DOLiS/DEC-817/11 - Decyzja GIODO z 20 września 2011 r. odmawiająca uwzględnienia wniosku skarżącego, który zażądał udostępnienia mu przez Bank danych osobowych pracownika tego Banku.
Pismo z dnia 20 września 2011 r. Generalny Inspektor Ochrony Danych Osobowych DOLiS/DEC-817/11 Decyzja GIODO z 20 września 2011 r. odmawiająca uwzględnienia wniosku skarżącego, który zażądał udostępnienia mu przez Bank danych osobowych pracownika tego Banku.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 22 i art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana X na przetwarzanie danych osobowych przez Bank.
odmawiam uwzględnienia wniosku.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana X, dalej także jako Skarżący, na przetwarzanie danych osobowych przez Bank. Skarżący wniósł o cyt.: " (...) wszczęcie postępowania w sprawie udostępnienia Wnioskodawcy (Skarżącemu) przez Bank (...) informacji zawierających dane osobowe (...)" oraz o cyt.: " (...) nakazanie Bankowi w ramach postępowania, o którym mowa powyżej (...) udostępnienia Wnioskodawcy (Skarżącemu) (...) personaliów (w postaci imienia, nazwiska i adresu zamieszkania) pracownika Banku, który przyjął wniosek (skutkujący zmianą danych Skarżącego w zakresie adresu do korespondencji) (...) oraz dokonał zmiany danych teleadresowych Wnioskodawcy (Skarżącego) (...)".
W toku postępowania przeprowadzonego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych ustalił następujący stan faktyczny.
Skarżącego łączy z Bankiem umowa o kartę kredytową. W dniu 17 listopada 2008 r. na wniosek Pani Y - ówczesnej żony Skarżącego, pracownik Banku dokonał zmiany danych osobowych Skarżącego w zakresie adresu do korespondencji. Jak wskazał Bank w piśmie z dnia 26 kwietnia 2011 r., cyt.: " (...) przyczyną skarg kierowanych przez Skarżącego był błąd pracownika Banku, który wykonując powierzone mu przez Bank czynności podczas dokonywania zmiany adresu innej Klientki Banku, pani Y (byłej użytkowniczki karty kredytowej wydanej na wniosek Skarżącego), zmienił również adres korespondencyjny przypisany do rachunku karty kredytowej Skarżącego. Efektem tej pomyłki było kierowanie przez Bank korespondencji przeznaczonej dla Skarżącego na jego imię i nazwisko, ale na adres Pani Y (...)".
Jak wskazał Skarżący w piśmie z dnia 7 marca 2011 r. cyt.: " (...) w dniu 28 maja 2010 r. Bank nieoczekiwanie zablokował Wnioskodawcy (Skarżącemu) dostęp do kart kredytowych przypisanych do rachunku Wnioskodawcy (Skarżącego). Powyższe wydarzenie doprowadziło do wymiany licznych pism pomiędzy Bankiem a Wnioskodawcą (Skarżącym), w których Wnioskodawca (Skarżący) usiłował dochodzić ochrony swoich praw. Niestety odpowiedzi Banku w większości ograniczały się do zbywania Wnioskodawcy (Skarżącego), bez realizacji obowiązków względem Wnioskodawcy (Skarżącego). Bank konsekwentnie, w sposób lakoniczny odmawiał spełnienia swego obowiązku względem Wnioskodawcy (Skarżącego),
w tym odpowiedział negatywnie na wniosek o udostępnienia danych osobowych (...)".
Wyżej opisane zablokowanie kart kredytowych Skarżącego było spowodowane zwrotami korespondencji kierowanej do Skarżącego na niewłaściwy adres do korespondencji. Jak wyjaśnił Skarżący cyt.: " (...) spowodowana przez pracownika Banku sytuacja stworzyła poważne zagrożenie dla interesów Wnioskodawcy (Skarżącego). Wbrew obrazowi kreślonemu przez Bank w niektórych pismach, to nie fakt blokady kart kredytowych jest najbardziej brzemienną konsekwencją uchybienia Banku, lecz fakt kierowania wyciągów z kart kredytowych Wnioskodawcy (Skarżącego) na adres osobny (osoby) niepowołanej, w dodatku wysoce z nim skonfliktowanej, mającej osobisty interes w uzyskaniu informacji na temat działań Wnioskodawcy (Skarżącego), dokonywanych przez niego zakupów, a także dat i miejsc transakcji a tym samym miejsca pobytu Wnioskodawcy (Skarżącego) (...)".
Pan X zwracał się z wieloma wnioskami do Banku m.in. o udostępnienie danych osobowych pracownika Banku, który dokonał zmiany adresu do korespondencji Skarżącego. Jak wskazał Skarżący cyt.: " (...) Bank odmawiał uczynieniu zadość żądaniom (...), jako wyjaśnienie swej postawy podając dokonanie zmiany danych Wnioskodawcy (Skarżącego) wskutek nieuświadomionego błędu pracownika i fakt, że Bank bierze pełną odpowiedzialność za działania tego pracownika. Jednakże pomimo parokrotnych wezwań, Bank nie wyjaśnił na czym miałby polegać taki nieuświadomiony błąd. Tymczasem, jak podkreślał Wnioskodawca (Skarżący) w pismach do Banku (...) trudno sobie wyobrazić, jaką postać miałby mieć taki nieświadomy błąd. Trudno bowiem w sposób nieuświadomiony przyjąć dyspozycję zmiany od osoby nie będącej posiadaczem rachunku (do tego innej płci), bez pełnomocnictwa. Powyższe budzi uzasadnione podejrzenie, iż Pani Y dokonała zmiany danych teleadresowych Wnioskodawcy (Skarżącego) w porozumieniu z pracownikiem Banku, (...). Taki wniosek dodatkowo uprawdopodabnia fakt, że zmiany dokonano w placówce w Warszawie-lokalu w którym Wnioskodawca (Skarżący) ani razu nie przebywał a zarazem jest to oddział daleki od miejsca zamieszkania Pani Y. Co sugeruje, że udała się ona do lokalu Banku, w którym zatrudniony był znany jej pracownik Banku-po to by przyjęcie wniosku od osoby w oczywisty sposób nieuprawnionej było skuteczne (...)".
Z uwagi na fakt, że Bank odmówił mu udostępnienia ww. danych osobowych, Skarżący zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o nakazanie Bankowi udostępnienia danych osobowych pracownika Banku w zakresie imienia, nazwiska i adresu zamieszkania. Skarżący wskazał, że cyt.: " (...) okoliczności uprawdopodabniające okoliczność celowej współpracy pracownika Banku z Panią Y przy dokonywaniu zmiany danych teleadresowych Wnioskodawcy (Skarżącego), uzasadniają udostępnienie Wnioskodawcy (Skarżącemu) (...) danych (...). Albowiem bez znajomości personaliów owego pracownika nie sposób zbadać jaka osobista relacja łączy tę osobę z Panią Y. Co natomiast ma oczywisty wpływ na ustalenie przyczyn, dla których dokonano bezprawnej zmiany danych Wnioskodawcy (Skarżącego). Dopiero znając dane w postaci imienia i nazwiska oraz miejsca zamieszkania owego pracownika Banku, możliwe będzie złożenie wniosku o przesłuchanie go w charakterze świadka (w ramach postępowania o orzeczenie rozdzielności majątkowej z datą wsteczną, czy też przyszłego postępowania o podział majątku wspólnego) (...)". Pan X dodatkowo wskazał, że cyt.: "(...) nie sposób aby ujawnienia imienia i nazwiska pracownika Banku (...) miało naruszać jego prawa i wolności. Podkreślić należy, że imię i nazwisko pracowników bankowych są danymi powszechnie, zwyczajowo udostępnianymi poprzez plakietkę wywieszoną na piersi. Skoro więc dane te są powszechnie udostępniane klientom banków, to w żaden sposób podanie ich Wnioskodawcy (Skarżącemu]- klientowi Banku-nie może naruszać danych tego pracownika. Natomiast udostępnienie miejsca zamieszkania owego pracownika nie może naruszać jego praw ani wolności, z uwagi na konieczność dysponowania tą daną na potrzeby postępowania sądowego (...)".
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych (zwany dalej również Generalnym Inspektorem) zważył, co następuje.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 23 ust. 1 ustawy. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 ustawy, w tym w szczególności do ich udostępnienia. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich. Zgodnie natomiast z art. 23 ust. 1 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4) albo jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).
Odnosząc się do żądania Skarżącego udostępnienia mu przez Bank danych osobowych pracownika Banku w zakresie imienia, nazwiska i miejsca zamieszkania, stwierdzić należy, że Skarżący nie wskazał konkretnego celu, dla realizacji którego niezbędne byłyby dla niego wnioskowane dane osobowe. Skarżący nie wykazał także, jakoby spełniał którąkolwiek z przesłanek udostępnienia danych osobowych wskazanych w art. 23 ust. 1 ustawy. Skarżący motywował swój wniosek tym, że cyt.: " (...) pojawi się potrzeba wszczęcia postępowania w sprawie działu majątku wspólnego. W ramach, którego konieczne będzie dokonania również wzajemnych rozliczeń. Stąd konieczne jest by Wnioskodawca (Skarżący) dysponował materiałami, pozwalającymi mu zbadać problem uszczuplania przez Panią Y ich majątku wspólnego oraz przedstawić takie dokumenty w ramach postępowania sądowego (...)", nie wskazując żadnych innych powodów, dla których żąda udostępnienia mu przedmiotowych danych osobowych.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych Skarżący nie uzasadnił wiarygodnie potrzeby posiadania żądanych danych osobowych. Skarżący nie wykazał, aby spełnił którąkolwiek z przesłanek, które legalizują udostępnienie danych osobowych. Należy podkreślić, że pracownik, których danych Skarżący żąda, nie wyraził zgody na udostępnienie jego danych osobowych Skarżącemu (art. 23 ust. 1 pkt 1 ustawy). Z przedmiotowej sprawy nie wynika także, aby udostępnienie danych osobowych pracownika Banku było niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Skarżącego, a przetwarzanie danych osobowych pracownika Banku nie naruszyło jego praw i wolności (art. 23 ust. 1 pkt 5 ustawy).
W ocenie Generalnego Inspektora aktualnie nie ma postaw do udostępnienia wnioskowanych danych osobowych Skarżącemu. Należy podkreślić, że organ nie neguje potrzeby pozyskania przez Skarżącego powyższych danych osobowych, lecz przy tak niesprecyzowanym celu ich pozyskania, nie ma podstaw do ich udostępnienia. Ponadto z przedstawionych przez Skarżącego dokumentów nie wynika, aby aktualnie toczyły się przed sądem postępowania, w toku których Skarżący byłby zobowiązany do wskazania powyższych danych osobowych. Nie sposób przy tym uznać, iż dane pracownika Banku (o które wnosił) są mu niezbędne w celu cyt.: "(...) wszczęcia postępowania w sprawie działu majątku wspólnego (...)". Podkreślić należy, iż administrator danych jest obowiązany ustalić czy udostępnione przez niego dane zostaną wykorzystane zgodnie z przeznaczeniem, dla którego zostały przekazane. Cele te powinny zostać oznaczone w sposób możliwe dokładny, bowiem tylko wtedy administrator będzie mógł ustalić, czy udostępnione przez niego dane zostaną wykorzystane zgodnie z przeznaczeniem, dla którego zostały przekazane. Natomiast z materiału dowodowego przedstawionego w niniejszej sprawie wynika, że administrator przedmiotowych danych osobowych nie znał konkretnego celu ich pozyskania. W ocenie Generalnego Inspektora Ochrony Danych Osobowych zachodzi uzasadniona obawa, czy rzeczywiście żądane dane osobowe są Skarżącemu potrzebne w celu dochodzenia praw przed sądem, skoro nie uprawdopodobnił on, aby aktualnie toczyło się postępowanie sądowe, w którym byłby zobowiązany wskazać dane pracownika Banku. W tym miejscu należy podkreślić, że ewentualne udostępnienie Skarżącemu danych osobowych pracownika Banku mogłoby doprowadzić do istotnego naruszenia jego praw i wolności (art. 23 ust. 1 pkt 5), a w szczególności jego prawa do prywatności. Jak stwierdził Trybunał Konstytucyjny w uzasadnieniu orzeczenia z dnia 24 czerwca 1997 r. (sygnatura: K. 21/96), koncepcja prawa do prywatności opiera się na zasadach i regułach odnoszących się do: "różnych sfer życia jednostki, a ich wspólnym mianownikiem jest przyznanie jednostce prawa "do życia własnym życiem, układanym według własnej woli z ograniczeniem do niezbędnego minimum wszelkiej ingerencji zewnętrznej. (A. Kopff, Koncepcje prawa do intymności i prywatności życia. Zagadnienia konstrukcyjne, Studia Cywilistyczne, t. XX/1972).
Mając powyższe na uwadze stwierdzić należy, że żądanie Skarżącego udostępnienia danych osobowych pracownika Banku w zakresie imienia, nazwiska i adresu zamieszkania, który dokonał zmiany adresu do korespondencji Skarżącego, nie spełnia żadnej z przesłanek wskazanych w cytowanym art. 23 ust. 1 ustawy o ochronie danych osobowych, legalizujących udostępnienie danych osobowych. Ponadto biorąc pod uwagę okoliczności wniosku Skarżącego nie można wykluczyć, iż wskutek udostępnienia Skarżącemu powyższych danych osobowych zostałyby naruszone prawa i wolności osoby, której te dane dotyczą, co w myśl art. 23 ust. 1 pkt 5 stanowi przeszkodę udostępnienia danych osobowych.
Mając na uwadze wyżej wskazywane przepisy art. 23 ust. 1 ustawy, stwierdzić należy, iż udostępnienie Skarżącemu ww. informacji mogłoby spowodować istotne naruszenie dóbr osobistych pracownika Banku, a w szczególności jego prawa do prywatności, nie ma bowiem pewności co do tego, czy dane te zostaną użyte we wskazanym przez Skarżącego celu.
Niezależnie od powyższego należy wskazać, że art. 429 ustawy - Kodeks cywilny z dnia 23 kwietnia 1964 r. (Dz. U. Nr 16, poz. 93 z późn. zm.) stanowi, że kto powierza wykonanie czynności drugiemu, ten jest odpowiedzialny za szkodę wyrządzoną przez sprawcę przy wykonywaniu powierzonej mu czynności, chyba że nie ponosi winy w wyborze albo że wykonanie czynności powierzył osobie, przedsiębiorstwu lub zakładowi, które w zakresie swej działalności zawodowej trudnią się wykonywaniem takich czynności. W świetle powyższego, trzeba wskazać, że ewentualne roszczenia w zakresie nieuprawnionej zmiany adresu do korespondencji Skarżącego (w tym wypadku błędu pracownika), powinny być wysuwane w stosunku do Banku, jako jego pracodawcy.
Na marginesie, odnośnie żądania Skarżącego cyt.: " (...) udostępnienia Wnioskodawcy (Skarżącemu) (...) wykazu wszystkich czynności dokonywanych przez pracownika Banku, (...) związanych z prowadzeniem rachunku (...) ze wskazaniem dokładnej chwili ich dokonania, uprzejmie informuję, że Generalny Inspektor Ochrony Danych Osobowych nie posiada kompetencji w ww. zakresie.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych w związku z art. 127 Kodeksu postępowania administracyjnego, stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa).