DOLiS/DEC-280/10 dot. DOLiS-440-255/09 - Decyzja GIODO z 23 marca 2010 r. odmawiająca uwzględnienia wniosku dotyczącego udostępnienia osobie nieuprawnionej m.in. świadectwa pracy.

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jedn. Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, w związku z art. 22 i art. 29 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani A, na udostępnienie jej danych osobowych przez spółkę na rzecz Pani K, odmawiam uwzględnienia wniosku.

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (zwanego dalej również Generalnym Inspektorem) wpłynęła skarga Pani A (zwanej dalej Skarżącą), w której Skarżąca wskazała, iż w dniu 27 lutego 2009 r. spółkę udostępniła Pani K dane osobowe Skarżącej utrwalone w następujących dokumentach cyt:

"1) świadectwo pracy sporządzone w dniu 30 kwietnia 1998 r., 2) wniosek pracodawcy - ówczesnego Przedsiębiorstwa-o rozwiązanie umowy o pracę z A, 3) zaświadczenie o zatrudnieniu A, podpisane przez Specjalistę ds. Personalnych - Z, 4) zaświadczenie o niepobieraniu przez A w okresie zatrudnienia pożyczek z Zakładowego Funduszu Świadczeń Socjalnych, podpisane przez Kierownika Działu Księgowości i Kosztów - K". Skarżąca podniosła, iż "Pani K nie była upoważniona do wglądu ani uprawniona do otrzymania kopii dokumentów moich akt pracowniczych" a ponadto, że Spółka udostępniając osobie nieuprawnionej dane osobowe, do ochrony których jest zobowiązana, w sposób oczywisty naruszyła przepisy ustawy o ochronie danych osobowych. Generalny Inspektor Ochrony Danych Osobowych ustalił w toku przeprowadzonego w przedmiotowej sprawie postępowania wyjaśniającego następujący stan faktyczny: 1. Skarżąca była pracownikiem Spółki od dnia 26 czerwca 1974 r. do dnia 30 kwietnia 1998 r.

2. W dniu 27 lutego 2009 r. córka Skarżącej, Pani K, złożyła do Spółki wniosek na piśmie o udostępnienie danych ze zbioru danych osobowych. Zakres żądanych informacji obejmował cyt: "zaświadczenie o zatrudnieniu Pani A o niepobieraniu pożyczek z Zakładowego Świadczeń Socjalnych". Jako przeznaczenie dla udostępnionych danych Pani K wskazała "Sąd Rejonowy". Ponadto Pani K we wniosku wskazała, iż cyt.: "moja mama jest obecnie chora została skierowana na stwierdzenie choroby alkoholowej. Dokumenty te są potrzebne do złożenia zaświadczenia do Sądu. Resztę dokumentów o zatrudnieniu posiadam z dokumentacji mamy, które otrzymała przy odejściu ze spółki."

3. Pani K zostało wydane przez Spółkę zaświadczenie z dnia 27 lutego 2009 r. (znak DSP/09) zawierające informacje w zakresie imienia, nazwiska i adresu zamieszkania Skarżącej, okresu zatrudnienia i stanowiska na jakim Skarżąca zatrudniona była w spółce, braku przynależności do Kasy Zapomogowo-Pożyczkowej oraz niepobierania pożyczki z Zakładowego Funduszu Świadczeń Socjalnych w okresie zatrudnienia. Jako cel wydania zaświadczenia zostało wskazane "przedłożenie w sądzie". Wydane zaświadczenie składa się z dwóch części: informacja o niepobieraniu pożyczki z Zakładowego Funduszu Świadczeń Socjalnych podpisana jest przez Kierownika Działu Księgowości i Kosztów Panią K, pod pozostałymi informacjami widnieje podpis Specjalisty ds. Personalnych Pani Z. Spółka w złożonych wyjaśnieniach wskazała, iż cyt.: "innych informacji dotyczących Pani J nie udostępniła".

4. Wydane przez Spółkę zaświadczenie z dnia 27 lutego 2009 r. wraz ze świadectwem pracy Skarżącej z dnia 30 kwietnia 1998 r. i skierowanym do dyrekcji Spółki wnioskiem o rozwiązanie ze Skarżącą umowy o pracę za wypowiedzeniem z dnia 19 grudnia 1997 r. zostało dołączone do pisma pełnomocnika Pani K z dnia 6 marca 2009 r. w sprawie o podział majątku wspólnego, która toczyła się przed Sądem Rejonowym, Wydział II Cywilny pod sygn. akt 3257/08. Zaświadczenie wydane przez Spółkę zostało przedstawione jako dowód na okoliczność "niewiarygodności zgłoszonych przez wnioskodawczynię świadków jakoby budowa domu była finansowana z pożyczek zaciąganych przez A w zakładzie pracy".

Po zapoznaniu się z całością materiału dowodowego zgromadzonego w tej sprawie Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje.

Na wstępie wskazać należy, iż brak jest dowodów, aby Spółka udostępniła na rzecz Pani K dane osobowe Skarżącej objęte zakresem świadectwa pracy Skarżącej z dnia 30 kwietnia 1998 r. i skierowanego do dyrekcji Spółki wniosku z dnia 19 grudnia 1997 r. o rozwiązanie ze Skarżącą umowy o pracę za wypowiedzeniem. Wyjaśnienia Spółki wskazują, iż tych dokumentów nie przekazała Pani K. Powyższe wyjaśnienia potwierdza treść wniosku Pani K z dnia 27 lutego 2009 r., w którym ubiegając się o udostępnienie danych w zakresie "zaświadczenia o zatrudnieniu Pani A o niepobieraniu pożyczek z Zakładowego Świadczeń Socjalnych" wskazała jednocześnie, iż "resztę dokumentów o zatrudnieniu posiadam z dokumentacji mamy, które otrzymała przy odejściu ze Spółki". Kopie dokumentów, które weszły do sprawy o sygn. akt 3257/08 w Sądzie Rejonowym, Wydział II Cywilny, a które Generalny Inspektor otrzymał od Prezesa Sądu Okręgowego za pismem z dnia 18 stycznia 2010 r., również nie zawierają oznak świadczących, że to Spółka przekazała je na rzecz Pani K oraz iż nastąpiło to w terminie wskazanym w skardze. Dowodów na powyższe nie przedstawiła również Skarżąca. W piśmie z dnia 19 listopada 2009 r. wskazała ona jedynie, iż "nigdy nie otrzymałam wniosku o rozwiązanie ze mną umowy o pracę. Nie będąc w posiadaniu tego dokumentu tym bardziej nie mogłam udostępnić go K. Nigdy nie udostępniłam jej również mojego świadectwa pracy". Wobec powyższego nie podstaw do przyjęcia, że dane osobowe utrwalone w ww. dokumentach zostały udostępnione Pani K przez Spółkę, nie zaś pozyskane przez nią z innego źródła.

Rozpatrując kwestię danych osobowych Skarżącej udostępnionych przez Spółkę na rzecz Pani K w treści zaświadczenia z dnia 27 lutego 2009 r., jako podstawę do oceny tego stanu faktycznego przyjąć należy art. 29 ustawy z dnia 29 sierpnia 1997 r. ustawy o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą, który w ust. 2 stanowi, iż dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być także udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą. Stosownie do art. 29 ust. 3 ustawy dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie. Art. 29 ust. 4 ustawy stanowi, iż udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. Przy udostępnianiu danych osobowych w powyższym trybie niezbędne jest branie pod uwagę treści art. 30 ustawy, który stanowi, iż administrator danych odmawia udostępnienia danych osobowych ze zbioru danych podmiotom i osobom innym niż wymienione w art. 29 ust. 1, jeżeli spowodowałoby to: (pkt 1) ujawnienie wiadomości stanowiących tajemnicę państwową, (pkt 2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, (pkt 3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, (pkt 4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. Analiza złożonego przez Panią K wniosku wskazuje, iż spełnia on wymogi formalne, o których mowa w art. 29 ust. 3 ustawy. Wniosek ten został wniesiony na piśmie, jest umotywowany, a także zawiera informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazuje ich zakres i przeznaczenie. We wniosku wskazano również uzasadnienie potrzeby posiadania tych danych, które administrator uznał za wiarygodne. Pani K wskazała, iż cyt: "moja mama jest obecnie chora została skierowana na stwierdzenie choroby alkoholowej. Dokumenty te są potrzebne do złożenia zaświadczenia do Sądu". W ocenie Generalnego Inspektora wątpliwości budzi fakt czy Spółka, jako administrator danych, w oparciu o tak lakoniczne informacje zawarte we wniosku była w stanie prawidłowo zidentyfikować cel w jakim Pani K zamierzała wykorzystać udostępnione jej dane osobowe. Jednakże, zasadnicze znaczenie dla oceny sprawy ma fakt, iż dane osobowe Skarżącej weszły w skład akt postępowania sądowego. Ta okoliczność wyklucza bowiem istotne naruszenie dóbr osobistych Skarżącej lub innych osób, co zgodnie z art. 30 pkt 4 ustawy jest przesłanką zobowiązującą administratora do odmowy udostępnienia danych osobowych ze zbioru danych. Działanie narusza bowiem dobra osobiste, wyłącznie wówczas, gdy jest ono bezprawne. Wskazuje na to treść art. 24 § 1 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.), który stanowi, że ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. Dane osobowe Skarżącej udostępniono z przeznaczeniem ich przedstawienia w Sądzie Rejonowym, a ponadto jak stwierdzono w niniejszym postępowaniu, znalazły się one w aktach postępowania sądowego które toczyło się w powyższym sądzie. Złożenie dowodu w postępowaniu sądowym niewątpliwie nie jest działaniem bezprawnym. Wskazać należy, że zgodnie z art. 232 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego (Dz. U. Nr 43, poz. 296 z późn. zm.), to strony są obowiązane wskazywać dowody dla stwierdzenia faktów, z których wywodzą skutki prawne. Zatem, ze względu na brak cechy bezprawności, udostępnianie danych osobowych w celu złożenia dowodu w postępowaniu sądowym nie mogło spowodować istotnego naruszenia dóbr osobistych Skarżącej. Ponadto nie wystąpiła żadna z pozostałych-wskazanych w art. 30 pkt 1-3 ustawy - przesłanek zobowiązujących administratora danych do odmowy ich udostępnienia.

Podsumowując zatem tę część rozważań stwierdzić należy, iż w ocenie Generalnego Inspektora - pomimo wątpliwości odnoszących się do lakonicznej treści uzasadnienia złożonego przez Panią K wniosku - udostępnienie danych osobowych Skarżącej nastąpiło w zgodzie z przepisami ustawy o ochronie danych osobowych.

Odrębną sprawę stanowi kwestia wykorzystania udostępnionych danych niezgodnie z celem ich udostępnienia. Jak wskazuje zebrany w sprawie materiał dowodowy wydane przez Spółkę zaświadczenie zostało dołączone do pisma pełnomocnika Pani K z dnia 6 marca 2009 r. w sprawie o podział majątku wspólnego, która toczyła się przed Sądem Rejonowym, Wydział II Cywilny pod sygn. akt 3257/08 jako dowód na okoliczność "niewiarygodności zgłoszonych przez wnioskodawczynię świadków jakoby budowa domu była finansowana z pożyczek zaciąganych przez A w zakładzie pracy", czyli niewątpliwie w innej kwestii niż wynika to z uzasadnienia wniosku. Jednakże ten fakt nie może skutkować stwierdzeniem naruszenia przez administratora ciążących na nim obowiązków. Moment udostępnienia danych osobowych osobie, która się o to ubiegała, jest bowiem granicą na której odpowiedzialność administratora danych się kończy. Należy wskazać, iż stosownie do art. 29 ust. 4 ustawy, na podmiocie lub osobie, której dane zostały udostępnione ciąży obowiązek wykorzystania udostępnionych danych wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. Jednakże Generalny Inspektor nie ma kompetencji do prowadzenia postępowania w stosunku do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, ze względu na wyłączenie zastosowania ustawy o ochronie danych osobowych (art. 3a ust. 1 pkt 1 ustawy) w stosunku do tej kategorii osób.

Podsumowując, udostępnienie przez Spółkę danych osobowych Skarżącej utrwalonych w treści zaświadczenia z dnia 27 lutego 2009 r. na rzecz Pani K nastąpiło w zgodzie z przepisami ustawy o ochronie danych osobowych a zebrany w sprawie materiał dowodowy nie wskazuje, iż Spółka udostępniła dane osobowe Skarżącej na rzecz Pani K w innym zakresie lub w inny sposób.

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Decyzja niniejsza jest ostateczna. Stronie, na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych, w związku z art. 22 tej ustawy i w związku z art. 127 § 3 i 44 Kodeksu postępowania administracyjnego, przysługuje, w terminie 14 dni od dnia doręczenia niniejszej decyzji, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa).