ZKE.440.74.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 poz. 256 ze zm.) w zw. z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w zw. z art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 1-3 i 5 oraz 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) w zw. z art. 6 ust. 1 lit. a), b) c) i f), art. 57 ust. 1 lit. a) i f), art. 28 oraz art. 29 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2) w zw. z art. 15 ust. 2 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2019 r., poz. 381 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani W.C., na przetwarzanie jej danych osobowych przez S. S.A., Prezes Urzędu Ochrony Danych Osobowych:
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Generalnego Inspektora Ochrony Danych Osobowych (obecnie Prezes Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pani W. C., , zwanej dalej ,,Skarżącą”, na przetwarzanie jej danych osobowych przez S. S.A., zwane dalej ,,Towarzystwem Ubezpieczeń”. W treści skargi Skarżąca wskazała, że jej dane w postaci numeru telefonu oraz adresu zamieszkania zostały ujawnione osobom nieuprawnionym. Skarżąca poinformowała, że otrzymała na swój adres zamieszkania list od firmy windykacyjnej, która dochodzi należności w imieniu Towarzystwa Ubezpieczeń z tytułu nieopłaconych składek na ubezpieczenie samochodu. List skierowany był do osoby zamieszkałej w jej gospodarstwie rolnym. Jednocześnie Skarżąca dodała, że aby wyjaśnić zaistniałą sytuację, skontaktowała się z infolinią S. S.A. W trakcie rozmowy podała swój numer telefonu wyłącznie w celu cyt. ,,kontaktowania się między mną i S. S.A. w sprawie mojego ubezpieczenia i zaistniałej w związku z tym sytuacji”. Skarżąca podniosła, że cyt. ,,pani z S. S.A. umieściła mój numer telefonu jako osobę do kontaktu w sprawie dłużnika mieszkającego w moim gospodarstwie w związku z czym zaczęli mnie atakować (wydzwaniać na mój numer telefonu) różne firmy windykacyjne i sądy”. Skarżąca doprecyzowując swoją skargę pismem, które wpłynęło do Biura Generalnego Inspektora Ochrony Danych Osobowych 29 sierpnia 2017 r., żądając aby cyt.: ,,S. S.A. naprawiając swoje błędy w całości dostosowała się do artykułu 18 ustawy”.
Na podstawie zebranego w sprawie materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
Z wyjaśnień z […] grudnia 2017 r. złożonych przez Towarzystwo Ubezpieczeń, wynika, że dane osobowe Skarżącej przetwarzane są w zbiorach: B. oraz Ba. Dane osobowe zostały pozyskane bezpośrednio od Skarżącej i swoim zakresem obejmują: imię i nazwisko, numer ewidencyjny PESEL, dane adresowe oraz dane kontaktowe. Dane osobowe Skarżącej przetwarzane są w celu cyt.: ,,wykonania umów ubezpieczenia, przedawnienia roszczeń oraz wypełnienia prawnie usprawiedliwionych celów”. Podstawą prawną upoważniającą Towarzystwo Ubezpieczeń do przetwarzania danych osobowych Skarżącej jest:
- przepis prawa, o którym mowa w art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. (Dz. U. z 2016 r., poz. 922 ze zm.), zwanej dalej ,,ustawą z 1997 r.”, tj. ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2019 r., poz. 381 ze zm.) oraz ustawa z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2019 r., poz. 1145 ze zm.), zwana dalej ,,K.c”,
- konieczność realizacji umowy (art. 23 ust. 1 pkt 3 ustawy z 1997 r.),
- prawnie usprawiedliwiony cel administratora danych (art. 23 ust. 1 pkt 5 ustawy z 1997 r.).
Ponadto Towarzystwo Ubezpieczeń oświadczyło, że dane osobowe Skarżącej nie zostały udostępnione lecz powierzone do przetwarzania na podstawie art. 31 ustawy z 1997 r. następującym podmiotom:
- A. S.A. – w celu świadczenia usług serwisowych i utrzymania IT na podstawie Umowy Generalnej o świadczenie usług serwisowych z dnia […] sierpnia 2007 r.,
- A. Sp. z o.o. – w celu archiwizacji dokumentacji i jej brakowania na podstawie umowy z dnia […] sierpnia 2012 r.,
- P. S.A. – w celu przedstawienia oferty ubezpieczonej oraz zawarcia umowy ubezpieczenia na podstawie umowy agencyjnej z dnia […] listopada 2012 r.
S. S.A. poinformowała również, że Skarżąca cyt.: ,,złożyła reklamację (…) w związku z otrzymaną korespondencją związaną z działaniami windykacyjnymi. Pisma windykacyjne nie były zaadresowane do Skarżącej, a do dłużnika. Adres Skarżącej wskazał dłużnik w przedłożonej (…) dokumentacji ubezpieczeniowej”. S. S.A. zaprzeczyła jakoby numer telefonu Skarżącej został dopisany do polisy dłużnika i przekazany innym podmiotom w tym realizującym działania windykacyjne oraz dodała, że cyt.: ,,Skarżąca osobiście skontaktowała się z podmiotem realizującym czynności windykacyjne w imieniu i na rzecz administratora danych – firmą E. S.A. w celu wyjaśnienia zaistniałej sytuacji”. Do wyjaśnień Towarzystwo Ubezpieczeń załączyło m.in. wniosek Pani W.C. z […] kwietnia 2014 r. o zawarcie umowy ubezpieczenia gospodarstwa rolnego ,,[…]” (dowód: wniosek numer […] z […] kwietnia 2014 r. o zawarcie umowy ubezpieczenia gospodarstwa rolnego ,,[…]”).
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.”.
W myśl art. 160 ust. 1-3 u.o.d.o., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z 1997 r., zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), zwaną dalej ,,K.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”.
Stosownie do art. 57 ust. 1 lit f) Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym.
Uwzględniając powyższe należy stwierdzić, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z 1997 r. (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający z przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i niezakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do K.p.a – Dz. U. 00.98.1071, M. Jaśkowska, A. Wróbel, Lex., el/2012).
W świetle przepisów Rozporządzenia 2016/679, przetwarzanie danych osobowych jest zgodne z prawem, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 Rozporządzenia 2016/679 (stanowiącym odpowiednik obowiązującego do dnia 25 maja 2018 r. art. 23 ust. 1 ustawy z 1997 r.), tj. gdy m.in.:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (analogicznie w art. 23 ust. 1 pkt 1 ustawy z 1997 r.;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (analogicznie w art. 23 ust. 1 pkt 3 ustawy z 1997 r.);
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (analogicznie w art. 23 ust. 1 pkt 2 ustawy z 1997 r.);
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (analogicznie w art. 23 ust. 1 pkt 5 ustawy z 1997 r.).
Przesłanki te odnoszą się do wszelkich form przetwarzania danych, w tym również do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednego z nich.
Prezes Urzędu ustalił, że Towarzystwo Ubezpieczeń pozyskało dane osobowe Skarżącej w związku z jej wnioskiem z […] kwietnia 2014 r. o zawarcie umowy ubezpieczenia gospodarstwa rolnego ,,[…]”. Podstawą prawną przetwarzania danych Skarżącej przez Towarzystwo Ubezpieczeń stanowił art. 23 ust. 1 pkt 1, 2, 3 obowiązującej uprzednio ustawy z 1997 r. Towarzystwo Ubezpieczeń przetwarzało dane Skarżącej nie tylko w oparciu o jej zgodę lecz również w oparciu o przepis prawa, konieczność realizacji umowy jak również prawnie usprawiedliwiony cel administratora danych. Obecnie Towarzystwo Ubezpieczeń przetwarza dane Skarżącej na podstawie art. 6 ust. 1 lit. b)–c) i f) Rozporządzenia 2016/679 w związku z art. 15 ustawy o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2019 r., poz. 381 ze zm.), zwanej dalej ,,ustawą o działalności” – w celu realizacji umowy ubezpieczenia oraz w związku z art. 118 K.c. – w celu przedawnienia roszczeń.
Kwestia przetwarzania danych osobowych Skarżącej na podstawie przepisów prawa została uregulowana w ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2019 r., poz. 381 ze zm.), zwanej dalej ,,ustawą o działalności”. W oparciu o przepisy ustawy o działalności zakłady ubezpieczeń gromadzą dane osobowe klientów w związku z zawieraniem i realizacją umów ubezpieczenia, umów reasekuracji oraz umów gwarancji ubezpieczeniowych. Przepisy te pozwalają na kształtowanie treści wspomnianych umów w granicach obowiązujących w tym zakresie przepisów prawa. Z zgodnie z art. 15 wspomnianej ustawy zakłady ubezpieczeń udzielają ochrony ubezpieczeniowej na podstawie umowy ubezpieczenia zawartej z ubezpieczającym (ust. 1). Umowa ubezpieczenia ma charakter dobrowolny, z zastrzeżeniem przepisów ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (ust. 2), (…) ogólne warunki ubezpieczenia oraz inne wzorce umowy są formułowane jednoznacznie i w sposób zrozumiały (ust. 3), a ich treść zakład ubezpieczeń zamieszcza na swojej stronie internetowej (ust. 4). Postanowienia umowy ubezpieczenia, ogólnych warunków ubezpieczenia oraz innych wzorców umowy sformułowane niejednoznacznie interpretuje się na korzyść ubezpieczającego, ubezpieczonego lub uprawnionego z umowy ubezpieczenia (ust. 5).
W związku z przedmiotową sprawą nie bez znaczenia ma również treść art. 31 ustawy z 1997 r. (na gruncie przepisów RODO jego odpowiednikiem jest obecnie art. 28 oraz art. 29), zgodnie z którym administrator może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1), natomiast podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2), a przed rozpoczęciem przetwarzania danych zobowiązany jest podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych (ust. 3). Cechą charakterystyczną umowy powierzenia jest to, że administrator danych nie musi osobiście wykonywać czynności związanych z przetwarzaniem danych osobowych. Może w tym celu skorzystać z usług wyspecjalizowanych podmiotów zewnętrznych, zlecając im wykonywanie w tym zakresie bądź całego procesu przetwarzania danych osobowych, bądź tylko pewnych czynności, np. samego zbierania czy przechowywania. W sytuacji przekazania danych osobowych mamy do czynienia z przetwarzaniem danych w imieniu administratora, w granicach wskazanych w umowie powierzenia przetwarzania danych i nie w celach własnych procesora, lecz dla realizacji celów administratora danych. Co istotne, przy powierzeniu przetwarzania danych osobowych nie dochodzi do zmiany ich administratora.
Mając na uwadze powyższe przepisy prawa, Prezes Urzędu uznał zarzut Skarżącej, mówiący o ujawnieniu jej danych osobowych osobom nieuprawnionym, za nietrafny, ponieważ dane Skarżącej zostały powierzone do przetwarzania taki podmiotom jak A. S.A., A Sp. z o.o., P. S.A., na podstawie wspomnianego art. 31 ustawy z 1997 r.
Odnosząc się do kwestii cyt. ,,dopisania numeru telefonu Skarżącej jako numeru telefonu do kontaktu w sprawie dłużnika” Prezes Urzędu stwierdził, że nie znalazł on potwierdzenia w zebranym materiale dowodowym sprawy. Z wyjaśnień Towarzystwa wynika, że to sama Skarżąca cyt.: ,,osobiście kontaktowała się z podmiotem realizującym czynności windykacyjne w imieniu i na rzecz administratora danych osobowych firmą E. S.A. w celu wyjaśnienia zaistniałej sytuacji”. Na powyższe wskazuje również oświadczenie Skarżącej wskazane w treści skargi o tym, że swój numer telefonu podała cyt. ,,w celu kontaktowania się z S. S.A. w sprawie (…) ubezpieczenia i zaistniałej w związku z tym sytuacji”.
Ocena dokonywana przez Prezesa Urzędu Ochrony Danych Osobowych w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 18 ust. 1 ustawy z 1997 r., służącego przywróceniu stanu zgodnego z prawem, w procesie przetwarzania danych – jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych nie ma podstaw do stwierdzenia, iż dane osobowe Skarżącej przetwarzane są przez Towarzystwo Ubezpieczeń w sposób niezgodny z przepisami o ochronie danych osobowych, a zatem nie zaistniała niezbędna przesłanka do wydania przez Prezesa Urzędu decyzji nakazującej przywrócenie stanu zgodnego z prawem.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00- 93 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.