Kto ma prawo kontrolować pasażera i brać jego dane osobowe

- Zostałem złapany przez kontrolerów w trakcie jazdy autobusem komunikacji miejskiej bez ważnego biletu. Zostałem wylegitymowany, a kontrolerzy, którzy byli pracownikami pewnej spółki, a nie przedsiębiorstwa przewozowego (spółki komunalnej) wypisali mi mandat, którego nie zapłaciłem. Po pewnym czasie jeszcze inna firma (spółka akcyjna) przysłała mi pismo, w którym zobowiązała mnie do zapłaty zaległej kary wraz z odsetkami. Zastanawiam się, czy moje dane osobowe mogła pozyskać i wykorzystać firma współpracująca z przewoźnikiem, a nie on sam. A po drugie, czy dane te mogły następnie trafić do firmy windykacyjnej. Czy takie działanie nie narusza zasad ochrony danych osobowych

– pyta czytelnik.

Zasady postepowania przy przetwarzaniu danych osobowych określa ustawa o ochronie danych osobowych (DzU z 2002r. nr 101, poz. 926 ze zm.). Wskazuje ona także na prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych. Podstawowe zasady, które w tym procesie, a więc np. gromadzenia, przechowywania, umieszczania w katalogach, obowiązują administratora danych wymienia art. 26 tej ustawy.

Istotna, dla rozstrzygnięcia wątpliwości czytelnika, jest przede wszystkim odpowiedź na pytanie, kto jest administratorem danych. A jest nim ten podmiot (organ, instytucja, jednostka organizacyjna, osoba), która decyduje o celach i środkach przetwarzania danych. W omawianym przypadku należy przyjąć, że administratorem danych będzie przewoźnik.

Wracając więc do art. 26, to zgodnie z nim to on powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby informacje o osobach były:

- przetwarzane zgodnie z prawem,

- zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,

- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Legalne przetwarzanie

Obowiązek administratora, o którym tu mowa (dane muszą być przetwarzane zgodnie z prawem) polega w szczególności na spełnieniu jednej z przesłanek legalnego gromadzenia danych określonych w art. 23. A ten wskazuje, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby,

- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Wracając zatem do konkretnego przykładu firmy przewozowej można wskazać, że przetwarzanie danych jest dopuszczalne m.in. wtedy, gdy jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

W związku z tym należy wskazać, że kwestie związane z przetwarzaniem informacji o osobach, które korzystają ze środków komunikacji miejskiej bez ważnego biletu regulują przepisy art. 33a ustawy – prawo przewozowe (DzU z 2000r. nr 50, poz. 601 ze zm.).

Jest uprawnienie

Zgodnie z nim przewoźnik lub organizator publicznego transportu zbiorowego albo osoba przez niego upoważniona, legitymując się identyfikatorem umieszczonym w widocznym miejscu, może dokonywać kontroli dokumentów przewozu osób lub bagażu. W razie stwierdzenia braku odpowiedniego dokumentu przewozu osoby te pobierają właściwą należność za przewóz i opłatę dodatkową albo wystawiają wezwanie do zapłaty.

Także w przypadku stwierdzenia braku ważnego dokumentu poświadczającego uprawnienie do bezpłatnego albo ulgowego przejazdu przewoźnik lub organizator publicznego transportu zbiorowego albo osoba przez niego upoważniona pobiera właściwą należność za przewóz i opłatę dodatkową albo wystawia wezwanie do zapłaty.

Ponadto w myśl ust. 7 tego artykułu przewoźnik (organizator publicznego transportu zbiorowego) albo osoba przez niego upoważniona ma prawo:

- w razie odmowy zapłacenia należności – żądać okazania dokumentu umożliwiającego stwierdzenie tożsamości podróżnego,

- w razie niezapłacenia należności i nieokazania dokumentu – ująć podróżnego i niezwłocznie oddać go w ręce policji lub innych organów porządkowych, które mają zgodnie z przepisami prawo zatrzymania podróżnego i podjęcia czynności zmierzających do ustalenia jego tożsamości,

- w razie uzasadnionego podejrzenia, że dokument przewozu albo dokument uprawniający do przejazdu bezpłatnego lub ulgowego jest podrobiony lub przerobiony - zatrzymać dokument za pokwitowaniem oraz przesłać go prokuratorowi lub policji, z powiadomieniem wystawcy dokumentu.

Nie tylko przewoźnik

Co zatem wynika z tego przepisu? Daje on podstawę do legalnego przetwarzania danych osobowych. Niewątpliwie uprawnienie takie przysługuje administratorowi danych, czyli przewoźnikowi. Jednocześnie jednak przepis ten zezwala temu ostatniemu udzielić pełnomocnictwa do wykonywania kontroli biletów oraz dalszych uprawnień i obowiązków z tym związanych.

Wyraźnie jest tam bowiem mowa o tym, że kontroli takiej może dokonywać przewoźnik lub osoba przez niego upoważniona. Mówiąc inaczej z przepisu tego wynika, że uprawnieni do pozyskiwania i dalszego przetwarzania danych osobowych podróżnych są przewoźnik lub osoba przez niego upoważniona. Nie zmienia to faktu, że administratorem tych danych nadal jest wyłącznie przewoźnik.

O ile bowiem przewoźnik powierzy wykonywanie czynności związanych z kontrolą biletów osobie trzeciej, to – w zakresie umocowania – działa ona każdorazowo na jego rzecz. W szczególności, dotyczy to pozyskiwania danych osobowych pasażerów podczas kontroli i dalszego przetwarzania, w związku z dochodzeniem należności z tytułu opłat za przejazd bez ważnego biletu.

Jednak decyzje o celach i środkach przetwarzania danych osobowych pasażerów w każdym przypadku należy wyłącznie do przewoźnika. Reasumując, status administratora danych pasażerów zawsze przysługiwał będzie właśnie jemu.

Z kim umowa

W ten sposób dochodzimy do odpowiedzi na pierwsze pytanie. Przedsiębiorstwo komunikacji miejskiej (przewoźnik) miało prawo podpisać umowę z firmą zewnętrzną i powierzyć jej czynności związane z kontrolą biletów, legitymowaniem osób nie posiadających ich i wystawianiem za to mandatów.

Ewentualnie także do dalszej egzekucji tych należności. Innymi słowy przepis art. 33a prawa przewozowego daje podstawę do zawarcia między przewoźnikiem a firmą kontrolującą umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ustawy o ochronie danych osobowych (patrz ramka).

>Powierzenie uprawnieńZgodnie z art. 31 ustawy o ochronie danych osobowych administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Tak wybrana osoba

lub instytucja może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Jednocześnie podmiot ten jest zobowiązany, przed rozpoczęciem przetwarzania danych, podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a.

W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. Dla wyjaśnienia wymienione przepisy określają w jaki sposób (techniczny, organizacyjny) podmiot gromadzący dane ma obowiązek je chronić. -

Jednak, co bardzo istotne, podmiot, który otrzyma takie uprawnienie, ma obowiązek tak samo chronić dane, jakby był ich administratorem. Tym samym odpowiada on za wprowadzenie odpowiednich warunków (technicznych i organizacyjnych), w celu zapewnienia danym należytej ochrony, w tym uniemożliwienia do nich dostępu osobom nieupoważnionym.

Zgodnie bowiem z art. 36 ustawy, administrator danych jest zobowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć przetwarzane dane przed ich udostepnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem.

Kolejne przekazanie

Teraz przechodzimy do drugiej części pytania. Aby móc wyjaśnić, czy spółka windykacyjna miała prawo posługiwać się danymi osobowymi pasażera, należałoby wiedzieć, od kogo te dane otrzymała. Sprawa jest zresztą stosunkowo prosta. Jeżeli dane osobowe otrzymała bezpośrednio od administratora, czyli przewoźnika, to powierzenie takie może być legalne, choćby w świetle przywołanego już art. 31 ustawy.

Natomiast, gdy dane te zostały przekazane firmie windykacyjnej przez spółkę dokonującą kontroli biletów, np. na podstawie umowy cesji, to takie przekazanie było bezprawne. Innymi słowy doszło do naruszenia zasad prawidłowego przetwarzania danych, w szczególności ich ochrony przed udostępnieniem osobom nieupoważnionym. Jeszcze raz należy podkreślić, że firma dokonująca kontroli biletów nie stała się administratorem danych, tym samym to nie ona decyduje o celach i środkach przetwarzania. Tym samym nie ma także prawa przekazywać ich osobom trzecim.

Jeżeli przyjmiemy wersję o umowie (cesji wierzytelności celem ich dalszej egzekucji) między firmą kontrolującą a spółką windykacyjną to nie da się znaleźć podstaw do legalnego przetwarzania danych przez tę ostatnią (patrz ramka). >Windykator bez uprawnień

Windykator bez uprawnień

Przyjmując wersję wyłącznie o umowie pomiędzy firmą kontrolującą bilety a firmą windykacyjną, skutkującą udostępnieniem tej ostatniej informacji o pasażerach, to nie da się tu znaleźć czynności lub podstaw do legalnego przetwarzania przez nią danych. Uprawnienia do takiego przekazania nie daje art. 33a prawa przewozowego, z którego wynika, że administratorem danych jest przewoźnik, a nie firma kontrolująca bilety.

Tym samym nie ma podstawy prawnej w postaci art. 23 ust. 1 pkt 2 (konieczność zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa). Nie dają go także pozostałe przesłanki wskazane w art. 23 ust. 1. Jeżeli firma windykacyjna przetwarzała dane osobowe pasażera wyłącznie w związku z zawarciem umowy przelewu wierzytelności natomiast sam pasażer nie zawierał z tą firmą żadnej umowy, to nie ma warunku wskazanego w pkt 3.

Podobnie, gdy nie wyrażał on zgody na przetwarzanie przez nią jego danych osobowych – pkt 1. Nie można także uznać, że spółka windykacyjna przetwarzała te dane w prawnie usprawiedliwionym celu, o którym mowa w art. 23 ust. 1 pkt 5 ustawy. Przez taki cel rozumie się bowiem, jak stanowi art. 23 ust. 4 pkt 2, m.in. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Natomiast, jak już było wskazane, w świetle art. 33 a prawa przewozowego jedynie przewoźnik uprawniony był do ewentualnego zawarcia z firmą windykacyjną umowy dochodzenia zapłaty od pasażerów. Jeżeli w tym przypadku właśnie tak było, czyli to firma przewozowa, jako administrator danych, przekazała je firmie windykacyjnej, to czytelnik nie powinien być zdziwiony, że jego dane osobowe trafiły właśnie do takiej spółki, i że miała ona prawo legalnie je wykorzystać

Natomiast dane takie mógł udostępnić bezpośrednio przewoźnik, jako administrator danych, w celu odzyskiwania należności.