PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 10 grudnia 2018 r.

Decyzja

ZSPR.440.783.2018

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2016 r. poz. 23 z późn. zm.) w związku z art. 160 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ), art. 12 pkt. 2 art. 22 w związku z art. 33 ust. 1 i art. 32 ust. 1 pkt 1-5a ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U. z 2016 poz. 922) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana T. B., na odmowę spełnienia obowiązku informacyjnego wynikającego z art. 33 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 2016 poz. 922), przez B. S.A., Prezes Urzędu

 odmawia uwzględnienia wniosku.

 Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana T. B., (zwanego dalej: Skarżącym), na odmowę wypełnienia wobec niego obowiązku informacyjnego wynikającego z art. 33 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) (zwaną dalej: ustawą), przez B. S.A., (zwanym dalej: B. S.A.).

W treści swojej skargi z dnia […] marca 2016 r., Skarżący wskazał, że w lutym 2016 roku zwrócił się do B. S.A o udzielenie informacji na temat przetwarzanych przez ten podmiot danych osobowych w trybie art. 33 ustawy, w odpowiedzi na co uzyskał stanowisko B. S.A z dnia […] lutego 2016 roku, z którego wynika, iż B. S.A uzależnia udzielenie informacji, co do posiadanych i przetwarzanych danych osobowych od uzyskania dodatkowych informacji, w tym dodatkowych danych osobowych zgodnie z przesłanym formularzem. Skarżący w treści swojej skargi poinformował, że w związku z tym, iż B. S.A we wskazanym powyżej piśmie nie wskazał, iż zachodzą jakiekolwiek wątpliwości co do tożsamości zwracającego się o informację, które mogłyby uzasadniać konieczność dokonania dodatkowych czynności sprawdzających, czy weryfikacyjnych Skarżący przesłał do B. S.A celem uniknięcia wątpliwości co do tożsamości swój numer PESEL, który ze zbioru osób o tym samym imieniu i nazwisku identyfikuje jednostkę. Skarżący wskazał, że B. S.A mimo to podtrzymał swoją odmowę spełnienia obowiązku informacyjnego, jakkolwiek nie wyrażoną wprost i przesłał Skarżącemu dokument wewnętrzny o nazwie […]. Zdaniem Skarżącego B. S.A uzależnia swój obowiązek w zakresie udzielenia informacji na temat przetwarzanych danych osobowych od przekazania dodatkowych danych, których Skarżący nie chce przekazywać i które nie muszą służyć identyfikacji. Cel żądania od uprawnionego przekazania dodatkowych informacji został przez B. S.A określony jako „eliminacja ryzyka udostępniania informacji objętych tajemnicą bankową osobie nieuprawnionej”. Skarżący wskazał również, że zidentyfikował się już uprzednio numerem PESEL, dodatkowo na żadnym etapie B. S.A nie podnosił, iż żądanie dodatkowych danych wg załączonego formularza służy jakiemukolwiek celowi, który znalazłby usprawiedliwienie w ustawie. Skarżący dodał również, że administrator danych jest zobowiązany do udzielenia odpowiedzi pytającemu w terminie 30 dni. Ustawa nie daje administratorowi uprawnienia do żądania od pytającego dodatkowych danych osobowych, warunkowania udzielenia odpowiedzi uzyskaniem tych danych, czy też odmowy udzielenia odpowiedzi. Skarżący wniósł o skontrolowanie prawidłowości przetwarzania danych osobowych przez B. S.A w tym sprawdzenia bezpieczeństwa przetwarzanych danych i celu, w jakim są gromadzone oraz zasad i trybu realizowania obowiązku informacyjnego; zobowiązanie B. S.A do udzielenia żądanej informacji Skarżącemu oraz w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika, lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, skierowanie do organu powołanego do ścigania przestępstw zawiadomienia o popełnieniu przestępstwa. Dodatkowo w związku przesłanym przez Skarżącego uzupełnieniem skargi z dnia […] kwietnia 2016 r. Skarżący wskazał, że B. S.A odmawiając udzielenia informacji, czy też uzależniając jej udzielenie od przekazania do B. S.A dodatkowych informacji takich jak nr PESEL czy nr dowodu osobistego nie dokonuje weryfikacji osoby, a jedynie żąda dodatkowych danych. Jak wskazano nie można tutaj mówić o żadnej weryfikacji, pojedynczej czy podwójnej, a jedynie o żądaniu danych oraz, że B. S.A nie może mieć pewności, czy przekazuje informacje osobie uprawnionej na tej podstawie. Jedynie ma pewność, że osoba, która zwróciła się z pytaniem posiada informacje na temat numeru PESEL i dowodu osobistego osoby, której danych dotyczyło zapytanie. Skarżący wskazał, iż B. S.A nie jest uprawniony do dokonywania takiej „weryfikacji”, szczególnie, że nie ma ona rzeczywistego charakteru weryfikującego tożsamość, a jedynie posiadanie pewnych danych, do których dostęp posiada wiele osób. Skarżący wskazał, że obowiązek zawarty w art. 36 ust. 1 ustawy administrator powinien realizować w sposób, który zapewni faktyczne a nie iluzoryczne zabezpieczenie przed dostaniem się danych w niepowołane ręce. Dodatkowo spełnienie tego obowiązku zdaniem Skarżącego nie powinno być uzależnione od otrzymania od wnioskodawcy dodatkowych danych. W szczególnej sytuacji, gdy wnioskodawca nie korzystał z usług bankowych praktyka B. S.A prowadzi do pozyskania od wnioskodawcy jego danych osobowych, których wnioskodawca wcale może nie chcieć do B. S.A ich przekazywać.

W celu rozpatrzenia przedmiotowego wniosku Prezes Urzędu Ochrony Danych Osobowych (uprzednio: Generalny Inspektor Ochrony Danych Osobowych) przeprowadził postępowanie wyjaśniające, w toku, którego ustalił następujące okoliczności faktyczne.

  1. B. S.A w swoich wyjaśnieniach z dnia […] października 2016 r. wskazał, że dane osobowe Skarżącego są przetwarzane w zakresie zapytań kredytowych składanych przez banki na podstawie art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2017 r poz. 1876)- (zwaną dalej: Prawem bankowym), zobowiązań kredytowych na podstawie art. 105 ust. 4  w zw. z art. 105 a ust. 1 Prawa bankowego; zobowiązań kredytowych na podstawie art. 105 a ust. 4 i 5 Prawa bankowego oraz zapytań zarzadzania klientem.
  2. B. S.A wskazał, że wpłynął wniosek Skarżącego o wypełnienie w stosunku do niego obowiązku informacyjnego wynikającego z ustawy. W odpowiedzi na ww. wniosek B. S.A zwrócił się do Skarżącego o uzupełnienie wniosku poprzez podanie numeru dokumentu tożsamości, który niezbędny jest do procesu identyfikacji konkretnej osoby w bazie danych B. S.A. Po otrzymaniu przedmiotowych danych B. S.A pismem z dnia […] marca 2016 r. (pismo nadane zostało w dniu […] marca 2016 r. ) wysłał do Skarżącego informacje na temat jego danych przetwarzanych w zbiorze danych B. S.A.
  3. Dodatkowo B. S.A w swoich uzupełniających wyjaśnieniach z dnia […] lutego 2017 r. wskazał, że działając w oparciu o Prawo bankowe oraz ustawę o ochronie danych osobowych, zgodnie z art. 26 pkt. 1 pkt. 4 ustawy, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą. Jednocześnie B. S.A wskazał, że zgodnie z art. 36 pkt. 1 wspomnianej ustawy administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną. B. S.A wskazał, że w związku z powyższym wprowadzone zostały procedury, które mają na celu maksymalną ochronę samych danych znajdujących się w bazie, jak również procedury ich udostępniania. Stworzenie tych procedur pozwala w pełni realizować obowiązek informacyjny wobec osób składających zapytania.
  4. Zgodnie z wyjaśnieniami B. S.A, wskazano, że konieczność przekazania takich danych jak imię i nazwisko, adres, nr PESEL, czy seria i nr dokumentu tożsamości nie zmierza do pogorszenia sytuacji osób występujących do B. S.A z żądaniem udostępnienia danych. Jak wskazano jest to sposób na zapewnienie maksimum bezpieczeństwa procesu udostępniania danych. Niedostarczenie przez określoną osobę danych ww. zakresie, w dużej mierze uniemożliwia uczynienie zadość obowiązkom informacyjnym ze strony B. S.A. Bazy danych B. S.A zawierają dane milionów osób fizycznych, a schemat wyszukiwania poszczególnych osób w bazie wymaga podania numeru PESEL oraz numeru dokumentu tożsamości. Jak wskazano zapobiega to ujawnieniu danych innej osoby o takim samym imieniu i nazwisku, a więc wyrządzeniu szkody osobie trzeciej.
  5. B. S.A w swoich wyjaśnieniach uzupełniających z dnia […] lutego 2017 r. wskazał, że Skarżący otrzymał raport (i. U.), którego kopią B. S.A nie dysponuje.

Po zapoznaniu się z całością zgromadzonego materiału dowodowego w sprawie, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

W pierwszej kolejności należy wskazać, że w momencie wejścia w życie przepisów ustawy o ochronie danych z 2018 r. [1], tj. 25 maja 2018 r., Biuro Generalnego Inspektora stało się Urzędem Ochrony Danych Osobowych. Zgodnie z art. 160 ust. 1 ustawy o ochronie danych z 2018 r., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu. Zgodnie z art. 160 ust. 2 tej ustawy, postępowania, o których mowa w ust. 1, prowadzi się na podstawie ustawy o ochronie danych z 1997 r., zgodnie z zasadami określonymi w ustawie  z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.)[2]. Zgodnie natomiast z art. 160 ust. 3 tej ustawy, czynności dokonane w ww. postępowaniach pozostają skuteczne.

Na wstępie należy wskazać, że Generalny Inspektor wydając decyzję administracyjną zobowiązany jest do rozstrzygnięcia w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Takie stanowisko potwierdza liczne orzecznictwo sądowe. Dla przykładu można przytoczyć wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 4 października 2000 r., sygn. akt V SA 283/00, gdzie stwierdzono, iż „Należy wskazać (…) na potrzebę stosowania norm prawa materialnego obowiązującego w dniu wydania decyzji. Zaznaczyć wyraźnie należy, że przepisy kodeksu postępowania administracyjnego nie wiążą z datą wszczęcia postępowania podstawy faktycznej i prawnej rozpoznania sprawy. Miarodajny w tym zakresie jest stan obowiązujący w dacie wydania decyzji”. Dodatkowo jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzygnięcie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno – prawnych, gdy stosunki tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex, el./2012).

W czasie kiedy wpłynęła do Generalnego Inspektora Ochrony Danych Osobowych skarga, obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.)- zwana dalej ustawą, w związku z powyższym Prezes Urzędu na podstawie zgromadzonego materiału dowodowego dokonał oceny zachowania administratora w kontekście powyższej ustawy.

Przedmiotem postępowania administracyjnego przeprowadzonego w niniejszej sprawie jest niedopełnienie wobec Skarżącego obowiązku informacyjnego, o którym mowa w art. 33 ustawy oraz żądanie zbyt wielu informacji mających zweryfikować wnioskodawcę, tym samym odmawiając Skarżącemu spełnienia powyższego obowiązku informacyjnego.

Zgodnie ze wskazanym przepisem na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a ustawy. W myśl zaś ust. 2 tego przepisu na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie.

Obowiązek informacyjny przewidziany w art. 33 ustawy miał na celu zapewnienie osobom, których dane osobowe są przetwarzane, dostępu do informacji o okolicznościach ich przetwarzania.

Z materiału dowodowego sprawy wynika, że Skarżący powołując się na przysługujące każdej osobie, zgodnie z ustawą, prawo do kontroli przetwarzania danych, które jego dotyczą, zwrócił się do B. S.A o udzielenie informacji na temat zgromadzonych jego danych osobowych.

W odpowiedzi na ww. wniosek B. S.A w piśmie z dnia […] lutego 2016 r., zażądał od Skarżącego podania dodatkowych informacji identyfikacyjnych w szczególności imienia (imion), nazwiska, adresu, nr i serii dowodu osobistego oraz numeru PESEL, tym samym odmawiając spełnienia obowiązku informacyjnego. Zgodnie z zebranym materiałem dowodowym, Skarżący pismami z dnia […] lutego 2016 r. oraz […] marca 2016 r. przedstawił dodatkowe dane. Wobec tego, B. S.A pismem z dnia […] marca 2016 r. udzielił Skarżącemu odpowiedzi na temat jego danych przetwarzanych w zbiorze danych B. S.A.

W tym miejscu należy wskazać, że B. S.A spełnił wobec Skarżącego obowiązek informacyjny, o którym mowa w art. 33 ustawy.

Odnosząc się do kwestii, żądania dodatkowych informacji mających na celu zweryfikowanie wnioskodawcy, należy wskazać, że weryfikacja osoby składającej wniosek o spełnienie obowiązku informacyjnego ma za zadanie przede wszystkim potwierdzenie, że z takim wnioskiem zwraca się osoba faktycznie do tego uprawniona tj. osoba, której dotyczą dane osobowe. Z zebranego materiału dowodowego wynika, że bazy danych B. S.A zawierają dane milionów osób fizycznych, a schemat wyszukiwania poszczególnych osób w bazie wymaga podania numeru PESEL oraz numeru dokumentu tożsamości. Wobec tego podwójna weryfikacja za pomocą ww. danych ma na celu zapobiec sytuacji, w której ktoś jedynie podaje się za osobę wnioskodawcy. Dodatkowo jak podnosi się w literaturze przedmiotu „ (…)W art. 33 sprecyzowany został sposób realizacji uprawnień informacyjnych określonych w art. 32. Udzielenie informacji następuje na wniosek osoby, której dane dotyczą. Ustawa o.d.o., a także wydane na jej podstawie rozporządzenia wykonawcze nie określają wzoru wniosku o udzielenie informacji przez administratora danych. Ustawa o.d.o. nie określa też formy wniosku, co mogłoby oznaczać, że może on być złożony w dowolnej formie, np. na piśmie, pocztą elektroniczną, telefonicznie. Jednakże zgłoszenie wniosku powinno nastąpić w taki sposób, aby administrator danych mógł zidentyfikować wnioskodawcę. Określenie tożsamości wnioskodawcy jest obowiązkiem administratora danych stanowiącym przejaw jego szczególnej staranności”.(A. Drozd „ Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy” Lexis Nexis 2008; 4 wydanie)

Art. 33 ustawy nie określał szczególnych wymogów, które winien spełniać wniosek kierowany do administratora. Należy wskazać, że na administratorze ciążył między innymi obowiązek prawidłowego zabezpieczenia danych zgodnie z art. 36 ust. 1 ustawy. Jak podnosi się w literaturze przedmiotu „Zadania te powinny być realizowane przez zastosowanie odpowiednich, należy przez to rozumieć: skutecznych, środków technicznych i organizacyjnych. Ustawodawca nie przesądza, jakie to mają być środki. Mogą być one różnego rodzaju (…). Administrator powinien dzięki nim wyeliminować wystąpienie (…) szkodliwych zdarzeń [ o których mowa w art. 36 ustawy- dop. GIODO], a gdy to niemożliwe-maksymalnie ograniczyć ryzyko ich pojawienia się. (J. Barta, P. Fajgielski, R. Markiewicz „Ochrona danych osobowych. Komentarz”. Wolters Kluwer Polska sp. z o.o., 5. Wydanie, Warszawa 2011 s. 619).

Praktyka żądania dodatkowych danych weryfikacyjnych może wydawać się zbyt restrykcyjna, jednak nie można jej uznać za nadmierną w przedstawionej sytuacji. Żądanie dodatkowych danych identyfikacyjnych  ma na celu maksymalną ochronę samych danych znajdujących się w bazie, jak również procedury ich udostępniania. Takie zabezpieczenie ma na celu zapobieżenie udostępnieniu danych osobie nieupoważnionej, przetwarzanych przez B. S.A informacji stanowiących tajemnicę bankową. Wobec tego, samo udostępnienie danych żądanych na podstawie art. 33 ustawy, powinno nastąpić po uprzedniej, rzetelnej weryfikacji tożsamości osoby wnioskodawcy. Podwójna weryfikacja za pomocą numeru PESEL oraz serii i numeru dowodu osobistego pozwala ustalić w sposób niebudzący wątpliwości tożsamość osoby wnioskodawcy. Należy również podkreślić, że przy przekazywaniu tak istotnych informacji B. S.A powinien zachować szczególną uwagę i mieć pewność, że przekazywane informację są udostępnianie osobie uprawnionej.

W świetle powyższego Prezes Urzędu nie widzi podstawy, aby stwierdzić, że doszło do naruszenia przepisów ustawy o ochronie poprzez przetwarzanie danych nadmiernych w stosunku do realizowanego celu. Uzasadnione jest zatem wydanie przez Prezesa Urzędu decyzji odmawiającej uwzględnienia wniosku Skarżącego.

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie  w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych.



[1] ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r. poz. 1000) (dalej jako ustawa o ochronie danych z 2018 r.;

[2] ustawa z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.) (dalej jako Kpa).

Podmiot udostępniający: Zespół ds. Sektora Prywatnego
Wytworzył informację:
user dr Edyta Bielak–Jomaa
date 2018-12-10
Wprowadził informację:
user Angelika Baranowska
date 2019-03-29 13:05:28
Ostatnio modyfikował:
user Iwona Jeleń
date 2019-04-25 13:44:37