Administrator nie musi udostępniać dokumentów zawierających dane osobowe

Sprawa, jaką rozpatrywał GIODO, dotyczyła skargi abonenta na przetwarzanie jego danych osobowych przez firmę telekomunikacyjną. Zarzucał on firmie, że przez dwa miesiące jej pracownicy nie wiedzieli nic o umowie o świadczenie usług telekomunikacyjnych, którą podpisał i odesłał do niej za pośrednictwem kuriera. Abonent domagał się usunięcia uchybień w procesie przetwarzania jego danych osobowych oraz zastosowania dodatkowych środków zabezpieczających jego dane zgromadzone przez spółkę. GIODO odmówił uwzględnienia wniosku abonenta, uzasadniając, że nie jest organem właściwym w tym zakresie.

● "(...) GIODO nie jest organem właściwym w powołanym wyżej zakresie, ponieważ nie posiada odpowiednich uprawnień do nakazania udostępnienia dokumentów zawierających dane osobowe". Jak trafnie zauważył Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 6 września 2005 r. (...), w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm. - dalej: ustawa) brak jest przepisów obligujących administratora do udostępnienia dokumentów zawierających dane osobowe. Ustawodawca posługuje się pojęciem "udostępnienia", odnosząc je zawsze do danych osobowych, a nie do zawierających je dokumentów. Należy także zauważyć, że brak wskazanych przepisów w ustawie jednocześnie wyłącza możliwość skorzystania przez GIODO z uprawnienia w przedmiocie nakazania przywrócenia stanu zgodnego z prawem. Nie jest bowiem możliwe nakazanie spełnienia obowiązku, którego nie zawarł ustawodawca w treści ustawy, a zatem nieciążącego na administratorze danych.

● Analizując kwestię legalności przetwarzania danych osobowych skarżącego oraz ich zabezpieczenie, GIODO ustalił, która z materialnych przesłanek zawartych w art. 23 ust. 1 pkt 1 - 5 ustawy leżała u podstaw przetwarzania tych danych. Przesłanki te odnoszą się do wszelkich form przetwarzania danych osobowych, a zwłaszcza do tych form, w których przetwarza się dane osobowe w systemach informatycznych. Wskazane w przepisie przesłanki są względem siebie równoprawne. Oznacza to, że zgoda na przetwarzanie danych osoby, której te dane dotyczą, o której mowa w przepisie art. 23 ust. 1 pkt 1 ustawy, nie jest wyłączną okolicznością czyniącą proces przetwarzania danych legalnym. Dla legalności procesu przetwarzania danych wystarczające jest zatem spełnienie jednej z przesłanek określonych w art. 23 ust. 1 pkt 1 - 5 ustawy.

● Zgodnie z art. 23 ust. 1 pkt 3 ustawy przetwarzanie danych osobowych jest dopuszczalne w następujących przypadkach:

- gdy jest to konieczne do realizacji umowy, a osoba, której dane dotyczą, jest jej stroną

- lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.

Aby można było powołać się na przesłankę legalności przetwarzania, osoba, której dane dotyczą, powinna być stroną tej umowy. Z treści skargi wynika bowiem, że 7 maja 2010 r. skarżący podpisał dwa egzemplarze umowy, co druga strona potwierdziła. GIODO ustalił, że firma stworzyła wiele procedur wewnętrznych i zabezpieczeń technicznych oraz informatycznych mających na celu ochronę danych osobowych wszystkich swoich klientów, a zatem również dane skarżącego. Wdrożone zostały środki zabezpieczające dane, o których mowa w art. 36 - 39 ustawy oraz rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024). Dostęp do danych osobowych skarżącego miały wyłącznie osoby posiadające upoważnienie do ich przetwarzania.

● Na podstawie art. 31 ustawy firma telekomunikacyjna miała prawo powierzyć w drodze umowy dane osobowe do przetwarzania firmie kurierskiej w celu wykonywania usług miejskich i krajowych w zakresie przewożenia przesyłek. Z par. 12 umowy wynika w szczególności zobowiązanie firmy kurierskiej do zachowania należytej staranności przy przetwarzaniu danych osobowych abonentów i stosowania przepisów ustawy dotyczących odpowiedniego zabezpieczenia przetwarzanych danych.

@RY1@i02/2012/108/i02.2012.108.05500060a.802.jpg@RY2@

Oprac. Małgorzata Piasecka-Sobkiewicz

Podstawa prawna

Art. 104 par. 1 ustawy z 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t.j. Dz.U. z 2000 r. nr 98, poz. 1071 z późn. zm.)

Art. 12 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 3 i art. 31 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).