Dane osobowe: Umieszczenie czyjegoś nazwiska na portalu nie oznacza naruszenia prawa

Gdyby przyjąć konstrukcję, że niezależnie od celu i powodu, umieszczenie imienia i nazwiska jakiejś osoby na portalu internetowym bez jej zgody, jest naruszeniem ustawy o ochronie danych osobowych, posługiwanie się nimi byłoby właściwie niemożliwe. A charakter imienia i nazwiska, jako pewnych danych służących do identyfikacji osoby, tak w celach prywatnych, jak i służbowych, nie miałby dłużej takiego właśnie charakteru. Dlatego też trzeba pamiętać, że czym innym jest ochrona czegoś takiego jak dobre imię, honor i cześć, a czym innym ochrona imienia jako danych osobowych. Tym samym trzeba liczyć się z tym, że nasze imię, nazwisko może być ujawnione w różnych sytuacjach i nie zawsze takie upublicznienie będzie naruszało reguły ustanowione przez ustawę o ochronie danych osobowych.

PRZYKŁAD

Branżowe informacje

Jan. K złożył skargę do Generalnego Inspektora Ochrony Danych Osobowych, w której wnioskował o usunięcie jego danych w zakresie nazwiska i stanowiska służbowego, ujawnionych na portalu, który w sposób profesjonalny (zawodowy) zajmował się opisywaniem branży, w której Jan K. pracuje. Ujawnienie tych danych miało miejsce w związku z opisanym przypadkiem sporu toczonego przez tę firmę z innym przedsiębiorcą, przy czym sprawa dotyczyła oczywiście działania określonej branży (sektor leasingu). GIODO odmówił uwzględnienia wniosku.

W opisywanym przypadku nie powinno być wątpliwości, że ujawnione zostały dane osobowe skarżącego.

W myśl bowiem art. 6 ust. 1 ustawy o ochronie danych osobowych (tekst jedn. DzU. z 2002 r. nr 101, poz. 926 ze zm.) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3).

Danymi osobowymi będą zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia.

W świetle tych definicji należy przyjąć, że danymi nie będą pojedyncze informacje o dużym stopniu ogólności. Informacja taka będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby. Tym samym nie powinno być wątpliwości, że podanie nazwiska wraz z informacją o stanowisku pracy w konkretnej firmie, pozwala na identyfikację osoby i to bez specjalnego nakładu kosztów, czasu i działań. Z kontekstu sprawy wynika, że przetwarzanie tych danych odbyło się bez zgody zainteresowanego. Czy zatem było nielegalne?

Gdy brak zgody

Zgodnie z przepisami wymienionej ustawy przetwarzanie danych jest procesem legalnym, jeżeli odbywa się w oparciu o jedną z przesłanek wymienionych w art. 23 ust. 1 pkt 1–5 ustawy (w przypadku przetwarzania danych osobowych zwykłych), bądź w art. 27 ust. 2 pkt 1–10 ustawy (w przypadku przetwarzania danych osobowych szczególnie chronionych, tzw. danych wrażliwych). Ponieważ w tym konkretnym przypadku chodzi o imię, nazwisko i miejsce pracy, można te informacje uznać za dane zwykłe. Tym samym kwestię legalności ich przetwarzania rozpatrywać w kontekście pierwszego z tych artykułów. Ponieważ przesłankę zgody od razu można wykluczyć, najistotniejsza będzie ta wskazana w pkt 5, która stanowi, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. I właśnie kwestia naruszenia prawa i wolności osoby jest tutaj najistotniejsza. O tę ochronę tutaj bowiem chodzi, a nie o samo prawo do ochrony danych osobowych.

Liczy się wolność

Tym samym warunkiem dopuszczalności przetwarzania danych na gruncie powołanego przepisu jest to, aby przetwarzanie nie naruszało żadnego z praw czy wolności konstytucyjnych. Innymi słowy, przetwarzanie danych osobowych przez administratora nie może naruszać prawa do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym (w myśl art. 47 konstytucji). Ponieważ w opisywanym przypadku dane osobowe udostępniane na portalu dotyczyły wyłącznie życia zawodowego skarżącego, nie doszło do naruszenia jego prawa do ochrony życia prywatnego. Jednocześnie po stronie administratora istniał „usprawiedliwiony cel". A jest nim udostępnianie użytkownikom portalu informacji o działaniach firm reprezentujących określoną branżę oraz umożliwianie wymieniania o niej informacji. A jak było zauważone, firma, w której pracuje skarżący właśnie w tej branży działała. I właśnie dlatego GIODO uznał, że w opisywanym przypadku nie doszło do naruszenia ustawy o ochronie danych osobowych.

Zdaniem eksperta:

Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych

W opisywanym przypadku nie doszło do naruszenia ustawy o ochronie danych osobowych. Należy jednak pamiętać, że ustawa ta rozstrzyga o legalności przetwarzania danych i w tym zakresie orzeka GIODO. Niezależnie od tego warto przypomnieć, że zgodnie z art. 23 kodeksu cywilnego, niezależnie od ochrony przewidzianej w innych przepisach, dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego. Jeżeli więc w ocenie skarżącego, w niniejszej sprawie doszło do naruszenia jego dóbr osobistych, może on dochodzić ich ochrony na gruncie przepisów wskazanego kodeksu. Zgodnie bowiem z jego art. 24, ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności aby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. Sądem właściwym w tym zakresie będzie sąd cywilny.

Z orzecznictwa Sądu Najwyższego

W jednym ze swoich wyroków (z 19 listopada 2003 r., I PK 590/2002) Sąd Najwyższy stwierdził, że nazwisko i imię jest z natury rzeczy skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej i wymienienie go (ujawnienie) przez inny podmiot w celu identyfikacji danej osoby nie może być zasadniczo uznane za bezprawne, o ile ze względu na okoliczności towarzyszące nie łączy się to z naruszeniem innego jej dobra, np. czci, godności osobistej lub prywatności. Trafne jest w związku z tym spostrzeżenie, że nazwisko i imię są dobrem osobistym człowieka, ale jednocześnie są dobrem powszechnym w tym znaczeniu, iż istnieje publiczna zgoda na posługiwanie się nimi w życiu społecznym (towarzyskim, urzędowym, handlowym itd.). Normalnym stanem rzeczy, zarówno w stosunkach prawnych, w których ujawnianie nazwiska jest standardowym wymogiem, jak i w innych stosunkach społecznych, jest podawanie nazwiska do wiadomości innych podmiotów. Warto też zwrócić uwagę, że w sprawach związanych z nazwiskiem stosowanie przepisów o ochronie dóbr osobistych najczęściej nie dotyczy samego nazwiska, lecz innych dóbr, np. godności, czci, kultu osoby zmarłej, które mogą być naruszone wskutek określonego użycia albo ujawnienia lub nieujawnienia nazwiska.