowy zakres jego obowiązków w 4 egzemplarzach, ze wskazaniem 14-dniowego terminu zwrotu trzech podpisanych egzemplarzy przedmiotowego dokumentu, w aktach sprawy). Nie można zatem uznać za zasadne zarzutów Pana A pod adresem Spółki, dotyczących rzekomo niewłaściwego zabezpieczenia w tym okresie danych osobowych Skarżącego utrwalonych w ww. dokumencie, skoro w tym czasie sam Skarżący był jego dysponentem. Wyłącznie bowiem od Pana A, jako dysponenta „zakresu obowiązków” (w określonym czasie) wymagać można sprawowania stosownej pieczy nad tym dokumentem oraz dbałości o nieujawnienie informacji w nim zawartych osobom postronnym tym bardziej, że dochowanie należytej staranności w tym zakresie służyło ochronie jego interesów – jako osoby, której przedmiotowy dokument dotyczy. Brak jest zatem podstaw, by czynić pracodawcę odpowiedzialnym za ochronę danych osobowych Skarżącego utrwalonych w omawianym dokumencie, powierzonym jego pieczy w okresie, gdy wyłącznym jego dysponentem był sam Skarżący.
Jednocześnie w przedmiotowej sprawie brak jest jakichkolwiek dowodów, które potwierdzałyby, że dostęp do danych osobowych Skarżącego, zawartych w dokumencie określającym zakres obowiązków na stanowisku mistrza zmianowego, uzyskały osoby do tego nieupoważnione. W toku postępowania sądowego z powództwa Pana A o przywrócenie go do pracy w Spółce, nie dowiódł, iż on sam nie dokonał zmiany ww. dokumentu. Z tego też względu, w piśmie z dnia 16 listopada 2005 r. Skarżący zwrócił się do Generalnego Inspektora z wnioskiem o: „(...) Zlecenie na podstawie art. 14 pkt 5 ustawy o o.d.o. {ustawy o ochronie danych osobowych} sporządzenia ekspertyzy dokumentów skarżącego zatytułowanych ‘zakres obowiązków’, znajdujących się w aktach Sądu Rejonowego Wydział IV Pracy w C, które to akta aktualnie dołączone są do akt sprawy w Sądzie Okręgowym Wydział VI Pracy D (...)”. Przeprowadzenie tego dowodu miało służyć wykazaniu, że Pan A nie dopuścił się sfałszowania dokumentu wyznaczającego zakres jego obowiązków, lecz uczyniła to inna osoba.
Wobec powyższego podkreślić należy, iż wskazany wniosek Skarżącego nie mógł zostać uwzględniony. Przeprowadzenie przez Generalnego Inspektora dowodu na okoliczność stwierdzoną uprzednio przez sąd powszechny stanowiłoby bowiem nieuprawnioną ingerencję organu do spraw ochrony danych osobowych w działania sądu. Tymczasem, przepisy ustawy o ochronie danych osobowych, określające kompetencje Generalnego Inspektora nie upoważniają wskazanego organu do ingerowania w tok postępowania, prowadzonego przez organy wymiaru sprawiedliwości. Stanowisko takie zajął również Naczelny Sąd Administracyjny, który w uzasadnieniu wyroku z dnia 2 marca 2001 r. (sygn. akt II SA 401/2000) stwierdził, że „Generalny Inspektor (...) nie jest organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji, czy w inny sposób określony odpowiednimi procedurami”. Sposób działania Sądu, w tym kwestia prawidłowości prowadzonego przez Sąd postępowania dowodowego podlegają kontroli wyłącznie ze strony organu wyższej instancji – w trybie i na zasadach określonych przepisami ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz. U. Nr 98, poz. 1070 z późn. zm.) oraz ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. Nr 43, poz. 296 z późn. zm.). Zasadne wydaje się również powołanie wyroku Trybunału Konstytucyjnego z dnia 18 lutego 2004 r. (sygn. K 12/2003), w uzasadnieniu którego wskazany organ, powołując się na swoje wcześniejsze orzeczenie (z dnia 9 listopada 1993 r.; sygn. K 11/93) stwierdził, że „(...) funkcjonowanie sądów w zakresie kompetencji jurysdykcyjnych, nie może podlegać jakiejkolwiek ingerencji ze strony organów administracyjnych (...)”.
Reasumując, w ocenie Generalnego Inspektora Ochrony Danych Osobowych w przedmiotowej sprawie brak jest postaw do postawienia Spółce – jako administratorowi danych osobowych Skarżącego – zarzutu przetwarzania tych danych z naruszeniem przepisów obowiązującego prawa.
Na marginesie, wobec argumentów przedstawionych przez Pana A w jego piśmie z dnia 15 grudnia 2005 r., a dotyczących niezgodnego z prawem (w ocenie Skarżącego) rozwiązania z nim stosunku pracy przez Spółkę zaznaczyć należy, że rozstrzyganie powyższych kwestii nie mieści się w kognicji organu do spraw ochrony danych osobowych, lecz należy do wyłącznej właściwości sądów powszechnych (sądów pracy).

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.


Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art. 129 § 2 w zw. z art. 127 § 3 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.