>Orzecznictwo>NSA>2009 >

Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych.). Uznanie faktu wyrażenia zgody przez pracownika, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu pracy, stanowiłoby obejście tego przepisu. Rozszerzenie katalogu danych określonych w art. 221 Kodeksu pracy nie może mieć miejsca poprzez zastosowanie art. 23 ust.1 pkt. 1 ustawy o ochronie danych osobowych, także z tego powodu, że prowadziłoby do naruszenia zasady adekwatności wyrażonej w art. 26 ust. 1 pkt. 3 ustawy o ochronie danych osobowych.

Cele i środki przetwarzania danych osobowych objęte są decyzją Banku, a nie posiadacza karty imiennej przedpłaconej. Podporządkowanie się decyzji Banku co do celów i środków przetwarzania danych przez posiadacza karty nie powoduje, że to posiadacz karty podejmując decyzję o celach i środkach przetwarzania danych

Nie można podzielić stanowiska, że skoro ustawodawca polski nie zdecydował się na uregulowanie kwestii odpłatności obowiązku informacyjnego w ustawie, to należy stosować przepisy Dyrektywy 95/46/WE, które uprawniają administratorów do pobierania opłat, byleby nie były one nadmierne oraz, że Generalny Inspektor Ochrony Danych Osobowych oraz Wojewódzki Sąd Administracyjny w Warszawie powinny w rozpoznawanej sprawie zastosować wprost art. 12 lit. a) tej Dyrektywy.

Ustawodawca nie wprowadził w ustawie o dostępie do informacji publicznej rozróżnienia na dane sensytywne i dane "zwykłe", jak uczynił to w ustawie o ochronie danych osobowych. Nie ma zatem jakichkolwiek podstaw do uznania, aby ustawodawca wyłączył spod definicji informacji publicznej dane uważane na gruncie art. 27 ust. 1 ustawy o ochronie danych osobowych za dane szczególnie chronione (dane wrażliwe, sensytywne). W rozpatrywanej sprawie nie ulega jednak wątpliwości, iż akta umorzonego postępowania przygotowawczego, z których udostępnione zostały dane osobowe, nie dotyczyły skarżącego kasacyjnie, jako pełniącego funkcję publiczną, wskutek czego ustawa o dostępie do informacji publicznej nie znajduje zastosowania w rozpatrywanej sprawie.  

Sąd nieprawidłowo przyjął jakoby skarżący w istocie rzeczy domagał się "przywrócenia" prawdziwych zgodnych z rzeczywistością danych osobowych. Takie bowiem założenie automatycznie skutkuje konieczność rozpoznania sprawy w postępowaniu sądowym - zgodnie z art. 33 ustawy, właściwym byłby sąd powszechny.

Żądana przez skarżącego ingerencja, polegająca na anonimizacji jego danych osobowych zawartych w akcie oskarżenia stanowiącym materiał dowodowych sprawy cywilnej leży poza zakresem kompetencji Generalnego Inspektora Ochrony Danych Osobowych. Dokument ten stanowiący część materiału dowodowego sprawy cywilnej, pozostaje w dyspozycji Sądu rozpoznającego tę sprawę, a Kodeks postępowania cywilnego nie przewiduje tego rodzaju działań, jakich żądał skarżący.

Przepisem rangi ustawowej zezwalającym na przetwarzanie danych osobowych stanowiących tajemnicę telekomunikacyjną jest art. 10a pkt 1 ustawy o strażach gminnych w myśl, którego straż w celu realizacji zadań ustawowych może przetwarzać dane osobowe, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, bez wiedzy i zgody osoby, której dane te dotyczą, uzyskane w wyniku wykonywania czynności podejmowanych w postępowaniu w sprawach o wykroczenia.

Należało uznać, iż wizerunek skarżącego umieszczony na zdjęciu klasowym wykonanym przed trzydziestoma laty wraz opatrzeniem go imieniem i nazwiskiem, a następnie zamieszczonym na stronie internetowej (...) stanowi dane osobowe w rozumieniu art. 6 ust. 2 u.o.d.o

Nie jest natomiast administratorem ten, kto przetwarza dane w pełni według poleceń, wskazówek innego podmiotu, na jego zlecenie. Nie jest również administratorem danych osoba, której administrator powierzył przetwarzanie danych, co wynika z art. 31 ustawy o ochronie danych osobowych, w szczególności z jego ust. 4, który przewiduje sytuacje, w których administrator danych powierza innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Może więc też być tak, że administrator tylko w pewnym zakresie będzie sam przetwarzał dane, wykonywanie zaś pozostałych operacji powierzy innemu podmiotowi. Dla kwestii określenia administratora zawsze ważne pozostanie tylko to, kto podejmuje decyzje wskazujące na cele i środki przetwarzania danych.

Pojęcia "administrujący zbiorem", "administrujący danymi" i "administrator danych" nie są tożsame. Racjonalny ustawodawca nie używa bowiem w tym samym akcie prawnym różnych określeń dla wskazania tego samego podmiotu. Analizując przedstawione zwroty, należy przyjąć, że na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych, natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych lub danymi w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy. Mimo że co do zasady administrującym zbiorem i administratorem danych może być ten sam podmiot, to jednak w niniejszej sprawie sytuacja taka nie zachodzi. Minister Rozwoju Regionalnego jest administrującym zbiorem, zaś PARP jest administratorem danych.

W niniejszej sprawie istotne znaczenie ma uwzględnienie przepisu art. 5 ustawy o ochronie danych osobowych w związku z art. 105 Prawa bankowego, gdyż na tym etapie postępowania egzekucyjnego, który dotyczył zastosowania środka egzekucyjnego w postaci zajęcia rachunku bankowego, zasadnicze znaczenie w zakresie przetwarzania danych osobowych J. W. miały przepisy zapewniające ochronę tajemnicy bankowej. W zakresie danych objętych treścią umowy rachunku bankowego stosowanie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych było bowiem wyłączone na zasadzie art. 5 tej ustawy, gdyż chodziło o dane chronione przepisami art. 105 Prawa bankowego.

Generalny Inspektor Ochrony Danych Osobowych zbadał i wyjaśnił zarzuty stawiane w stosunku do Poczty Polskiej, w zakresie przetwarzania przez nią danych osobowych skarżącej M. K. i w toku postępowania ustalono, że Poczta Polska przetwarzała dane osobowe M. K.skarżącej, we wskazanym w skardze zakresie, zgodnie z art. 21 ust. 1 i art. 21 ust. 2 pkt 1 ustawy z dnia 12 czerwca 2003 r. - Prawo pocztowe. Oznacza to z kolei, że pozyskane dane spełniały jedną z przesłanek legalności przetwarzania danych osobowych, wskazanych w art. 23 ust. 1 pkt 3 powołanej ustawy o ochronie danych osobowych. Należy przy tym podkreślić, że nie należy do kompetencji Generalnego Inspektora Danych Osobowych ocena tych danych pod kątem ich autentyczności.

Pojęcia "administrujący zbiorem", "administrujący danymi" i "administrator danych" nie są tożsame. Należy przyjąć, że na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy), natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 50, art. 51, art. 54 ustawy) lub danymi (art. 52 ustawy) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy.

Pojęcia "administrujący zbiorem", "administrujący danymi" i "administrator danych" nie są tożsame. Należy przyjąć, że na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych (art. 7 pkt 4 ustawy), natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 50, art. 51, art. 54 ustawy) lub danymi (art. 52 ustawy) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy.

Przepis art. 13 ust. 4 ustawy o pracownikach samorządowych, którego naruszenie zarzuca autor skargi kasacyjnej, stanowi, że informacje o kandydatach, którzy zgłosili się do naboru, stanowią informację publiczną w zakresie objętym wymaganiami związanymi ze stanowiskiem określonym w ogłoszeniu o naborze. Informacją publiczną są informacje o kandydatach potwierdzające wykształcenie wyższe, 5-letni staż pracy, doświadczenie zawodowe na stanowiskach urzędniczych oraz inne informacje dotyczące wymagań związanych ze stanowiskiem wskazanym w ogłoszeniu o naborze. Jednak w tym miejscu należy odróżnić informację publiczną od jej nośnika, jakim jest dokument prywatny i wskazać, że o ile udostępnieniu lub odmowie udostępnienia w trybie art. 16 ustawy o dostępie do informacji publicznej podlegają informacje, o których mowa w art. 13 ust. 4 ustawy o pracownikach samorządowych to nie jest informacją publiczną nośnik w formie papierowego dokumentu prywatnego.

To, że w ustawie - Prawo telekomunikacyjne zawarte są uregulowania dalej chroniące procesy przetwarzania danych osobowych objętych tajemnicą telekomunikacyjną - art. 159 ust. 2 i art. 161 ust. 2 nie oznacza, że ustawa o ochronie danych osobowych nie znajduje zastosowania w całości. Wymienione przepisy ustawy - Prawo telekomunikacyjne wyłączają stosowanie ustawy o ochronie danych osobowych tylko w zakresie, w jakim przewidują dalej idącą ochronę danych osobowych od tej jaka została zagwarantowana tą ostatnią ustawą.

O ile udostępnienie opinii dotyczącej mieszkania Z. C. można było traktować jako przetwarzanie danych osobowych, o tyle nie można już potraktować tak zeznań złożonych w postępowaniu prowadzonym przez Powiatowego Inspektora Nadzoru Budowlanego przez sporządzającego tą opinię rzeczoznawcę. Zeznania rzeczoznawcy, jako nie stanowiące przetwarzania danych osobowych, wykraczają poza zakres przedmiotowy ustawy o ochronie danych osobowych.

Pod pojęciem informacji o osobie umożliwiające wyszukanie w zbiorze żądanych danych, należy rozumieć wszelkie informacje o tej osobie, nawet identyfikujące ją pośrednio (np. wiadomości na temat jej wstępnych), a nie tylko informacje identyfikujące ją bezpośrednio, jeżeli tylko stwarzają możliwość wyszukania w zbiorze żądanych danych. 

Pod pojęciem informacji o osobie umożliwiające wyszukanie w zbiorze żądanych danych, należy rozumieć wszelkie informacje o tej osobie, nawet identyfikujące ją pośrednio (np. wiadomości na temat jej wstępnych), a nie tylko informacje identyfikujące ją bezpośrednio, jeżeli tylko stwarzają możliwość wyszukania w zbiorze żądanych danych.

Zarówno banki jak i instytucje utworzone na podstawie art. 105 ust. 4 (a więc i BIK) mogą przetwarzać informacje stanowiące tajemnice bankową dotyczącą osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla stosowania metod statystycznych[…]