DOLiS/DEC-851/12/55481, 55482 - Dopuszczalność przetwarzania przez bank danych osobowych w celu wezwania członków zarządu na zebranie.
Pismo z dnia 13 września 2012 r. Generalny Inspektor Ochrony Danych Osobowych DOLiS/DEC-851/12/55481, 55482 Dopuszczalność przetwarzania przez bank danych osobowych w celu wezwania członków zarządu na zebranie.
DECYZJA
Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 22 w związku z art. 23 ust. 1 pkt 2 i art. 26 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po rozpoznaniu wniosku Pani A. W., o ponowne rozpatrzenie sprawy rozstrzygniętej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 28 lutego 2012 r. (znak: DOLiS/DEC-164/12/12913,12916), dotyczącą jej skargi na przetwarzanie jej danych osobowych przez Związek Rewizyjny Banków (...),
utrzymuję w mocy zaskarżoną decyzję.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani A. W., (dalej - Skarżąca), na przetwarzanie jej danych osobowych przez Związek Rewizyjny Banków (...) (dalej - Związek Rewizyjny). Skarżąca podniosła, że cyt.: " (...) (w) dniu (...) grudnia 2010 r. Bank (...) w R. otrzymał pismo ze Związku Rewizyjnego Banków (...), które zawierało m.in. wniosek o podanie danych adresowych Przedstawicieli na Zebranie Przedstawicieli Banku w R. Zarząd Banku nie przekazał tych danych, a w pierwszych dniach stycznia Przedstawiciele otrzymali od Związku Rewizyjnego pisma przesłane im na adresy domowe, to zaś uzasadnia przekonanie, że Zarząd Związku wszedł w posiadanie ich danych osobowych i wykorzystał je nielegalnie (...)". Jednocześnie Skarżąca wniosła o wszczęcie postępowania kontrolnego zmierzającego do wyjaśnienia legalności źródła pochodzenia jej danych osobowych, w szczególności cyt.: " (...) kto i kiedy dokonał ich przekazania do Związku Rewizyjnego a także legalności ich wykorzystania przez Związek Rewizyjny (...)". Pismem z dnia (...) marca 2011 r. precyzującym złożoną skargę Skarżąca wniosła dodatkowo cyt.: " (...) o wyciągnięcie konsekwencji służbowych w stosunku do osób odpowiadających za niezgodne z prawem przetwarzanie danych (...)".
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych (dalej - GIODO) ustalił, co następuje.
Od (...) sierpnia 1996 r. do (...) października 2011 r. Bank w R., (dalej - Bank) był członkiem Związku Rewizyjnego.
W dniu (...) listopada 2010 r. Skarżąca została czasowo (na okres 3 miesięcy) delegowana przez Radę Nadzorczą Banku do pełnienia funkcji Prezesa Banku. W tym okresie Skarżąca była członkiem Rady Nadzorczej Banku i Przedstawicielem Banku na Zebranie Przedstawicieli Banku w R. (dalej - Zebranie Przedstawicieli).
W dniu (...) grudnia 2010 r. Związek Rewizyjny otrzymał wniosek Przedstawicieli Banku na Zebranie Przedstawicieli (z dnia (...) listopada 2010 r.) o zwołanie przedmiotowego Zebrania z porządkiem obrad dotyczącym zmian w składzie Rady Nadzorczej oraz ustalenia wynagrodzenia dla jej członków.
Pismem z dnia (...) grudnia 2010 r. znak (...) Związek Rewizyjny, z uwagi na konieczność poinformowania Przedstawicieli Banku o zwołaniu Zebrania Przedstawicieli, zwrócił się do Banku z wnioskiem m.in. o udostępnienie informacji o składzie osobowym (wraz z adresami) Przedstawicieli Banku na Zebranie Przedstawicieli. W złożonych wobec GIODO wyjaśnieniach Związek Rewizyjny wskazał dodatkowo, że w omawianym okresie w Banku istniały dwa Zarządy (wpisany do Krajowego Rejestru Sądowego - dalej: KRS - oraz wybrany w innym składzie, lecz nie wpisany do KRS).
Pismem z dnia (...) grudnia 2010 r. Zarząd Banku poinformował Związek Rewizyjny o aktualnym składzie osobowym Zarządu Banku wskazując dane osobowe jego członków w zakresie imion i nazwisk (w tym Skarżącej) oraz zajmowanego stanowiska. Ponadto, Zarząd Banku poinformował Związek Rewizyjny, że informacja o składzie osobowym Przedstawicieli Banku na Zebranie Przedstawicieli zostanie przekazana niezwłocznie po aktualizacji przedmiotowego składu. Jednocześnie Zarząd Banku, który był adresatem pisma, o którym mowa w pkt 4 nie udostępnił danych osobowych członków Zarządu w zakresie ich adresów zamieszkania.
Związek Rewizyjny, z uwagi na brak informacji ze strony Zarządu Banku (nie wpisanego do KRS) dotyczącej adresów zamieszkania jego Przedstawicieli na Zebranie Przedstawicieli, zwrócił się do Zarządu Banku (wpisanego do KRS) w formie ustnej i otrzymał przedmiotowe dane (w tym dane osobowe Skarżącej).
Pismem z dnia (...) stycznia 2011 r. znak (...), przesłanym na adres zamieszkania Skarżącej (pozyskany w sposób wskazany w punkcie poprzedzającym), będącej Przedstawicielem Banku na Zebranie Przedstawicieli, Związek Rewizyjny przesłał zawiadomienie m.in. o dacie, miejscu i celu zwołania na dzień (...) stycznia 2011 r. Zebrania Przedstawicieli.
W dniu (...) stycznia 2011 r. Skarżąca, działając jako Prezes Zarządu Banku, zwróciła się do Związku Rewizyjnego o wyjaśnienie m.in. źródła pozyskania przez Związek Rewizyjny jej danych osobowych (w tym adresowych) jako Przedstawiciela Banku na Zebranie Przedstawicieli.
Pismem z dnia (...) stycznia 2011 r. znak:(...), przesłanym na adres zamieszkania Skarżącej, będącej Przedstawicielem Banku na Zebranie Przedstawicieli, Związek Rewizyjny przesłał zawiadomienie o uzupełnieniu porządku obrad Zebrania Przedstawicieli.
W zawartym w materiale dowodowym odpisie z Rejestru Przedsiębiorców Krajowego Rejestru Sądowego (stan na dzień: (...) stycznia 2011 r., numer KRS: (...) dane osobowe Skarżącej w zakresie jej imienia i nazwiska figurują jako dane członka Rady Nadzorczej w Dziale 2, Rubryce 2, Podrubryce 1 (dotyczącej organu nadzoru).
Po przeprowadzeniu postępowania administracyjnego w przedmiotowej sprawie GIODO w dniu 28 lutego 2012 r. wydał decyzję (znak: DOLiS/DEC-164/12/12913,12916), odmawiającą uwzględnienia wniosku.
Pismem z dnia (...) marca 2012 r. (w ustawowym terminie) Skarżąca złożyła wniosek o ponowne rozpatrzenie sprawy rozstrzygniętej ww. decyzją. W ww. wniosku Skarżąca zarzuciła, że z wyrażonym w uzasadnieniu zaskarżonej decyzji poglądem, iż pozyskanie przez Związek Rewizyjny jej danych osobowych oraz ich przetwarzanie mieściło się w ramach obowiązujących przepisów prawa nie sposób się zgodzić, oraz że jest on też wynikiem błędnej wykładni obowiązujących przepisów prawa. Skarżąca wskazała, że " (...) Związek Rewizyjny pozyskał moje (i nie tylko moje) dane osobowe od poprzedniego Zarządu Banku w R., wpisanego w dacie ujawnienia danych w KRS, po dniu (...) grudnia 2011 r. w którym to dniu Bank w R. pisemnie odmówił Związkowi Rewizyjnemu udostępnienia tych danych. W tej sytuacji dane osobowe zostały przez Związek Rewizyjny pozyskane od poprzedniego Zarządu Banku (G. B. i M. B.). Tymczasem, osoby te zostały ze składu Zarządu odwołane w dniu (...) listopada 2010 r., o czym Związek Rewizyjny wiedział, i o czym wiedział też tut. Organ. Okoliczność ta nie znalazła odzwierciedlenia w uzasadnieniu zaskarżonej decyzji, co więcej tut. Organ bezkrytycznie przyjął wyjaśnienia Związku Rewizyjnego i dokonał oceny powinności organów Banku w R. Oczywistym jest, że wskutek odwołania w dniu (...).11.2010 r. mandaty G. B. i M. B. wygasły, osoby te utraciły prawo reprezentacji Banku, zostały odsunięte od wszelkich czynności i dostępu do dokumentacji Banku, w tym danych osobowych członków". Skarżąca podniosła również, iż "skoro zatem już od dnia (...).11.2010 r. G. B. i M. B. nie posiadali dostępu do danych osobowych, oczywistym jest, że skoro ujawnili je Związkowi Rewizyjnemu po (...) grudnia 2010 r., to albo posiadali ich zbiór po odwołaniu (np. skopiowany z danych Banku), albo sami pozyskali go w sposób nielegalny. W obu tych przypadkach osoby te nie miały prawa posiadać i przetwarzać danych osobowych członków Banku, ani udostępnić ich Związkowi Rewizyjnemu. Tut. Organ zaniedbał wyjaśnienia tych istotnych okoliczności bezkrytycznie przyjmując za własne stanowisko Związku Rewizyjnego, który w nie oglądając się na interes Banku, sposób wysoce pospieszny zwołał Zebranie Przedstawicieli, doprowadzając w ten sposób do poważnego zakłócenia działalności Banku, wręcz zagrażający jego istnieniu".
Skarżąca wniosła o zmianę zaskarżonej decyzji i uwzględnienie wniosku.
Po powtórnym rozpatrzeniu zgromadzonego w sprawie materiału dowodowego i przeanalizowaniu wniosku o ponowne rozpatrzenie sprawy GIODO zważył, co następuje.
Rozstrzygnięcie zawarte w zaskarżonej decyzji z dnia 28 lutego 2012 r. (znak: DOLiS/DEC-164/12/12913,12916) jest prawidłowe, a okoliczności podniesione we wniosku o ponowne rozpatrzenie sprawy nie uzasadniają jego zmiany.
Odnosząc się do zarzutu zebrania przez Związek Rewizyjny danych osobowych Skarżącej od osób nieuprawnionych do reprezentowania Banku wskazać należy, że przedmiotem niniejszego postępowania jest kwestia dopuszczalności przetwarzania danych osobowych Skarżącej przez Związek Rewizyjny nie zaś przez Bank lub członków jego Zarządu wpisanego do KRS. Z związku z powyższym, ocenie w niniejszym postępowaniu podlega to, czy po stronie Związku Rewizyjnego wystąpiła którakolwiek z materialnych przesłanek zawartych w art. 23 ust. 1 pkt 1-5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą, nie zaś to czy taka przesłanka wystąpiła po stronie Banku lub członków jego Zarządu wpisanego do KRS. Jedynie na marginesie można wskazać, że w przypadku gdy członek organu banku (...) jest również członkiem tego banku - taka zaś konstrukcja wynika z treści § 19 ust. 3 statutu Banku (karta 50 akt sprawy) - nie można uznać, iż zaprzestanie pełnienia przez niego funkcji skutkuje niedopuszczalnością posiadania danych osobowych innego członka lub też niedopuszczalnością dostępu do tych informacji. Wynika to z faktu, że przepisy ustawy z dnia 16 września 1982 r. - Prawo spółdzielcze (Dz. U. z 2003 r. Nr 188, poz. 1848 z późn. zm.) prawo dostępu do informacji m.in. o imionach i nazwiskach oraz miejscach zamieszkania innych członków oraz prawo zaznajamiania się z uchwałami organów spółdzielni i protokołami obrad organów spółdzielni gwarantują wszystkim członkom spółdzielni, nie zaś tylko członkom jej organów. Zgodnie bowiem z art. 30 Prawa spółdzielczego zarząd spółdzielni prowadzi rejestr członków zawierający ich imiona i nazwiska oraz miejsce zamieszkania (w odniesieniu do członków będących osobami prawnymi - ich nazwę i siedzibę), wysokość zadeklarowanych i wniesionych udziałów, wysokość wniesionych wkładów, ich rodzaj, jeżeli są to wkłady niepieniężne, zmiany tych danych, datę przyjęcia w poczet członków, datę wypowiedzenia członkostwa i jego ustania, a także inne dane przewidziane w statucie. Członek spółdzielni, jego małżonek i wierzyciel członka lub spółdzielni ma prawo przeglądać rejestr. W myśl art. 18 § 2 pkt 3 Prawa spółdzielczego członek spółdzielni ma prawo m.in. zaznajamiania się z uchwałami organów spółdzielni i protokołami obrad organów spółdzielni. Ponadto wskazać należy, że do przetwarzania danych osobowych przez osobę fizyczną, jeżeli nie ma ono związku z prowadzoną przez tę osobę działalnością zawodową lub zarobkową, nie mają zastosowania przepisy ustawy. Zgodnie bowiem z art. 3 ustawy (ust. 1) ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych, (ust. 2) ustawę stosuje się również do: (pkt 1) podmiotów niepublicznych realizujących zadania publiczne, (pkt 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
Wracając do przedmiotu sprawy wskazać należy, że GIODO podtrzymuje zajęte w zaskarżonej decyzji stanowisko, iż zebranie przez Związek Rewizyjny danych osobowych Skarżącej było dopuszczalne z uwagi na fakt, iż było niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 ustawy). Stosownie do art. 39 § 5 ustawy - Prawo spółdzielcze, którego odpowiednikiem jest § 22 ust. 5 Statutu Banku, w wypadkach wskazanych w § 2 i 3 walne zgromadzenie (zebranie przedstawicieli) zwołuje się w takim terminie, aby mogło się ono odbyć w ciągu sześciu tygodni od dnia wniesienia żądania. Jeżeli to nie nastąpi, zwołuje je rada nadzorcza, związek rewizyjny, w którym spółdzielnia jest zrzeszona, lub Krajowa Rada Spółdzielcza, na koszt spółdzielni. Taka sytuacja wystąpiła w Banku i w jej następstwie Związek Rewizyjny, którego członkiem był w analizowanym okresie czasu Bank, podjął czynności formalno-prawne i faktyczne związane ze zwołaniem Zebrania Przedstawicieli tego Banku. Zgodnie z § 23 ust. 1 Statutu Banku, o czasie, miejscu i porządku obrad Walnego Zgromadzenia (Zebrania Przedstawicieli) zawiadamia się członków Banku Spółdzielczego, z zastrzeżeniem ust. 3, pisemnie, za zwrotnym potwierdzeniem odbioru lub listem poleconym, co najmniej 14 (czternaście) dni przed jego terminem. Ponadto, w myśl § 23 ust. 5 Statutu Banku uprawnieni do żądania zwołania Walnego Zgromadzenia (Zebrania Przedstawicieli) mogą również żądać uzupełnienia porządku obrad, pod warunkiem złożenia tego żądania nie później niż na 14 dni przed terminem Walnego Zgromadzenia (Zebrania Przedstawicieli).
Z uwagi na powyższe regulacje należy zauważyć, że na działającym w zastępstwie Zarządu Banku i Rady Nadzorczej Związku Rewizyjnym ciążył obowiązek zwołania Zebrania Przedstawicieli. Z przedmiotowym obowiązkiem związana była konieczność przesłania do Skarżącej (Przedstawiciela Banku wybranego na Zebranie Przedstawicieli), zawiadomienia o czasie, miejscu i porządku (uzupełnieniu porządku) obrad wskazanego Zebrania. Powyższy obowiązek został zrealizowany przez Związek Rewizyjny dwoma pismami - z dnia 3 stycznia 2011 r. (informacja o czasie, miejscu i porządku zwołania Zebrania Przedstawicieli) i 12 stycznia 2011 r. (informacja o uzupełnieniu porządku obrad Zebrania Przedstawicieli). Nie ulega wątpliwości, że Związek Rewizyjny, nie posiadając żadnych danych osobowych Skarżącej, nie mógł zadośćuczynić obowiązkowi ustawowemu i statutowemu. Powyższe uzasadniało zatem wystąpienie Związku Rewizyjnego z wnioskiem o udostępnienie mu informacji pozwalających na realizację tego obowiązku.
Należy jednocześnie zauważyć, iż wobec faktu udostępnienia przez Zarząd Banku jedynie informacji o aktualnym składzie osobowym Zarządu (w tym danych osobowych Skarżącej w zakresie imienia, nazwiska, zajmowanego stanowiska oraz sposobu powołania), Związek Rewizyjny nadal nie mógł wypełnić obowiązku zwołania Zebrania Przedstawicieli i związanego z nim obowiązku zawiadomienia Skarżącej jako Przedstawiciela Banku na przedmiotowe Zebranie o czasie, miejscu i porządku obrad. Zebranie przez Związek Rewizyjny informacji identyfikujących Skarżącą jako Przedstawiciela Banku (w tym informacji o jej adresie zamieszkania) było zatem niezbędne dla zrealizowania przez niego obowiązku, o którym mowa w art. 39 § 5 Prawa spółdzielczego oraz § 23 ust. 1 Statutu Banku, a więc zaistniała dopuszczająca przetwarzanie danych osobowych przesłanka określona w przytoczonym wcześniej art. 23 ust. 1 pkt 2 ustawy.
GIODO podtrzymuje również zaprezentowane w zaskarżonej decyzji stanowisko odnośnie wykorzystania przez Związek Rewizyjny już zebranych danych osobowych Skarżącej tj. iż było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 ustawy). Związek Rewizyjny działał w wykonaniu obowiązku, o którym mowa w art. 39 § 5 Prawa spółdzielczego oraz § 23 ust. 1 Statutu Banku. Dane osobowe Skarżącej zostały zebrane w celu przesłania jej zawiadomień o czasie, miejscu oraz porządku (uzupełnieniu porządku) obrad na Zgromadzeniu Przedstawicieli. Związek Rewizyjny zatem, przesyłając pisma z dnia 3 i 12 stycznia 2011 r. na adres zamieszkania Skarżącej, działał w ramach celu, dla którego jej dane osobowe zostały zebrane, a zatem zgodnie z przepisami dotyczącymi ochrony danych osobowych. Nie doszło bowiem do naruszenia art. 26 ust. 1 pkt 2 ustawy, zgodnie z którym administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.
Niezależnie od powyższego, mając na uwadze, iż Skarżąca wnosiła w niniejszym postępowaniu o wyciągnięcie konsekwencji służbowych w stosunku do osób odpowiadających za niezgodne z prawem przetwarzanie jej danych, wskazać należy, że zakres możliwości rozstrzygnięcia sprawy przez GIODO na wniosek osoby, której dane dotyczą, wyznacza art. 18 ust. 1 ustawy, zgodnie z którym w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: (pkt 1) usunięcie uchybień, (pkt 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, (pkt 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, (pkt 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, (pkt 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, (pkt 6) usunięcie danych osobowych. Zatem, osoba inicjująca postępowanie administracyjne prowadzone przez GIODO nie może skutecznie domagać się od tego organu wyciągnięcia konsekwencji służbowych w stosunku do osób biorących udział w procesie przetwarzania danych osobowych. Ponadto, GIODO nie jest pracodawcą osób biorących udział w procesie przetwarzania danych osobowych Skarżącej w sposób, którego dotyczy niniejsze postępowanie, w związku z czym prawo do wyciągania konsekwencji służbowych w stosunku do tych osób mu nie przysługuje.
Reasumując, po dokonaniu ponownej analizy rozpatrywanej sprawy GIODO podtrzymuje rozstrzygnięcie zawarte w decyzji z dnia 28 lutego 2012 r. (znak: DOLiS/DEC-164/12/12913,12916).
Decyzja jest ostateczna. Na podstawie art. 21 ust. 2 ustawy o ochronie danych osobowych, w związku z art. 13 § 2 oraz art. 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r. poz. 270), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych (na adres: ul. Stawki 2, 00 - 193 Warszawa).