Taki wniosek można wysnuć z jednej z decyzji generalnego inspektora ochrony danych osobowych. Odniósł się w niej do skargi złożonej przez dwie osoby, które, występując w imieniu kierowanej przez nich firmy, chciały nawiązać współpracę z jednym z banków w charakterze jego agencji. W odpowiedzi bank poprosił o przekazanie szczegółowych informacji o tej instytucji, m.in. adresu, formy działalności, aktualnych odpisów z pism rejestrowych, opinii bankowej, a także danych wskazanych osób (m.in. nazwiska, adresu zamieszkania, obywatelstwa, numeru PESEL, a także numeru paszportu i dowodu osobistego).

Osoby te uznały, że zakres żądanych informacji jest zbyt szeroki, i nie udostępniły ich bankowi, a następnie skierowały pismo do GIODO. W złożonej skardze podniosły m.in. kwestię legalności i zgodności z ustawą o ochronie danych osobowych (tekst. jedn. DzU z 2014 r., poz. 1182) żądania udostępnienia (zbierania) wymienionych danych celem ich utrwalenia i przetwarzania przez bank. Skarżący zwrócili przy tym uwagę na to, że w myśl art. 7 wymienionej ustawy przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Tym samym, w ich opinii, samo żądanie przez instytucję finansową udostępnienia wzmiankowanych dokumentów (dowód osobisty, paszport) stało w sprzeczności z art. 23 ust. 1 ustawy. Warto w tym miejscu przypomnieć, że artykuł ten wymienia przesłanki (okoliczności) legalizujące proces przetwarzania danych osobowych.

Istota sporu

GIODO nie zgodził się z tym stanowiskiem i umorzył postępowanie. Przede wszystkim, jak wynikało ze zgromadzonych informacji, żądane przez bank dane nie zostały mu ostatecznie przekazane. Bank, w odpowiedzi na pismo GIODO, wskazał, że w związku z ofertą współpracy złożoną przez firmę nie pozyskał i nie przetwarza danych osobowych, ponieważ ta odmówiła ich udostępnienia. Rozmowy o nawiązaniu współpracy zostały więc przerwane.

Warto zaznaczyć, że GIODO nie podzielił stanowiska skarżących, jakoby samo żądanie udostępnienia danych osobowych stanowiło przetwarzanie w rozumieniu ustawy. Chociaż rzeczywiście, zgodnie z definicją przyjętą w jej art. 7 pkt 2, przez przetwarzanie rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, to z zawartych w treści tej definicji pojęć ustawa definiuje jedynie usunięcie danych. Tym samym pozostałe powinno się interpretować w sposób zgody z ich znaczeniem słownikowym.

Reklama
Reklama

Zbierać znaczy tyle, co „w jakimś miejscu zgromadzić jakieś rzeczy, przedmioty" (www.sjp.pwn.pl). A z tego wynika, że pojęcie to odnosi się tylko do dóbr materialnych, co z kolei nakazuje uznać, że o zbieraniu danych osobowych w rozumieniu ustawy można mówić jedynie wówczas, gdy następnie zostaną one utrwalone.

W tym miejscu należy także przytoczyć opinię Naczelnego Sądu Administracyjnego. Mianowicie w wyroku z 8 września 2009 r. (I OSK 1377/2008) uznał on, że chronologiczne zestawienie opisanych w art. 7 pkt 2 ustawy czynności, wskazuje na to, że przetwarzanie danych osobowych zaczyna się od etapu ich pozyskania (zbierania) i przebiega przez utrwalenie, przechowywanie, opracowywanie, zmienianie, udostępnianie i kończy się na etapie usunięcia danych. Stanowisko to pozwala przyjąć, że użyte w definicji pojęcie „zbieranie" należy interpretować jako pojęcie „pozyskanie", którego nieodłącznym atrybutem jest posiadanie.

Przesłanki umorzenia

Wreszcie, stosownie do art. 18 ust. 1 ustawy, w przypadku naruszenia przepisów o ochronie danych osobowych generalny inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, w szczególności wnioskuje o: usunięcie uchybień, uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, zastosowanie dodatkowych środków zabezpieczających zgromadzone dane, wstrzymanie ich przekazywania do państwa trzeciego, ich zabezpieczenie lub przekazanie ich innym podmiotom, wreszcie usunięcie danych osobowych.

Z tego artykułu wynika, że przedmiotem postępowań przed generalnym inspektorem jest istnienie procesu przetwarzania danych osobowych. A, jak już zauważono, bank jedynie wystąpił o udostępnienie danych osobowych skarżących w związku z procedurą nawiązania współpracy. Te nie zostały jednak udostępnione, w związku z czym zakończono procedurę zmierzającą do zawarcia umowy agencyjnej. Bank nie pozyskał zatem i nie utrwalił danych osobowych w ramach zakwestionowanej przez skarżących procedury. W tym przypadku nie było zatem mowy o ich przetwarzaniu.

Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych

W przypadku skargi na niewłaściwe przetwarzanie danych osobowych zadaniem GIODO jest załatwienie sprawy w zakresie określonym w treści żądania. Jednocześnie podjęte kroki mają doprowadzić do prawidłowego stosowania przepisów odnoszących się do ochrony danych. Jeżeli po przeprowadzeniu postępowania okaże się, że do naruszenia tych przepisów nie doszło, sprawa nie może zostać zakończona inaczej niż wydaniem decyzji o umorzeniu. Zgodnie bowiem z art. 105 kodeksu postępowania administracyjnego, do którego stosowania GIODO jest zobowiązany, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania. Bezprzedmiotowość postępowania oznacza, że brakuje któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji rozstrzygającej sprawę co do jej istoty. Tak było w opisywanym przypadku, ponieważ skarga dotyczyła nieprawidłowego przetwarzania danych osobowych, podczas gdy w rzeczywistości do takiego procesu, w myśl przepisów, w ogóle nie doszło.