Decyzja
DKE.523.16.2021
Na podstawie art. 104 § 1 oraz art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735) oraz art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) w związku z art. 160 ust. 1 oraz ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w związku z art. 6 ust. 1 lit. b i f rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. EU L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana Z. A., zam. w S., Os. (…), na przetwarzanie jego danych osobowych przez A. S.A., obecnie działającej pod firmą: U. S.A., z siedzibą w W. przy ul. (…) oraz przez K. Sp. z o.o. Sp. k. z siedzibą we W. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych
- Umarza postępowanie w zakresie przetwarzania przez K. Sp. z o.o. Sp. k. danych osobowych Pana Z. A.
- W pozostałym zakresie odmawia uwzględnienia wniosku.
UZASADNIENIE
W dniu 22 grudnia 2016 r. do Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Prezesa Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pana Z. A., zam. w S., Os. (…) (dalej jako: „Skarżący”), na przetwarzanie jego danych osobowych przez A. S.A., obecnie działającej pod firmą: U. S.A., z siedzibą w W. przy ul. (…) (dalej zwana także Ubezpieczycielem) oraz przez K. Sp. z o.o. Sp. k. z siedzibą we W. przy ul. (…) (dalej jako: „K.”). Skarżący wniósł o nakazanie Ubezpieczycielowi oraz K. usunięcia jego danych osobowych.
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- W dniu 1 września 2016 r. Skarżący zakupił pojazd, który był objęty ubezpieczeniem OC Ubezpieczyciela.
- W dniu 2 września 2016 r. Ubezpieczyciel otrzymał informację o zakupie przez Skarżącego pojazdu wskazanego w pkt. 1. oraz pozyskał od zbywcy pojazdu dane osobowe Skarżącego, w zakresie jego imienia, nazwiska, numeru PESEL, adresu zamieszkania, numeru telefonu, numeru rejestracyjnego oraz numeru VIN pojazdu (dowód: pismo Ubezpieczyciela z dnia 24 kwietnia 2017 r.).
- W dniu 13 września 2016 r. Skarżący złożył wypowiedzenie umowy ubezpieczenia przedmiotowego pojazdu na ręce agenta wykonującego czynności pośrednictwa na rzecz Ubezpieczyciela.
- Ubezpieczyciel nie odnotował faktu wypowiedzenia przez Skarżącego umowy ubezpieczenia przedmiotowego pojazdu.
- Pismem z 17 września 2016 r. Ubezpieczyciel przesłał Skarżącemu informacje o umowie ubezpieczenia pojazdu, zamiarze rekalkulacji składki, prawie do wypowiedzenia umowy a także o wysokości składki w przypadku odmowy przeprowadzenia rekalkulacji.
- Pismami z 6 października 2016 r., 14 października 2016 r., 20 października 2016 r. oraz 28 października 2016 r., Ubezpieczyciel wezwał Skarżącego do zapłaty składki ubezpieczeniowej. Ubezpieczyciel informował Skarżącego, że w przypadku braku płatności, dalsze kroki windykacyjne w jego imieniu podejmie K.
- Ubezpieczyciel, na podstawie umowy o świadczenie obsługi wierzytelności oraz umowy powierzenia danych, przekazał do K. dane osobowe Skarżącego w zakresie jego imienia, nazwiska, numeru PESEL, adresu zamieszkania i numeru telefonu.
- Pismem z 8 listopada 2016 r. Ubezpieczyciel poinformował Skarżącego, że odnotował wypowiedzenie umowy ubezpieczenia złożone przez Skarżącego 13 września 2016 r. i wezwał Skarżącego do zapłaty kwoty (...) zł za okres ochrony ubezpieczeniowej od 1 września 2016 r. do 14 września 2016 r..
- Pismem z 16 listopada 2016 r. Ubezpieczyciel poinformował Skarżącego o zmianie stanowiska dot. wysokości należnej składki za okres ochrony ubezpieczeniowej od 1 września 2016 r. do 14 września 2016 r., obliczając wysokość składki na kwotę (...) zł.
- Pismami z 21 listopada 2016 r. oraz 7 grudnia 2016 r., K. wezwał Skarżącego do zapłaty kwoty (...) zł na rzecz Ubezpieczyciela.
- W dniu 23 grudnia 2016 roku Skarżący zapłacił na rzecz Ubezpieczyciela wymaganą kwotę (...) zł. Wobec uregulowania należności Ubezpieczyciel wycofał zgłoszenie windykacyjne przekazane do K.
- Pismem z 28 kwietnia 2017 roku K. wskazała, że przetwarza dane osobowe Skarżącego w związku z przedmiotową umową w celach dowodowych oraz w celu rozliczenia usług świadczonych Ubezpieczycielowi.
- W dniu 18 kwietnia 2019 roku Ubezpieczyciel złożył do K. wniosek o usunięcie danych Skarżącego, przetwarzanych w związku z windykacją prowadzoną w 2016 roku.
- W dniu 4 września 2017 roku Skarżący zawarł z Ubezpieczycielem nową umowę ubezpieczenia OC, która obowiązywała od 14 września 2017 roku do 13 września 2018 roku.
- W piśmie z 24 kwietnia 2019 roku Ubezpieczyciel wskazał, że na podstawie obowiązujących przepisów jest zobowiązany przechowywać dane osobowe Skarżącego po zakończeniu umowy ubezpieczenia, do momentu upływu terminu przedawnienia roszczeń z tytułu umowy ubezpieczenia. Ubezpieczyciel zapewnił jednocześnie, że nie przetwarza danych osobowych Skarżącego w celach marketingowych.
- Pismem z 20 września 2021 roku K. oświadczyła, że nie przetwarza danych osobowych Skarżącego.
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Od dnia 25 maja 2018 r. zastosowanie ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej także „RODO”.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwana dalej także „ustawą o ochronie danych osobowych z 2018 r.”. W myśl art. 160 ust. 1-3 ustawą o ochronie danych osobowych z 2018 r., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) (zwana dalej także „ustawą o ochronie danych osobowych z 1997 roku”), zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego (zwanego dalej także „kpa”). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów ustawy o ochronie danych osobowych z 2018 r., pozostają skuteczne.
Uwzględniając powyższe stwierdzić zatem należy, że do niniejszego postępowania, wszczętego i niezakończonego przed dniem 25 maja 2018 r., zastosowanie mają przepisy proceduralne ustawy o ochronie danych osobowych z 1997 r. oraz przepisy materialne RODO.
Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych i organem nadzorczym w rozumieniu RODO (art. 34 ust. 1 i 2 ustawy o ochronie danych osobowych z 2018). Prezes UODO prowadzi postępowania w sprawie naruszenia przepisów o ochronie danych osobowych (art. 60 ustawy o ochronie danych osobowych z 2018 r.), przy czym w sprawach nieuregulowanych w ustawie o ochronie danych osobowych z 2018 r., do postępowań administracyjnych przed Prezesem UODO, w szczególności unormowanych w rozdziale 7 ustawy – postępowań w sprawie naruszenia przepisów o ochronie danych osobowych, stosuje się przepisy kpa (art. 7 ust. 1 ustawy o ochronie danych osobowych z 2018 r.). Stosownie do art. 57 ust. 1 RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a) oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (lit. h). Instrumentami realizacji zadań przewidzianych w art. 57 ust. 1 RODO są w szczególności określone w art. 58 ust. 2 RODO, uprawnienia naprawcze, w tym możliwość: wydawania ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania (lit. a), udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania (lit. b), nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu (lit. d).
Stosownie do art. 57 ust. 1 RODO, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 RODO – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).
W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Zgodnie z brzmieniem przepisu art. 23 ust. 1 ustawy o ochronie danych osobowych z 1997, obowiązującej w okresie, przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).
Zgodnie z art. 23. ust. 1 pkt 5 ustawy o ochronie danych osobowych z 1997 r. przetwarzanie danych było dopuszczalne, gdy było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczą. Zgodnie z art. 23 ust. 4 pkt 2 ustawy z 1997 r. za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
W myśl obowiązujących obecnie przepisów RODO, przetwarzanie danych osobowych jest zgodne z prawem, gdy administrator danych legitymuje się co najmniej jedną z określonych w art. 6 ust. 1 RODO, materialnych przesłanek przetwarzania danych osobowych. Według wyżej wskazanego przepisu przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy zostanie spełniony jeden z wymienionych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonywania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f) RODO).
Zgodnie z art. 17 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych a administrator ma obowiązek usunąć te dane w okolicznościach wskazanych w art. 17 ust. 1 i 2, lecz zgodnie z wyjątkiem przewidzianym w art. 17 ust. 3 lit. e), reguły te nie mają zastosowania w zakresie w jakim przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
Przytaczając motyw 47 RODO należy wskazać, że podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Należy uznać, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem administratora w rozumieniu RODO. Dochodzenie roszczeń i przetwarzanie w tym celu adekwatnych danych osobowych nie stanowi nieproporcjonalnego ograniczenia praw i wolności osoby, której dane dotyczą.
Zgodnie z art. 805 §1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz. U. z 2020 r. poz. 1740 z późn. zm.) (dalej zwany także „kc”), przez umowę ubezpieczenia ubezpieczyciel zobowiązuje się, w zakresie działalności swego przedsiębiorstwa, spełnić określone świadczenie w razie zajścia przewidzianego w umowie wypadku, a ubezpieczający zobowiązuje się zapłacić składkę.
Zgodnie z art. 31 ust. 1 ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2019 r. poz. 2214), dalej jako: „ustawa o ubezpieczeniach obowiązkowych”, w razie przejścia lub przeniesienia prawa własności pojazdu mechanicznego, którego posiadacz zawarł umowę ubezpieczenia OC posiadaczy pojazdów mechanicznych, na posiadacza pojazdu, na którego przeszło lub zostało przeniesione prawo własności, przechodzą prawa i obowiązki poprzedniego posiadacza wynikające z tej umowy. Umowa ubezpieczenia OC ulega rozwiązaniu z upływem okresu, na który została zawarta, chyba że posiadacz, na którego przeszło lub zostało przeniesione prawo własności, wypowie ją na piśmie. W przypadku wypowiedzenia umowy ubezpieczenia OC, ulega ona rozwiązaniu z dniem jej wypowiedzenia. Przepisów art. 28 nie stosuje się.
Zgodnie z art. 32 ustawy o ubezpieczeniach obowiązkowych posiadacz pojazdu mechanicznego, który przeniósł prawo własności tego pojazdu, jest obowiązany do przekazania posiadaczowi, na którego przeniesiono prawo własności pojazdu, potwierdzenia zawarcia umowy ubezpieczenia OC posiadaczy pojazdów mechanicznych oraz do powiadomienia na piśmie zakładu ubezpieczeń, w terminie 14 dni od dnia przeniesienia prawa własności pojazdu, o fakcie przeniesienia prawa własności tego pojazdu i o danych posiadacza, na którego przeniesiono prawo własności pojazdu.
Zgodnie z art. 86 § 1 ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (t.j. Dz. U. z 2021 r. poz. 1540 z późn. zm.) podatnicy obowiązani do prowadzenia ksiąg podatkowych przechowują księgi i związane z ich prowadzeniem dokumenty do czasu upływu okresu przedawnienia zobowiązania podatkowego, chyba że ustawy podatkowe stanowią inaczej.
Zgodnie z art. 74 ust. 2 pkt 1) oraz ust. 3 ustawy z dnia 29 września 1994 r. o rachunkowości (t.j. Dz. U. z 2021 r. poz. 217 z późn. zm.) czas trwania obowiązku przechowywania ksiąg rachunkowych wynosi 5 lat od początku roku następującego po roku obrotowym, którego dane zbiory dotyczą.
Zgodnie z art. 105 § 1 k.p.a., gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części.
Odnosząc powyższe nomy prawne do ustalonego w sprawie stanu faktycznego, wskazać należy, że Ubezpieczyciel pozyskał dane osobowe Skarżącego od zbywcy pojazdu, zgodnie z art. 32 ust. 1 ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2019 r. poz. 2214). Przetwarzanie danych osobowych Skarżącego przez Ubezpieczyciela odbywało pierwotnie się w celu wykonania umowy zawartej między stronami, zatem na podstawie art. 23 ust. 1 ustawy o ochronie danych osobowych z 1997 r. a po wejściu w życie RODO, na podstawie analogicznego przepisu art. 6 ust. 1 lit b) RODO.
Równolegle Ubezpieczyciel przetwarzał dane osobowe Skarżącego w celu dochodzenia roszczeń z zawartej umowy ubezpieczenia, zgodnie z art. 23 ust. 4 pkt 2 w związku z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych z 1997 r. a po wejściu w życie RODO, na podstawie art. 6 ust. 1 lit. f) RODO. W ocenie Prezesa Urzędu Ochrony Danych Osobowych, przetwarzanie przez administratorów danych osobowych Skarżących nie może być oceniane jako naruszające ich prawa i wolności. W przeciwnym przypadku mogłoby dojść do sytuacji, w której dłużnik, powołując się na prawo do ochrony danych osobowych (prawo do prywatności), skutecznie uchylałby się od spoczywającego na nim obowiązku spełnienia świadczenia. W konsekwencji stanowiłoby to nieracjonalne ograniczenie prawa wierzyciela do uzyskania należnej mu zapłaty. Ubezpieczyciel mógł dochodzić spłaty zadłużenia samodzielnie lub korzystając z pośrednictwa wyspecjalizowanych firm. Ubezpieczyciel przekazał dane osobowe Skarżącego spółce K. na potrzeby prowadzenia procesu windykacji należności z tytułu składki ubezpieczeniowej. Przekazanie informacji o dłużniku spółce K. było uzasadnione, gdyż określało przeciwko komu wierzytelność przysługuje, ale jednocześnie nie stanowiło zbytniej ingerencji w prywatność dłużnika.
Pierwotna kalkulacja składki ubezpieczeniowej okazała się błędna a docelowa kwota składki, którą uiścił Skarżący, była znacząco niższa, jednak nie zmienia to faktu, że zarówno Ubezpieczyciel jak i K., przetwarzały dane osobowe Skarżącego w zgodzie z przepisami o ochronie danych osobowych.
Na dzień wydania niniejszej decyzji K. nie przetwarza danych osobowych Skarżącego z tytułu dochodzenia wierzytelności z przedmiotowej umowy ubezpieczenia. W związku z tym Prezes UODO, zobligowany był umorzyć niniejsze postępowanie administracyjne w zakresie przetwarzania danych osobowych Skarżącego przez K., zgodnie z dyspozycją art. 105 § 1 k.p.a., z uwagi na brak przedmiotu postępowania (tj. brak przetwarzania danych).
Natomiast Ubezpieczyciel jest zobowiązany do przechowywania danych osobowych Skarżącego m. in. z tytułu umowy ubezpieczenia zawartej ze skarżącym 4 września 2017 roku, na podstawie art. 86 ust. 1 Ordynacji Podatkowej w zw. z art. 74 ust. 2 pkt 1) Ustawy o rachunkowości, na czas trwania obowiązku przechowywania ksiąg rachunkowych. Zgodność z prawem takiego przetwarzania danych wynika wprost z art. 6 ust. 1 lit. c) RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Wobec powyższego w przedmiotowej sprawie nie ma podstaw do wydania decyzji zgodnej z żądaniem Skarżącego, nakazującej Ubezpieczycielowi usunięcie jego danych osobowych.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Na podstawie art. 127 § 3 kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.