>Decyzje Giodo>2009 >

Pozyskanie danych osobowych potencjalnego klienta Spółki za pośrednictwem infolinii nie jest jednak działaniem niezbędnym do podjęcia działań przed zawarciem umowy pośrednictwa w obrocie nieruchomościami. Ten etap kontaktu z potencjalnym klientem nie zawsze skutkuje podpisaniem ww. umowy. Przesłanką legalizującą przetwarzanie przez H. danych osobowych klientów pozyskanych za pośrednictwem infolinii, powinna być zgoda osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych).

Zgłoszenie nie spełniało wymogów niezbędnych do zarejestrowania ww. zbioru danych, nie zawierało bowiem opisu kategorii osób, których dane dotyczą, informacji o sposobie udostępniania danych ze zbioru oraz wyczerpującego opisu środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).

Biorąc za podstawę definicję danych osobowych sformułowaną w powołanym art. 6 ustawy, należy uznać, że dane osobowe pracowników Przedsiębiorstwa, przetworzone do postaci zapisu cyfrowego (dane biometryczne w postaci sumy kontrolnej obrazów - liczby powstałej z przetworzenia odcisków palców), stanowią dane osobowe w rozumieniu powołanego przepisu.

Z uwagi na to, że nie przesłano na tą okoliczność dowodu potwierdzającego, wyznaczanie administratora bezpieczeństwa informacji, nie można uznać, iż przywrócony został w tym zakresie stan zgodny z prawem. Zgodnie z art. 38 ustawy, administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Przesłanką legalizującą przetwarzanie danych osobowych Skarżącej i jej syna w niniejszej sprawie stanowi art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, zgodnie z którym przetwarzanie danych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Aktami prawnymi określającymi kompetencje dyrektora szkoły w zakresie zarządzania szkołą oraz wskazującymi w jakim zakresie szkoła może przetwarzać dane osobowe uczniów jest ustawa z dnia 7 września 1991 r. o systemie oświaty oraz wydane na jej podstawie przepisy wykonawcze.

Mając na uwadze zarzuty Skarżącego dotyczące skreślenia go z listy studentów, wskazać należy, iż Generalny Inspektor stwierdził w zaskarżonej decyzji na podstawie zebranego materiału dowodowego, że z powodu nieuiszczenia opłat za studia Skarżący został skreślony z listy studentów, a szkoła uznała go za swego dłużnika i zaczęła przetwarzać jego dane osobowe w celach windykacyjnych, co znajduje uzasadnienie w art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2 ustawy.

Biorąc pod uwagę, że zgodnie z wyjaśnieniami Związku Banków Polskich, zawierające dane Skarżącego wpisy dotyczące Spółdzielni, są przetwarzanie w celu oceny ryzyka i zdolności kredytowej Spółdzielni, wskazać należy oczywistą bezzasadność takiego działania. W ocenie Generalnego Inspektora dane w zakresie imienia i nazwiska Skarżącego są zbyteczne dla udzielenia informacji o posiadanym przez Spółdzielnie zadłużeniu.

Decyzja GIODO dotycząca umorzenia postępowania zmierzającego do usunięcia niewłaściwych praktyk z zakresu przetwarzania danych osobowych obejmujących między innymi: przetwarzanie danych bez podstawy prawnej, brak odpowiedniego zabezpieczenia dokumentacji zawierającej dane osobowe, nieokreślenie w umowie o powierzenie przetwarzanie danych osobowych zakresu oraz celu przetwarzania danych osobowych pracowników, niezapewnienie kontroli nad tym, kiedy dane zostały wprowadzone do systemów informatycznych.

  Zapewnienia bezpieczeństwa funkcjonowania Banku nie stanowi dostatecznego argumentu uzasadniającego nałożenie na pracowników obowiązku ujawniania relacji rodzinnych i osobistych.  

Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tekst jedn. Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2 i art. 22 w związku z art. 18 ust. 1 pkt 6, art. 23 ust. 1 pkt 2 i art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania w sprawie wniosku Związku Banków Polskich, o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 14 stycznia 2009 r. (znak: DOLiS/DEC-36/09/1068,1073,1079), nakazującą Bankowi usunięcie danych osobowych Pana E - związanych z niespłaconymi kredytami zaciągniętymi przez Spółdzielcze Zrzeszenie Budowy Domków - z prowadzonego przez Związek Banków Polskich zbioru o nazwie „System Międzybankowej Informacji Gospodarczej - Bankowy Rejestr”, utrzymuję w mocy zaskarżoną decyzję.  

  Nie występuje odpowiedzialność cywilnoprawna członków zarządu spółdzielni za jej zobowiązania wobec wierzycieli, np. w przypadku, gdy egzekucja wobec spółdzielni okazała się bezskuteczna. Należy zatem uznać, że przetwarzanie danych osobowych Skarżącego w SMIG - Bankowy Rejestr – w związku z niespłaconymi kredytami, zaciągniętymi przez SZBD– jest nieadekwatne w stosunku do celu tego przetwarzania, który został określony w art. 105a ust. 1 ustawy Prawo bankowe.  

  ZTM – uznawszy Skarżącego za dłużnika z powodu nieuiszczenia stosownej opłaty z tytułu podróżowania środkiem komunikacji publicznej bez ważnego biletu – ma prawo prowadzić działania windykacyjne i przetwarzać pozyskane w powyższy sposób dane w celu uzyskania zapłaty, co znajduje uzasadnienie w art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2 ustawy jako prawnie usprawiedliwiony cel administratora danych.  

  W toku całego postępowania w niniejszej sprawie Komendant nie wykazał w sposób wiarygodny, aby pozyskanie od Prokuratora danych osobowych Skarżącego stanowiło niezbędny warunek realizacji jakichkolwiek jego uprawnień, bądź obowiązków.