GI-DEC-DS-37/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 23 lutego 2005 r. nakazująca Spółdzielni, określenie zakresu danych osobowych użytkowników lokali będących w zasobach Spółdzielni, przekazywanych Spółce zewnętrznej w celu dokonywania rozliczeń kosztów zużycia energii cieplnej, w związku z zawartą pomiędzy Spółdzielnią, a tą Spółką umową o rozliczeniach, stosownie do art. 31 ustawy o ochronie danych osobowych oraz odmawiająca uwzględnienia wniosku w zakresie oceny prawidłowości podejmowania czynności przez spółdzielnię wobec użytkowników lokali.
Warszawa, dnia 23 lutego 2005 r.
D E C Y Z J A
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art.18 ust. 1 pkt 1, art. 22, art. 23 ust. 1 pkt 2 oraz art. 31 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani X, dotyczącej udostępnienia przez Spółdzielnię Mieszkaniową, jej danych osobowych Spółce Pomiarowej z o. o,
1) nakazuję Spółdzielni, określenie zakresu danych osobowych użytkowników lokali będących w zasobach Spółdzielni, przekazywanych Spółce Pomiarowej z o. o, w celu dokonywania rozliczeń kosztów zużycia energii cieplnej, w związku z zawartą pomiędzy Spółdzielnią a Spółkę Pomiarową z o. o umową o rozliczeniach, stosownie do art. 31 ustawy o ochronie danych osobowych,
2) w pozostałym zakresie odmawiam uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani X, zwanej dalej Skarżącą w sprawie udostępnienia przez Spółdzielnię Mieszkaniową, zwaną dalej Spółdzielnią, jej danych Spółce Pomiarowej z o. o zwanej dalej Spółką. Skarżąca wskazała w szczególności, iż Spółdzielnia, bez jej zgody udostępniła Spółce jej dane osobowe. Na dowód powyższego Pani X dołączyła do skargi rozliczenie kosztów centralnego ogrzewania sporządzone przez Spółkę na zlecenie Spółdzielni.
W toku postępowania przeprowadzonego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych ustalił, co następuje:
1. Uchwałą z dnia 17 listopada 1997 r. został zatwierdzony przez Radę Nadzorczą Spółdzielni „Regulamin rozliczeń kosztów centralnego ogrzewania w budynkach z zainstalowanymi podzielnikami kosztów, w Spółdzielni Mieszkaniowej. Stosownie do Rozdz. II pkt 1 lit. a ww. Regulaminu, lokale posiadające instalację centralnego ogrzewania, a nie posiadające zamontowanych zaworów termostatycznych i podzielników kosztów rozliczane są wg m² powierzchni użytkowej, w tym lokale mieszkalne - z zastosowaniem cen ustalonych przez Spółdzielnię na podstawie planowanych kosztów. Stosownie do Rozdz. III pkt 12 Regulaminu, zmiana formy rozliczeń w danym budynku z systemu opłat za m² powierzchni użytkowej na system indywidualny, tj. (z odczytu podzielników kosztów) może nastąpić po wystąpieniu z pisemnymi wnioskami w tej sprawie przez co najmniej 90% użytkowników mieszkań w tym budynku.
2. W dniu 24 listopada 1997 r. została zawarta pomiędzy Spółdzielnią a Spółką umowa o rozliczeniach, na podstawie której Spółdzielnia zleciła Spółce sporządzanie rozliczeń kosztów ogrzewania. Jednocześnie w załączniku nr 3 do ww. umowy ustalono, iż w celu dokonania rozliczeń niezbędne jest dostarczenie przez Spółdzielnię „aktualnej listy lokatorów zamieszkujących objęte rozliczeniami mieszkania i osób wynajmujących lokale użytkowe”.
3. Umowa o rozliczeniach została zawarta na okres 3 lat, jednakże jak wynika z jej postanowień, każdorazowo ulega przedłużeniu o 1 rok, jeżeli nie zostanie wypowiedziana na 6 miesięcy przed upływem terminu, na który została zawarta lub przedłużona.
4. Na podstawie ww. umowy, Spółka przesłała do Skarżącej sporządzone w dniu 31 sierpnia 2004 r. rozliczenie kosztów centralnego ogrzewania dla należącego do niej lokalu.
Wobec powyższych ustaleń faktycznych, pismem z dnia 24 listopada 2004 r. (znak: GI-DS-430/786/04/5582) oraz pismem z dnia 17 grudnia 2004 r. (znak: GI-DS-430/786/04/6146) Generalny Inspektor Ochrony Danych Osobowych poinformował Skarżącą, że brak jest podstaw do stwierdzenia w przedstawionej przez nią sprawie naruszenia przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej także ustawą. W szczególności, Generalny Inspektor wskazał, że dane osobowe Skarżącej zostały udostępnione zgodnie z art. 31 ustawy. Skarżąca nie zgodziła się z powyższym i w piśmie z dnia 3 stycznia 2005 r. wskazała, iż w jej ocenie warunkiem niezbędnym do zamontowania podzielników kosztów, co wiąże się również z koniecznością udostępnienia Spółce danych użytkownika lokalu, jest wniosek członka Spółdzielni o zamontowanie ww. podzielników. Natomiast Skarżąca nie składała takiego wniosku, a zatem jej zdaniem, bezzasadne było działanie Spółdzielni polegające na przekazaniu Spółce jej danych osobowych.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje.
Zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych, przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Przesłanki legalności przetwarzania danych osobowych zostały określone w art. 23 ust. 1 ustawy o ochronie danych osobowych. Przedmiotowe przesłanki mają charakter autonomiczny i co do zasady są równoprawne. Zatem zgoda osoby, której dane dotyczą nie jest wyłączną przesłanką przetwarzania danych osobowych. Przetwarzanie danych jest dopuszczalne m. in. wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 ustawy).
Działalność spółdzielni mieszkaniowych regulują przepisy ustawy z dnia 16 września 1982 r. Prawo spółdzielcze (Dz. U. z 2003 r., Nr 188, poz. 1848 z późn. zm.) oraz przepisy ustawy z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych (Dz. U. z 2003 r., Nr 119, poz. 1116 z późn. zm.). Zgodnie zaś z art. 1 § 1 Prawa spółdzielczego, spółdzielnia jest dobrowolnym zrzeszeniem nieograniczonej liczby osób, o zmiennym składzie osobowym i zmiennym funduszu udziałowym, które w interesie swoich członków prowadzi wspólną działalność gospodarczą. Stosownie natomiast do art. 48 § 1 powołanej wyżej ustawy, zarząd kieruje działalnością spółdzielni oraz reprezentuje ją na zewnątrz. Natomiast w myśl art. 1 ust. 3 ustawy o spółdzielniach mieszkaniowych, spółdzielnia ma obowiązek zarządzania nieruchomościami stanowiącymi jej mienie lub nabyte na podstawie ustawy mienie jej członków.
W świetle zebranego w sprawie materiału dowodowego oraz przedstawionych powyżej przepisów prawa należy zatem stwierdzić, że w niniejszej sprawie administratorem danych użytkowników lokali będących w zasobach Spółdzielni, w tym danych Skarżącej, jest Spółdzielnia, która przetwarza przedmiotowe dane na podstawie przepisów Prawa spółdzielczego. Spełniona jest zatem przesłanka przetwarzania danych określona w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Wskazać także trzeba, iż administrator danych może przetwarzać dane osobowe sam albo powierzyć to innemu podmiotowi. Zgodnie bowiem z treścią przepisu art. 31 ust. 1 ustawy, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. W myśl natomiast art. 31 ust. 2 ustawy, podmiot, o którym mowa w ust. 1 może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
W dniu 24 listopada 1997 r. Spółdzielnia, jako administrator danych, zawarła ze Spółką Pomiarową z o.o. umowę o rozliczeniach, na podstawie której powierzyła ww. Spółce przetwarzanie danych osobowych wszystkich użytkowników lokali będących w zasobach Spółdzielni w celu dokonywania rozliczeń kosztów zużycia energii cieplnej. Podkreślenia wymaga, iż w myśl Rozdz. III pkt 12 Regulaminu Spółdzielni, warunkiem zmiany formy rozliczeń było złożenie przez 90% użytkowników lokali wniosków o zmianę systemu opłat za m² powierzchni użytkowej na system indywidualny. Natomiast osoby, które takiego wniosku nie złożyły, i u których w związku z tym nie zamontowano podzielników kosztów, co miało miejsce w sprawie przedstawionej przez Skarżącą, stosownie do pkt II ust. 1 regulaminu rozliczeń kosztów, są rozliczane według m² powierzchni. Niezależnie jednak od sposobu, w jaki dokonywane są rozliczenia kosztów zużycia energii cieplnej, wszystkich rozliczeń dokonuje Spółka na zlecenie Spółdzielni, zgodnie z postanowieniami umowy o rozliczeniach zawartej pomiędzy ww. podmiotami. Powyższe zaś, wiąże się z koniecznością udostępnienia danych osobowych członków Spółdzielni, w tym danych Skarżącej.
Podkreślenia wymaga, iż powierzenie przetwarzania danych Spółce nie wymagało indywidualnej zgody poszczególnych członków Spółdzielni, bowiem umowa, na podstawie której nastąpiło ww. powierzenie została zawarta przez Zarząd Spółdzielni, który zgodnie z art. 48 § 1 Prawa spółdzielczego, kieruje działalnością Spółdzielni oraz reprezentuje ją na zewnątrz.
W konsekwencji, uznać należy, że Spółdzielnia, powierzając Spółce przetwarzanie danych osobowych użytkowników lokali będących w zasobach Spółdzielni, w celu dokonywania rozliczeń energii cieplnej, działała zgodnie z art. 31 ustawy o ochronie danych osobowych. Podnieść jednakże w tym miejscu trzeba, iż z treści przepisu art. 31 ust. 2 ustawy o ochronie danych osobowych wynika, że w umowie powierzenia przetwarzania danych strony powinny określić w jakim zakresie i celu administrator danych osobowych powierza innemu podmiotowi ich przetwarzanie. Natomiast w umowie zawartej między Spółdzielnią a Spółką - ani w żadnym aneksie do niej - nie wskazano w jakim zakresie Spółka może przetwarzać dane osobowe użytkowników lokali będących w zasobach Spółdzielni w celu dokonania rozliczeń kosztów zużycia energii cieplnej. Z tego też względu Generalny Inspektor Ochrony Danych Osobowych uznał za konieczne nakazanie Spółdzielni określenia w jakim zakresie Spółka może przetwarzać dane osobowe ww. osób, stosownie do wymogów art. 31 ust. 2 ustawy o ochronie danych osobowych.
Niezależnie od powyższego wskazać należy, iż w myśl art. 12 ustawy, do kompetencji Generalnego Inspektora Ochrony Danych Osobowych należy m. in. kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz wydawanie decyzji administracyjnych i rozpoznawanie skarg w sprawach wykonywania przepisów o ochronie danych osobowych. Generalny Inspektor nie jest natomiast uprawniony do oceny, czy Spółdzielnia podejmuje określone działania wobec swoich członków zgodnie, czy też nie z aktami wewnętrznymi, np. regulaminem rozliczania kosztów centralnego ogrzewania. Przedmiotowe kwestie należą do innej dziedziny prawa i podlegają zaskarżeniu do organu określonego w statucie Spółdzielni w trybie i na zasadach postępowania wewnątrzspółdzielczego. Generalny Inspektor nie może bowiem rozstrzygać kwestii należących do kompetencji innych organów, przyznanych im na podstawie odrębnych przepisów prawa. Takie stanowisko zajął również Naczelny Sąd Administracyjny w wyroku z dnia 2 marca 2001 r. (sygn. akt II S.A. 401/00) „(...) Generalny Inspektor (...) nie jest organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji, czy w inny sposób określony odpowiednimi procedurami.”
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).
