Pisma urzędowe
Status: Nieaktualne

Pismo
z dnia 12 stycznia 2004 r.
Generalny Inspektor Ochrony Danych Osobowych
GI-DEC-DS-4/04
Udostępnianie przez ZUS danych zgromadzonych na koncie płatnika składek.

DECYZJA

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 2, w związku z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz art. 50 ust. 3 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 1998 r. Nr 137, poz. 887 z późn. zm.), po przeprowadzeniu postępowania administracyjnego, wszczętego na podstawie skargi Pana X. prowadzącego działalność gospodarczą pod firmą "Y", w sprawie odmowy udostępnienia przez Zakład Ubezpieczeń Społecznych, danych osobowych jego dłużników, tj. Pani Z. oraz Pana G.,

odmawiam uwzględnienia wniosku.

UZASADNIENIE

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana X. prowadzącego działalność gospodarczą pod firmą "Y", zwanego dalej Skarżącym, dotycząca odmowy udostępnienia mu przez Zakład Ubezpieczeń Społecznych, zwany dalej ZUS-em, danych osobowych jego dłużników - Pani Z., oraz Pana G. W szczególności, Skarżący wyjaśnił, iż "W dniu 8 października 2003 r. złożyłem pismo do Zakładu Ubezpieczeń Społecznych oddział w Lublinie o udzielenie informacji na temat moich dłużników. ZUS wraz z pismem otrzymał jako załącznik

wyrok sądowy wraz z klauzulą wykonalności". W przedmiotowym piśmie Skarżący wniósł o poinformowanie go, czy Pani Z. oraz Pan G. figurują w bazie danych ZUS jako " (...) 1. pracownicy jakiejś firmy, 2. prowadzący (samodzielnie, jako wspólnicy razem lub z innymi osobami) działalność gospodarczą, 3. inne formy (np. zlecenia)". W piśmie z dnia 24 października 2003 r. (znak: DU 582/2003 r.), ZUS odmówił Skarżącemu udzielenia żądanych informacji, powołując się na art. 50 ust. 3 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 1998 r. Nr 137, poz. 887 z późn. zm.). Tymczasem, Skarżący podniósł, iż " (...) artykuł ten został zaskarżony w NSA. Skład orzekający uznał w wyr. II S.A. 1854/2001 z 21 marca 2002, iż nie tylko podmioty wymienione w powyższym artykule, ale także inne/w tym przypadku egzekucyjne/mają prawo do uzyskania informacji a ZUS nie ma prawa im odmawiać udzielenia informacji niezbędnych do wykonania zadań egzekucyjnych". W ocenie Skarżącego, inne grupy nie mogą być dyskryminowane, np. wierzyciele, " (...) którzy nie zawsze mogą występować przeciw dłużnikowi przy pomocy komorników". Tytułem przykładu, Skarżący wskazał na wniosek wierzyciela do sądu o wyjawienie majątku dłużnika.

W związku z powyższym, Skarżący, powołując się na ww. wyrok, art. 23 ust. 1 pkt 2 i 4, art. 27 ust. 2 pkt 5 i 10 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą, wniósł o uznanie jego skargi za zasadną.

Po przeanalizowaniu powyższego Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:

Ustawa o ochronie danych osobowych, ustanawia zasady postępowania przy przetwarzaniu danych osobowych, jak również zapewnia ochronę praw osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych, co wynika z art. 2 ust. 1 ustawy. Administrator danych jest obowiązany, aby proces przetwarzania danych osobowych odbywał się zgodnie z zasadą legalności, wyrażoną m.in. w treści art. 23 ust. 1 oraz 27 ust. 2 ustawy. Każda ze wskazanych w powołanych przepisach materialnych przesłanek przetwarzania danych osobowych (w tym danych szczególnie chronionych) odnosi się do wszelkich form przetwarzania danych, określonych w art. 7 pkt 2 ustawy, w tym w szczególności do ich udostępniania. Są one także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z przesłanek. Zgodnie z art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych jest dopuszczalne m.in. wtedy, gdy zezwalają na to przepisy prawa. Powołany przepis ustawy, odsyła zatem do przepisów szczególnych, określających kto, komu i w jakich okolicznościach może udostępniać informacje dotyczące osób fizycznych. W tym miejscu wskazać należy, iż zasady przetwarzania przez ZUS danych osobowych określone zostały w ustawie o systemie ubezpieczeń społecznych. Przepisy wskazanej ustawy szczegółowo regulują kwestię udostępniania danych osobowych osób ubezpieczonych oraz płatników składek, zgromadzone na kontach ZUS. Zgodnie z treścią art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych, dane zgromadzone na koncie ubezpieczonego, o którym mowa w art. 40 i na koncie płatnika składek, o którym mowa w art. 45, mogą być udostępniane sądom, pr.ratorom, organom kontroli skarbowej, organom podatkowym, komornikom sądowym, ośrodkom pomocy społecznej, powiatowym centrom pomocy rodzinie oraz Komisji Nadzoru Ubezpieczeń Społecznych i Funduszy Emerytalnych, z uwzględnieniem przepisów dotyczących ochrony danych osobowych. Mając na uwadze literalne brzmienie przytoczonego przepisu, nie ulega wątpliwości, iż wierzyciele występujący w interesie własnym, nie należą do podmiotów uprawnionych na podstawie ustawy o systemie ubezpieczeń społecznych do uzyskiwania danych zgromadzonych na koncie ubezpieczonego lub na koncie płatnika składek.

Wprawdzie, Naczelny Sąd Administracyjny, w orzeczeniu z dnia 21 marca 2002 r. (sygn. akt II S.A. 1854/01), dokonał wykładni komentowanego przepisu wskazując, iż " (...) być może błędem ze strony ustawodawcy było niewyliczenie w art. 50 ust. 3 innych organów egzekucyjnych, lecz zarówno wykładnia celowościowa, logiczna i systemowa nakazuje dokonać wykładni rozszerzającej (...), gdyż różne traktowanie organów egzekucyjnych w ich uprawnieniach służących realizacji zadań dla dobra publicznego nie powinny mieć miejsca", jednakże z powyższego nie wynika, iż tym samym zaliczył on do podmiotów uprawnionych do uzyskania od ZUS

-

na podstawie art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych określonych informacji

-

wierzycieli występujących w interesie własnym. W dalszej części rozważań NSA podkreślił, iż "Wszystkie organy egzekucyjne zarówno sądowe jak i organy egzekucyjne w zakresie administracji muszą być wyposażone w uprawnienia służące skutecznej egzekucji należności, zaś ustawy szczególne, które wprowadzają tajemnice dotyczące niektórych informacji i danych, nie mogą chronić zachowań naruszających prawo, jakim jest uchylanie się od egzekucji przez dłużników".

Odnosząc powyższe uwagi do niniejszej sprawy, stwierdzić należy, że NSA wskazując na potrzebę rozszerzenia katalogu podmiotów enumeratywnie wymienionych w przepisie art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych, uprawnionych do uzyskania danych osobowych osób ubezpieczonych i płatników składek, uznał jedynie za celowe zaliczenie do tego katalogu wszystkich organów egzekucyjnych, realizujących zadania dla dobra publicznego, np. organów egzekucyjnych samorządu terytorialnego. Natomiast, zauważyć należy, iż Skarżący w przedmiotowej sprawie występuje jako wierzyciel, działający w interesie własnym, a zatem nie spełnia warunków, na które wskazał w przytoczonym wyr. NSA (organ egzekucyjny realizujący zadania dla dobra publicznego), upoważniających go do uzyskania danych osobowych, których administratorem jest ZUS.

Ustawa o ochronie danych osobowych, przewiduje również możliwość przetwarzania danych osobowych, gdy jest to niezbędne do wypełnienia określonych zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 4 ustawy). Wprawdzie, przepisy ustawy nie definiują pojęcia zadań realizowanych dla dobra publicznego, jednakże należy przyjąć, iż przetwarzanie danych jest dopuszczalne, o ile występują łącznie trzy okoliczności. W szczególności, przetwarzanie danych powinno następować w interesie publicznym, (np. świadczenie pomocy socjalnej, pomocy ofiarom klęsk żywiołowych, walka z terroryzmem), przy czym omawianym przepisem nie są objęte działania prowadzone w interesie własnym (J. Barta, R. Markiewicz, "Ochrona danych osobowych. Komentarz", Zakamycze 2002, s. 408 i nast.). Ponadto, zadania publiczne, dla wykonania których przetwarzane są dane osobowe, powinny być określone prawem, a zatem przez przepisy prawa zlecone (przekazane) temu, kto przetwarza dane. Wreszcie, przetwarzanie danych na podstawie komentowanej przesłanki powinno spełniać kryterium "niezbędności", co następuje wówczas, gdy rezygnacja z przetwarzania danych osobowych uniemożliwia lub w znacznym stopniu utrudnia wykonywanie zadań publicznych (tamże).

Mając na uwadze powyższe rozważania, uznać należy, iż przepis art. 23 ust. 1 pkt 4 ustawy, na który m.in. powołał się Skarżący, nie może stanowić podstawy uprawniającej go do pozyskania od ZUS danych osobowych ubezpieczonych oraz płatników składek. Skarżący bowiem - co wymaga ponownego podkreślenia - podejmując przedmiotowe czynności, nie działał w interesie publicznym, a wyłącznie we własnym, tj. w celu odzyskania przysługującej mu wierzytelności. Okoliczność ta wyłącza natomiast zastosowanie wyżej wskazanej przesłanki dopuszczalności przetwarzania danych. Ponadto, wbrew twierdzeniom Skarżącego takiej podstawy nie należy wywodzić z art. 27 ust. 2 pkt 5 i 10 ustawy. Wskazać bowiem należy, iż przesłanki dopuszczalności przetwarzania danych określone w art. 27 ust. 2 ustawy, odnoszą się wyłącznie do ściśle określonej kategorii danych, mających charakter danych szczególnie chronionych, które wymienione zostały enumeratywnie w ust. 1 tego artykułu. Dane osobowe, o uzyskanie których wnosił Skarżący, niewątpliwie do tej kategorii danych nie należą. W konsekwencji, przepis art. 27 ust. 2 pkt 5 i 10 ustawy, nie znajduje zastosowania w niniejszej sprawie.

Jak zatem wynika z analizy wyżej przytoczonych przepisów prawa, Skarżący nie dysponował żadną z przesłanek, określonych w ustawie o ochronie danych osobowych, która uprawniałaby go do uzyskania od ZUS danych osobowych zgromadzonych na koncie ubezpieczonych i koncie płatników składek, w szczególności danych osobowych dotyczących Pani

Z. oraz Pana G. Podkreślenia tymczasem wymaga, że zgodnie z art. 34 ust. 3 ustawy o systemie ubezpieczeń społecznych, do informacji zawartych na kontach ubezpieczonych i kontach płatników składek oraz danych źródłowych będących podstawą zapisów na tych kontach stosuje się przepisy o ochronie danych osobowych. Natomiast, w myśl ust. 4 cytowanego przepisu, wykorzystanie danych osobowych i innych informacji zgromadzonych na kontach ubezpieczonych i kontach płatników składek dopuszczalne jest jedynie w przypadkach określonych w ustawie. Taki charakter ma niewątpliwie ustawa o ochronie danych osobowych, która statuuje przesłanki legalności przetwarzania danych osobowych, czy wprost ustawa o systemie ubezpieczeń społecznych.

Odnosząc się natomiast do kwestii wniosku wierzyciela o wyjawienie majątku dłużnika, przywołanej przez Skarżącego jako przykład sytuacji, w której wierzyciele, " (...) nie zawsze mogą występować przeciw dłużnikowi przy pomocy komorników", wskazać należy, iż przepis art. 913 § 1 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego (Dz. U. Nr 43, poz. 269 zpóźn. zm.), zwanej dalej k.p.c., reguluje przedmiotowe zagadnienie. Zgodnie z tym przepisem, wierzyciel, który wykaże, że na skutek prowadzonej egzekucji nie uzyskał w pełni zaspokojenia swej wierzytelności, może żądać zobowiązania dłużnika do złożenia wykazu majątku, wymienieniem rzeczy i miejsca, gdzie się znajdują, przypadających mu wierzytelności i innych praw majątkowych. Wniosek o nakazanie dłużnikowi wyjawienia majątku składa się w sądzie właściwości ogólnej dłużnika (art. 914 § 1 k.p.c.). Do wniosku należy dołączyć tytuł wykonawczy i inne dokumenty uzasadniające obowiązek dłużnika wyjawienia majątku (art. 914 § 2 k.p.c.). Z powołanych przepisów jednoznacznie wynika, że wierzycielowi przysługuje w trybie art. 914 k.p.c., środek egzekucyjny, mający na celu uzyskanie od dłużnika informacji o jego majątku, ale jedynie w drodze określonej przepisami k.p.c., wierzyciel może zwrócić się do sądu ze stosownym wnioskiem i to sąd zobowiązuje dłużnika do złożenia wykazu majątku. Jak wskazuje się w literaturze przedmiotu, w przypadku, gdy dołączenie dokumentów uzasadniających obowiązek wyjawienia majątku nie jest możliwe, przedmiotowy wniosek można uzasadnić w inny sposób (por. art. 243 k.p.c.) (A. Marciniak (w) K. Piasecki (red.) "Kodeks postępowania cywilnego, Komentarz, Tom II", C.H. Beck Warszawa 1997, s. 981).

Warto podkreślić, iż uzyskanie od dłużnika informacji o jego majątku, może również nastąpić na podstawie art. 761-762 i 801 k.p.c. Zgodnie z art. 761 § 1 k.p.c., organ egzekucyjny może żądać od uczestników postępowania złożenia wyjaśnień oraz zasięgać od organów administracji państwowej, instytucji i osób nie uczestniczących w postępowaniu informacji niezbędnych do prowadzenia egzekucji. Natomiast, na podstawie art. 801 k.p.c., jeśli wierzyciel lub sąd zarządzający z urzędu przeprowadzenie egzekucji albo uprawniony organ żądający przeprowadzenia egzekucji nie może wskazywać przedmiotów służących do zaspokojenia wierzyciela, komornik wezwie dłużnika do złożenia wyjaśnień.

Jednocześnie, wskazania w tym miejscu wymaga, że do uzyskania informacji zgromadzonych na koncie ubezpieczonych i koncie płatników składek - zgodnie z brzmieniem art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych - uprawniony jest m.in. komornik sądowy. Stanowi o tym również art. 50 ust. 10 ustawy o systemie ubezpieczeń społecznych, zgodnie z którym, dane zgromadzone na kontach, o których mowa w ust. 3, udostępnia się komornikom sądowym, w zakresie niezbędnym do prowadzenia egzekucji, odpłatnie. Jak wynika zatem z przytoczonych przepisów, ZUS - gromadzący dane osobowe ubezpieczonych i płatników składek - jest zobowiązany do ich ujawnienia wyłącznie w okolicznościach określonych ustawą.

W niniejszych rozważaniach trzeba również wskazać, mając w szczególności na uwadze żądanie Skarżącego dotyczące udostępnienia mu przez ZUS informacji, m.in. o prowadzonej przez dłużników Skarżącego działalności gospodarczej, że stosownie do uregulowań zawartych w ustawie z dnia 19 listopada 1999 r. - Prawo działalności gospodarczej (Dz. U. z 1999 r. Nr 101, poz. 1178 zpóźn. zm.), w tym przepisu art. 88 a ust. 1 tej ustawy, do dnia 31 grudnia 2003 r. podjęcie działalności gospodarczej przez osoby fizyczne, w tym również wykonujące działalność gospodarczą na podstawie koncesji i zezwoleń, wymaga zgłoszenia do ewidencji działalności gospodarczej. Ewidencja działalności gospodarczej jest jawna (art. 88 a ust. 2 ustawy Prawo działalności gospodarczej) i prowadzą ją gminy (art. 88 a ust. 3 ustawy Prawo działalności gospodarczej). Jednocześnie, wskazać należy, iż przepisy ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. z 2003 r. Nr 50, poz. 424), przewidują odrębny tryb udostępniania informacji gospodarczych. Zgodnie z art. 3 powołanej ustawy, udostępnianie informacji gospodarczych osobom trzecim nieoznaczonym w chwili przeznaczania tych informacji do udostępniania następuje wyłącznie za pośrednictwem biur informacji gospodarczej, chyba że udostępnianie, o którym mowa powyżej, następuje w celu sprzedaży wierzytelności przez ogłoszenie publiczne lub przepisy prawa przewidują inny tryb udostępniania danych.

Natomiast, ZUS, jako organ powołany do realizacji ściśle określonych zadań z zakresu ubezpieczeń społecznych związanych m.in. z przetwarzaniem danych osobowych ubezpieczonych i płatników składek, nie może być wykorzystywany jako instytucja, od której zdobywane są -w celach prywatnych - informacje dotyczące ww. podmiotów, z wyjątkiem sytuacji przewidzianej w przepisach art. 50 ust. 3 -10 ww. ustawy o systemie ubezpieczeń społecznych. Co więcej, na podstawie uregulowań zawartych w ww. ustawie, dotyczących kwestii udostępniania danych osobowych gromadzonych przez ZUS, organ ten jest wręcz zobowiązany do ochrony takich danych przed dostępem do nich osób nieupoważnionych.

Reasumując, należy stwierdzić, iż w świetle powołanych przepisów prawa i zebranego w sprawie materiału dowodowego, udostępnienie Skarżącemu ze zbioru danych ZUS informacji, dotyczących danych osobowych Pani Z. oraz Pana G., nie znajduje podstaw w ustawie o ochronie danych osobowych.

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: 00-193 Warszawa, ul. Stawki 2) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od daty doręczenia niniejszej decyzji.

Opublikowano: www.giodo.gov.pl