- Reklama -
środa, 20 listopada 2024
- Reklama -
Więcej
    Strona głównaPrawoPorada prawna: Zbieranie kopii dowodów osobistych, a ochrona danych osobowych

    Porada prawna: Zbieranie kopii dowodów osobistych, a ochrona danych osobowych

    Zgodnie z art. 23 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.) przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

    • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
    • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
    • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
    • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
    • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą; za prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

    Wystąpienie chociaż jednej z wyżej wymienionych przyczyn uprawnia do przetwarzania danych (zob. wyrok Naczelnego Sądu Administracyjnego z dnia 18 kwietnia 2008 r., I OSK 616/07).

    Administratorem danych osobowych jest taki dysponent danych, który decyduje o celach i środkach ich przetwarzania (zob. wyrok Naczelnego Sądu Administracyjnego z dnia 31 stycznia 2012 r., I OSK 1317/11). Obowiązkiem nadrzędnym administratora jest dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Administrator przetwarzający dane osobowe powinien uwzględniać zarówno niemajątkowe, jak i majątkowe interesy osób, których te dane dotyczą. Jego działania muszą charakteryzować się "szczególną starannością", jeśli chodzi o respektowanie tych interesów (tak Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 5 listopada 2010 r., II SA/Wa 964/10).

    Adekwatność przetwarzania danych w stosunku do celu, w jakim są przetwarzane, należy oceniać w każdym przypadku odrębnie, z uwzględnieniem konkretnej sytuacji gromadzenia danych przez administratora. Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 7 grudnia 2009 r. (II SA/Wa 1094/09, Legalis nr 213824) wskazał, że: „nawet wykazanie przez administratora danych, że legitymuje się przynajmniej jedną z przesłanek przewidzianych w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (…), nie wyłącza oceny adekwatności danych osoby w stosunku do celów, w jakich są one przetwarzane”.

    Generalny Inspektor Ochrony Danych Osobowych w decyzji z dnia 15 maja 2006 r. (GI-DEC-DS-157/06) w sprawie pozyskiwania – poprzez sporządzenie kopii dowodów osobistych lub innych dokumentów stwierdzających tożsamość – przez podmiot prowadzący działalność gospodarczą danych osobowych osób korzystających ze świadczonej przez niego usługi wskazał, że poprzez sporządzenie kopii „nowego” dowodu osobistego przedsiębiorca pozyskuje np. wizerunek klienta, jego nazwisko rodowe, imiona jego rodziców, a w przypadku dowodów osobistych starego typu poza ww. danymi także informacje dotyczące stanu cywilnego klienta. W ocenie Generalnego Inspektora Ochrony Danych Osobowych zakres pozyskanych w taki sposób danych nie jest adekwatny do celu, w jakim są one przetwarzane.

    W kwestii, czy dopuszczalne jest kserowanie dowodów osobistych i jaka jest podstawa przetwarzania tych danych w świetle ustawy o ochronie danych osobowych, wypowiedział się Naczelny Sąd Administracyjny w wyroku z 19 grudnia 2001 r. (II SA 2869/00, ONSA 2003, nr 1, poz. 29). Sąd uznał, że jakkolwiek dowód osobisty służy ustaleniu tożsamości osoby nim się legitymującej, nie można utożsamiać ustalenia tożsamości za pomocą dowodu osobistego z przetwarzaniem danych osobowych w nim zawartych. „Należy natomiast zgodzić się ze skarżącą, że gromadzenie danych osobowych przez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną, obojętną dla prawodawcy reglamentującego w ustawie o ochronie danych osobowych przetwarzanie tego rodzaju danych. Inaczej mówiąc, posługiwanie się taką czy inną techniką utrwalania danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności albo nielegalności tego utrwalania (przetwarzania). Dla takich ocen istotne znaczenie mają przede wszystkim: podstawa prawna przetwarzania danych (art. 23 ustawy), rodzaj przetwarzanych danych (art. 27) oraz granice przetwarzania (art. 26 ust. 1 pkt 3). Nie można wobec tego uwzględnić zarzutu, że posługiwanie się techniką kopiowania dokumentu prowadzi do naruszenia wspomnianej zasady adekwatności przetwarzanych danych w stosunku do celów, w jakich są przetwarzane”

    W tym samym wyroku podkreślono, że: zakres danych osobowych, przetwarzanych w związku z koniecznością wywiązania się z umowy (art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – Dz. U. Nr 133, poz. 883 ze zm.), powinien być zróżnicowany w zależności od charakteru i znaczenia umowy; w wypadku umów o istotnym znaczeniu gospodarczym lub społecznym bezpieczeństwo obrotu prawnego wymaga dokładnej identyfikacji stron zawierających umowę i może uzasadniać gromadzenie przez nie danych osobowych w zakresie gwarantującym należyte wywiązanie się ze zobowiązania.

    Należy zwrócić uwagę na wyrok Naczelnego Sądu Administracyjnego z dnia 11 grudnia 2001 r. (II SA 2684/00), w którym NSA uchylił zaskarżoną decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 21 września 2000 r., w której GIODO nakazał zaprzestanie kopiowania dokumentów klientów jako prowadzącego do pozyskania zbyt szerokiego, nieadekwatnego w stosunku do celów, zebrania danych w zakresie wykraczającym poza dane niezbędne do zawarcia umowy. Podobnie w wyroku z dnia 7 listopada 2003 r. (II SA 1432/02, LEX nr 174445) Naczelny Sąd Administracyjny uchylił zaskarżoną decyzję, w której Generalny Inspektor Ochrony Danych Osobowych nakazał zaprzestanie gromadzenia danych osobowych pozyskiwanych przez kopiowanie dowodów tożsamości w zakresie rysopisu, imion rodziców, wizerunku, nieaktualnych adresów zameldowania oraz informacji o dzieciach lub innych osobach pozostających pod opieką.

    W niektórych przypadkach zakres przetwarzania danych jest określony przepisami szczególnymi. Wojewódzki Sąd Administracyjny w wyroku z 23 czerwca 2005 r., II SA/Wa 417/05 (niepubl.), uznał, że przepisy, w których ustawodawca określa zakres przetwarzanych danych, należy traktować jako przepisy szczególne wobec art. 26 ustawy o ochronie danych osobowych. W konsekwencji – zdaniem Sądu – w takich wypadkach wyłączone jest zastosowanie zasady adekwatności danych, ponieważ to ustawodawca rozstrzyga, jakie konkretnie dane są adekwatne do celu przetwarzania (zob. A. J. Krasuski, D. Skolimowska, Dane osobowe w przedsiębiorstwie, LexisNexis 2007).

    W odniesieniu do kwestii ochrony danych osobowych w zakresie prawa bankowego Naczelny Sąd Administracyjny w wyroku z dnia 7 listopada 2003 r. (I SA 1432/02, LEX nr 174445) uznał, że: wizerunek i rysopis mieszczą się w definicji danych osobowych (art. 6 ustawy o ochronie danych osobowych), a imiona rodziców będą obok innych danych identyfikowały nie ich, lecz stronę zawieranej umowy. Przy badaniu zdolności do spłaty zobowiązania wynikającego z umowy o udzielenie kredytu, wykaz osób pozostających na utrzymaniu kredytobiorcy będzie w istocie informacją o nim, a nie danymi osobowymi członków jego rodziny.

    Sama zgoda na przetwarzanie danych osobowych powinna stanowić odrębne i wyraźne oświadczenie woli. Z tego też względu nie można przyjąć, że przekazanie przez klienta dokumentu w celu jego skopiowania stanowi wyraźną jego zgodę na przetwarzanie jego danych osobowych. Zgoda na przetwarzanie danych osobowych nie może być wyrażona bowiem przez każde zachowanie się tej osoby, której dane dotyczą, lecz wyłącznie w drodze oświadczenia woli (zob. decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 15 maja 2006 r., GI-DEC-DS-157/06).
    Reasumując, należy stwierdzić, że skoro gromadzenie danych osobowych poprzez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną, obojętną dla prawodawcy reglamentującego w ustawie o ochronie danych osobowych przetwarzanie tego rodzaju danych, to kopiowanie dowodów osobistych oraz ich archiwizacja są tylko techniką ich utrwalania. Dla oceny legalności istotne znaczenie mają przede wszystkim: podstawa prawna przetwarzania danych, rodzaj przetwarzanych danych oraz granice przetwarzania. Nie można zatem uznać, że posługiwanie się techniką kopiowania dokumentu prowadzi do naruszenia zasady adekwatności przetwarzanych danych w stosunku do celów, w jakich są przetwarzane. Jakkolwiek poprzez sporządzenie kopii dowodu osobistego pozyskuje się m.in. wizerunek klienta, jego nazwisko rodowe, imiona jego rodziców, to np. wizerunek i rysopis mieszczą się w definicji danych osobowych (art. 6 ustawy o ochronie danych osobowych), a imiona rodziców będą obok innych danych identyfikowały nie ich, lecz stronę zawieranej umowy.

    Podstawa prawna:
    [art. 6, 23, 26, 27 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.)]

    POWIĄZANE ARTYKUŁY
    - Reklama -

    NAJPOPULARNIEJSZE