DOLiS/DEC- 466/08 dot. DOLiS-440-225/07
2009-04-26
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki
Warszawa, dnia 8 sierpnia 2008 r.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego
(Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 2 w związku z art. 23 ust. 1 pkt 5
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.),
po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Agencji Restrukturyzacji i Modernizacji
Rolnictwa o usunięcie naruszenia prawa poprzez nakazanie Bankowi udostępnienia danych X, w zakresie daty
urodzenia (ew. miejsce urodzenia) i imion rodziców (ew. także numeru dowodu osobistego),
nakazuję Bankowi udostępnienie Agencji Restrukturyzacji i Modernizacji danych osobowych X w zakresie
daty urodzenia (ew. miejsce urodzenia) i imion rodziców (ew. także numeru dowodu osobistego), celem
wykorzystania ich dla potrzeb ustalenia aktualnego adresu X, a następnie przekazania tych danych sądowi
oraz wezwania jej przez sąd w charakterze świadka w postępowaniu w sprawie o zapłatę z powództwa
Agencji Restrukturyzacji i Modernizacji Rolnictwa przeciwko Bankowi.
Uzasadnienie
Do Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek Agencji Restrukturyzacji
i Modernizacji Rolnictwa (zwanej dalej Agencją) o usunięcie naruszenia prawa poprzez nakazanie Bankowi
(zwanemu dalej Bankiem) udostępnienia danych X.
W toku postępowania administracyjnego przeprowadzonego w tej sprawie Generalny Inspektor Ochrony
Danych Osobowych ustalił, iż:
1. Toczy się proces cywilny o zapłatę z powództwa Agencji przeciwko Bankowi (o sygn. akt I C 261).
W toku postępowania Sąd Okręgowy zobowiązał Agencję do wskazania aktualnego adresu świadka X
(pracownika lub byłego pracownika Banku), jako że adres uprzednio wskazany okazał się nieaktualny.
Realizując wezwanie sądu Agencja wystąpiła do ewidencji ludności
o wskazanie aktualnego adresu świadka, ale adres nie został wskazany, gdyż osoba ta nie funkcjonuje w
kartotece tego miasta, lecz w rozmowie telefonicznej ustalono, że są potrzebne dodatkowe dane
do dalszych poszukiwań tej osoby, bowiem wg. danych ewidencji osoba ta nie była w ogóle zameldowana,
ani na stałe, ani czasowo pod wskazanym adresem.
2. Agencja, na podstawie art. 29 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(tj. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą, wystąpiła do Banku o udostępnienie
danych w zakresie: daty urodzenia (ew. miejsce urodzenia) i imion rodziców (ew. także numeru dowodu
osobistego) X.
3. Agencja zamierza pozyskać – z wykorzystaniem danych, których udostępnienia żąda od Banku – dane
osobowe o aktualnym adresie zamieszkania X ze zbioru Kartoteka ewidencyjno-adresowa (stałych
mieszkańców, byłych mieszkańców, pobytów czasowych ponad 3 miesiące i do 3 miesięcy),
prowadzonego przez Urząd Miasta, Wydział Spraw Obywatelskich, ewentualnie
z Ministerstwa Spraw Wewnętrznych i Administracji, Departamentu Spraw Obywatelskich, Wydziału
Udostępniania Informacji, ewidencji ludności w formie zbioru PESEL. O potrzebie pozyskania danych
wskazanych w przedmiotowym wniosku, potrzebnych do „identyfikacji meldunkowej” Agencja
dowiedziała się w trakcie rozmowy telefonicznej przeprowadzonej z pracownikiem kartoteki ewidencyjnoadresowej.
4. Bank, udzielając odpowiedzi na wniosek Agencji (pismem z dnia 6 grudnia 2007 r.), poinformował,
że w sprawie nie zachodzą przesłanki, o których mowa w art. 23 ust. 1 ustawy o ochronie danych
osobowych i brak jest podstaw do przekazania Agencji przedmiotowych danych osobowych.
5. Składając wyjaśnienia w tej sprawie Bank wskazał m.in., że Sąd oddalił wniosek Agencji o nałożenia
na Bank obowiązku podania dodatkowych danych osobowych X, oraz że w opinii Banku nie są spełnione
warunki ani z art. 29 ust. 1 ustawy o ochronie danych osobowych, ani z art. 23 ust. 1 ustawy, dlatego też
Bank odmówił Agencji udostępniania żądanych danych.
6. Jak ustalono na podstawie informacji pozyskanych z Sądu Okręgowego, aktualny adres świadka jest w
dalszym ciągu niezbędny do uwzględnienia wniosku Agencji o dopuszczenie dowodu
z zeznań świadka.
W tym stanie faktycznym Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych
osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych
(art. 2 ust. 1 ustawy). W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 ustawy). Jako przetwarzanie
danych rozumie się – zgodnie z definicją wprowadzoną mocą art. 7 pkt 2 ustawy - wykonywanie jakichkolwiek
operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie, a zwłaszcza takich, które wykonuje się w systemach informatycznych.
Agencja, na podstawie art. 29 ust. 2 ustawy o ochronie danych osobowych wystąpiła do Banku
o udostępnienie danych w zakresie: daty urodzenia (ew. miejsce urodzenia) i imion rodziców (ew. także numeru
dowodu osobistego) X, a następnie, nie uzyskawszy danych wniosła do Generalnego Inspektora wniosek o
usunięcie naruszenia prawa poprzez nakazanie Bankowi udostępnienia przedmiotowych danych. Mając na
względzie okoliczność powołania przez Agencję art. 29 ust. 2 ustawy, zacytować należy normy wynikające z tego
przepisu. Stanowi on, że w przypadku udostępniania danych osobowych w celach innych niż włączenie do zbioru,
administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich
otrzymania na mocy przepisów prawa (ust. 1); dane osobowe, z wyłączeniem danych,
o których mowa w art. 27 ust. 1, mogą być także udostępnione w celach innych niż włączenie do zbioru, innym
osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych
danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą (ust. 2); dane osobowe
udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej; wniosek
powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać
ich zakres i przeznaczenie (ust. 3); udostępnione dane osobowe można wykorzystać wyłącznie zgodnie
z przeznaczeniem, dla którego zostały udostępnione (ust. 4).
Art. 29 ustawy o ochronie danych osobowych, w przeciwieństwie do art. 23 ustawy, który dotyczy
wszelkich form przetwarzania danych, odnosi się jedynie do ich udostępniania, a więc dotyczy tylko części sytuacji
objętych hipotezą art. 23 ustawy. Ponadto, art. 29 – o czym stanowi wprost jego treść – dotyczy udostępnianiem
danych dla ich wykorzystania wyłącznie w celach innych niż włączenie do zbioru. Mając na uwadze ww. przepisy
ustawy oraz pozyskany w sprawie materiał dowodowy, w zakresie planowanego przez Agencję przeznaczenia
danych, które chce pozyskać od Banku, stwierdzić należy, że Agencja zamierza przetwarzać dane dla celów
postępowania dowodowego przed sądem powszechnym.
Powyższe nie oznacza jednak, że przedmiotowe dane w ogóle nie mogą być przez Bank udostępnione na
rzecz Agencji, a więc nie ma racji Bank, który przyjął, że w sprawie nie zachodzą przesłanki, o których mowa w art.
23 ust. 1 ustawy o ochronie danych osobowych. Stwierdzić należy, że w spawie tej zastosowanie znajduje przepis
art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, który stanowi, że przetwarzanie danych jest dopuszczalne
m.in. wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez
administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane
dotyczą. Przetwarzanie przedmiotowych danych, a więc także ich udostępnienie przez Bank na rzecz Agencji może
nastąpić, gdyż jak ustalono istnieje po stronie Agencji prawnie usprawiedliwiony cel w postaci zamiaru i potrzeby
pozyskania – z wykorzystaniem danych, których udostępnienia Agencja żąda od Banku – danych osobowych
o aktualnym adresie zamieszkania X. Agencja wskazała, że oraz z jakich zbiorów zamierza pozyskać te dane. Jak
wskazała Agencja, dane będące przedmiotem jej wniosku są niezbędne do „identyfikacji meldunkowej”, o czym
Agencja dowiedziała się w trakcie rozmowy telefonicznej przeprowadzonej z pracownikiem kartoteki ewidencyjnoadresowej.
Po pozyskaniu przez Agencję danych X
z Banku możliwa będzie jej identyfikacja, celem ustalenia jej adresu, a następnie wskazanie problematycznego
adresu Sądowi Okręgowemu, gdyż aktualny adres X, świadka jest w dalszym ciągu niezbędny do uwzględnienia
wniosku Agencji o dopuszczenie dowodu z zeznań świadka. Nie ma jednocześnie podstaw do przyjęcia, że
przedmiotowe udostępnienie danych, o ile będą one wykorzystane jedyne
w celu ustalenia adresu X, naruszy praw i wolności osoby, której dane dotyczą, tj. X. Dla potrzeb rozstrzygnięcia
wydanego w tej sprawie przez Generalnego Inspektora Ochrony Danych Osobowych, sprowadzającego się do
stwierdzenia, iż przedmiotowe udostępnienie może mieć miejsce, jest dopuszczalne na postawie art. 23 ust. 1 pkt 5
ustawy o ochronie danych osobowych, bez znaczenia pozostaje wskazana przez Bank okoliczność, że Sąd oddalił
wniosek Agencji o nałożenia na Bank obowiązku podania dodatkowych danych osobowych X
Zgodnie z art. 44 h ust. 2 z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (Dz. U.
2006 r. Nr 139 poz. 993 z późn. zm.), dane ze zbiorów meldunkowych, zbioru PESEL oraz ewidencji wydanych
i utraconych dowodów osobistych mogą być udostępnione osobom i jednostkom organizacyjnym - jeżeli wykażą
w tym interes prawny (pkt 2), innym osobom i podmiotom - jeżeli uwiarygodnią one interes faktyczny
w otrzymaniu danych i za zgodą osób, których dane dotyczą (pkt 4). Dane ze zbiorów meldunkowych, zbioru
PESEL oraz ewidencji wydanych i utraconych dowodów osobistych udostępnia się, z zastrzeżeniem ust. 5,
na pisemny wniosek zainteresowanego podmiotu; dane udostępnione na podstawie wniosku, o którym mowa w ust.
3, nie mogą być wykorzystane w innym celu niż wskazany w tym wniosku; wniosek składa się na formularzu,
którego wzór określił minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, wzór
formularza wniosku, uwzględniając zakres danych objętych wnioskiem oraz cel udostępniania danych (art. 44 h ust.
3-6 powołanej ustawy). Wzór ww. wniosku nie obliguje do wskazania konkretnych kategorii danych, a jedynie
„informacji o osobie umożliwiających wyszukanie w zbiorze żądanych danych”. Ponadto, zgodnie z art. 44i ust. 1
i ust. 3 ustawy o ewidencji ludności i dowodach osobistych, dane ze zbiorów meldunkowych oraz ewidencji
wydanych i utraconych dowodów osobistych udostępnia organ gminy; dane ze zbioru PESEL oraz ogólnokrajowej
ewidencji wydanych i utraconych dowodów osobistych udostępnia minister właściwy do spraw wewnętrznych
(powołanej ustawy).
Tak więc, biorąc pod uwagę powyżej wskazane przepisy oraz informacje, jakie pozyskała Agencja
od pracownika kartoteki ewidencyjno-adresowej, przyjąć można, że jeśli Bank udostępni Agencji dane osobowe X
w zakresie żądanym przez Agencję, tj. w zakresie daty urodzenia (ew. miejsca urodzenia) i imion rodziców (ew.
także numeru dowodu osobistego), to możliwa będzie identyfikacja tej osoby, celem ustalenia jej adresu w
odpowiednim zbiorze PESEL, a następnie wskazanie problematycznego adresu Sądowi Okręgowemu celem
wykorzystania go dla potrzeb postępowania w sprawie o zapłatę z powództwa Agencji przeciwko Bankowi.
Wydanie przez Generalnego Inspektora Ochrony Danych Osobowych decyzji administracyjnej
nakazującej przywrócenie stanu zgodnego z prawem, a w szczególności udostępnienie danych osobowych, może
nastąpić jedynie w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych w procesie
przetwarzania danych osobowych (art. 18 ust. 1 pkt 2 ustawy o ochronie danych osobowych).
Jak ustalono w toku postępowania zainicjowanego wnioskiem Agencji, Bank niesłusznie odmówił
udostępnienia przedmiotowych danych. Analiza materiału dowodowego sprawy pozawala bowiem na stwierdzenie,
iż wprawdzie udostępnienie to nie mogło nastąpić na podstawie art. 29 ustawy, niemniej jednak nie ma przeszkód,
aby nastąpiło na podstawie art. 23 ust. 1 pkt 5 ustawy. Brak jest podstaw do przyjęcia, aby Agencja nie wykazała, iż
dane są jej niezbędne dla wypełnienia jej prawnie usprawiedliwionego celu, nie istnieje również zagrożenie praw
i wolności osoby, której dane dotyczą, tj. X, poprzez takie wykorzystanie jej danych.
Za prawnie usprawiedliwiony cel przetwarzania danych uznane być może wykorzystanie danych
osobowych dla dochodzenia praw przed sądem. Warto w tym miejscu przywołać wyrok Wojewódzkiego Sądu
Administracyjnego w Warszawie z dnia 21 września 2005 r. (sygn. akt II SA 1445/05), w którym Sąd wskazał
m.in., że „dokonując wykładni przepisów ustawy o ochronie danych osobowych, należałoby również wziąć pod
uwagę cele i podstawowe założenia tej ustawy, określone w jaj art. 1 ust. 2, gdzie wskazano iż > przetwarzanie
danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro
osób trzecich< (…) należy za każdym razem rozważyć dobra, które legły u jej podstaw. Prawo do ochrony danych
osobowych jako jeden z elementów prawa o ochrony własnej prywatności (…) ulega ograniczeniu z uwagi na
interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak
większość praw chronionych konstytucyjnie” (podkreślenie GIODO).
Z tych względów uzasadnione i konieczne jest wydanie przez Generalnego Inspektora Ochrony Danych
Osobowych decyzji nakazującej Bankowi udostępnienie Agencji danych osobowych X
w zakresie daty urodzenia (ew. miejsce urodzenia) i imion rodziców (ew. także numeru dowodu osobistego), celem
wykorzystania ich dla potrzeb ustalenia jej adresu w odpowiednim zbiorze PESEL a następnie postępowania
w sprawie o zapłatę z powództwa Agencji przeciwko Bankowi.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak
w sentencji.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych,
w związku z art. 127 Kodeksu postępowania administracyjnego, stronie niezadowolonej z niniejszej decyzji
przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych
Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych
Osobowych, ul. Stawki 2, 00 – 193 Warszawa).
