PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 27 maja 2020 r.

Decyzja

ZKE.440.6.2019

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 12 pkt 2, art. 18, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz art. 57 ust. 1 lit. a) i f) i art. 6 ust. 1 lit. c) i f) oraz art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.UE.L.2018.127.2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani A. P., na przetwarzanie jej danych osobowych przez A. S.A., Prezes Urzędu Ochrony Danych Osobowych,

odmawia uwzględnienia wniosku

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pani A. P. (zwanej dalej także: „Skarżącą”), na przetwarzanie jej danych osobowych przez A. S.A. (zwanej dalej także: „Towarzystwem”) oraz ich udostępnienie C. Sp. z o.o. (zwanej także „Spółką”).

Z treści skargi wynika, że:

- […] lipca 2012 r. w mieszkaniu Skarżącej, pod jej nieobecność wybuchł pożar, a ustalenia wykazały, że powodem pożaru był samozapłon agregatu chłodniczego lodówki. Nie było w tym zdarzeniu udziału osób trzecich. Śledztwo w tym zakresie zostało umorzone, nie przedstawiając nikomu zarzutów.

- Zdaniem Skarżącej nie ma tutaj zastosowania art. 828 ustawy z 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2018 r., poz. 2025 ze zm.), ponieważ Prokurator Prokuratury Rejonowej w N. śledztwo w tym zakresie umorzył. Skarżąca dodała, że postanowienie to jest wiążące także dla Towarzystwa i Spółki i tym samym Skarżąca nie ponosi żadnej odpowiedzialności za szkodę wyrządzoną czynem niedozwolonym.

- Spółka naruszyła art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej także: „ustawa o ochronie danych osobowych z 1997 r.” ponieważ zdaniem Skarżącej jej dane zostały przekazane do Spółki nie na podstawie pisemnej umowy tylko na podstawie pełnomocnictwa. Zdaniem Skarżącej Towarzystwo nie zrealizowało też wobec niej obowiązku informacyjnego, o którym mowa w art. 25 ustawy ochronie danych osobowych z 1997 r.

W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

  1. Towarzystwo pozyskało dane osobowe Skarżącej w związku z wykonywaniem umowy ubezpieczenia zawartej pomiędzy Towarzystwem a Panem R. Z., który poniósł szkodę w wyniku zalania mieszkania wodą przedostającą się z mieszkania Skarżącej.
  2. Towarzystwo wypłaciło Panu R. Z. odszkodowanie za zalanie mu mieszkania i na mocy art. 828 ustawy Kodeks cywilny za pośrednictwem Spółki, której Towarzystwo powierzyło przetwarzanie danych osobowych, o którym mowa w art. 31 ustawy o ochronie danych osobowych z 1997 r., wystąpiło do Skarżącej z roszczeniem regresowym.
  3. Działania regresowe są wykonywane przez Spółkę na podstawie umowy o wykonywanie działań regresowych w szkodach indywidualnych majątkowych z […] lutego 2011 r. zawartej z Towarzystwem (dowód: kopia ww. umowy w aktach sprawy), która zarówno z uwagi na jej formę, jak i treść odpowiadała wymogom określonym w art. 31 ustawy o ochronie danych osobowych z 1997 r. Umowa, o której mowa w art. 31 ustawy o ochronie danych osobowych z 1997 r. nie podlega udostępnieniu podmiotowi danych, w tym przypadku Skarżącej.
  4. […] marca 2013 r. Towarzystwo przekazało Spółce dane Skarżącej obejmujące: imię i nazwisko, adres zamieszkania oraz informacje związane ze szkodą.
  5. […] kwietnia 2013 r. Spółka skierowała do Skarżącej wezwanie do zapłaty za szkodę dotyczącą zalania […] lipca 2012 r. mieszkania Pana R. Z., załączając dokumentację związaną z regresem (protokół szkody, decyzję odszkodowawczą, kalkulację naprawy szkody). Wezwanie to zawierało także informacje dotyczące spełnienia przez Towarzystwo wobec Skarżącej obowiązku, o którym mowa w art. 25 ustawy o ochronie danych osobowych z 1997 r. (dowód: wezwanie do zapłaty z […] kwietnia 2013 r. w aktach sprawy).
  6. Podstawą przetwarzania przez Towarzystwo danych osobowych Skarżącej do 25 maja 2018 r. stanowił art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych z 1997 r., natomiast po 25 maja 2018 r. podstawę prawną stanowi art. 6 ust. 1 lit. c) i f) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.UE.L.2018.127.2), dalej także „rozporządzenie 2016/679.
  7. Natomiast podstawę przetwarzania przez Spółkę danych osobowych Skarżącej do 25 maja 2018 r. stanowił art. 31 ustawy o ochronie danych osobowych z 1997 r., a po 25 maja 2018 r. podstawę prawną stanowi art. 28 rozporządzenia 2016/679.
  8. Dane Skarżącej były przetwarzane przez Spółkę w celu niezbędnym do oceny istnienia odpowiedzialności Skarżącej za szkodę na podstawie art. 828 § 1 ustawy Kodeks cywilny (regres ubezpieczeniowy) oraz do dochodzenia wobec Skarżącej wszelkich roszczeń z tego tytułu w imieniu i na rzecz Towarzystwa.
  9. Jak wyjaśniło Towarzystwo, błędne jest stanowisko Skarżącej jakoby Spółka nie była uprawniona do przetwarzania danych osobowych Skarżącej. Sposób zakończenia postępowania karnego, które w związku ze zdarzeniem (szkodą) będącym przyczyną wystąpienia z roszczeniami odszkodowawczymi przeciwko Skarżącej, przesądza jedynie o tym, że organy ścigania nie dopatrzyły się znamion przestępstwa w związku z tym zdarzeniem. Postanowienie Prokuratury Rejonowej w N. nie rozstrzyga o istnieniu albo braku odpowiedzialności cywilnej Skarżącej za szkodę wyrządzoną zdarzeniem, w szczególności, o tym, że Skarżąca nie jest odpowiedzialna za szkodę w rozumieniu art. 828 ustawy Kodeks cywilny. Tym samym błędna jest argumentacja Skarżącej jakoby przetwarzanie jej danych osobowych było nieuprawnione ze względu na rozstrzygnięcie wydane przez organy ścigania.
  10. Okres przechowywania danych Skarżącej określa art 4421 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2019 r. poz. 1145 z późn. zm.), jako okres przedawnienia roszczeń oraz art. 74 ust. 2 pkt 4 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2019 r. poz. 31 z późn. zm.), jako okres przechowywania dowodów księgowych dotyczących roszczeń dochodzonych w postępowaniu cywilnym.
  11. Obecnie dane Skarżącej są przetwarzane na podstawie art. 74 ust. 2 pkt 4 ustawy o rachunkowości. Dane te przetwarzane będą do […] grudnia 2020 r. (szkoda nastąpiła […] lipca 2012 r., trzy lata przedawnienia roszczeń – do […] lipiec 2015 r., pięć lat licząc od […] stycznia 2016 r. do końca roku - do […] grudnia 2020 r.).

Po przeanalizowani zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych stwierdza, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej także: „ustawa o ochronie danych osobowych z 2018 r.”.

W myśl art. 160 ust. 1-3 ustawy o ochronie danych osobowych z 2018 r., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej także: „ustawa o ochronie danych osobowych z 1997 r.”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów ustawy o ochronie danych osobowych z 2018 r., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”.

Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).

W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

Rozporządzenie 2016/679 stanowi przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych oraz chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych (art. 1 ust 1 i 2 rozporządzenia 2016/679). Odpowiednio regulował tę kwestię art. 2 ust. 1 ustawy o ochronie danych osobowych z 1997 r. W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 (uprzednio art. 23 ust. 1 ustawy o ochronie danych osobowych z 1997 r.). Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 4 pkt 2 rozporządzenia 2016/679 (uprzednio art. 7 pkt 2 ustawy o ochronie danych osobowych z 1997 r.), w tym w szczególności do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.

Zgodnie z art. 828 § 1 ustawy Kodeks cywilny, jeżeli nie umówiono się inaczej, z dniem zapłaty odszkodowania przez ubezpieczyciela roszczenie ubezpieczającego przeciwko osobie trzeciej odpowiedzialnej za szkodę przechodzi z mocy prawa na ubezpieczyciela do wysokości zapłaconego odszkodowania. Jeżeli zakład pokrył tylko część szkody, ubezpieczającemu przysługuje co do pozostałej części pierwszeństwo zaspokojenia przed roszczeniem ubezpieczyciela.

Okres przechowywania danych określa art 4421ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2019 r. poz. 1145 z późn. zm.), zgodnie z którym, roszczenie o naprawienie szkody wyrządzonej czynem niedozwolonym ulega przedawnieniu z upływem lat trzech od dnia, w którym poszkodowany dowiedział się albo przy zachowaniu należytej staranności mógł się dowiedzieć o szkodzie i o osobie obowiązanej do jej naprawienia. Jednakże termin ten nie może być dłuższy niż dziesięć lat od dnia, w którym nastąpiło zdarzenie wywołujące szkodę.

Natomiast, po zakończeniu okresu przedawnienia podstawą do dalszego przechowywania danych jest art. 74 ust. 2 pkt 4 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2019 r. poz. 31 z późn. zm.), zgodnie z którym, dowody księgowe dotyczące środków trwałych w budowie, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym - przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione. Zaś zgodnie z art. 74 ust. 3 ustawy o rachunkowości, okresy przechowywania ustalone w ust. 2 oblicza się od początku roku następującego po roku obrotowym, którego dane zbiory dotyczą.

Prezes Urzędu Ochrony Danych Osobowych badając podstawę przetwarzania danych osobowych przez Towarzystwo, udostępnienia przez Towarzystwo danych osobowych Skarżącej Spółce oraz realizację wobec Skarżącej obowiązku informacyjnego, o którym mowa w art. 25 ustawy o ochronie danych osobowych z 1997 r. uznał, że w wyżej opisanych okolicznościach rozpatrywanej sprawy brak jest podstaw do formułowania nakazu pod adresem Towarzystwa i Spółki.

Wskazać także należy, że Prezes UODO, dokonał na podstawie zgromadzonego w niniejszej sprawie materiału dowodowego, oceny przetwarzania danych osobowych Skarżącej w kontekście obowiązujących przepisów ustawy o ochronie danych osobowych, natomiast nie badał kwestii zasadności roszczenia i związanych z tym roszczeniem zarzutów. Takie sprawy są bowiem sprawami cywilnymi w rozumieniu art. 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2018 r. poz. 1025 ze zm.) i powinny być rozpatrywane w postępowaniach prowadzonych przez sądy powszechne. Tym samym, Prezes UODO nie ma uprawnień, aby rozpatrzyć zarzut Skarżącej co do zasadności roszczenia i związanych z tym roszczeniem zarzutów. Stanowisko w tej sprawie potwierdza także wyrok WSA z dnia 10 listopada 2006 r, sygn. akt II SA/Wa4/06, Lex nr 330425.

Biorąc powyższe pod uwagę, uznać należało, że nie zaistniała żadna przesłanka do wydania przez Prezesa UODO decyzji nakazującej przywrócenie stanu zgodnego z prawem, dlatego też nie jest uzasadnione wydanie przez Prezesa Urzędu Ochrony Danych Osobowych jakiegokolwiek z nakazów, o których mowa w art. 18 ustawy o ochronie danych osobowych z 1997 r. oraz w art. 58 Rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2020-05-27
Wprowadził informację:
user Anna Pachla
date 2021-02-19 12:54:31
Ostatnio modyfikował:
user Edyta Madziar
date 2021-03-17 09:50:52