>Decyzje Giodo>2009 >

Z uwagi na to, że nie przesłano na tą okoliczność dowodu potwierdzającego, wyznaczanie administratora bezpieczeństwa informacji, nie można uznać, iż przywrócony został w tym zakresie stan zgodny z prawem. Zgodnie z art. 38 ustawy, administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Przesłanką legalizującą przetwarzanie danych osobowych Skarżącej i jej syna w niniejszej sprawie stanowi art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, zgodnie z którym przetwarzanie danych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Aktami prawnymi określającymi kompetencje dyrektora szkoły w zakresie zarządzania szkołą oraz wskazującymi w jakim zakresie szkoła może przetwarzać dane osobowe uczniów jest ustawa z dnia 7 września 1991 r. o systemie oświaty oraz wydane na jej podstawie przepisy wykonawcze.

Mając na uwadze zarzuty Skarżącego dotyczące skreślenia go z listy studentów, wskazać należy, iż Generalny Inspektor stwierdził w zaskarżonej decyzji na podstawie zebranego materiału dowodowego, że z powodu nieuiszczenia opłat za studia Skarżący został skreślony z listy studentów, a szkoła uznała go za swego dłużnika i zaczęła przetwarzać jego dane osobowe w celach windykacyjnych, co znajduje uzasadnienie w art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2 ustawy.

Biorąc pod uwagę, że zgodnie z wyjaśnieniami Związku Banków Polskich, zawierające dane Skarżącego wpisy dotyczące Spółdzielni, są przetwarzanie w celu oceny ryzyka i zdolności kredytowej Spółdzielni, wskazać należy oczywistą bezzasadność takiego działania. W ocenie Generalnego Inspektora dane w zakresie imienia i nazwiska Skarżącego są zbyteczne dla udzielenia informacji o posiadanym przez Spółdzielnie zadłużeniu.

Decyzja GIODO dotycząca umorzenia postępowania zmierzającego do usunięcia niewłaściwych praktyk z zakresu przetwarzania danych osobowych obejmujących między innymi: przetwarzanie danych bez podstawy prawnej, brak odpowiedniego zabezpieczenia dokumentacji zawierającej dane osobowe, nieokreślenie w umowie o powierzenie przetwarzanie danych osobowych zakresu oraz celu przetwarzania danych osobowych pracowników, niezapewnienie kontroli nad tym, kiedy dane zostały wprowadzone do systemów informatycznych.

  Zapewnienia bezpieczeństwa funkcjonowania Banku nie stanowi dostatecznego argumentu uzasadniającego nałożenie na pracowników obowiązku ujawniania relacji rodzinnych i osobistych.  

Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tekst jedn. Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2 i art. 22 w związku z art. 18 ust. 1 pkt 6, art. 23 ust. 1 pkt 2 i art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania w sprawie wniosku Związku Banków Polskich, o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 14 stycznia 2009 r. (znak: DOLiS/DEC-36/09/1068,1073,1079), nakazującą Bankowi usunięcie danych osobowych Pana E - związanych z niespłaconymi kredytami zaciągniętymi przez Spółdzielcze Zrzeszenie Budowy Domków - z prowadzonego przez Związek Banków Polskich zbioru o nazwie „System Międzybankowej Informacji Gospodarczej - Bankowy Rejestr”, utrzymuję w mocy zaskarżoną decyzję.  

  Nie występuje odpowiedzialność cywilnoprawna członków zarządu spółdzielni za jej zobowiązania wobec wierzycieli, np. w przypadku, gdy egzekucja wobec spółdzielni okazała się bezskuteczna. Należy zatem uznać, że przetwarzanie danych osobowych Skarżącego w SMIG - Bankowy Rejestr – w związku z niespłaconymi kredytami, zaciągniętymi przez SZBD– jest nieadekwatne w stosunku do celu tego przetwarzania, który został określony w art. 105a ust. 1 ustawy Prawo bankowe.  

  ZTM – uznawszy Skarżącego za dłużnika z powodu nieuiszczenia stosownej opłaty z tytułu podróżowania środkiem komunikacji publicznej bez ważnego biletu – ma prawo prowadzić działania windykacyjne i przetwarzać pozyskane w powyższy sposób dane w celu uzyskania zapłaty, co znajduje uzasadnienie w art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2 ustawy jako prawnie usprawiedliwiony cel administratora danych.  

  W toku całego postępowania w niniejszej sprawie Komendant nie wykazał w sposób wiarygodny, aby pozyskanie od Prokuratora danych osobowych Skarżącego stanowiło niezbędny warunek realizacji jakichkolwiek jego uprawnień, bądź obowiązków.  

  Stosownie do art. 169 ust. 3 Prawa telekomunikacyjnego zamieszczenie w spisie danych identyfikujących abonenta będącego osobą fizyczną może nastąpić wyłącznie po uprzednim wyrażeniu przez niego zgody na dokonanie tych czynności.  

  Spółka ma prawo dochodzić swych roszczeń i w tym celu i na tej podstawie przetwarzać dane osobowe, jednakże w niniejszej sprawie ciągła aktywność przedmiotowych adresów e – mail oraz udostępnianie na stronie internetowej Spółki zdjęć Skarżącego niewątpliwie narusza jego prawa i wolności chociażby w zakresie dotyczącym jego wizerunku.  

  Zgodnie z art. 105a ust. 3 Prawa bankowego banki, inne instytucje ustawowo upoważnione do udzielania kredytów (w niniejszej sprawie SK) oraz instytucje utworzone na podstawie art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą.  

W tej sytuacji prywatność Skarżącego, jako dobro chronione prawem, powinno mieć pierwszeństwo przed innym dobrem prawem chronionym – dostępnością do informacji publicznej.