>Orzecznictwo>WSA>2009 >

  Ograniczenia zapisane są w art. 23 ust. 1 pkt 5 uodo w zw. z art. 23 ust. 4 pkt 2 uodo, który wskazuje, że dane osobowe określonej osoby fizycznej mogą być przetwarzane nawet bez jej zgody jeśli istnieje ku temu prawnie usprawiedliwiony cel, który może polegać także na dochodzeniu roszczeń z tytułu prowadzonej działalności gospodarczej.

  Zgodnie z art. 71 ust. 1 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2002 r. Nr 76, poz. 694 ze zm.) dokumentację opisującą w języku polskim przyjęte przez bank zasady (politykę) rachunkowości, księgi rachunkowe, dowody księgowe, dokumenty inwentaryzacyjne i sprawozdania finansowe, zwane dalej także "zbiorami", należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem.

  W zaistniałej sytuacji przetwarzanie danych osobowych skarżącego bez jego zgody posiada oparcie w przepisie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Natomiast zawarcie przez Spółkę C. stosownych umów z ww. podmiotami do przetwarzania danych skarżącego, w celu polubownego dochodzenia roszczeń pieniężnych oraz prowadzenia windykacji zostało zalegalizowane granicami wyznaczonymi przepisem art. 31 ust. 1 i 2 powołanej ustawy. Podkreślić należy, że administrator danych może przetwarzać przedmiotowe dane sam albo powierzyć to innemu podmiotowi. Powierzenie przetwarzania danych dokonane przez administratora na podstawie umowy powierzenia, o której mowa w art. 31 ustawy, nie wymaga uzyskania zgody osoby, której dane dotyczą.

Wojewódzki Sąd Administracyjny w po rozpoznaniu na rozprawie w dniu 9 czerwca 2009 r. sprawy ze skargi W. K. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2008 r. nr [...] w przedmiocie odmowy stwierdzenia nieważności decyzji z dnia [...] stycznia 2005 r.: oddala skargę.      

Generalny Inspektor Ochrony Danych Osobowych wyjaśni, czy B. S.A. było upoważnione przez Bank jedynie do przetwarzania danych osobowych dla celów oceny zdolności kredytowej, czy też zakres ten był szerszy z uwagi na treść przepisu art.105 a ust. 4 Prawa bankowego. Wskaże na podstawie jakiego dowodu i przepisu prawa przyjął i uznał, że B.S.A. było ograniczone przez Bank tylko do przetwarzania danych osobowych w zakresie zdolności kredytowej. Wreszcie odniesie się do kwestii, czy nowo wprowadzony z dniem 1 kwietnia 2007 r. przepis art. 105 a ust. 4 Prawa bankowego automatycznie nie rozszerzył uprawnień B. S.A. w stosunku do przekazanych mu wcześniej przez Bank danych. 

 Zgodnie z art. 2 ust. 2 pkt 2 ustawy o ochronie danych osobowych, ustawę stosuje się do przetwarzania danych osobowych w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. Ten przepis nakazuje stosować w całości ustawę o ochronie danych osobowych w omawianej sprawie, w tym również odpowiednio przepisy określające katalog praw kontrolnych przysługujących osobie, której dane dotyczą. Odmienne stanowisko w tym zakresie powodowałoby, iż podstawowych praw wynikających z ustawy o ochronie danych osobowych pozbawione byłyby osoby, których dane w czasach szybkiego rozwoju technologicznego oraz ekspansji sieci Internet są w coraz szerszym zakresie przetwarzane w systemach informatycznych zbiorem danych. Wyłączenie stosowania art. 32 ust. 1 ustawy w tym przypadku byłoby sprzeczne z ratio legis tego aktu.

Organ podatkowy w kierowanym do podmiotu wniosku obowiązany jest określić zakres żądanych informacji, ale nie musi wskazywać innych szczegółów związanych ze sprawą. Adresat nie jest uprawniony do badania zasadności wniosku ze względu na przydatność wymaganych informacji dla działań organu podatkowego. Organ jednak powinien, w miarę możliwości, ograniczyć zakres żądanych danych do niezbędnego minimum 

Identyfikacja osoby wnioskującej o informacje o danych jej dotyczących winna nastąpić w oparciu o całokształt danych, którymi administrator danych dysponuje.

Generalny Inspektor Ochrony Danych Osobowych podejmując rozstrzygnięcie, jest związany regułami postępowania administracyjnego, które określają jego obowiązki w zakresie prowadzenia postępowania i orzekania.  

 W ocenie Sądu organ, wydając przedmiotową decyzję, pominął ustawową przesłankę legalizującą przetwarzanie danych osobowych dla stosowania metod statystycznych. Tym samym wydał decyzję z naruszeniem przepisu art.105 a ust. 4 w związku z art.128 Prawa bankowego oraz z naruszeniem art. 23 ust. 1 pkt. 2 ustawy o ochronie danych osobowych, który stanowi, że przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest to niezbędne do zrealizowania uprawnienia. Zaskarżona decyzja została wydana jednocześnie z naruszeniem art. 5 ustawy o ochronie danych osobowych, bowiem w przedmiotowej sprawie w pierwszej kolejności zastosowanie winny znaleźć przepisy Prawa bankowego (przed przepisami ustawy o ochronie danych osobowych), które zapewniają dalej idącą ochronę.

W sprawie bezsporne jest, iż B. zwróciło się do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o zmianę celu przetwarzania danych w bazie kredytobiorcy poprzez uzupełnienie o cel przetwarzania, w związku ze stosowaniem metod statystycznych. Generalny Inspektor Ochrony Danych Osobowych ani na etapie postępowania administracyjnego, ani też na etapie postępowania przed tutejszym Sądem nie rozpoznał i nie odniósł się do tego, istotnego dla sprawy wniosku. Okoliczność powyższa ma istotne znaczenie, bowiem decyzja Generalnego Inspektora Ochrony Danych Osobowych w tym względzie (pozytywna bądź negatywna), wiąże się z legalizacją danych osobowych stosowanych dla celów metod statystycznych.  

 Nie jest rolą Generalnego Inspektora Danych Osobowych prowadzenia postępowania celem ustalenia, jak tego domaga się Skarżąca, w jaki sposób jej dane osobowe znalazły się w posiadaniu innych osób. Rolą organu ochrony danych jest przede wszystkim podejmowanie działań o charakterze prewencyjnym, w tym wydawanie decyzji administracyjnych w celu przywrócenia stanu zgodnego z prawem (art. 18 ustawy) i w celu zapewnienia, że w przyszłości dane te, m.in. poprzez właściwe zabezpieczenie, będą efektywnie chronione.

W rozpoznawanej sprawie  Generalny Inspektor Ochrony Danych Osobowych, wydając rozstrzygnięcie oparł je wyłącznie na podstawie złożonych przez Prezydenta Miasta S. wyjaśnieniach i załączonych do nich kserokopiach dokumentów, które nie zostały potwierdzone za zgodność z oryginałem. Tym samym nie mogły one stanowić dowodu w sprawie. Zaakceptowanie kserokopii, jako środka dowodowego w postępowaniu administracyjnym, należy uznać za niedopuszczalne, tym bardziej, że skarżąca wielokrotnie podważała ich wiarygodność. 

 Samo złożenie zeznań przez rzeczoznawcę P. nie stanowi przetwarzania danych osobowych, a zatem brak jest podstaw uzasadniających działanie w tym zakresie Generalnego Inspektora Ochrony Danych Osobowych.

Uzyskana przez Generalnego Inspektora Ochrony Danych Osobowych od administratora danych informacja, że dane osobowe M. M. nie zostały nikomu udostępnione oraz informacja dotycząca sposobu ich zabezpieczenia, pozwalały organowi na ustalenie, że nie doszło do naruszenia przepisów ustawy.

Żaden bank nie może się mylić, jest bowiem instytucją zaufania publicznego. W niniejszej sytuacji B. przyznaje się, iż co najmniej dwukrotnie (pisma z dnia 27 lutego 2007 r. i z dnia 29 maja 2007 r.) wprowadzał swojego klienta w błąd powołując się w swoich pismach na fakt wypowiedzenia umowy prowadzenia karty kredytowej. Dysponując sprzecznymi informacjami w tym przedmiocie i nadto wobec przyznania się Banku do błędu organ powinien ze szczególną starannością ustalić czy w dacie otrzymania komunikatu o Loterii A. B. był posiadaczem karty kredytowej Banku i mógł potencjalnie z niej korzystać. 

Przepisy ustawy o ochronie danych osobowych, określające kompetencje Generalnego Inspektora Danych Osobowych, nie upoważniają bowiem wskazanego organu od ingerowania w toku postępowania, prowadzonego przez organy wymiaru sprawiedliwości. Sposób działania Prokuratury, w tym kwestia zawartości akt określonego postępowania podlega kontroli wyłącznie ze strony organu wyższej instancji - w trybie i na zasadach określonych przepisami ustawy z dnia 20 czerwca 1985 r. o prokuraturze (Dz. U. z 2002 r. Nr 21, poz. 206 ze zm.) oraz Kodeksu postępowania karnego.  

  Szczególną staranność należy kwalifikować w kategoriach reguł funkcjonowania języka polskiego, w tym reguł transkrypcji, transliteracji, a także możliwości technicznych podmiotu przetwarzającego dane osobowe. W przedmiotowej sprawie administrator danych dochował należytej staranności, ponieważ dążył do ustalenia poprawnej pisowni przetwarzanych danych, mierzonej kryteriami prawdziwości i poprawności.  

Nie można przyjąć, mając na względzie zakres złożonego przez stronę do organu żądania dotyczącego przetwarzania jej danych osobowych przez dwa podmioty, w tym jeden zagraniczny, że stwierdzenie legalności przetwarzania danych osobowych przez podmiot polski, który uzyskał dane osobowe od podmiotu zagranicznego na podstawie zawartej z nim umowy, bez jakiegokolwiek badania sposobu pierwotnego uzyskania tych danych przez podmiot zagraniczny, przesądza o wystąpieniu po stronie podmiotu polskiego okoliczności usprawiedliwiającej przetwarzanie danych osobowych wymienionej w art. 23 ust. 1 pkt 5 w zw. z ust. 4 pkt 1 ustawy o ochronie danych osobowych. Wówczas bowiem uzyskanie danych w sposób nielegalny przez podmiot zagraniczny - tj. w sposób naruszający prawa i wolności osoby, której dane dotyczą - podlegałoby swoistej "legalizacji" w wyniku przetwarzania tych danych przez drugi, polski podmiot. 

 Otwarty Fundusz Emerytalny jest w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych administratorem danych osobowych, to ten właśnie podmiot, jako osoba prawna, jest adresatem praw i obowiązków w rozumieniu art. 28 i 29 k.p.a. i do niej powinna być kierowana decyzja nakazowa. Brak własnych organów zarządzających, co wynika ze specyfiki prawnej funkcjonowania Otwartych Funduszy Emerytalnych, nie uprawnia podmiotu założycielskiego - Towarzystwa - do "procesowego zastępowania" Funduszy w postępowaniach administracyjnych.