GI-DEC-DS-271/06/729,703,731,732,733,744 - Udostępnianie przez ZUS danych osobowych dotyczących wypłacania zasiłków chorobowych za okres pozostawania bez pracy.

Na podstawie art. 138 § 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 22, art. 12 pkt 2 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w zw. z art. 50 ust. 3 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. Nr 137, poz. 887 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Zakładu Ubezpieczeń Społecznych, z siedzibą (...), o ponowne rozpatrzenie sprawy skargi Spółdzielni Mieszkaniowej w (...), dotyczącej odmowy udostępnienia przez Zakład Ubezpieczeń Społecznych danych osobowych Pani AB, zam. w (...), Pani BC, zam. (...), Pani CD, zam. (...) i Pana DE, zam. (...), w zakresie informacji o wypłaconych tym osobom zasiłkach chorobowych lub świadczeniach rehabilitacyjnych (wysokość i okresy wypłat) za okres pozostawania przez te osoby bez pracy, rozstrzygniętej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 12 kwietnia 2006 r. (znak: GI-DEC-DS-128/06/379,380,381,382,383,384),

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło pismo Spółdzielni Mieszkaniowej (...), z siedzibą (...), zwanej dalej również Spółdzielnią, stanowiące skargę na odmowę

udostępnienia przez Zakład Ubezpieczeń Społecznych, z siedzibą w (...) przy (...), zwany dalej również ZUS, danych osobowych Pani AB, zam. (...), Pani BC, zam. (...), Pani CD, zam. w (...) i Pana DE, zam. (...), w zakresie informacji o wypłaconych tym osobom zasiłkach chorobowych lub świadczeniach rehabilitacyjnych (wysokość i okresy wypłat), za okres pozostawania przez te osoby bez pracy. Spółdzielnia poinformowała przy tym, że wymienione osoby, będące jej aktualnymi (Pani AB, Pani BC, Pani CD) oraz byłymi pracownikami (Pan DE), na drodze sądowej dochodzą od niej zapłaty należności tytułem wynagrodzenia za okres pozostawania bez pracy, co wymaga uwzględnienia przez sąd okresu pobierania w tym czasie zasiłku chorobowego lub świadczenia rehabilitacyjnego. Dążąc do uzyskania powyższych informacji przy pomocy Generalnego Inspektora Ochrony Danych Osobowych Spółdzielnia zapewniła, że wykorzysta je wyłącznie dla celów dowodowych, w ramach postępowań sądowych, których jest stroną.

Z dalszej korespondencji nadesłanej w przedmiotowej sprawie przez Spółdzielnię, a także przez Panią AB i Panią BC wynika, iż okresy pozostawania bez pracy, za które ww. byli i obecni pracownicy Spółdzielni dochodzą przed sądem zapłaty wynagrodzenia obejmują: okres od dnia 10 września 2002 r. do dnia 3 kwietnia 2004 r. w przypadku Pani AB, okres od dnia 10 września 2002 r. do dnia 30 kwietnia 2004 r. w przypadku Pani BC, okres od dnia 8 kwietnia 1999 r. do dnia 5 kwietnia 2004 r. w przypadku Pani CD oraz okres od dnia 1 stycznia 2000 r. do dnia 1 maja 2005 r. w przypadku Pana DE. Spółdzielnia wskazała przy tym, że jakkolwiek postępowania sądowe w sprawach Pani AB (prowadzone pod sygn. akt: IV P 240/05) i Pani BC (prowadzone pod sygn. akt: IV P 449/05) zakończyły się wyrokami Sądu Rejonowego w Ciechanowie IV Wydział Pracy odpowiednio z dnia 21 października 2005 r. i z dnia 17 listopada 2005 r. (zasądzającymi od pozwanej Spółdzielni zapłatę określonych kwot pieniężnych na rzecz powódek), orzeczenia te są nieprawomocne, a w toku ww. postępowań sądowych Spółdzielnia nie uzyskała z ZUS informacji o wypłaconych powódkom zasiłkach chorobowych lub świadczeniach rehablilitacyjnych. Sprawy z powództwa Pani CD i Pana DE przeciwko Spółdzielni - z uwagi na wartość przedmiotu sporu -podlegają natomiast rozpoznaniu przez Sąd Okręgowy w Płocku (sprawy o sygn. akt: VI P-6/05 i VI P-5/05), jednak nie zostały jeszcze przez ten organ rozstrzygnięte.

W toku przeprowadzonego w przedmiotowej sprawie postępowania Generalny Inspektor Ochrony Danych Osobowych ustalił, że w dniu 4 października 2005 r. Spółdzielnia skierowała wniosek o udostępnienie jej danych wymienionych wyżej osób, w opisanym zakresie, bezpośrednio do ZUS - Inspektorat w (...), z siedzibą w (...) przy ul. (...) (kopia wniosku L.dz. KN-3561/2005 w aktach sprawy). Pismem z dnia 10 października 2005 r. ZUS odmówił jednak uwzględnienia wniosku Spółdzielni, powołując się w szczególności na przepisy art. 34 ust. 3 i art. 50 ust. 3 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. Nr 137, poz. 887 z późn. zm.). Wskazując na art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również ustawą, ZUS argumentował jednocześnie: " (...) zważywszy, że p. AB, p. BC, p. CD są pracownicami (...) Spółdzielni - to ich pisemna zgoda pozwoli na udzielenie potrzebnej odpowiedzi. W przypadku DE, który nie jest już pracownikiem Sp-ni Mieszkaniowej, udostępnienie ww. danych może nastąpić na wniosek sądu przed którym toczy się postępowanie".

Wobec odmowy udostępnienia wnioskowanych informacji przez ZUS, Spółdzielnia wystąpiła o wydanie stosownej decyzji w tym zakresie do Generalnego Inspektora.

W ramach udzielonych organowi do spraw ochrony danych osobowych wyjaśnień w przedmiotowej sprawie, w piśmie z dnia 2 grudnia 2005 r. (znak: NO-z/070/28-2/2005) ZUS wskazał w szczególności, iż: "(...) Departament Ochrony Informacji podtrzymuje stanowisko Inspektoratu {Inspektoratu ZUS w Płońsku}odnośnie odmowy udostępnienia informacji (...)".

Na podstawie poczynionych ustaleń w dniu 12 kwietnia 2006 r. Generalny Inspektor wydał decyzję administracyjną (znak: GI-DEC-DS-128/06/379,380,381,382,383,384), mocą której nakazał ZUS udostępnienie Spółdzielni danych osobowych Pani AB, Pani BC, Pani CD i Pana DE w zakresie informacji o wypłaconych tym osobom zasiłkach chorobowych lub świadczeniach rehabilitacyjnych (wysokość i okresy wypłat) za okres pozostawania przez te osoby bez pracy, tj. za okres: od dnia 10 września 2002 r. do dnia 3 kwietnia 2004 r. w przypadku Pani AB, od dnia 10 września 2002 r. do dnia 30 kwietnia 2004 r. w przypadku Pani BC, od dnia 8 kwietnia 1999 r. do dnia 5 kwietnia 2004 r. w przypadku Pani CD, od dnia 1 stycznia 2000 r. do dnia 1 maja 2005 r. w przypadku Pana DE.

W dniu 27 kwietnia 2006 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło pismo ZUS z dnia 24 kwietnia 2006 r. (znak: NO-z/070/28-3/2005), stanowiące wniosek o ponowne rozpatrzenie przedmiotowej sprawy.

W treści powyższego wniosku ZUS zarzucił Generalnemu Inspektorowi pominięcie przy rozpatrywaniu niniejszej sprawy art. 5 ustawy o ochronie danych osobowych, stanowiącego, że w sytuacji, gdy przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Jak zaś wskazał ZUS: "(...) W stosunku do danych zgromadzonych w zasobach informacyjnych ZUS ochronę dalej idącą niż ta, która wynika z ustawy o ochronie danych osobowych wprowadza art. 50 ust. 3 - 10 ustawy (...) o systemie ubezpieczeń społecznych (...)".

Ponadto, zdaniem ZUS Generalny Inspektor wybiórczo powołał w uzasadnieniu kwestionowanej decyzji administracyjnej wyrok Naczelnego Sądu Administracyjnego z dnia 21 marca 2002 r. (sygn. akt: II SA 1854/2001) i błędnie zinterpretował to orzeczenie w części dotyczącej wzajemnych relacji pomiędzy art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych a art. 23 ust. 1 ustawy o ochronie danych osobowych. ZUS argumentował jednocześnie: "(...) stanowisko wyrażone w uzasadnieniu decyzji GIODO {Generalnego Inspektora}, mówiące o tym że art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych nie wyklucza stosowania art. 23 ust. 1 ustawy o ochronie danych osobowych prowadzi do wniosku, że przepis art. 50 ust. 3 stanowi zbędną normę prawną, a takie domniemanie przeczy racjonalności prawodawcy i jest niedopuszczalne (...)".

ZUS zarzucił także Generalnemu Inspektorowi niekonsekwencję podnosząc, że w analogicznej sprawie, dotyczącej odmowy udostępnienia przez ZUS na rzecz Wytwórczo - Usługowej Spółdzielni Pracy z siedzibą w (...), informacji o okresie pobierania zasiłku chorobowego przez beneficjenta tego świadczenia "(...) GIODO {Generalny Inspektor} zajął całkowicie inne stanowisko, uznając racje ZUS za w pełni zasadne (...)".

Po ponownym zapoznaniu się z całością materiału dowodowego zgromadzonego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:

Na gruncie przepisów ustawy o ochronie danych osobowych zasadniczym warunkiem legalności każdej czynności mieszczącej się w pojęciu przetwarzania danych jest zaistnienie którekolwiek z przesłanek dopuszczalności przetwarzania danych enumeratywnie wymienionych w art. 23 ust. 1 pkt 1-5 tego aktu prawnego. Przetwarzanie danych jest więc dopuszczalne w szczególności wówczas, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2) oraz gdy jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).

Niewątpliwym jest, że ocenie w świetle przepisów ustawy o ochronie danych osobowych podlega również przetwarzanie danych osobowych w zbiorach prowadzonych przez ZUS. Stanowi o tym bowiem wprost art. 34 ust. 3 ustawy o systemie ubezpieczeń społecznych zgodnie z którym, do informacji zawartych na kontach ubezpieczonych i kontach płatników składek oraz danych źródłowych będących podstawą zapisów na tych kontach stosuje się przepisy o ochronie danych osobowych. Artykuł 34 ust. 4 ustawy o systemie ubezpieczeń społecznych przewiduje zarazem, że wykorzystywanie danych osobowych i innych informacji zgromadzonych na kontach ubezpieczonych dopuszczalne jest jedynie w przypadkach określonych w ustawie. Jednocześnie, w myśl art. 50 ust. 3 omawianego aktu prawnego, dane zgromadzone na koncie ubezpieczonego, o których mowa w art. 40, i na koncie płatnika składek, o których mowa w art. 45, mogą być udostępniane sądom, prokuratorom, organom kontroli skarbowej, organom podatkowym, komornikom sądowym, ośrodkom pomocy społecznej, powiatowym centrom pomocy rodzinie oraz Komisji Nadzoru Ubezpieczeń i Funduszy Emerytalnych, z uwzględnieniem przepisów dotyczących ochrony danych osobowych. Jak zatem wynika z brzmienia ostatniego z powołanych przepisów, ogranicza on dopuszczalność takiego przetwarzania przez ZUS gromadzonych w jego zbiorach danych osobowych, które polega na ich udostępnianiu innym podmiotom. W ramach omawianej normy został bowiem jednoznacznie wskazany krąg podmiotów, na rzecz których ZUS może legalnie udostępnić administrowane przez siebie dane osobowe. Chodzi przy tym o ściśle określone dane osobowe - tj. dane zgromadzone na koncie ubezpieczonego, o których mowa w art. 40, i na koncie płatnika składek, o których mowa w art. 45 ustawy o systemie ubezpieczeń społecznych.

Pomimo, że Spółdzielnia nie należy do katalogu podmiotów wymienionych w art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych, decyzją administracyjną z dnia 12 kwietnia 2006 r. (znak: GI-DEC-DS-128/06/379,380,381,382,383,384) Generalny Inspektor nakazał ZUS udostępnienie jej wnioskowanych danych osobowych. Organ uznał bowiem, że pozyskanie przez

Spółdzielnię interesujących ją danych, a zatem także ich udostępnienie Spółdzielni przez ZUS, znajduje prawne uzasadnienie w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Wydając kwestionowane rozstrzygnięcie Generalny Inspektor miał na względzie w szczególności fakt, iż Naczelny Sąd Administracyjny - w wyr. z dnia 21 marca 2002 r. (sygn. akt: II SA 1854/2001) -skrytykował praktykę polegającą na dokonywaniu nadmiernie rygorystycznej, wyłącznie literalnej wykładni art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych oraz ocenił, że katalog podmiotów wymienionych w powołanym przepisie - tj. podmiotów którym ZUS może udostępniać określone dane osobowe ubezpieczonych i płatników składek - nie ma charakteru zamkniętego. Jako istotną organ do spraw ochrony danych osobowych uznał także okoliczność istnienia po stronie Spółdzielni prawnie usprawiedliwionego celu, dla realizacji którego podmiotowi temu potrzebne były wnioskowane dane osobowe.

Na skutek ponownej analizy okoliczności przedmiotowej sprawy oraz powołanych dotychczas przepisów Generalny Inspektor ocenił jednak, że brak jest podstaw prawnych dla udostępnienia przez ZUS na rzecz Spółdzielni wnioskowanych przez tę ostatnią danych osobowych jej byłych i obecnych pracowników. Zasadnym jest bowiem przyjęcie, że jedynie wówczas, gdy podmiot nie należący do katalogu z art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych został przez inny przepis prawa upoważniony do pozyskania z ZUS określonych informacji na temat ubezpieczonego bądź płatnika składek, istnieją przesłanki do udostępnienia mu tych danych. Podstawą prawną takiego działania jest wówczas przepis prawa inny niż art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych, a jednocześnie znajduje ono oparcie w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.

Zawarty w art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych katalog podmiotów, na rzecz których ZUS może udostępniać określone dane osobowe ubezpieczonych i płatników składek niewątpliwie nie obejmuje ani pracodawcy/byłego pracodawcy, ani też strony postępowania prowadzonego przez sąd - a w takich właśnie rolach występuje w niniejszej sprawie Spółdzielnia. Co istotne, brak jest również innych przepisów, które wskazywałyby na możliwość pozyskiwania informacji wymienionych w art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych przez ww. podmioty (tj. pracodawcę/byłego pracodawcę osoby, której informacje te dotyczą, czy też stronę postępowania prowadzonego przez sąd). W takiej zaś sytuacji nie ma podstaw by uznać, że art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych, nie wymieniając pracodawcy/byłego pracodawcy osoby, której dane dotyczą, czy też strony postępowania sądowego w katalogu podmiotów, którym ZUS może udostępnić określone dane osobowe, jest sprzeczny z innym unormowaniem, tym samym zaś, że zasady wykładni logicznej, celowości owej, bądź systemowej przemawiają za potrzebą jego rozszerzającej interpretacji.

Zasadne wydaje się przyjęcie, że po stronie Spółdzielni istnieje prawnie usprawiedliwiony cel w pozyskaniu wnioskowanych danych osobowych. Podmiot ten jednoznacznie wskazał bowiem, że informacje te wykorzysta w ramach postępowań sądowych, których jest stroną. Z korespondencji prowadzonej w niniejszej sprawie pomiędzy Biurem Generalnego Inspektora a Spółdzielnią wynika zarazem, że brak wnioskowanych danych osobowych uniemożliwia Spółdzielni dowiedzenie kwestii istotnych z punktu widzenia jej interesów. Możliwość podejmowania w toku postępowania sądowego czynności służących obronie praw strony takiego postępowania jest natomiast zagwarantowana prawem (por. art. 232 zd. 2 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego; Dz. U. Nr 43, poz. 296 z późn. zm. w zw. z art. 6 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny; Dz. U. Nr 16, poz. 93 z późn. zm.). Istnienie po stronie Spółdzielni prawnie usprawiedliwionego celu dla realizacji którego dąży ona do uzyskania wnioskowanych danych nie jest jednak tożsame z uprawnieniem tej strony do pozyskania tych danych. Nie można zatem uznać go za usprawiedliwiający rozszerzającą interpretację art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych.

Reasumując, Generalny Inspektor podtrzymuje stanowisko wyrażone w kwestionowanej decyzji z dnia 12 kwietnia 2006 r., a dotyczące możliwości dokonywania rozszerzającej interpretacji art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych oraz tego, iż powołany przepis nie wyklucza stosowania art. 23 ust. 1 ustawy o ochronie danych osobowych. W tych sprawach, w których zasadne jest rozszerzenie katalogu podmiotów uprawnionych do pozyskania z ZUS danych osobowych objętych tajemnicą ubezpieczeniową argument, iż art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych przewiduje dalej idącą ochronę danych przetwarzanych w zbiorach ZUS niż przepisy ustawy o ochronie danych osobowych byłby zatem chybiony. Organ przyznaje jednak, że okoliczności przedmiotowej sprawy nie dają podstaw by przyjąć, że Spółdzielnia ma prawo do pozyskania z ZUS wnioskowanych informacji.

Na marginesie podkreślenia wymaga, że art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych dopuszcza możliwość udostępnienia określonych w nich danych osobowych na rzecz sądu. W rozpatrywanej sprawie przekazanie przetwarzanych w zbiorach ZUS danych osobowych ubezpieczonych w zakresie potrzebnym w związku z toczącymi się postępowaniami sądowymi-sądowi (na wniosek tego organu) stanowiłoby zatem nie tylko działanie w pełni uprawnione, lecz umożliwiłoby również osiągnięcie celów, dla realizacji których informacje te miały być pozyskane (tj. wykorzystanie ich w ramach postępowania dowodowego).

Nadmienić także należy, że bez wpływu na stanowisko Generalnego Inspektora wyrażone w niniejszej sprawie pozostał zgłoszony przez ZUS zarzut, dotyczący niekonsekwencji organu do spraw ochrony danych osobowych - czego dowodzić miał fakt, iż rozstrzygnięcie wyrażone w decyzji z dnia 12 kwietnia 2006 r. było różne od stanowiska zajętego przez Generalnego Inspektora w podobnym (choć nie tożsamym) stanie faktycznym. Podkreślenia wymaga bowiem, że Generalny Inspektor rozstrzyga rozpatrywane sprawy indywidualnie.

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.

Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w związku z art. 13 § 2, art. 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych (na adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa).