>Decyzje Giodo>2008 >

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki

Warszawa, dnia 22 stycznia 2008 r.

D E C Y Z J A

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania
administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 2
i art. 22 w związku z art. 31 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania
administracyjnego w sprawie przetwarzania danych osobowych przez X której administratorzy
danych powierzają przetwarzanie danych osobowych na podstawie zawartych umów,

Nakazuję X usunięcie uchybień w procesie przetwarzania danych osobowych poprzez
zaprzestanie udostępniania danych osobowych respondentów otrzymywanych od
administratorów danych, w związku z realizacją badań rynku i opinii publicznej do Y w
terminie od dnia, w którym niniejsza decyzja stanie się ostateczna.

U z a s a d n i e n i e

Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych
przeprowadzili kontrolę w X zwanej dalej Spółką, w celu ustalenia zgodności przetwarzania danych
osobowych
z przepisami o ochronie danych osobowych (sygn. akt GI-DIS-K-411/22/07), tj. ustawą z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.),
zwaną dalej ustawą, oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia
29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). W toku kontroli odebrano
od pracowników Spółki ustne wyjaśnienia, skontrolowano systemy informatyczne oraz dokonano
oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny
został szczegółowo opisany w protokole kontroli, który został podpisany przez osobę upoważnioną.
Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie
przetwarzania danych osobowych Spółka naruszyła przepisy o ochronie danych osobowych.
Uchybienia te polegały na udostępnianiu danych osobowych klientów administratorów danych
niezgodnie z zakresem i celem określonym w umowach powierzenia przetwarzania danych
osobowych zawartych pomiędzy X a tymi administratorami danych (art. 31 ust. 2 ustawy).
W związku z powyższym Generalny Inspektor Ochrony Danych Osobowych wszczął
z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności
sprawy (sygn. pisma GI-DIS-K-411/22/07/791).
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Spółka
pismem z dnia 24 października 2007 r., złożyła wyjaśnienia, w których poinformowała, że
informacje przekazywane przez Spółkę X do Y nie są danymi osobowymi
w rozumieniu ustawy o ochronie danych osobowych. Dane przed ich przekazaniem do Y
poddawane są w Spółce procesowi anonimizacji polegającej na nadaniu kodu
i usunięciu danych zbędnych dla czynności wykonywanych w Y. W efekcie przekazywane są
wyłącznie dane w zakresie: kod respondenta, numer telefonu i imię respondenta.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny
Inspektor Ochrony Danych Osobowych zważył co następuje:
Zgodnie z art. 31 ust. 2 ustawy, podmiot, o którym mowa w ust. 1, może przetwarzać dane
wyłącznie w zakresie i celu przewidzianym w umowie.
W toku kontroli przeprowadzonej w X (sygn. GI-DIS-K-411/22/07) ustalono, iż Spółka
przetwarza dane osobowe klientów administratorów danych na podstawie umów powierzenia
przetwarzania danych osobowych w celu przeprowadzania badań rynku i opinii publicznej. W celu
realizacji ww. badań Spółka współpracuje z Y
na podstawie umowy z dnia 1 sierpnia 2004 r.
o współpracy, której udostępnia dane osobowe przekazane przez administratorów danych.
Mając powyższe na uwadze wskazać należy, iż podmiot, któremu administrator danych
powierzył przetwarzanie danych osobowych, winien przetwarzać je zgodnie z zakresem i celem
określonym w umowie powierzenia przetwarzania danych. Umocowanie do udostępniania danych
przez podmiot, któremu powierzono ich przetwarzanie musi wprost wynikać z umowy
o powierzeniu przetwarzania danych. W sytuacji braku takiego upoważnienia jedynie administrator
danych mógłby udostępnić kolejnemu podmiotowi przetwarzanie danych osobowych już raz
powierzonych. Czynności takiej mógłby dokonać wyłącznie w drodze umowy, o jakiej mowa w art.
31 ustawy.
Z analizy umów powierzenia przetwarzania danych osobowych zawartych pomiędzy X a
administratorami danych (np. Towarzystwo Ubezpieczeń., Bank) nie wynika, aby X posiadała
umocowanie do udostępniania danych osobowych powierzonych przez administratorów danych
innym podmiotom. Wyjaśnienia złożone przez administratorów danych w toku postępowania
administracyjnego potwierdziły, iż umowy powierzenia danych osobowych zawarte ze Spółką nie
przewidywały możliwości udostępniania powierzonych Spółce danych osobowych jakimkolwiek
podmiotom trzecim.
Wobec powyższego uznać należy, iż współpraca pomiędzy X.
a Y w zakresie udostępniania danych osobowych klientów administratorów danych jest niezgodna z
zakresem i celem określonym w umowach powierzenia danych osobowych zawartych pomiędzy X
a administratorami danych, bowiem z ww. umów nie wynika, aby X posiadała umocowanie do
udostępniania danych klientów administratorów danych innym podmiotom, w tym do Y.
Ponadto zaznaczyć należy, iż zgodnie z art. 6 ustawy, za dane osobowe uważa się wszelkie
informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą
możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub
pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka
specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne,
kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby,
jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
W toku kontroli ustalono, iż dane respondentów przekazywane są do Spółki, przez klienta
(administratora danych) zamawiającego badanie, na zabezpieczonych hasłem płytach CD lub emailem,
w zaszyfrowanej formie. Ustalono, iż zakres przekazywanych danych obejmuje dane
teleadresowe, tj. imię, nazwisko, adres, nr telefonu, zajmowane stanowisko, informacje dotyczące
usług z jakich dany respondent korzysta. Następnie dane przekazywane są do Y gdzie realizowane
jest zamówione badanie. Po zakończeniu badania płyty CD oddawane są klientowi lub niszczone
fizycznie zgodnie z procedurą dostarczoną przez administratora danych. Dane dostarczone emailem,
po odszyfrowaniu przekazywane są do osoby prowadzącej badanie
w Y. Po zakończeniu badania dane te są anonimizowane.
W piśmie z dnia 24 października 2007 r. stanowiącym odpowiedź na zawiadomienie
o wszczęciu postępowania Spółka zmieniła swoje wyjaśnienia co do zakresu danych
przekazywanych do Y. Wskazała, iż do Y przekazuje wyłącznie dane w zakresie: kod respondenta,
numer telefonu i imię respondenta. Zdaniem Spółki ww. informacje nie są danymi osobowymi w
rozumieniu ustawy o ochronie danych osobowych.
Wobec powyższych ustaleń i wyjaśnień Spółki uznać należy, iż do Y są udostępniane dane
osobowe respondentów przekazane przez administratorów danych. Wskazać należy, iż informacje
w zakresie: kod respondenta, numer telefonu i imię respondenta stanowią dane osobowe w
rozumieniu ustawy o ochronie danych osobowych. Wprawdzie ww. informacje rzeczywiście nie
określają bezpośrednio tożsamości osoby, jednakże dają możliwość określenia tożsamości tych
osób np. poprzez bezpośredni kontakt z respondentem. Z powyższego wynika więc jednoznacznie,
że wskazane wyżej dane dotyczące respondentów stanowią informacje dotyczące możliwej do
zidentyfikowania osoby fizycznej, a samo ustalenie tożsamości nie wymaga nadmiernych kosztów,
czasu lub działań. Wobec tego, stosownie do treści cytowanego wyżej art. 6 ustawy, stanowią one
dane osobowe.
Jednocześnie podkreślić należy, iż katalog informacji, które stanowią dane osobowe, jest
otwarty. Zwrot „wszelkie informacje”, wskazuje, że „w grę wchodzą informacje odnoszące się do
każdego aspektu osoby, jej stosunków osobistych i rzeczowych, jej życia zawodowego,
prywatnego, wykształcenia, wiedzy czy cech charakteru” (J. Barta, P. Fajgielski, R. Markiewicz
„Ochrona danych osobowych. Komentarz”, Wydanie 4, Kraków 2007, str. 346). W świetle
powyższego uznać należy za dane osobowe także informacje, o których wyżej mowa.
Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak
w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy oraz art. 129 § 2 Kodeksu
postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do
Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa)
z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej
decyzji.