PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 29 listopada 2019 r.

Decyzja

ZKE.440.29.2019

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), art. 18 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138) oraz art. 6 ust. 1 lit f) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana P. S. i M. S., na udostępnianie nieupoważnionym osobom ich danych osobowych przez Z. Spółka z o.o., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana P. S. i Pani M. S. (zwanych dalej: „Skarżącymi”) na udostępnianie osobom nieupoważnionym ich danych osobowych przez Z. Spółka z o.o. (zwanej dalej: „Spółką”).

Skarżący w treści ww. skargi wskazali, że Spółka przekazuje pisemnie informacje związane z  prowadzonymi przeciw nim czynnościami windykacyjnymi nieuprawnionym podmiotom, które w żaden sposób nie są związane z tymi czynnościami ani nimi zainteresowane. Korespondencja przesyłana przez Spółkę nie miała na celu wyegzekwowania spłaty zadłużenia a jedynie szykanowanie i wywieranie psychicznej presji na Skarżących.

W związku z powyższym Skarżący wnieśli o cyt.:”

  • sprostowanie informacji udzielonej przez Z. osobom trzecim na temat mojej osoby przez wysłanie pism do E., K. N., Prezydent […], J. G.  – […] z przeproszeniem,
  • nieudostępnianie dalsze moich danych osobowych
  • wstrzymanie przekazywania danych osobowych do osób trzecich”.

W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) ustalił, co następuje.

  1. Na podstawie umowy przelewu wierzytelności  Spółka nabyła wierzytelności wobec P. E. S. stwierdzone wyrokami Sądu Rejonowego dla W.  […] lutego 2011 roku (sygn. akt: […]) oraz z […] czerwca 2013 roku (sygn. akt. […]).
  2. Pismami z […] i […] maja 2014 roku Spółka udostępniła dane osobowe Skarżących Radzie Naczelnej Stowarzyszenia H., K., K. N., Prezydentowi […] H. G. w zakresie imienia, nazwiska oraz kwoty zadłużenia. Ww. podmioty nie były w zainteresowane ani związane ze sprawą egzekucyjną.
  3. W toku postępowania zaistniała konieczność przeprowadzenia czynności kontrolnych, które jednak z uwagi na brak możliwości skontaktowania się z osobami upoważnionymi do reprezentacji nie zostały przeprowadzone.
  4. Pismem z […] czerwca 2016 roku Generalny Inspektor Ochrony Danych Osobowych (sygn. […]) złożył zawiadomienie o podejrzeniu popełniania przestępstwa na podstawie art. 49 ust. 1 ustawy o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.  oraz z 2018 r. poz. 138), zwanej dalej : „ustawą”. Właściwa w sprawie Prokuratura Rejonowa W., postanowieniem z […] września 2017 roku umorzyła jednak dochodzenie w sprawie, z uwagi na brak znamion czynu zabronionego. Generalny Inspektor Ochrony Danych Osobowych złożył zażalenie na postanowienie. Prokuratura utrzymała w mocy zaskarżone postanowienie.

W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.), zwanej dalej „u.o.d.o.”. W myśl art. 160 ust. 1-3 u.o.d.o. postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zwaną dalej „ustawą”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.

W czasie, gdy miało miejsce zdarzenie opisane przez Skarżących, obowiązywała ustawa. Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych jest art. 23 ust. 1 ustawy, zgodnie z którym przetwarzanie danych osobowych jest zgodne z prawem wówczas gdy administrator danych spełnia jeden z warunków wymienionych w tym artykule, tj. gdy:

  1. osoba, której dane dotyczą, wyraziła na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
  2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  4. jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Należy dodać, że przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 ust. 2 ustawy, w tym do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednego z nich.

W ocenie Prezesa Urzędu w omawianej sprawie żaden z powyższych warunków  nie został spełniony. Zatem należy stwierdzić, że udostępnianie danych osobowych dotyczących czynności windykacyjnych prowadzonych wobec Skarżących w korespondencji przesłanej do podmiotów wskazanych w skardze odbyło się bez podstawy prawnej.

Niezależnie od powyższego wskazać należy, że postępowanie prowadzone przez Prezesa Urzędu jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy o ochronie danych osobowych. Według tego przepisu w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.

Należy wyjaśnić, iż w okolicznościach rozpatrywanej sprawy brak jest podstaw do formułowania jakiegokolwiek nakazu pod adresem Spółki. Po pierwsze, Prezes Urzędu nie dysponuje instrumentami prawnymi, które umożliwiałyby zniwelowanie skutków dokonanego już, nieuprawnionego udostępnienia danych osobowych Skarżących. Udostępnienie to jest faktem nieodwracalnym w tym sensie, że nie jest możliwe doprowadzenie do takiej sytuacji, jaka miałaby miejsce, gdyby do kwestionowanego naruszenia nie doszło. Ponadto, warunkiem wydania przez organ rozstrzygnięcia, o którym mowa w art. 18 ustawy, jest istnienie stanu naruszenia prawa do ochrony danych osobowych w chwili wydania decyzji administracyjnej. Tymczasem z przedstawionych przez Skarżących dowodów wynika, że w rozpatrywanej sprawie udostępnienie danych nieuprawnionym podmiotom miało charakter jednorazowy, wobec tego brak jest podstaw by przyjąć, że kwestionowane przez Skarżących działania powtórzą się w przyszłości. Prezes Urzędu nie jest władny wydać w niniejszej sprawie nakazu dotyczącego ewentualnego nieuprawnionego przetwarzania danych osobowych Skarżących w przyszłości. Podkreślić bowiem należy, że decyzja administracyjna jest aktem o charakterze konkretnym i indywidualnym i dotyczy zawsze ściśle określonego, ustalonego i aktualnego w chwili orzekania stanu faktycznego. Prezes Urzędu nie jest uprawniony do wydania rozstrzygnięcia w odniesieniu do przyszłych i często hipotetycznych sytuacji.

Dodać należy, że Prezes Urzędu nie jest również władny do wydawania nakazów mających zniwelować negatywne skutki naruszenia dóbr osobistych, w tym przypadku do nakazania Spółce wysłania pism z przeprosinami do podmiotów, którym dane zostały udostępnione, o co wnieśli Skarżący. Informuję, iż jeżeli w ocenie Skarżących doszło do naruszenia ich dóbr osobistych, którymi zgodnie z art. 23 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. z 2018 r., poz. 1025) są w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, mogą oni dochodzić swych roszczeń z tego tytułu w drodze powództwa cywilnego wytoczonego przed właściwy miejscowo sąd powszechny. Zgodnie bowiem z treścią art. 24 § 1 i 2 ww. ustawy, ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia mogą oni także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2019-11-29
Wprowadził informację:
user Anna Pachla
date 2021-04-01 12:12:40
Ostatnio modyfikował:
user Edyta Madziar
date 2021-04-15 12:49:08