Decyzja
ZSPR.440.301.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana N. I., zam. w Ś., na udostępnienie jego danych osobowych przez T. S.A z siedzibą w S., którego następcą prawnym jest T.U. S.A z siedzibą w S., na rzecz P. z siedzibą w W., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana N. I., zam. w Ś., dalej jako Skarżący, na udostępnienie jego danych osobowych przez T. S.A z siedzibą w S., obecnie T. U. S.A z siedzibą w S., na rzecz K. S.A. z siedzibą we W.
W treści skargi Skarżący wskazał, iż jego zdaniem doszło do udostępnienia jego danych osobowych przez T. U. S.A. na rzecz cyt.: „(…) kancelarie prawnicze (…) firmy windykacyjne (...)” w związku z zakupem samochodu [...] z ważną polisą OC i powstałą na jej podstawie wierzytelnością T.U. S.A. wobec Skarżącego. Jednocześnie wskazał, iż cyt.: „(…) Muszę także poinformować, że nie wyraziłem zgody na przetwarzanie moich danych osobowych firmie T. S.A. nawet w zakresie obsługi nie mówiąc o tym, że powinni wystąpić o zgodę na sprzedaż „długu” którego de facto nie ma (…)”
Skarżący, w piśmie do Generalnego Inspektora Ochrony Danych Osobowych (doręczonym dnia […] września 2016 r.) doprecyzował, iż skargę składa na T. S.A z siedzibą w S. oraz cyt.: „aktualnym jego następcą prawnym podanym w piśmie z K S.A.” jak również na K. S.A.. Skarżący domaga się od Generalnego Inspektora przywrócenia stanu zgodnego z prawem i nieudostępniania danych osobowych podmiotom trzecim przez T. S.A. oraz jego następcę prawnego.
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.
- Dane osobowe Skarżącego pozyskane zostały przez T. S.A. na podstawie doręczonego […].04.2012 r. zawiadomienia zbywcy o nabyciu pojazdu [...] nr rej. […] przez Skarżącego zgodnie z art. 32 ust 1 ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2018 r. poz. 473 ze zm.), zwanej dalej ustawą UFG, oraz dodatkowo uzupełnione pismem od Skarżącego doręczonym dnia […].05.2012 r. T. S.A. pozyskało następując następujące kategorie danych osobowych Skarżącego: imię, nazwisko, nr ewidencyjny PESEL, dane adresowe, datę uzyskania prawa jazdy oraz wysokość przysługujących Skarżącemu zniżek. Celem pozyskania danych było wykonanie przez T. S.A. obowiązków wynikających z zawartej umowy ubezpieczenia OC posiadacza pojazdu zgodnie z art. 31 ustawy UFG.
- Następcą prawnym T. S.A. w związku z przejęciem spółki na zasadach określonych w art. 492 § 1 pkt 1 ustawy z dnia 15 września 2000 r. Kodeks spółek handlowych (t.j. Dz. U. z 2019 r. poz. 505), zwanej dalej Ksh, stała się T.U. S.A..
- Skarżący nie zwracał się do T.U. S.A. o zaprzestanie udostępniania jego danych osobowych podmiotom trzecim.
- T. S.A. udostępniło dane osobowe Skarżącego P., dalej jako Fundusz, na podstawie umowy zawartej w dniu […] grudnia 2013 r. pomiędzy T. S.A. a Funduszem, której przedmiotem była cesja wierzytelności wynikającej z niezapłaconej przez Skarżącego składki ubezpieczeniowej. Zakres danych jaki został przekazany był ograniczony do danych niezbędnych do prawidłowego dochodzenia wierzytelności tj: imię, nazwisko, numer ewidencyjny PESEL, dane adresowe.
- Podmiotem zarządzającym i reprezentującym Fundusz od dnia […] października 2011 r. był P. G. z siedzibą w W. Podstawą przetwarzania danych osobowych Skarżącego przez P. G. była zawarta w dniu […].10.2011 r. umowa o zarządzanie sekurytyzowanymi wierzytelnościami Funduszu zawarta pomiędzy P. G., a C. S.A z siedzibą w W., reprezentującym Fundusz.
- Podstawą przetwarzania danych osobowych Skarżącego przez K. S.A. jest aneks z dnia […] kwietnia 2016 r. do umowy zawartej w dniu […] października 2011 r. o zarządzanie sekurytyzowanymi wierzytelnościami Funduszu zawarta pomiędzy P. G., a C. S.A. i Funduszem, zmieniona następnie aneksami z dnia […].04.2016 r. o zarządzaniu sekurytyzowanymi wierzytelnościami Funduszu, na podstawie której K. S.A. przejął od P. G. wszelkie prawa i obowiązki wynikające z umowy o Zarządzanie.
- K. S.A. nie udostępnił danych osobowych Skarżącego podmiotom trzecim w związku z dochodzeniem roszczeń.
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył co następuje.
Z dniem 25 maja 2018 r., wraz z wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.), dalej jako uodo 2018, Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), dalej jako uodo 1997, zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), dalej jako Kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 i ust. 2 uodo 2018).
Wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych, dokonał na podstawie zgromadzonego w niniejszej sprawie materiału dowodowego, oceny przetwarzania danych osobowych Skarżącego w kontekście obowiązujących wówczas przepisów uodo 1997, natomiast nie badał kwestii istnienia lub nieistnienia wierzytelności, ani jej wysokości. Takie sprawy są bowiem sprawami cywilnymi w rozumieniu art. 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2018 r. poz. 1025 ze zm.), dalej jako Kc, i powinny być rozpatrywane w postępowaniach prowadzonych przez sądy powszechne. W szczególności, zgodnie z art. 189 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2018 r. poz. 1360 ze zm.), dalej jako Kpc), powód może żądać ustalenia przez sąd istnienia lub nieistnienia stosunku prawnego lub prawa, gdy ma w tym interes prawny. Tym samym, Prezes UODO nie ma uprawnień, aby rozpatrzyć zarzut Skarżącego co do istnienia długu z tytułu zawartej umowy, jak i istnienia samej umowy z T. S.A., ani z jego następcą prawnym T.U. S.A..
Przepisy uodo 1997 do dnia 25 maja 2018 r. określały zasady postępowania przy przetwarzaniu danych osobowych przez osoby fizyczne i osoby prawne oraz jednostki organizacyjne nie będące osobami prawnymi, jeżeli przetwarzały dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Aby przetwarzanie danych osobowych było zgodne z prawem administrator był obowiązany przetwarzać dane osobowe na podstawie przesłanek określonych w art. 23 ust. 1 pkt 1 – 5 uodo 1997. Zgodnie z tym przepisem przetwarzanie danych było dopuszczalne tylko wtedy, gdy:
- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Odnosząc powyższe do ustalonego w sprawie stanu faktycznego, wskazać należy, iż T. S.A. pozyskało dane osobowe Skarżącego na podstawie doręczonego […].04.2012 r. zawiadomienia zbywcy o nabyciu pojazdu [...] nr rej […] przez Skarżącego zgodnie z art. 32 ust 1 ustawy UFG. Przepis ten stanowi, że posiadacz pojazdu mechanicznego, który przeniósł prawo własności tego pojazdu, jest obowiązany do przekazania posiadaczowi, na którego przeniesiono prawo własności pojazdu, potwierdzenia zawarcia umowy ubezpieczenia OC posiadaczy pojazdów mechanicznych oraz do powiadomienia na piśmie zakładu ubezpieczeń, w terminie 14 dni od dnia przeniesienia prawa własności pojazdu, o fakcie przeniesienia prawa własności tego pojazdu i o danych posiadacza, na którego przeniesiono prawo własności pojazdu. Ponadto, w myśl art. 31 ust. 1 ustawy UFG, w razie przejścia lub przeniesienia prawa własności pojazdu mechanicznego, którego posiadacz zawarł umowę ubezpieczenia OC posiadaczy pojazdów mechanicznych, na posiadacza pojazdu, na którego przeszło lub zostało przeniesione prawo własności, przechodzą prawa i obowiązki poprzedniego posiadacza wynikające z tej umowy. Umowa ubezpieczenia OC ulega rozwiązaniu z upływem okresu, na który została zawarta, chyba że posiadacz, na którego przeszło lub zostało przeniesione prawo własności, wypowie ją na piśmie. Natomiast T.U. S.A. pozyskała dane osobowe Skarżącego jako następca prawny T. S.A., zgodnie bowiem z 492 § 1 pkt 1 Ksh, połączenie spółek może być dokonane przez przeniesienie całego majątku spółki (przejmowanej) na inną spółkę (przejmującą) za udziały lub akcje, które spółka przejmująca wydaje wspólnikom spółki przejmowanej (łączenie się przez przejęcie).
Zatem, w przedmiotowej sprawie wypełniona została przesłanka legalnego pozyskania i przetwarzania danych osobowych Skarżącego przez T. S.A., a następnie przez T.U. S.A., wynikająca z uodo 1997. Mianowicie, zgodnie z art. 23 ust. 1 pkt. 2 i 3 uodo 1997 przetwarzanie danych osobowych było dopuszczalne, gdy było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa oraz było to konieczne do realizacji umowy, gdy osoba, której dane dotyczyły, była jej stroną. Zgoda Skarżącego nie była w tym przypadku wymagana
Zgodnie z art. 31 ust. 1 uodo 1997, obowiązującej przed dniem 25 maja 2018 r.,administrator danych mógł powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, o którym mowa w ust. 1, mógł przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2). Ponadto podmiot, o którym mowa w ust. 1, był obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których była mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których była mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosił odpowiedzialność jak administrator danych (ust. 3). W przypadkach, o których była mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywało na administratorze danych, co nie wyłączało odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową (ust. 4). Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosowało się odpowiednio przepisy art. 14-19 tejże ustawy (ust. 5).
Fundusz pozyskał dane osobowe Skarżącego w zw. z zawarciem z T.U. S.A. umowy cesji wierzytelności z dnia […] grudnia 2013 r. Powyższe znajduje oparcie w substytucji art. 509 § 1 Kc, zgodnie, z którą wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Z § 4 pkt 7 tej umowy zatytułowanego Realizacja Umowy (w aktach sprawy) wynika, że jest to jednocześnie umowa przekazania zbioru danych osobowych dłużników. Zbywca, czyli T.U. S.A., przekazał zbiór danych osobowych w rozumieniu ogólnego rozporządzenia o ochronie danych, a nabywca, czyli Fundusz stał się administratorem tego zbioru. Wskazać zatem należy, iż przesłanką legalizującą pozyskanie danych osobowych Skarżącego przez Fundusz był przepis art. 23 ust. 1 pkt 5 uodo 1997, zgodnie z którym przetwarzanie danych było dopuszczalne, gdy było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczyły. Przepis ten był ściśle skorelowany z art. 23 ust. 4 ustawy, który precyzował, co uodo 1997 rozumiało za prawnie usprawiedliwiony cel administratora danych bądź odbiorców danych. Stosownie bowiem do art. 23 ust. 4 pkt 2 uodo 1997, za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważało się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. W tym miejscu przytoczyć trzeba także stanowisko orzekającego w składzie 7 sędziów Naczelnego Sądu Administracyjnego, który w wyroku z dnia 6 czerwca 2005 r. (sygn. akt I OPS 2/05) uznał, że prawnie usprawiedliwiony cel administratora danych, o którym mowa w art. 23 ust. 1 pkt 5 ustawy, może być oparty na przepisach prawa cywilnego. Zdaniem NSA za taki prawnie usprawiedliwiony cel już sama ustawa uznaje dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy o ochronie danych osobowych).
Wskazać należy, iż w momencie cesji wierzytelności, Fundusz stał się administratorem danych osobowych, w rozumieniu art. 7 pkt 4 uodo 1997, tj. podmiotem decydującym o celach i środkach przetwarzania danych.
Analizując kwestię przetwarzania danych osobowych przez K. S.A., podkreślić należy, że uodo 1997 zezwalała administratorowi danych (w niniejszej sprawie jest nim Fundusz) na powierzenie innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzania danych (art. 31 ust. 1), zastrzegając jedynie, że podmiot, któremu dane powierzono mógł je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ust. 1 i 2 uodo 1997). W ocenie Prezesa Urzędu Ochrony Danych Osobowych łącząca K. S.A. i Fundusz umowa o przejęcie praw i obowiązków z umowy o zarządzanie Sekurytyzowanymi Wierzytelnościami Funduszu z dnia […] kwietnia 2016 r. w związku z umową o zarządzanie Sekurytyzowanymi Wierzytelnościami Funduszu Sekurytyzacyjnego z dnia […] października 2011 r. pomiędzy C. i Funduszem a P. G., zarówno z uwagi na jej formę, jak i treść odpowiadała wymogom określonym w art. 31 uodo 1997. Dlatego działania K S.A. związane z przetwarzaniem danych osobowych Skarżącego były uprawnione.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, również łącząca K. S.A. i Fundusz umowa o przejęcie praw i obowiązków z umowy o zarządzanie Sekurytyzowanymi Wierzytelnościami Funduszu z dnia […] kwietnia 2016 r. w związku z umową o zarządzanie Sekurytyzowanymi Wierzytelnościami Funduszu Sekurytyzacyjnego z dnia […] października 2011 r. pomiędzy C. i Funduszem a P. G., zarówno z uwagi na jej formę, jak i treść odpowiada wymogom określonym w art. 31 uodo 1997. Dlatego działania K. S.A. związane z przetwarzaniem danych osobowych Skarżącego były uprawnione.
Jak wykazało postępowanie, ani K. S.A., ani T.U. S.A. nie udostępniły danych osobowych Skarżącego żadnym innym podmiotom trzecim.
Konkludując powyższe, w ocenie Prezesa Urzędu Ochrony Danych Osobowych, nie ma podstaw do stwierdzenia, iż dane osobowe Skarżącego były przetwarzane przez T.U. S.A. i K. S.A. w sposób niezgodny z przepisami o ochronie danych, zatem nie zaistniała niezbędna przesłanka do wydania przez Prezesa Urzędu Ochrony Danych Osobowych decyzji nakazującej przywrócenie stanu zgodnego z prawem.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.