PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 18 stycznia 2019 r.

Decyzja

ZSPR.440.998.2018

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), w zw. z art. 7 ust. 1 i art. 60 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.) i art. 6 ust. 1 lit. c) i f) , art. 21 ust 1 i ust. 2 w zw. z art. 18 ust. 1 lit. d) i art. 19, art. 57 ust. 1 lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana W. G., zamieszkałego w W., na przetwarzanie jego danych osobowych przez T. S.A. z siedzibą w W., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku. 

Uzasadnienie

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana W. G., zamieszkałego w W., zwanego dalej Skarżącym, na przetwarzanie jego danych osobowych przez T. S.A. z siedzibą w W., zwane dalej Towarzystwem.

Skarżący w treści skargi wskazał, że Towarzystwo przetwarza jego dane osobowe niezgodnie z art. 5 i 6 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej RODO. Skarżący wniósł o zakazanie Towarzystwu przetwarzania jego danych osobowych w zakresie wniesionych do Towarzystwa sprzeciwów oraz o nakazanie Towarzystwu poinformowania Skarżącego o wszystkich odbiorcach, którym ujawniono jego dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku, a także cyt.: „podjęcie czynności uniemożliwiających Towarzystwu dalsze łamanie RODO oraz polskiego porządku prawnego od Konstytucji Rzeczypospolitej Polskiej poczynając, a na obowiązujących Towarzystwo innych aktach prawnych – chroniących prawa obywateli – określonych w rozdziale 3 Konstytucji Rzeczypospolitej kończąc.”

W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

  1. Towarzystwo w wyjaśnieniach z […] września 2018 r. wskazało, że dane osobowe Skarżącego zostały pozyskane od niego w związku z zawarciem […] sierpnia 1999 umowy ubezpieczenia pojazdu mechanicznego. W kolejnych latach 2001-2009 Skarżący zawierał z Towarzystwem umowy ubezpieczenia pojazdu mechanicznego w zakresie odpowiedzialności cywilnej posiadacza pojazdu oraz autocasco. Zakres pozyskanych danych Skarżącego zawierał: imię, nazwisko, adres zameldowania oraz dane pojazdu.
  2. W latach 2015-2018 Skarżący zawierał z Towarzystwem umowy ubezpieczenia nieruchomości, z których ostatnia jest wciąż aktywna.
  3. Dnia […] maja 2018 r. Skarżący zwrócił się do Towarzystwa ze sprzeciwem wobec przetwarzania jego danych osobowych w celach bezpośrednio lub pośrednio związanych z marketingiem, w tym profilowania, jak też wobec przetwarzania jego danych osobowych na podstawie art. 6 ust. 1 lit. f) RODO, w tym profilowania, jak również przekazywania ich w tych celach jakimkolwiek innym podmiotom.
  4. Towarzystwo w piśmie z dnia […] czerwca 2018 r. odnotowało sprzeciw Skarżącego co do przetwarzania jego danych osobowych w celach marketingowych, w tym profilowania i powiadomiło, że dane osobowe Skarżącego nie będą przetwarzane w tych celach przez Towarzystwo. Ponadto poinformowało Skarżącego o nieuwzględnieniu jego sprzeciwu wobec przetwarzania jego danych osobowych na podstawie art. 6 ust. 1 lit. f) RODO ze względu na to, że przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
  5. Skarżący w piśmie z dnia […] czerwca 2018 r. podtrzymał swoje stanowisko co do nieuwzględnionego przez Towarzystwo sprzeciwu na podstawie art. 21 ust. 1 RODO wobec przetwarzania jego danych osobowych na podstawie art. 6 ust. 1 lit. f) RODO oraz zażądał na podstawie art. 19, zdanie drugie RODO, poinformowania Skarżącego o wszystkich odbiorcach, którym ujawniono jego dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
  6. Towarzystwo w piśmie z dnia […] lipca 2018 r. poinformowało Skarżącego o nieuwzględnieniu jego sprzeciwu wobec przetwarzania jego danych osobowych na podstawie art. 6 ust. 1 lit. f) RODO.
  7. Dnia […] lipca 2018 r. Skarżący złożył do Prezesa Urzędu Ochrony Danych Osobowych formalną skargę na Towarzystwo, wskutek czego zostało wszczęte postępowanie administracyjne.
  8. Dane osobowe Skarżącego są aktualnie przetwarzane przez Towarzystwo:
    1. w celu realizacji aktywnej umowy ubezpieczenia zawartej ze Skarżącym dnia […] sierpnia 2018 r.,
    2. w celu realizacji obowiązku Towarzystwa prowadzenia rejestru zawartych umów ubezpieczenia, zawierającego dane identyfikujące ubezpieczającego oraz ubezpieczonego, wynikającego z Rozporządzenia Ministra Finansów z dnia 12 kwietnia 2016 r. w sprawie szczególnych zasad rachunkowości zakładów ubezpieczeń i zakładów reasekuracji,
    3. w celu realizacji prawnie uzasadnionego interesu Towarzystwa do ustalania, dochodzenia i obrony przed roszczeniami związanymi z zawartymi ze Skarżącym umowami ubezpieczenia, a także w związku z postępowaniem prowadzonym przez Inspektora Ochrony Danych Towarzystwa w sprawie sprzeciwu Skarżącego wobec przetwarzania jego danych osobowych złożonym do Towarzystwa w piśmie z dnia […] maja 2018 r.,
    4. w celach archiwalnych w związku ze szkodami zgłoszonymi z umów ubezpieczenia zawartych przez Skarżącego, w celu prawnie uzasadnionego interesu Towarzystwa do ustalania, dochodzenia i obrony przed roszczeniami związanymi z wypłatą świadczenia w związku z zajściem zdarzenia ubezpieczeniowego.
  9. Dla realizacji powyższych celów Towarzystwo przetwarza w zbiorze „Towarzystwo – Zbiór danych ubezpieczeniowych” dane osobowe Skarżącego w zakresie: imię, nazwisko, adres zameldowania, numer PESEL, data urodzenia oraz numer telefonu, adres ubezpieczonej nieruchomości, dane ubezpieczonego pojazdu oraz informacje dotyczące przebiegu zdarzeń ubezpieczeniowych zgłoszonych w celu wypłaty świadczeń.

W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

W przedmiotowej sprawie, odnośnie sprzeciwu Skarżącego wyrażonego zgodnie z art. 21 ust 1 RODO i dotyczącego przetwarzania jego danych osobowych w celach marketingowych, w tym profilowania, Towarzystwo odnotowało sprzeciw na przetwarzanie w tych celach w swoich systemach informatycznych, w związku z czym dane osobowe Skarżącego nie są obecnie przetwarzane w celach marketingowych, w tym profilowania.

Zasady dotyczące zgodności przetwarzania z prawem są uregulowane w art. 6 RODO i tak, zgodnie z art. 6 ust 1. lit. c) RODO przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, zaś zgodnie z art. 6 ust. 1 lit. f) RODO, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W odniesieniu do kwestii sprzeciwu Skarżącego wobec przetwarzania jego danych osobowych na podstawie art. 6 ust. 1 lit. f) RODO, należało ocenić w postępowaniu czy istnieją przesłanki do dalszego przetwarzania danych osobowych Skarżącego przez Towarzystwo na tej podstawie prawnej. Art. 6 ust. 1 lit f) RODO pozwala na przetwarzanie danych potrzebnych do realizacji celów administratora, jednak w niniejszej sprawie zmusza do dokonania oceny w zakresie  kwestii czy w danej sytuacji mamy do czynienia z celem wynikającym z prawnie uzasadnionych interesów administratora lub osoby trzeciej oraz czy przetwarzanie danych osobowych jest konieczne do realizacji takich celów. Zgodnie z treścią motywu 47 RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania. W szczególności, za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami, także tymi, które wynikają z zawartych umów ubezpieczeniowych.   Interes taki musi być również zgodny nie tylko z regulacjami dotyczącymi ochrony danych osobowych, ale i pozostałymi przepisami prawa.  Jak wskazuje się w literaturze „nie można jednak sformułowania <prawnie>, w odniesieniu do uzasadnienia interesu, utożsamiać z uprawnieniem do przetwarzania danych, które miałoby wynikać z jakiegoś szczególnego przepisu prawa” (P. Litwiński [red.], Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Beck, 2017, s. 305).

W ocenie Prezesa Urzędu Ochrony Danych Osobowych należy stwierdzić, że przetwarzanie danych osobowych Skarżącego przez Spółkę opiera się aktualnie na przesłankach z art. 6 ust. 1 lit. c) RODO, w celu realizacji aktywnej umowy ubezpieczenia zawartej ze Skarżącym; art. 6 ust 1. lit. c) RODO, w celu realizacji obowiązku Towarzystwa prowadzenia rejestru zawartych umów ubezpieczenia, zawierającego dane identyfikujące ubezpieczającego oraz ubezpieczonego, wynikającego z § 6. ust.1 pkt. 3) Rozporządzenia Ministra Finansów z dnia 12 kwietnia 2016 r. w sprawie szczególnych zasad rachunkowości zakładów ubezpieczeń i zakładów reasekuracji, (Dz.U. 2016 poz. 562); art. 6 ust. 1 lit. f) RODO w celu realizacji prawnie uzasadnionego interesu Towarzystwa do ustalania, dochodzenia i obrony przed roszczeniami związanymi z zawartymi ze Skarżącym umowami ubezpieczenia, a także w związku z postępowaniem prowadzonym przez Inspektora Ochrony Danych Towarzystwa w sprawie sprzeciwu Skarżącego wobec przetwarzania jego danych osobowych złożonym do Towarzystwa w piśmie z dnia [...]  maja 2018 r.; art. 6 ust. 1 lit. f) RODO w celach archiwalnych w związku ze szkodami zgłoszonymi z umów ubezpieczenia zawartych przez Skarżącego, w celu prawnie uzasadnionego interesu Towarzystwa do ustalania, dochodzenia i obrony przed roszczeniami związanymi z wypłatą świadczenia w związku z zajściem zdarzenia ubezpieczeniowego.

Obecnie Towarzystwo dla realizacji powyższych celów przetwarza dane osobowe Skarżącego w zakresie: imię, nazwisko, adres zameldowania, numer PESEL, data urodzenia oraz numer telefonu, adres ubezpieczonej nieruchomości, dane ubezpieczonego pojazdu oraz informacje dotyczące przebiegu zdarzeń ubezpieczeniowych zgłoszonych w celu wypłaty świadczeń.

Odnosząc się do zarzutu Skarżącego niespełnienia przez Towarzystwo jego żądania odnośnie udzielenia mu informacji na podstawie art. 19, zdanie drugie RODO, decydującym jest fakt, że powołany przepis należy traktować w całości. Ww. przepis dotyczy obowiązku powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania i zgodnie z nim administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16, art. 17 ust. 1 i art. 18, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

Zgodnie z art. 18 ust. 1 lit. d) RODO osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w przypadku, gdy osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą. Zgodnie z art. 21 ust. 1 RODO osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

„Elementem sprzeciwu wobec przetwarzania danych osobowych opartego na art. 6 ust. 1 lit. e lub f RODO powinno być wykazanie istnienia po stronie wnioskodawcy szczególnej sytuacji, która uzasadnia wniesienie sprzeciwu. (…) Za sytuację szczególną należy uznać każdy stan faktyczny, który – po pierwsze – nie istniał w chwili zbierania danych osobowych, jeżeli dane osobowe były zbierane bezpośrednio od osoby, której dotyczą, (…). Po drugie, szczególna sytuacja osoby, której dane dotyczą, powinna wpływać na przetwarzanie jej danych osobowych w ten sposób, że dojdzie do zachwiania równowagi interesów tej osoby oraz administratora danych – w wyniku tego interes osoby, której dane dotyczą, powinien przeważyć nad interesem administratora danych. Innymi słowy, potrzeba ochrony prywatności podmiotu danych powinna przeważyć nad potrzebą przetwarzania tych danych przez administratora.(…)” (por. P. Litwiński (red.), P. Barta / M. Kawecki: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Wydawnictwo C.H.Beck, Warszawa 2018 r., str. 426). W oparciu o materiał zgromadzony w postępowaniu należy stwierdzić, że Skarżący nie wykazał istnienia po swojej stronie szczególnej sytuacji, która uzasadnia wniesienie sprzeciwu.

Ponadto, trzeba zaznaczyć, „(…) że poza sytuacją, w której mamy do czynienia z marketingiem bezpośrednim, prawo do sprzeciwu nie jest uprawnieniem bezwzględnie skutecznym. Administrator może, odmawiając zaprzestania przetwarzania danych osobowych powoływać się na: 1) istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania danych nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub 2) istnienia podstaw do ustalenia, dochodzenia lub obrony roszczeń. W takim przypadku, pomimo wniesienia sprzeciwu przez osobę, której dane dotyczą, administrator może nadal przetwarzać jej dane osobowe.” (por. RODO Ogólne rozporządzenie o ochronie danych. Komentarz, Redakcja naukowa Edyta Bielak-Jomaa, Dominik Lubasz, Wolters Kluwer, Warszawa 2018 r. str. 557).

Konkludując powyższe, w ocenie Prezesa UODO nie ma podstaw do stwierdzenia, że dane osobowe Skarżącego są obecnie przetwarzane w celach marketingowych, w tym profilowania, skoro Towarzystwo odnotowało sprzeciw na przetwarzanie danych osobowych Skarżącego w celach marketingowych w swoich systemach informatycznych. Nie zaistniała niezbędna przesłanka do wydania przez Prezesa UODO decyzji nakazującej przywrócenie stanu zgodnego z prawem, tj. nakazania zaprzestania przetwarzania danych osobowych Skarżącego,

Z przeprowadzonego postępowania wynika też, że dane osobowe Skarżącego są przetwarzane przez Towarzystwo na podstawie art. 6 ust. 1 lit. f) RODO zgodnie z prawem, zatem nie zaistniała niezbędna przesłanka do wydania przez Prezesa UODO decyzji nakazującej przywrócenie stanu zgodnego z prawem, tj. nakazania zaprzestania przetwarzania danych osobowych Skarżącego.

W związku z tym, że Towarzystwo wykazało istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania danych osobowych Skarżącego, żądanie ograniczenia przetwarzania na podstawie art. 18 ust. 1 lit. d) RODO nie miało uzasadnienia, w związku z czym nie powstał wynikający z art. 19 RODO  obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania, ani w szczególności obowiązek poinformowania Skarżącego o odbiorcach, którym ujawniono dane osobowe, zatem nie zaistniała niezbędna przesłanka do wydania przez Prezesa UODO decyzji nakazującej Towarzystwu spełnienie żądania osoby, której dane dotyczą.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Podmiot udostępniający: Zespół ds. Sektora Prywatnego
Wytworzył informację:
user dr Edyta Bielak–Jomaa
date 2019-01-18
Wprowadził informację:
user Angelika Baranowska
date 2019-05-29 10:21:26
Ostatnio modyfikował:
user Grzegorz Cześnik
date 2019-07-09 13:49:00