- Dane osoby fizycznej w zakresie imienia i nazwiska zostały rozpowszechnione przez spółkę akcyjną notowaną na Giełdzie Papierów Wartościowych w  związku z wniesieniem przez nią pozwu przeciwko tej osobie. Czy takie działanie nie narusza przepisów ustawy o ochronie danych osobowych?

– pyta czytelnik.

Ustawa o ochronie danych osobowych zawiera wykaz sytuacji, w których przetwarzanie danych osobowych jest legalne (DzU z 2002 r. nr 101, poz. 926 ze zm.)

. Między innymi zgodnie z art. 23 ust. 1 pkt 2 możliwość takiego przetwarzania istnieje, gdy jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

Chodzi tu o źródła prawa powszechnego, którymi zgodnie  z art. 87 ust. 1 konstytucji są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia. W związku z tym należy sprawdzić, czy w opisanej sytuacji spółka mogła zrealizować swoje uprawnienie lub była zmuszona wypełnić jakiś obowiązek z mocy prawa. Innymi słowy, czy istnieje przepis, który dawałby jej uprawnienie do przetwarzania danych osobowych bez zgody osoby, której dane te dotyczą.

Taki przepis zawiera rozporządzenie ministra finansów z 19 lutego 2009 r. w sprawie informacji bieżących i okresowych przekazywanych przez emitentów papierów wartościowych oraz warunków uznawania za równoważne informacji wymaganych przepisami prawa państwa niebędącego państwem członkowskim (DzU z 2009 r. nr 33, poz. 259 ze zm.).

Jego § 5 ust. 1 pkt 7 stanowi, że emitent jest obowiązany do przekazywania w formie raportu bieżącego informacji o wszczęciu przed sądem, organem właściwym dla postępowania arbitrażowego lub organem administracji publicznej postępowania dotyczącego zobowiązań lub wierzytelności emitenta lub jednostki od niego zależnej, których wartość stanowi odpowiednio co najmniej 10 proc. kapitałów własnych spółki. Z kolei § 14 precyzuje, że w takim przypadku raport bieżący zawiera:

- przedmiot postępowania,

- wartość przedmiotu sporu,

- datę wszczęcia postępowania,

- oznaczenie stron wszczętego postępowania,

- stanowisko emitenta.

Rozporządzenie to zostało wydane na podstawie art. 60 ustawy o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych (DzU z 2009 r. nr 185, poz. 1439 ze zm.).

Z zacytowanych przepisów wynika, że spółka publiczna, która złożyła pozew, a wartość przedmiotu sporu przekraczała 10 proc. jej kapitału, miała obowiązek przekazać właściwym instytucjom, w tym odpowiedniej agencji informacyjnej, raport opisujący te działania.

W raporcie musiała także wskazać imię i nazwisko pozwanego. W przeciwnym wypadku nie dałoby się spełnić obowiązku oznaczenia stron wszczętego postępowania. A taki obowiązek wynika z rozporządzenia. Na koniec warto dodać, że przetwarzanie danych na podstawie nakazu wynikającego z przepisu rozporządzenia może dotyczyć wyłącznie tzw. zwykłych danych.

Dane wrażliwe (ujawniające np. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową) mogą być przetwarzane bez zgody zainteresowanego tylko wtedy, gdy przepis innej ustawy (ale już nie rozporządzenia) wyraźnie na to wskazuje (art. 27 ustawy o ochronie danych osobowych).