W lipcu została wniesiona skarga wobec Zakładu Ubezpieczeń Społecznych oraz skarga wobec PROVIDENT Polska. Powinno to być przestrogą dla podmiotów oraz instytucji wykorzystujących osobowe bazy danych, gdyż naruszenie Ustawy o ochronie danych osobowych może narazić przedsiębiorstwa oraz instytucje na wysokie odszkodowania w wyniku naruszenia dóbr osobistych osób fizycznych, których dane osobowe nie zostały należycie zabezpieczone lub zostały wykorzystane niezgodnie z ustawą.
Korespondencja ZUS
Wnoszący skargę na ZUS posiadał zaległości wobec zakładu, co spowodowało podjęcie przez ZUS windykacji zaległych składek. Dłużnik otrzymał czterokrotnie od ZUS II Oddział w Łodzi z siedzibą w Zduńskiej Woli Inspektorat w Łodzi, ul. Łęczycka 70b, korespondencję z wezwaniem do zapłaty, wysłaną listem poleconym na adres dłużnika.
ZUS wysyłał w latach 2006-2007 korespondencję z wezwaniem do zapłaty w kopertach z „przezroczystym okienkiem”, w których widoczny był fragment tekstu „…o postępowaniu egzekucyjnym w administracji” oraz fragment tekstu „uregulowania następujących należności”.
W wezwaniach do zapłaty należności ZUS wykorzystywał program komputerowy, który automatyzuje czynności korespondencyjne poprzez pobieranie danych z baz, a dane adresowe zapisane na sformatowanym druku są widoczne w „przezroczystym okienku” koperty.
ZUS wykazał przy tym rażące niedbalstwo w zakresie kontroli zabezpieczenia korespondencji i wysyłał masowo korespondencję nienależycie zabezpieczoną w zakresie ochrony danych osobowych, co wynika z faktu, iż złożony druk był węższy od koperty o ok. 2 cm i w związku z powyższym mógł się przesuwać w kopercie, a przesunięcie druku powodowało, że w „przezroczystym okienku” widoczne były opisane fragmenty tekstu.
Zgodnie z Ustawą o ochronie danych osobowych każdy ma prawo do ochrony dotyczących go danych osobowych, a za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Tak więc korespondencja musi być tak zabezpieczona, by żadne dane osobowe nie były widoczne.
Wnoszący skargę uważa, iż w wyniku naruszenia Ustawy o ochronie danych osobowych przez ZUS, informacja o jego zadłużeniu dotarła do osób postronnych narażając go na straty. Niewątpliwie brak należytego zabezpieczenia korespondencji należy rozpatrywać w aspekcie socjologiczno-psychologicznym (informacje jak wyżej, widoczne w „przezroczystym okienku” prowokują osoby postronne do przesuwania druków w kopertach i/lub otwierania kopert).
Wnoszący skargę zarzucił ZUS-owi brak należytego zabezpieczenia korespondencji i tym samym naruszenie przez ZUS Ustawy o ochronie danych osobowych.
Przed wniesieniem skargi do GIODO poszkodowany wniósł zarzuty związane z naruszeniem Ustawy o ochronie danych osobowych do ZUS, jednak Genowefa S., kierownik II/O ZUS w Łodzi, nie uznała racji wnoszącego skargę argumentując, że uwidocznienie w „okienku” koperty fragmentu tekstu cyt. „o postępowaniu egzekucyjnym w administracji” oraz „uregulowaniu następujących należności” nie można uznać jako informacji, która mogłaby w jakikolwiek sposób naruszyć dane osobowe, zwłaszcza że ujawniony zapis korespondencji nie wskazuje jednoznacznie na treść przesyłki. Ponadto pani Genowefa S. stwierdziła, iż jej uzasadnienie wynika z postanowienia NSA z 28.11.2002 roku (sygn. akt II SA 3389/01). Poszkodowany znał to postanowienie NSA (jest dostępne w internecie), w którym NSA uzasadniał, że „Dane osobowe osób fizycznych prowadzących działalność podlegają ochronie, nie podlegają jej jednak informacje ściśle związane z prowadzoną działalnością”. Tym samym, dane dotyczące postępowania egzekucyjnego oraz wezwania do zapłaty podlegają ochronie danych osobowych osoby prowadzącej działalność gospodarczą, a w „przezroczystym okienku” koperty nie mogą być widoczne żadne informacje poza danymi adresowymi. Przełożony pani Genowefy S. w osobie kierownika oddziału z siedzibą w Zduńskiej Woli Władysław S. argumentował również, iż Ustawa o ochronie danych osobowych nie została naruszona przez ZUS, jednak poszkodowany po wnikliwej analizie postanowienia NSA wniósł skargę do GIODO i oczekuje obecnie na decyzję administracyjną.
Formułka Providenta
Zdecydowana większość pożyczek Providenta udzielana jest z tzw. obsługą domową, polegającą na cotygodniowych wizytach przedstawiciela w domu pożyczkobiorcy, w celu odebrania bieżącej spłaty. Mało atrakcyjny charakter tej pracy powoduje, że rotacja wśród przedstawicieli jest bardzo wysoka, a nierzadko przedstawiciele obsługujący danego pożyczkobiorcę zmieniają się. Jeśli ten sam przedstawiciel prowadzi obsługę nie ma większych podstaw do stawiania zarzutu, że Provident narusza Ustawę o ochronie danych osobowych, jednak gdy przedstawiciele zmieniają się co dwa czy trzy tygodnie, a pożyczkobiorca zamieszkuje w budownictwie wielorodzinnym, wówczas przy drugiej lub trzeciej zmianie sąsiedzi pożyczkobiorcy wiedzą, iż osoba, do której co tydzień puka przedstawiciel, nie posiada bankowej zdolności kredytowej, a jej status finansowy jest bardzo niski. Każdy nowy przedstawiciel recytuje formułkę: nazywam się…, jestem przedstawicielem Providenta. Dzieje się to zwykle na klatce schodowej lub w otwartych drzwiach mieszkania.
Wnoszący skargę do GIODO uzasadnia, że Provident narusza w ten sposób Ustawę o ochronie danych osobowych, a jednocześnie narusza jego dobra osobiste. Motywuje to faktem, że jego zgoda na obsługę domową pożyczki nie oznacza zgody na takie prowadzenie obsługi, które powoduje, że jego sąsiedzi w wyniku wadliwych procedur otrzymali czytelną informację, iż nie posiada bankowej zdolności kredytowej, wynikającej z niskich dochodów. Dowodzi, że Provident powinien przy zmianie przedstawiciela informować pożyczkobiorcę o zmianie w sposób telefoniczny, elektroniczny lub korespondencyjny, a zmianie przedstawiciela nie będzie towarzyszyć wymienianie nazwy Provident na klatce schodowej lub w drzwiach mieszania.
Sprawa posiada jeszcze jeden aspekt prawny, odniesiony do zasad współżycia społecznego, wg których fakt zaciągania kredytu lub pożyczki objęty jest tajemnicą. Zasadne jest przyjęcie tezy, że powszechnie uznane zasady współżycia społecznego, w tym również zasada tajemnicy bankowej, obowiązują również przedsiębiorstwa udzielające pożyczek.
Skarga do GIODO ma charakter precedensowy, jednakże za uznaniem, że Generalny Inspektor Ochrony Danych Osobowych jest właściwym organem do rozpatrzenia skargi oraz wydania decyzji administracyjnej dotyczącej uchybień Providenta w zakresie ustawy przemawia art. 7 pkt 2 w brzmieniu: „Ilekroć w ustawie jest mowa o przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”.
Dlatego w sytuacji, gdy dane osobowe są udostępniane przez Providenta przedstawicielom (czyli poza firmę, a przedstawiciele nie są pracownikami), musi się to odbywać na takich zasadach, by nie następowało naruszanie Ustawy o ochronie danych osobowych. Jeśli skutkiem udostępniania danych osobowych jest naruszenie ustawy, to niewątpliwie GIODO jest organem właściwym do wydania stosownej decyzji w tego typu sprawach.