Danych osobowych nie wolno przechowywać na zapas

Sprawa, jaką rozpatrywał generalny inspektor ochrony danych osobowych, dotyczyła skargi na udostępnianie danych osobowych przez pracodawcę związkowi zawodowemu oraz towarzystwu ubezpieczeń bez zgody i wiedzy pracownika. Skarżąca, wstępując do związku zawodowego, wypełniła ankietę i podała swoje dane. Towarzystwo zawarło ze związkiem umowę ubezpieczenia na życie. Związek wystąpił do pracodawcy (spółki) o sporządzenie w formie elektronicznej listy zatrudnionych oraz ich danych, bez określenia podstawy prawnej i uzasadnienia. Skarżąca otrzymała od związku częściowo wypełniony formularz deklaracji zgody na objęcie umową grupowego ubezpieczenia na życie zawierający te dane, ale towarzystwo ubezpieczeń wyjaśniło, że nie dostało takiej deklaracji od związku.

GIODO nakazał związkowi zawodowemu usunięcie danych osobowych skarżącej, a w pozostałym zakresie odmówił uwzględnienia jej wniosku.

● (...) Obowiązek nałożony na administratora, aby stanowić uzasadniającą przetwarzanie danych przesłankę wskazaną w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych (który stanowi, iż przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa), musi istnieć w momencie przetwarzania tych danych. Przechowywanie danych osobowych bez podstawy określonej w przepisach ustawy, czyli niejako na zapas, stanowi naruszenie wskazanego w art. 26 ust. 1 pkt 1 ustawy obowiązku zapewnienia, aby dane te były przetwarzane zgodnie z prawem, oraz wynikającego z art. 26 ust. 1 pkt 4 ustawy obowiązku zapewnienia, aby dane były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Zgodnie zaś z art. 18 ust. 1 pkt 6 ustawy, w przypadku naruszenia przepisów o ochronie danych osobowych generalny inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie danych osobowych. (...)

● (...) Zgodnie z art. 24 ust. 1 ustawy z 22 maja 2003 r. o działalności ubezpieczeniowej (Dz.U. nr 124, poz. 1151 ze zm.) zakład może zbierać, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach ubezpieczających składanych przed zawarciem umowy ubezpieczenia, dane ubezpieczonych lub uprawnionych z umowy ubezpieczenia. Przepis ten mieści się w zakresie określonym w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Należy również traktować go jako przepis dopuszczający przetwarzanie przez towarzystwo informacji o przynależności związkowej skarżącej, stosownie do treści art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych, stanowiącego, iż przetwarzanie danych, o których mowa w ust. 1 (tzw. danych wrażliwych, w tym ujawniających przynależność związkową - uwaga generalnego inspektora), jest jednak dopuszczalne, jeżeli przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony. (...)

● (...) Jak wynika z wyjaśnień złożonych przez towarzystwo, przetwarzanie aktualnie danych osobowych skarżącej jest ograniczone do przechowywania, co jest związane z jej prawem, jako ubezpieczonego do ewentualnego zgłoszenia roszczenia przed upływem terminu przedawnienia. Z treści art. 819 par. 1 ustawy z 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U. nr 16, poz. 93 z późn. zm.) wynika, iż roszczenia z umowy ubezpieczenia przedawniają się z upływem lat trzech. (...)

● (...) Wskazywany przez związek i spółkę jako podstawa do udostępnienia danych osobowych skarżącej art. 28 ustawy z 23 maja 1991 r. o związkach zawodowych (tj. Dz.U. z 2001 r. nr 79, poz. 854 ze zm.), stanowiący, iż pracodawca jest obowiązany udzielić na żądanie związku zawodowego informacji niezbędnych do prowadzenia działalności związkowej, w szczególności informacji dotyczących warunków pracy i zasad wynagradzania, nie jest uniwersalną podstawą do udostępniania związkowi danych osobowych pracowników bez ich zgody. (...)

● (...) W postępowaniu prowadzonym przez generalnego inspektora z urzędu status strony posiada wyłącznie podmiot, do którego czynności podejmowane przez organ się odnoszą. Stosownie do treści art. 28 k.p.a. stroną jest każdy, czyjego interesu prawnego lub obowiązku dotyczy postępowanie albo kto żąda czynności organu ze względu na swój interes prawny lub obowiązek. Jak stwierdził Naczelny Sąd Administracyjny w wyroku z 23 marca 1999 r. (sygn. I SA 1189/98), cechami interesu prawnego jest to, że jest on indywidualny, konkretny, aktualny i sprawdzalny obiektywnie, a jego istnienie znajduje potwierdzenie w okolicznościach faktycznych, będących przesłankami stosowania przepisu prawa materialnego. Po stronie skarżącej nie można stwierdzić istnienia interesu lub obowiązku prawnego, który uzasadniałby w niniejszym postępowaniu kompleksowe zbadanie procedur i zabezpieczeń obowiązujących w spółce, skoro zebrany w sprawie materiał dowodowy nie wskazuje, aby udostępnienie danych osobowych skarżącej na rzecz związku miało związek z brakiem odpowiednich procedur lub zabezpieczeń.

@RY1@i02/2012/122/i02.2012.122.05500070d.802.jpg@RY2@

opracowała Małgorzata Piasecka Sobkiewicz