DKE.523.11.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735) oraz na podstawie art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) oraz art. 12 pkt 2, art. 22, art. 23 ust. l pkt 2 i 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), w związku z art. 6 ust. 1 lit. c) oraz lit. f), art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 105 ust. 4 i art. 105a ust. 4 i 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz. 1896 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani M. L., na przetwarzanie jej danych osobowych przez G. S.A., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani M. L., zwanej dalej także: „Skarżącą”, na przetwarzanie jej danych osobowych przez G. S.A., zwane dalej „Towarzystwem”.
Skarżąca wskazała, że zawarła z Towarzystwem (cyt.) „umowę na tzw. […]”.W związku z tym, że stopa zwrotu polisy okazała się bardzo niska w porównaniu z wielkością wpłaconych składek, Skarżąca zdecydowała się na rozwiązanie tej umowy. Za pomocą infolinii Towarzystwa została poinformowana, że należy przesłać pismo o wypowiedzeniu umowy wraz ze wskazaniem numeru rachunku bankowego. Skarżąca wysłała stosowne pismo do Towarzystwa, ale środki na podany rachunek nie wpłynęły. Wobec powyższego Skarżąca ponownie zainterweniowała za pomocą infolinii. Tym razem uzyskała informację, że wniosek o rozwiązanie umowy należy złożyć na specjalnym druku formularza, który powinien być poświadczony przez notariusza, urzędnika lub agenta Towarzystwa. Skarżąca poprosiła aby skontaktował się z nią agent Towarzystwa i dokonał weryfikacji jej podpisu. W dniu […] października 2017 r. Skarżąca odebrała połączenie z numeru […]. Osoba dzwoniąca przedstawiła się, że jest (cyt.): „agentem […]” i zapytała Skarżącą o problem który chce zgłosić Towarzystwu. Skarżąca poinformowała, że nie może odzyskać swoich pieniędzy w związku z zawartą umową [...] ponieważ ciągle jest wprowadzana w błąd. W odpowiedzi Skarżąca została pouczona aby przesłała pocztą elektroniczną na adres: […] swoje dane zamieszczone w formularzu dotyczącym tego rodzaju wypłat. Skarżąca przesłała żądane dane i w ciągu pół godziny miała otrzymać odpowiedź. Przez okres jednego tygodnia od dnia wysłania do Towarzystwa ww. wniosku Skarżąca nie otrzymała żadnej odpowiedzi.
W związku z powyższym, Skarżąca w obawie o pozyskanie jej danych osobowych przez osobę nieuprawnioną, wniosła o sprawdzenie legalności pozyskania jest danych przez agenta Towarzystwa korzystającego z poczty elektronicznej o adresie; […].
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- Towarzystwo przetwarzało dane osobowe Skarżącej na podstawie umowy ubezpieczenia […] z […] listopada 2005 r., nazwanej przez Skarżącą „umową na tzw. […]”. W dniu […] października 20017 r. umowa ta została rozwiązana a wypłaty należnych Skarżącej środków Towarzystwo dokonano […] października 2017 r.
- Przesłanką legalizująca proces przetwarzania danych osobowych Skarżącej przez Towarzystwo był art. 23 ust. 1 pkt 2 i 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej „ustawą o ochronie danych osobowych z 1997 r.”, natomiast od 25 maja 2018 r, art. 6 ust. 1 lit. b) i c) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. U. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2) zwanego dalej „Rozporządzeniem 2016/679”.
- Towarzystwo przetwarzało dane osobowe Skarżącej na podstawie art. 41 ust. 1 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2020 r. poz. 895 ze zm.), zgodnie z którym, zakład ubezpieczeń przetwarza dane, o których mowa w art. 9 rozporządzenia 2016/679, dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia.
- Natomiast, podstawę przetwarzania danych osobowych Skarżącej przez Panią J. K. prowadzącą działalność gospodarczą pod nazwą J. K. zwanej dalej: „pośrednik ubezpieczeniowy” stanowił art. 31 ustawy o ochronie danych osobowych z 1997 r., natomiast od 25 maja 2018 r, art. 28 Rozporządzenia 2016/679.
- Towarzystwo zawarło z Panią J. K. umowę współpracy z […] listopada 2014 r. nr […] (kopia ww. umowy wraz z aneksami do tej umowy z: […] września 2015 r. i […] marca 2015 r.). Towarzystwo […] listopada 2014 r. udzieliło także Pani J. K. upoważnienia do wykonywania czynności agencyjnych w imieniu Towarzystwa, stanowiące załącznik nr […] do ww. umowy (kopia ww. upoważnienia wraz upoważnieniami zmieniającymi z: […] marca 2015 r. i […] września 2015 r.).
- Towarzystwo, pismem z dnia […] marca 2018 r. poinformowało, że wysłane przez Skarżącą jej dane osobowe na adres: […] pozyskane zostały przez Towarzystwo za pośrednictwem Pani J. K. będącej pośrednikiem ubezpieczeniowym (agentem) Towarzystwa.
- Towarzystwo – zgodnie z jego wyjaśnieniami złożonymi w niniejszym postępowaniu w piśmie z […] kwietnia 2018 r. wskazało, że dane osobowe Skarżącej są zabezpieczone przed nieuprawnionym dostępem osób trzecich.
- Aktualnie Towarzystwo przetwarza dane osobowe Skarżącej wynikające z ww. umowy na podstawie art. 6 ust. 1 lit. c) i f) Rozporządzenia 2016/679, w związku z art. 74 ust. 2 pkt 8 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 poz. 217) oraz art. 8 ust 4a, art. 9k ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U z 2020 poz. 971 ze zm.) w celach archiwalnych przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym przeprowadzono transakcję z klientem, a także w celach związanych dochodzeniem roszczeń i obroną przed ewentualnymi roszczeniami związanymi z realizacją ww. umowy.
Po przeanalizowani zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych stwierdza, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej także: „ustawą o ochronie danych osobowych z 2018 r.”.
W myśl art. 160 ust. 1-3 ustawy o ochronie danych osobowych z 2018, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy o ochronie danych osobowych z 1997 r., zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów ustawy o ochronie danych osobowych z 2018 r., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również Rozporządzenie 2016/679.
Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f). Instrumentami realizacji zadań przewidzianych w art. 57 ust. 1 Rozporządzenia 2016/679 są w szczególności określone w jego art. 58 ust. 2 uprawnienia naprawcze, w tym możliwość: nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia (art. 58 ust. 2 lit. c), nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu (art. 58 ust. 2 lit. d).
W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Rozporządzenie 2016/679 stanowi przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych oraz chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych (art. 1 ust 1 i 2 rozporządzenia 2016/679). Odpowiednio regulował tę kwestię art. 2 ust. 1 ustawy o ochronie danych osobowych z 1997 r. W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 (uprzednio art. 23 ust. 1 ustawy o ochronie danych osobowych z 1997 r.). Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 4 pkt 2 rozporządzenia 2016/679 (uprzednio art. 7 pkt 2 ustawy o ochronie danych osobowych z 1997 r.), w tym w szczególności do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.
Zgodnie z brzmieniem przepisu art. 23 ust. 1 u.o.d.o. 1997, obowiązującej w okresie, w którym Spółka pozyskała dane osobowe Skarżącej, i w którym Skarżąca wniosła do GIODO skargę w niniejszej sprawie, przetwarzanie danych osobowych było dopuszczalne gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).
Zgodnie z obecnie obowiązującą regulacją (art. 6 ust. 1 Rozporządzenia 2016/679), przetwarzanie danych (każda czynność mieszcząca się w tym pojęciu) jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Odnosząc wyżej przywołane przepisy do stanu faktycznego niniejszej sprawy stwierdzić należy, że zarówno w stanie prawnym obowiązującym do 24 maja 2018 r. (regulowanym przepisami ustawy o ochronie danych osobowych z 1997 r.), jak i w stanie prawnym obowiązującym obecnie (od 25 maja 2018 r., to jest od daty rozpoczęcia stosowania przepisów Rozporządzenia 2016/679), jedną z kilku samoistnych podstaw przetwarzania danych osobowych jest niezbędność tego przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (b); niezbędność tego przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze (c) oraz niezbędność dla realizacji prawnie usprawiedliwionych celów (interesów) administratora. Na te podstawy powoływało się i nadal się powołuje Towarzystwo w niniejszej sprawie.
Natomiast, kwestia przetwarzania danych osobowych Skarżącej na podstawie przepisów prawa została uregulowana w ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2020 r. poz. 895 ze zm.). W oparciu o przepisy ustawy o działalności zakłady ubezpieczeń gromadzą dane osobowe klientów w związku z zawieraniem i realizacją umów ubezpieczenia, umów reasekuracji oraz umów gwarancji ubezpieczeniowych. Przepisy te pozwalają na kształtowanie treści wspomnianych umów w granicach obowiązujących w tym zakresie przepisów prawa. Zgodnie z art. 15 wspomnianej ustawy zakłady ubezpieczeń udzielają ochrony ubezpieczeniowej na podstawie umowy ubezpieczenia zawartej z ubezpieczającym (ust. 1). Umowa ubezpieczenia ma charakter dobrowolny, z zastrzeżeniem przepisów ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (ust. 2), (…) ogólne warunki ubezpieczenia oraz inne wzorce umowy są formułowane jednoznacznie i w sposób zrozumiały (ust. 3), a ich treść zakład ubezpieczeń zamieszcza na swojej stronie internetowej (ust. 4). Postanowienia umowy ubezpieczenia, ogólnych warunków ubezpieczenia oraz innych wzorców umowy sformułowane niejednoznacznie interpretuje się na korzyść ubezpieczającego, ubezpieczonego lub uprawnionego z umowy ubezpieczenia (ust. 5).
W związku z przedmiotową sprawą istotna jest również treść art. 31 ustawy o ochronie danych osobowych z 1997 r. (na gruncie przepisów RODO jego odpowiednikiem jest obecnie art. 28), zgodnie z którym administrator może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1), natomiast podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2), a przed rozpoczęciem przetwarzania danych zobowiązany jest podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych (ust. 3). Cechą charakterystyczną umowy powierzenia jest to, że administrator danych nie musi osobiście wykonywać czynności związanych z przetwarzaniem danych osobowych. Może w tym celu skorzystać z usług wyspecjalizowanych podmiotów zewnętrznych, zlecając im wykonywanie w tym zakresie bądź całego procesu przetwarzania danych osobowych, bądź tylko pewnych czynności, np. samego zbierania czy przechowywania. W sytuacji przekazania danych osobowych mamy do czynienia z przetwarzaniem danych w imieniu administratora, w granicach wskazanych w umowie powierzenia przetwarzania danych i nie w celach własnych procesora, lecz dla realizacji celów administratora danych. Co istotne, przy powierzeniu przetwarzania danych osobowych nie dochodzi do zmiany ich administratora.
Stosownie zaś do treści art. 28 ust. 3 rozporządzenia 2016/679 przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Mając na uwadze powyższe przepisy prawa, Prezes Urzędu uznał, że nie zalazły potwierdzenia obawy Skarżącej dotyczące możliwości przekazania jej danych osobowych osobie nieuprawnionej, ponieważ w toku niniejszego postępowania ustalono, że dane osobowe Skarżącej za pośrednictwem pośrednika ubezpieczeniowego prawidłowo umocowanego na podstawie ww. umowy i upoważnienia trafiły do Towarzystwa, czego efektem była wypłata przez Towarzystwo […] października 2017 r. należnych Skarżącej środków.
Ocena dokonywana przez Prezesa Urzędu Ochrony Danych Osobowych w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 18 ust. 1 ustawy o ochronie danych osobowych z 1997 r., służącego przywróceniu stanu zgodnego z prawem, w procesie przetwarzania danych – jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych nie ma podstaw do stwierdzenia, iż dane osobowe Skarżącej przetwarzane są przez Towarzystwo w sposób niezgodny z przepisami o ochronie danych osobowych, a zatem nie zaistniała niezbędna przesłanka do wydania przez Prezesa Urzędu decyzji nakazującej przywrócenie stanu zgodnego z prawem.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.