>Decyzje Giodo>2005 >

Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 4 lipca 2005 r. dotycząca przetwarzania danych osobowych Skarżącej przez Spółdzielnię mieszkaniową, poprzez przesyłanie na jej adres stałego zameldowania korespondencji pomimo wskazania do tego celu innego adresu, a tym samym udostępnianie jej danych osobom do tego nieuprawnionym.  

Warszawa, dnia 4 lipca 2005 r.

DECYZJA

Na podstawie art. 104 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98 poz. 1071 z późn. zm.) i art. 12 pkt 2, w zw. z art. 23 ust. 1 pkt 2 i 3 oraz art. 26 ust. 1 i art. 36 ust. 1, oraz art. 22  ustawy z dnia 29 sierpnia 1997 r. ustawy o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), po przeprowadzeniu postępowania administracyjnego dotyczącego przetwarzania danych osobowych Pani A przez Warszawską Spółdzielnię Mieszkaniową,

odmawiam uwzględnienia wniosku.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani A, zwanej dalej również Skarżącą, w której zarzuca ona Warszawskiej Spółdzielni Mieszkaniowej (zwanej dalej WSM) „wykorzystywanie wobec mojego wyraźnego sprzeciwu, moich danych z adresem miejsca zamieszkania do korespondencji”. W szczególności, Skarżąca poinformowała, iż korespondencja WSM kierowana była nie na adres wskazany przez nią do korespondencji lecz na adres jej stałego zamieszkania. Ponadto, Skarżąca wskazała, iż na terenie WSM dane osobowe są przechowywane w sposób niewłaściwy, a także iż jej dane osobowe zostały udostępnione bez jej zgody osobom trzecim. Jednocześnie, Skarżąca wniosła o skierowanie zawiadomienia o popełnieniu przestępstwa i podkreśliła, iż jej skarga stanowi zawiadomienie o popełnieniu przestępstwa.
W celu ustalenia okoliczności przedmiotowej sprawy Generalny Inspektor Ochrony Danych Osobowych zwrócił się o wyjaśnienia do WSM. WSM wskazała, iż przetwarza dane osobowe Skarżącej jako dane członka WSM posiadającego spółdzielcze lokatorskie prawo do lokalu (umowa zawarta w dniu 25 października 2001 r.). Dane osobowe Skarżącej zostały udostępnione wyłącznie firmie dokonującej rozliczeń z tytułu opłat za centralne ogrzewanie, z którą WSM ma zawartą stosowną umowę (kopia umowy w aktach sprawy). Zgodnie z dyspozycją Skarżącej korespondencja kierowana była na adres podany do korespondencji. W szczególności, WSM wskazała, iż korespondencja w sprawie montażu podzielników kosztów centralnego ogrzewania i wodomierzy kierowana do Skarżącej na adres wskazany do korespondencji wielokrotnie powracała do WSM z adnotacją „zwrot nie podjęto w terminie”. Z uwagi na istotne informacje dotyczące rozliczeń lokalu mieszkalnego kolejne pismo zostało skierowane na adres zameldowania Skarżącej. Jedno z pism dotyczących kwestii rozliczeń, wysłane na adres zameldowania, powróciło z adnotacją „zwrot do nadawcy odmowa przyjęcia inny adres do korespondencji”.
WSM przedstawił również Generalnemu Inspektorowi Statut Spółdzielni z maja 2003 r., w myśl którego uchwały organów Spółdzielni doręcza się członkom i osobom zainteresowanym pisemnie listami poleconymi lub bezpośrednio za pokwitowaniem (zwrotnym poświadczeniem odbioru), spółdzielnia doręcza pisma na adres ostatnio podany przez członka - § 21.
WSM wskazała również, iż „ w sytuacji kiedy: lokal Skarżącej nie jest zamieszkały, wskazany jest adres do korespondencji, korespondencja jest zwracana - nie podjęto w terminie, właściciel lokalu nie kontaktuje się osobiście z WSM, a także nie udziela pełnomocnictwa innej osobie pomimo naszej wyraźnej prośby zawartej w piśmie z dnia 09.04.2003 r. i 14 maja 2003 r., występuje utrudniony kontakt ze Skarżącą”. W związku z powyższym, WSM postanowiła skierować korespondencję na adres zameldowania Skarżącej, gdyż każde nie dotarcie informacji na czas do właściciela lokalu wiąże się z skutkami finansowymi dla niego.
Jednocześnie, WSM podniosła, iż „dane osobowe członków Spółdzielni zamknięte są w szafach zamykanych na klucz w pokoju administratorów. Natomiast dane osobowe przechowywane w formie elektronicznej zabezpieczone są hasłami dostępu tak aby nie były dostępne dla osób do tego nieupoważnionych”. 

   Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:

    Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101 poz. 926 ze zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych osobowych, jak stanowi art. 2 ust. 1 ustawy. Przesłanki przetwarzania danych osobowych zostały enumeratywnie wymienione w art. 23 ust. 1 ustawy. Dopuszczalność przetwarzania danych osobowych jest więc uwarunkowana zaistnieniem co najmniej jednej z przesłanek wymienionych w tym przepisie, które co do zasady są równoprawne. Oprócz i niezależnie od zgody osoby, której dane dotyczą, przetwarzanie danych osobowych jest możliwe m.in., gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3). Zakresem zastosowania art. 23 ust. 1 pkt 2 należy objąć sytuacje, w których źródłem uprawnienia jest wprost przepis prawa, natomiast art. 23 ust. 1 pkt 3 opisuje sytuację, w której jedna ze stron umowy by móc należycie wykonać jej postanowienia musi wykorzystać wszelkie informacje dotyczące drugiej strony umowy.
    W przedstawionym stanie faktycznym ustawą szczególną w stosunku do ustawy o ochronie danych osobowych jest ustawa z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych (Dz.U. z 2003 r. Nr 119, poz.1116 ze zm.), która w art. 4 ust. 1 określa, iż członkowie spółdzielni, którym przysługują spółdzielcze prawa do lokali, są obowiązani uczestniczyć w wydatkach związanych z eksploatacją i utrzymaniem nieruchomości w częściach przypadających na ich lokale, eksploatacją i utrzymaniem nieruchomości stanowiących mienie spółdzielni oraz w zobowiązaniach spółdzielni z innych tytułów przez uiszczanie opłat zgodnie z postanowieniami statutu. Przez umowę o ustanowienie spółdzielczego lokatorskiego prawa do lokalu mieszkalnego spółdzielnia zobowiązuje się oddać członkowi lokal mieszkalny do używania, a członek zobowiązuje się wnieść wkład mieszkaniowy oraz uiszczać opłaty określone w ustawie i w statucie spółdzielni (art. 9 ust. 1 ustawy o spółdzielniach mieszkaniowych).
Mając na uwadze powyższe przepisy prawa, jak również stan faktyczny niniejszej sprawy należy wskazać, iż WSM jako administrator danych Skarżącej, tj. podmiot działający na podstawie ww. ustawy o spółdzielniach mieszkaniowych, a przede wszystkim jako jedna ze stron umowy o przyznanie spółdzielczego lokatorskiego prawa do lokalu, ma obowiązek wykonywania tej umowy z należytą starannością, a więc jako taka jest zobowiązana do informowania właścicieli lokali o wszelkich kwestiach dotyczących ich prawa własności, co określają przepisy ustawy o spółdzielniach mieszkaniowych. Wobec sytuacji, w której jak podkreśla WSM kontakt ze Skarżącą był utrudniony, a treść przesyłanej korespondencji wskazywała, iż jej niedostarczenie w ustalonym terminie może skutkować restrykcjami finansowymi dla Skarżącej, WSM podjęła decyzję o przesłaniu, w tym konkretnym przypadku, korespondencji nie na adres wskazany przez Skarżącą lecz na adres jej zameldowania. Zgodnie bowiem z przepisami ustawy o spółdzielniach mieszkaniowych, Skarżąca, jako osoba posiadająca spółdzielcze lokatorskie prawo do lokalu, zobowiązana jest do partycypowania w kosztach dotyczących lokalu, co oznacza współpracę w tej kwestii ze spółdzielnią mieszkaniową, której jest członkiem tj. WSM. Jak wynika ze zgromadzonego materiału dowodowego, Skarżąca utrudniała ww. spółdzielni wywiązywanie się z obowiązków określonych w ustawie o spółdzielniach mieszkaniowych, tj. m.in. nie udostępniała lokalu w wyznaczanych terminach, nie odbierała terminowej korespondencji oraz nie kontaktowała się osobiście ze spółdzielnią, mimo iż spółdzielnia występowała dwukrotnie o ustanowienie pełnomocnika. Dlatego też, działanie WSM polegające na przesłaniu korespondencji dotyczącej prawa do lokalu na adres inny niż do korespondencji należy uznać na uzasadnione w kontekście realizacji przez ww. podmiot nałożonych na niego mocą przepisów prawa obowiązków oraz wyegzekwowania realizacji od Skarżącej obowiązków, które na niej spoczywają z tytułu członkostwa w spółdzielni.
Stosownie do treści art. 26 ust. 1 ustawy, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Ponadto, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy). W swych wyjaśnieniach WSM podniosła, iż dane osobowe członków spółdzielni są odpowiednio zabezpieczone poprzez zastosowanie środków technicznych, w tym środków elektronicznych. Brak jest również dowodów świadczących o udostępnianiu tych danych osobom nieupoważnionym.
Jednocześnie, odnosząc się do stwierdzenia Skarżącej zawartego we wniosku skierowanym do Generalnego Inspektora Ochrony Danych Osobowych wskazującego, iż „W/w skarga stanowi zawiadomienie o popełnieniu przestępstwa. Ze względu na umyślność i uporczywość postępowania zwracam się o wnioskowanie o słuszną karę dla osób winnych popełnienia przestępstwa w opisanej w tej skardze sprawie.”, zaznaczyć trzeba, iż zgodnie z art. 19 ustawy, w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie. Jednakże, w sytuacji gdy organ ochrony danych osobowych nie stwierdzi naruszenia postanowień ustawy o ochronie danych osobowych, jak to ma miejsce w przedmiotowej sprawie, organ nie ma podstaw do zawiadomienia organów ścigania.
Ponadto, co potwierdził również Naczelny Sąd Administracyjny, Generalny Inspektor Ochrony Danych Osobowych, stosownie do swoich kompetencji określonych w art. 12 ustawy w powiązaniu z normą wyrażoną w art. 18 ustawy, nie jest upoważniony do wydawania w formie decyzji administracyjnej zawiadomienia o popełnieniu przestępstwa. W wyroku z dnia 21 listopada 2002 r. (sygn. akt II S.A. 1682/01) Naczelny Sąd Administracyjny wskazał bowiem, iż „w przypadku, gdy wyniki działania kontrolnego będą wskazywać na to, iż działanie lub zaniechanie kierownika jednostki, jej pracownika lub innej osoby fizycznej będącej administratorem danych  nosi znamiona przestępstwa, GIODO ma obowiązek skierowania zawiadomienia o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw (...) Nie dokonuje tego jednak, jak w przypadku art. 18 w drodze decyzji administracyjnej, lecz w drodze wystąpienia, które stanowi realizację jego kompetencji w tej sprawie. Wskazuje na to zarówno wyraźne określenie formy decyzji w art. 18 ustawy, a brak tego określenia w art. 19, jak i istota znaczenie decyzji administracyjnej. Nakłada ona bowiem na stronę pewne uprawnienie lub obowiązek lub odmawia jego przyznania. Tymczasem wystąpienie do prokuratury z informacją o podejrzeniu przestępstwa, nie ma takiego charakteru. Co do zasady nie nadaje się więc do rozstrzygnięcia w formie decyzji.”
Dodatkowo, należy szczególnie zaznaczyć, iż w kwestii zasadności „sankcji finansowych” stosowanych przez WSM wobec członków spółdzielni, na które wskazuje Skarżąca, może rozstrzygnąć jedynie właściwy miejscowo sąd powszechny. Generalny Inspektor Ochrony Danych Osobowych zgodnie z przyznanymi mu, postanowieniami ustawy o ochronie danych osobowych, kompetencjami nie może rozstrzygać w kwestiach należących do właściwości innych organów, w tym do sądów. Powyższe potwierdził Naczelny Sąd Administracyjny w wyroku z dnia 2 marca 2001 r. (sygn. akt II S.A. 401/00), stwierdzając m.in., iż Generalny Inspektor (...) nie jest organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji czy w inny sposób określony odpowiednimi procedurami”.
    Odnosząc się natomiast do wniosku Skarżącej, z dnia 10 czerwca 2005 r., o „orzeczenie w decyzji kosztów postępowania w tej sprawie w kwocie: 62,60zł, na które składają się dojazdy do GIODO oraz opłata skarbowa” należy stwierdzić, iż w myśl art. 263 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2000 r. Nr 98, poz. 1071 ze zm.), zwanej dalej kpa do kosztów postępowania zalicza się koszty podróży i inne należności świadków i biegłych oraz stron w przypadkach przewidzianych w art. 56, a także koszty spowodowane oględzinami na miejscu, jak również koszty doręczenia stronom pism urzędowych. W toku postępowania prowadzonego przez Generalnego Inspektora organ nie wzywał żadnych świadków, nie powoływał biegłych nie wzywał również Skarżącej, gdyż uznał za wystarczające składane przez strony pisemne wyjaśnienia. Dlatego też podkreślić trzeba, iż w przedstawionym stanie faktycznym Skarżąca nie jest żadnym z podmiotów wymienionych ww. przepisie, a więc bezsprzecznie należy zaznaczyć, iż jedynymi kosztami postępowania prowadzonego przed Generalnym Inspektorem było wniesienie przez Skarżącą opłaty skarbowej w wysokości 5zł. Stosownie do treści art. 264 § 1 kpa, jednocześnie z wydaniem decyzji organ administracji publicznej ustali w drodze postanowienia wysokość kosztów postępowania, osoby zobowiązane do ich poniesienia oraz termin i sposób ich uiszczenia. W literaturze przedmiotu podkreśla się, iż „Z powyższego przepisu wynika, iż w sprawie kosztów postępowania organ administracyjny orzeka odrębnie, nie łącząc tego z załatwieniem sprawy w drodze decyzji administracyjnej, bowiem postanowienie wydane w sprawie kosztów ma samodzielny byt, bo dotyczy kwestii incydentalnej nie związanej z istotą sprawy, lecz z czynnościami postępowania. Trafnie też stwierdza się, że postanowienie to nie ma wpływu na wykonanie decyzji administracyjnej.” (Kodeks postępowania administracyjnego Komentarz, B. Adamiak, J. Borkowski Warszawa 2004 r. str. 860). Ponieważ w świetle przedstawionych przepisów kodeksu postępowania administracyjnego za koszty postępowania administracyjnego nie można uznać kosztów dojazdów do Biura Generalnego Inspektora Ochrony Danych Osobowych poniesionych przez Skarżącą, a jedynie opłatę skarbową wniesioną przez Skarżącą, o której zwolnienie Skarżąca nie wnosiła, w związku z powyższym nie istnieje podstawa prawna do wydania postanowienia o zwrocie kosztów w przedmiotowej sprawie.
Konkludując, należy stwierdzić, iż nie ma podstaw do postawienia WSM zarzutu braku dołożenia należytej staranności w procesie przetwarzania danych osobowych Skarżącej.

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.