GI-DEC-DOLiS-274/07 - Udostępnianie danych osobowych przez ZUS dla pracodawcy.
Pismo z dnia 3 grudnia 2007 r. Generalny Inspektor Ochrony Danych Osobowych GI-DEC-DOLiS-274/07 Udostępnianie danych osobowych przez ZUS dla pracodawcy.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98 poz. 1071 z późn. zm.), art. 12 pkt 2 i 23 ust 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w zw. z 34 ust. 3 i 4 oraz art. 50 ust. 3 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. Nr 137, poz. 887 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Dyrektora Izby Celnej w (...) z siedzibą w (...), na odmowę udostępnienia przez Zakład Ubezpieczeń Społecznych z siedzibą w (...), (Oddział w (...), danych osobowych Pani X zam. w (...),
odmawiam uwzględnienia wniosku.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Dyrektora Izby Celnej w (...) z siedzibą w (...), na odmowę udostępnienia przez Zakład Ubezpieczeń Społecznych z siedzibą w (...) (Oddział w (...) - zwany dalej ZUS, danych osobowych Pani X zam. w (...). Dyrektor Izby Celnej w (...) wskazał, że wystąpił do ZUS z wnioskiem o udostępnienie danych dotyczących Pani X, w szczególności informacji, czy posiada ona rentę z tytułu niezdolności do pracy, ponieważ okoliczność ta w sposób istotny wpływa na stosunek służbowy Pani X, a brak powyższych danych uniemożliwia prawidłowe wykonywanie zadań Dyrektora Izby Celnej w (...) jako organu celnego przewidzianych w ustawie z dnia o służbie celnej (Dz. U. z 2004 r. Nr 156, poz. 1641 z późn. zm.). Dyrektor Izby Celnej w (...) występując do ZUS o udostępnienie danych osobowych Pani X wskazał, że jego działanie wynika z przepisów prawa i uzasadniając przedmiotowy wniosek powołał art. 1b pkt 5 oraz art. 1f ustawy o służbie celnej w związku z art. 26 ust. 4 tej ustawy, a także § 1 ust. 1 pkt 2 i § 2 ust. 2 rozporządzenia Rady Ministrów z dnia 25 stycznia 2005 r. w sprawie zasad współdziałania organów celnych z organami administracji publicznej oraz z innymi państwowymi i samorządowymi jednostkami organizacyjnymi (Dz. U. Nr 28, poz. 235).
W toku przeprowadzonego w przedmiotowej sprawie postępowania Generalny Inspektor Ochrony Danych Osobowych ustalił co następuje:
Pismem z dnia 23 marca 2007 r. Dyrektor Izby Celnej w (...) wystąpił do ZUS r. o udzielenie informacji, czy Pani X przebywała lub przebywa na rencie, a jeżeli tak, to w jakim okresie czasu i z jakiego tytułu. Podkreślił również, że brak powyższych danych uniemożliwia prawidłowe wykonywanie zadań organu celnego przewidzianych w ustawie o służbie celnej.
ZUS odmówił udostępnienia przedmiotowych danych wskazując, że Dyrektor Izby Celnej w (...) nie jest podmiotem uprawnionym do ich otrzymania na podstawie art. 50 ust. 3 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. Nr 137, poz. 887 z późn. zm.), a złożony przez niego wniosek nie zawiera podstawy prawnej obligującej ZUS do udostępnienia przedmiotowych danych.
Kolejnymi pismami z dnia 10 kwietnia 2007 r. oraz 22 maja 2007 r. Dyrektor Izby Celnej w (...) ponawiał wystąpienia do ZUS o udostępnienie danych osobowych Pani X, wskazując jednocześnie podstawę prawną kierowanych przez niego wystąpień.
W odpowiedzi na powyższe wystąpienia ZUS potrzymał swoje stanowisko i odmówił udostępnienia przedmiotowych danych wyjaśniając, że przepisy powołane we wniosku nie stanowią podstawy prawnej ich udostępnienia.
W dniu 13 października 2007 r. Pani X ustosunkowując się do korespondencji skierowanej do niej przez Biuro Generalnego Inspektora Ochrony Danych Osobowych zakwestionowała legalność działań Dyrektora Izby Celnej w (...) zmierzających do pozyskania jej danych osobowych od ZUS, podkreślając, że nie wyraziła zgody na udostępnienie jej danych osobowych.
Po zapoznaniu się z całością materiału dowodowego zgromadzonego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwana dalej ustawą określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przetwarzanie danych osobowych, w tym ich udostępnianie i pozyskanie, może być uznane za zgodne z prawem jedynie wówczas, gdy administrator danych wykaże spełnienie co najmniej jednej z materialnych przesłanek. Przesłanki te - co do zasady równoprawne, zostały enumeratywnie wymienione w art. 23 ust. 1 ustawy. Na mocy tego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego oraz gdy 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych żadna z ww. przesłanek przetwarzania danych osobowych nie upoważnia Dyrektora Izby Celnej do pozyskania danych osobowych Pani X.
W przedstawionym stanie faktycznym, należy stwierdzić, że przepisami prawa, które regulują przetwarzanie danych osobowych osób objętych ubezpieczeniem społecznym są przepisy ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. Nr 137, poz. 887 z późn. zm.).
W świetle przepisów ww. ustawy ocenie Generalnego Inspektora podlega również przetwarzanie danych osobowych w zbiorach prowadzonych przez ZUS. Stanowi o tym wprost art. 34 ust. 3 ustawy o systemie ubezpieczeń społecznych, zgodnie z którym, do informacji zawartych na kontach ubezpieczonych i kontach płatników składek oraz danych źródłowych będących podstawą zapisów na tych kontach stosuje się przepisy o ochronie danych osobowych. Artykuł 34 ust. 4 ustawy o systemie ubezpieczeń społecznych przewiduje zarazem, że wykorzystywanie danych osobowych i innych informacji zgromadzonych na kontach ubezpieczonych dopuszczalne jest jedynie w przypadkach określonych w ustawie. Jednocześnie, w myśl art. 50 ust. 3 omawianego aktu prawnego, dane zgromadzone na koncie ubezpieczonego, o których mowa w art. 40, i na koncie płatnika składek, o których mowa w art. 45, mogą być udostępniane sądom, prokuratorom, organom kontroli skarbowej, organom podatkowym, komornikom sądowym, ośrodkom pomocy społecznej, powiatowym centrom pomocy rodzinie oraz Komisji Nadzoru Ubezpieczeń i Funduszy Emerytalnych, z uwzględnieniem przepisów dotyczących ochrony danych osobowych.
Z brzmienia art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych wynika zatem, że ogranicza on dopuszczalność udostępniania danych innym podmiotom. W przepisie tym został bowiem jednoznacznie wskazany krąg podmiotów, na rzecz których ZUS może udostępnić administrowane przez siebie dane. Brak jest zatem podstaw prawnych dla udostępnienia przez ZUS danych osobowych podmiotom nie wymienionym w tym katalogu.
W kontekście powyższego stwierdzić należy, że Generalny Inspektor nie kwestionuje uprawnienia Dyrektora Izby Celnej do realizacji jego ustawowych kompetencji jednakże z uwagi na zamknięty katalog podmiotów wskazanych w treści art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych inne przepisy prawa nie mogą stanowić podstawy prawnej pozyskania danych osobowych Pani X.
Biorąc pod uwagę powyższe, stwierdzić należy, że ZUS nie naruszył przepisów ustawy o ochronie danych osobowych, ponieważ odmowa udostępnienia danych Pani X znajduje uzasadnienie w przepisach ustawy o systemie ubezpieczeń społecznych.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art. 129 § 2 Kodeksu postępowania administracyjnego strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: 00-193 Warszawa, ul. Stawki 2) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.